Nach Hochfahren klickt Cursor mehrfach Symbole an... Virus? Trojaner?

[tony.tits]

Hallo zusammen,

Zuallererst einmal Entschuldigung für die hanebüchene Beschreibung meines Problems im Titel. Um das Ganze hoffentlich verständlicher zu machen, versuche ich es nochmal genau zu beschreiben:

Gestern abend habe ich nach Homepages mit Listen von Internetseiten gesucht, die man auf der PSP (oder ähnlichen Mobilgeräten) gut darstellen kann, also eigentlich nichts Schlimmes.
Ich meine, ich war auf einer Blogseite, wo mir auffiel, dass weiter unten haufenweise Medizinwerbung (das Übliche, Viagra, Xanax etc.) gemacht wurde. Das kam mir ein wenig Spanisch vor.
Dann hat sich auch schon Firefox geschlossen.
Daraufhin wurde alles, was sich z.B. im Startmenü befindet angeklickt, wenn ich mit dem Cursor drüberkam, und das mehrfach (als ob der Cursor in hoher Geschwindigkeit selbst klicken würde).
Und das macht es jetzt nach jedem Hochfahren. Wenn ich den Taskmanager kurz anmache und wieder schließe ist das Problem behoben.

Ich habe das System wiederhergestellt und mehrfach AntiVir neuinstalliert und scannen lassen, aber er findet nichts.

Vielen Dank im Voraus.

 

[ScoutX]

Er findet wohl deshalb nichts, weil es wohlmöglich kein Virus ist.
Die Hoverfunktion kann in der Registry so umgeschrieben werden, dass kein Mausklick zum Öffnen von Programmen benutzt werden muss oder ein Script ist im Autostart verankert, der die Hoverfunktion aktiviert, siehe hier:
http://www.autohotkey.com/forum/topic22763.html&sid=0997dc880ed3ce071071ec361db809a2

Die könntest Dir den Prozessexplorer (Freeware) runterladen und damit nachprüpfen, welche Programme geladen sind. Auch Autostarteinträge sollten (z.B mit Spybot oder besser Hijackthis) überprüpft werden.
Das Hijackthis Protokoll ist in solchen Dingen sehr aufschlußreich.
Vom Zeitaufwand könnte eine Neuinstalltion aber schneller ablaufen.

 

[tony.tits]

Vielen Dank erstmal für die schnelle Antwort. In der Hoffnung, mir eine Neuinstallation zu ersparen, hier erstmal das Log file von Highjackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:22:13, on 06.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Conceptronic Conceptronic 54Mbps Wireless Utility] C:\Programme\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Canpimgr - Unknown owner - (no file)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing)

--
End of file - 5817 bytes

------------------------------------------------

Bei AnalyzeThis wird folgende Datei als äußerst schödlich eingestuft:

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe (file missing)

Wie werde ich die los? einfach suchen und löschen?

 

[olympiakos]

Lade mal die nvsvcd.exe auf Virustotal hoch, soll ein Trojaner sein

 

[ScoutX]

Erstens zur Schädlichkeit: http://www.file.net/prozess/nvsvcd.exe.html
Nicht alles ist schädlich, dahinter wie auch bei fast jeder anderen Systemdatei kann ein getarnter Virus stecken. Muss aber nicht.
Zweitens zeigt der Hijackthislog --> file missing. Dies wird wahrscheinlich ein Bug sein, siehe hier zweiter Post: http://forum.hijackthis.de/showthread.php?t=16093

Außer Canpimgr sehe ich keine Schädlinge. Ich weiß aber auch nicht, was ein Canpi Manager sein soll. Der Extra Button Eintrag unter Java ist leicht verdächtig. Ich habe es nicht.
Ich kann dir aber dazu nur sagen, dass dein Java nicht aktuell ist; am besten vollständig deinstallieren und das Update 6 installieren. Dieses könnte vielleicht Abhilfe schaffen. Außerdem auf Adobe 8 wechseln --> Adobe 7 war sehr fehlerverseucht.

 

[olympiakos]

Also aus eigener Erfahrung achte ich nie auf das (file missing), denn die Dateien hinter den missing waren immer auch vorhanden.

Ich weiß nicht was das (file missing) zu bedeuten hat, normalerweise würde man denken die Datei wird vermisst, wird sie das?

 

[ScoutX]

Siehe mein Link, z.T. ein Bug. Hijackthis ist nun nicht das gepflegteste Stück Software, obwohl es millionenfach benutzt wird.

 

[tony.tits]

Also, ich habe das Java Runtime Environment gelöscht und die aktuellste Version installiert. Vorerst scheint es keine Probleme gegeben zu haben und alles verhält sich normal. Die nvsvcd.exe hab ich nicht gefunden, scheint wirklich nicht zu existieren.
Ich beobachte das ganze erstmal.

Und vielen vielen Dank für die vielen schnellen Antworten!

 

[olympiakos]

Laut Hijackthis, da Schädlinge "entkommen" könnten, muss man die Hijackthis.exe in HJT1991.exe umbenennen und unter einen selbst erstellten Ordner mit den Namen "Hijackthis" unter Programme kopieren.

 

[tony.tits]

Das ist bei der Version, die ich von CHIP runtergeladen hab von allein gemacht worden.