CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede morten_steengaard Novice
21. januar 2005 - 13:16 Der er 3 kommentarer og
1 løsning

calc.exe og packager.exe starter automatisk

Hej.

Jeg synes, min Internet Explorer er blevet lidt langsom. Jeg har kørt en masse af disse adware-away, spy-hunter, spyware-doctor, spy-bot osv.

Jeg har opdaget, at calc.exe og packager.exe skiftes til at dukke op i listen af kørende processer. Lommeregneren er IKKE synlig på skærmen og når jeg dræber processen, dukker den bare op igen på listen - eller også kommer packager.exe i stedet.

Det må være en virus/ad-ware, men hvordan får jeg den væk?

Herunder kan I se loggen fra HijackThis. Det meste genkender jeg (f.eks. Google searchbar).

Jeg ser desværre ikke jeres svar før i næste uge.

Håber, I kan hjælpe mig!

Morten

Logfile of HijackThis v1.99.0
Scan saved at 13:08:40, on 21-01-2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PCD32\client32.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\PC-DUO~1\CLMETERSVC.EXE
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\windows\system32\bnwvbj.exe
C:\WINDOWS\system32\ntvdm.exe
C:\windows\system32\calc.exe
D:\Mortens filer\Diverse\Programmer2\Antivirus\Nye pr. 21 januar 2005\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///L:/_medarbejdermapper/mht/doc/start.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~2\tools\iesdsg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [Client Access Service] "C:\Program Files\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Program Files\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Program Files\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Program Files\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [PC-Duo System Snapshot] C:\PCD32\CLBOOT32.EXE
O4 - HKLM\..\Run: [Enterprise Client Startup] C:\PC-DUO~1\CLBOOT32.EXE
O4 - HKLM\..\Run: [LUGuard] C:\PC-DUO~1\LUGuard.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [CVPND_STOP] C:\WINDOWS\CVPND_ST.EXE
O4 - HKLM\..\Run: [bnwvbj] c:\windows\system32\bnwvbj.exe
O4 - HKLM\..\Run: [SpyHunter] C:\Program Files\Enigma Software Group\SpyHunter\SpyHunter.exe
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFree.exe"
O4 - HKCU\..\Run: [seticlient] C:\Program Files\SETI@home\SETI@home.exe -min
O4 - Startup: Lotus Notes 6.lnk = C:\notes\notes.exe
O4 - Global Startup: BOINC.lnk = C:\Program Files\BOINC\boinc_gui.exe
O4 - Global Startup: Keyboard Express 95.lnk = C:\Program Files\keyexp\KEYEXP.EXE
O4 - Global Startup: Lotus QuickStart.lnk = ?
O4 - Global Startup: Lotus Suitestart.lnk = C:\lotus\smartctr\SUITEST.EXE
O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~2\tools\iesdpb.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = egdk.it-corp.net
O17 - HKLM\Software\..\Telephony: DomainName = egdk.it-corp.net
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = egdk.it-corp.net
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = egdk.it-corp.net
O23 - Service: Client32 - NetSupport Ltd - C:\PCD32\client32.exe
O23 - Service: iSeries Access for Windows Remote Command - IBM Corporation - C:\WINDOWS\CWBRXD.EXE
O23 - Service: LANutil32 Distribution Agent - Vector Networks Limited - C:\PC-DUO~1\CLDISTSVC.EXE
O23 - Service: LANutil32 Software Metering Agent - Vector Networks Limited - C:\PC-DUO~1\CLMETERSVC.EXE
O23 - Service: McAfee Framework Service - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates Task Manager - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: Workstation NetLogon Service - Unknown - C:\WINDOWS\system32\ntta32.exe (file missing)
Avatar billede tonnybrandt Nybegynder
21. januar 2005 - 14:12 #1
Jeg kigger lige på den ..
Avatar billede tonnybrandt Nybegynder
21. januar 2005 - 14:22 #2
Hent denne Kaspersky scanner, den skal du bruge senere.
http://www.spywareinfo.dk/download/mwav.exe - Virusscanner.

Der er delte meninger om hvor god Spyware Doctor er, så det er op til dig om du vil beholde den eller afinstallere den og så til sidst installere et bedre alternativ.

Kør Hijackthis, scan, sæt flueben ved linierne listet her, luk alle vinduer undtaget Hijackthis, klik på fix checked, slet mapper og filer listet nederst.
Dobbelttjek, så alt kommer med.

>> O4 - HKLM\..\Run: [CVPND_STOP] C:\WINDOWS\CVPND_ST.EXE << Kun hvis du ikke selv kender den og ved hvad det er.
O4 - HKLM\..\Run: [bnwvbj] c:\windows\system32\bnwvbj.exe
O23 - Service: Workstation NetLogon Service - Unknown - C:\WINDOWS\system32\ntta32.exe (file missing)

Så skal du genstarte pc'en i fejlsikret tilstand. Klik F8 under opstart.

---------------------------------------
Sletning af filer og mapper:
Åbn en mappe, klik på Funktioner=>Mappeindstillinger=>Vis.
Fjern flueben ved "Skjul beskyttede operativsystemfiler".
Fjern flueben ved "Skjul filtypenavne for kendte filtyper".
Sæt prik i "Vis skjulte filer og mapper".
Brug af Start->Søg.
Klik på "Alle filer og mapper"
Klik på "Avancerede indstillinger"
Sæt flueben i de tre øverste.
-------------------
Mapper:
<ingen>

Filer:
>> C:\WINDOWS\CVPND_ST.EXE << Kun hvis du ikke selv kender den og ved hvad det er.
c:\windows\system32\bnwvbj.exe

---------------------------------------
Så kører du engangsskanneren fra Kaspersky - Aktiver det hele i opsætningen derinde, så den kan skanne alt igennem.
---------------------------------------

Genstart normalt og kom med en ny log til kontrol
Avatar billede morten_steengaard Novice
24. januar 2005 - 10:34 #3
Hej Tonny.

Jeg gjorde, som du skrev. Slettede filerne og kørte Kaspersky. Den fandt et par ad-ware og en toolbar (dll og exe), som jeg slettede.

Filen cvpnd_st.exe slettede jeg også, men den blev oprettet af sig selv igen og den er stadig på listen i Hijackthis. Jeg har prøvet lidt af hvert for at få den væk, men det kan jeg ikke.

Men jeg har ikke længere calc.exe eller packager.exe kørende som proces i baggrunden. Der ligger heller ikke andre processer, som jeg mistænker. Så da jeg ikke aner hvad cvpnd_st.exe er, så har jeg valgt at stoppe her.

Mange tak for hjælpen!

Venlig hilsen

Morten
Avatar billede tonnybrandt Nybegynder
24. januar 2005 - 10:59 #4
Velbekomme og takker for point.

Som du kunne se af proceduren er jeg ikke sikker på hvad den fil er for noget, så det er måske en god ide at stoppe her :)
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Anbefaling af antivirusprogram med firewall Af OnePlusFan i Virus 23 07/05/202421:02 13/05/202419:48
trusler Af gerhardpet i Virus 4 26/01/202410:02 27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus 16 09/01/202416:37 10/01/202419:59
virusscanning Af JetteD i Virus 2 10/11/202312:55 10/11/202316:36
Google ser ud til at være malware, lyder advarsel på alle vore mobiler! Af vbr i Virus 9 30/10/202312:12 15/12/202310:17
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 19:32 Formler der blev væk Af Klaus W i Excel
I går 15:22 Hent array key Af nemlig i PHP
16/0523:46 Er det journalisten Ole Ryborg? Af ErikHg i Fri debat
16/0521:25 find bestemt indehold i et felt Af gylling i Access
16/0518:08 Firefox adresse fra Firefox ned på proceslinjen Af valby i Windows
White papers
Flere white papers »


Premium
Teaser billede
Her er de nye medlemmer af Statens It-råd: Skal vurdere it-projekter på over 15 millioner kroner
Læs mere »
Antallet af anmeldelser af ulovligt indhold på beskedtjenester stiger: Regeringen skubber ansvaret videre til EU og Belgien
Efter masser af kritik af store prisstigninger: VMware åbner for gratis licenser - ændrer i licens-strukturen
Seks store selskaber med på årets image-liste for første gang: Kæmper alle med lav kendskabsgrad
Se alle »
Computerworld
Teaser billede
Nyopdaget sårbarhed rammer næsten alle VPN'er: Gør dem usikre og nærmest ubrugelige
Læs mere »
Om under en uge går det løs: Pc’en bliver aldrig den samme igen
Guide: Sådan surfer du under hackernes radarer – via en VPN-forbindelse
Opdater din browser med det samme: Stor sårbarhed rammer Chrome og en række andre browsere
Se alle »
CIO
Teaser billede
Nu begynder den største GDPR-retssag mod dansk myndighed nogensinde: Står over for million-bøde
Læs mere »
Lukker it-systemerne ned i to uger på grund af implementering: Den bedste måde at sikre, at ingen data går tabt
Sådan har Coop sagt farvel til mainframen - sparer et to-cifret millionbeløb årligt på licenser
Hundredevis af selskaber klager over Microsofts licens-policy: Vi er låst fast og bundet
Se alle »
Job & Karriere
Teaser billede
Her er Danmarks fem bedste CIO’er lige nu: Se de fem nominerede til prisen som Årets CIO 2024
Læs mere »
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Så meget tjener dine kollegaer: Her er alle data fra Computerworlds store it-lønstatistik for 2024
Får du den løn, du fortjener? Få overblikket over hvor meget dine kolleger tjener hver måned
Se alle »
White paper
Teaser billede
Rapport kortlægger de 13 bedste muligheder for at sætte turbo på din cloud computing
Læs mere »
Whitepaper: Komplet sikkerhedsguide til Kubernetes
Det behøver ikke at gøre ondt: Sådan gør du livet lettere for kunder med multicloud
Nemmere overblik, styring og omkostningskontrol i dit multicloud-miljø
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »