ani.exe im Sys.start (deswegen vllt. die Routerabstürze ?)

#1 Hallöchen

Ich habe seit ein paar Tagen eine komische Datei namens ani.exe 2x ( simultan) im Taskmanager laufen, bei HiJackThis steht dahinter die Bezeichnung [hi there], somit schliesse ich eigentlich auf einen Virus.

Allerdings erkennen Spybot S&D, Panda Titanium Internet Security 8 usw. nichts.

Bis jetzt habe ich nirgends was zu der Datei gefunden.

P.s.: Kann die Datei vllt. meine Router-Abstürze ( Netgear RP614 / Abstürze ca. 2-3 x am Tag ) verursachen ?!

Danke im Vorraus

climaxx

#2 http://board.protecus.de/t9391.htm
Lade das HijackThis
scanne, save, und kopiere das Log ins Forum.

#Hast du dieses Tool ?
Super Icon Library (SuperICL)

#Lade die mwav.exe...30 Tage free und scanne , aber vorher die ani.exe 2x im Taskmanager deaktivieren
http://www.mwti.net/antivirus/free_utilities.asp

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Habe soeben beim öffnen des Logs gemerkt, dass mein Editor zerstört ist: Es öffnet sich nurnoch ein MS-DOS Anwendungsfenster und schliesst sich anschliessend nach ca. 5sek wieder ...

zur ani.exe: läuft komischerweise seit pc boot heute morgen nicht mehr mit ?!
komisch komisch ...

Logfile of HijackThis v1.97.7
Scan saved at 20.02, on 20.6.04
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Driver\Mouse\razertra.exe
C:\Driver\Sound\Surround Mixer\CTSysVol.exe
C:\Driver\Sound\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\w32sup.exe
E:\Programs\Security\Panda Platinum 7\APVXDWIN.EXE
C:\WINDOWS\System32\rmctrl.exe
E:\Programs\Online\Uptime\client.exe
C:\WINDOWS\System32\nvsvc32.exe
E:\Programs\Security\Panda Platinum 7\Firewall\PavFires.exe
E:\Programs\Security\Panda Platinum 7\pavsrv51.exe
E:\Programs\Security\Panda Platinum 7\AVENGINE.EXE
E:\Programs\Security\Panda Platinum 7\pavProxy.exe
C:\Programme\Internet Explorer\Avant Browser\iexplore.exe
E:\Programs\Online\NNScript\mirc.exe
E:\Downloads\Programs - Full & Trials\HijackThis.exe
E:\Downloads\Programs - Full & Trials\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://Cra*hier nicht!*.net/ie/sbar.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://Cra*hier nicht!*.net/ie/assist.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programs\Windows\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\Programs\Security\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [razertra] C:\Driver\Mouse\razertra.exe
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [hi there] ani.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Driver\Sound\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Driver\Sound\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [w32sup] C:\WINDOWS\System32\w32sup.exe
O4 - HKLM\..\Run: [SCANINICIO] "E:\Programs\Security\Panda Platinum 7\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "E:\Programs\Security\Panda Platinum 7\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\System32\rmctrl.exe
O4 - HKLM\..\RunServices: [hi there] ani.exe
O4 - HKCU\..\Run: [hi there] ani.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Uptime-Project] E:\Programs\Online\Uptime\client.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Internet Explorer\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Hervorheben - C:\Programme\Internet Explorer\Avant Browser\Highlight.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\Programs\Office\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Suchen - C:\Programme\Internet Explorer\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Internet Explorer\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Internet Explorer\Avant Browser\OpenAllLinks.htm
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O9 - Extra button: Search Cra*hier nicht!* at Cra*hier nicht!*.NET (HKCU)
O9 - Extra 'Tools' menuitem: Search Cra*hier nicht!* at Cra*hier nicht!*.NET (HKCU)
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O16 - DPF: {10954C80-4F0F-11D3-B17C-00C0DFE39736} - http://Cra*hier nicht!*.net/Cra*hier nicht!*.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

# SuperICL hab ich nicht drauf

# mwav hat insgesamt 7 Viren gefunden & gefixt, 5 Errors gehabt, ansonsten nichts weiter

#4 es ist noch da

fixe bitte mit dem HijackThis
O4 - HKLM\..\Run: [hi there] ani.exe
O4 - HKLM\..\Run: [w32sup] C:\WINDOWS\System32\w32sup.exe
O4 - HKLM\..\RunServices: [hi there] ani.exe
O4 - HKCU\..\Run: [hi there] ani.exe

neustarten

gehe in den abgesicherten Modus...F8 beim Hochfahren druecken

Start\Ausfuehren\regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
ani.exe ...loeschen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
w32sup loeschen
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
[hi there] ani.exe ...loeschen

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[hi there] ani.exe....loeschen

loesche nun
C:\WINDOWS\System32\w32sup.exe
C:\WINDOWS\System32\ani.exe

Mache noch einen Scann mit mwav.exe im abgesicherten Modus

normal neustarten

Poste das Log noch einmal.
MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit