Hallo zusammen,

ich hab grad schon mal ein wenig das forum durchstöbert und bin leider auf keine genaue antwort in einem anderen post gestoßen, deswegen hier mein Problem:

Ich studier zur zeit in thailand und scheine mir hier irgendwas eingefangen zu haben. seit einiger zeit lassen sich meine beiden festplatten-partitionen nicht mehr per doppelklick öffnen. bei mir ist das bis jetzt das einizige, wenn auch sehr nervige, problem. doch tat sich nun bei dem rechner meiner mitbewohnerin folgendes problem auf: bei einem scan wurde das file MS32DLL.dll.vbs entdeckt und als virus eingestuft. Jedoch befand es sich in einem von windows gesicherten verzeichnis und kann daher nicht einfach gelöscht werden. was also tun? seltsamerweise hab ich vor einiger zeit, bluetooth war noch eingeschaltet, eine datei unbekannter herkunft auf meinem handy gehabt. scheint mir jemand in der u-bahn zugeschickt zu haben. sie scheint der auslöser für den schlamassel zu sein. jedenfalls hab ich mal nach der datei gegoogled und nur was in einem thai-forum dazu entdecken können. jetzt hat mir hier zwar eine thai das meiste übersetzt, aber ich soll dateien wie die autorun.inf per shift+delete löschen und das kommt mir doch sehr spanisch vor. desweiteren ist die anleitung ellenlang und umfasst für mich doch sehr merkwürdige schritte... hier mal der link zu dem beitrag: ich weiß, dass man vieles nicht lesen kann, aber vielleicht sagt ja einem das eine oder andere was. wichtige namen sind englisch geschrieben, daher kann man den verlauf nachvollziehen.
ich startete hijackthis (bin eigentlich mit firewall, virenscanner und ad-aware gut geschützt, dachte ich...). das logfile sieht wie folgt aus:

Logfile of HijackThis v1.99.1
Scan saved at 21:26:25, on 03.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\keyhook.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wscript.exe
C:\Dokumente und Einstellungen\****\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.fh-intern.ac.at:3128
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O2 - BHO: CoTGT_BHO Class - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1.FIR\smc.exe -startgui
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\MS32DLL.dll.vbs
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\Yahoo! Widget Engine\YahooWidgetEngine.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Bluetooth Manager.lnk = ?
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Programme\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O18 - Protocol: Festoon - (no CLSID) - (no file)
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005.SR2a\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005.SR2a\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\SygatePers.Firewall\smc.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Keinen Plan ob es hilft...ich kann auch gerne die englische übersetzung der thai posten und ihr könnt mal lesen, was ich da alles machen soll...meiner meinung nach ne ganze menge...
Ach ja...mein einer svchost.exe-prozess frisst zur zeit mal eben 40K und mehr...das kann doch nicht gut sein, oder?

fetten dank für eure mühen...

Hier jetzt einmal was, was mir die Thai-Dame übersetzt hat:

1. Go Tools at menu bar . choose Folder options.
2. Tab view.
3. floder Hidden files and folder
4. check box...Hide protected operating...
5. no check box.
6. (also...alles anzeigen lassen was geht...versteh ich jedenfalls so)
7. right click at drive then press explorer
8. and no mark Hide protected operating
9. press ok.
10. press Ctrl+Alt+Delete
11. appear dialog box "Windows Task Manager"
12. end process wscript.exe
13. open drive
14. no double click.
15. use right click.
16. delete file autorun.inf and ms32dll.dll.vbs
17. right click at explore
18. then delete file.
19. after, right click at explore
20. delete autorun.inf and ms32dll.dll.vbs by press Shift+Delete
21. all drive in my com .
22. after that
23. delete at Handy drive and floppy disk too.
24. by Shift+Delete .
25. open --- C:WINDOWS for
26. delete MS32DLL.dll.vbs by Shift+Delete too.
27. Start-->Run u print "regedit" then ok.
28. choose "HKEY_LOCAL_MACHINE --> Software --> Current Version --> Run "
29. delete MS32DLL by press "delete" at keyboard.
30. delete!!!!! no Shift+Delete
31. HKEY_CURRENT_USER --> Software --> Microsoft --> Internet Explorer --> Main
32. delete file at Window Title "Hacked by Godzilla"
33. by press "Delete"
34. Start --> Run print" gpedit.msc" then ok
35. afterwards
36. appear dialog " Group Policy"
37. choose , User Configuration --> Administrative Templates --> System --> Double Click file Turn off Autoplay
38. appear dialog "turn off Autoplay properties
39. click to choose "Enabled"
40. choose "All Drives"
41. click "ok"
42. afterwards
43. Start --> Run print " msconfig" then ok
44. appear dialog "System Configuration Utility"
45. choose Tap "Startup"
46. no mark in front file MS32DLL
47. press "Apply"
48. press "ok" or "Close"
49. appear dialog box "System Configuration"
50. choose "Exit Wihtout Restart"
51. Double Click "My Computer"
52. choose ----Menu Tools ---> Folder options
53. Tap View
54. no mark in font "Hide extention… and Hide protected operating system file
55. press "OK"
56. last step.
57. right click at Recycle bin
58. choose "Shortcut Menu"
59. choose command "Empty Recycle bin"

Ich hoffe das mit jetzt jemand weiterhelfen kann...

Ich weiß, dass es sich um Spyware handelt, mehr leider nicht.

Kann mir denn niemand helfen?

Ich verzweifel hier noch...

So...jetzt hab ich das mist-file auch mal bei virustotal scannen lassen. folgende Meldung:

Aditional Information
File size: 3754 bytes
MD5: da4a046de09bfd9b0c1d1f6f66b9a434
SHA1: 24b68c86722f9fb7e3bf97e9987cdd61a70f067c
packers: Unicode
packers: Unicode

Complete scanning result of "MS32DLL.dll.vbs", received in VirusTotal at 12.05.2006, 14:36:32 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.46 12.05.2006 no virus found
Authentium 4.93.8 12.04.2006 no virus found
Avast 4.7.892.0 12.05.2006 no virus found
AVG 386 12.05.2006 no virus found
BitDefender 7.2 12.05.2006 no virus found
CAT-QuickHeal 8.00 12.04.2006 no virus found
ClamAV devel-20060426 12.05.2006 no virus found
DrWeb 4.33 12.05.2006 SCRIPT.Virus
eSafe 7.0.14.0 12.03.2006 no virus found
eTrust-InoculateIT 23.73.76 12.05.2006 no virus found
eTrust-Vet 30.3.3232 12.05.2006 no virus found
Ewido 4.0 12.05.2006 no virus found
Fortinet 2.82.0.0 12.05.2006 VBS/RESULOWS.A
F-Prot 3.16f 12.04.2006 no virus found
F-Prot4 4.2.1.29 12.04.2006 no virus found
Ikarus T3.1.0.26 12.04.2006 no virus found
Kaspersky 4.0.2.24 12.05.2006 Type_Script
McAfee 4910 12.04.2006 VBS/IE-Title
Microsoft 1.1804 12.05.2006 no virus found
NOD32v2 1901 12.05.2006 VBS/Butsur.A
Norman 5.80.02 12.05.2006 no virus found
Panda 9.0.0.4 12.05.2006 W32/SlowMy.A.worm
Prevx1 V2 12.05.2006 no virus found
Sophos 4.12.0 12.04.2006 no virus found
Sunbelt 2.2.907.0 11.30.2006 no virus found
TheHacker 6.0.3.129 12.05.2006 no virus found
UNA 1.83 12.04.2006 VBS.virus
VBA32 3.11.1 12.05.2006 no virus found
VirusBuster 4.3.15:9 12.05.2006 no virus found

Scheint also definitiv was zu sein...nur...wie krieg ich den satan wieder von meiner platte????

Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.

Prüfe Dein System mit Ewido ewido - anti-spyware and anti-malware solutions Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis, aber bitte lösche vorher aus dem Log alles was mit Cookies zu tun hat.

Schalte weiterhin bei Spybot den Teatimer aus.

@Felix: Also vielen Dank erstmal für die Mühen!

Aber: Beide Programme haben nix entdeckt, außer halt cookies. Da hab ich es dann versucht, wie die dame es mir erklärt hatte und siehe da...alles weg...und die platten lassen sich wieder so öffnen!

Aber ab jetzt wird besser aufgepasst...

Hallo Merempf,

habe genau das gleiche Problem, allerdings nur, wenn das Laufwerks Icon (bzw. dessen Verweis) auf dem Desktop liegt.

Desweiteren habe ich eine interessante Parallelle zu Dir festgestellt : Ich war vor wenigen Tagen in Bangkok und dort habe ich mir im Pantip Plaza einen Bluetooth Dongle gekauft. Vielleicht war der Virus / Trojaner ja auf der Treiber CD.

Oder ich habe mir den Virus / Trojaner über meinen USB-Memory Stick eingeschleppt, dem dort fleißig benutzt habe.

Bist Du das Problem mittlerweil los geworden?

Danke für Deine Antwort im voraus.

Moglies