MarioForever og dokument folder

... for en go' ordens skyld; stik os/mig en HiJackThis ->
http://www.spywareinfo.dk/index.htm#/manualer/hijackthis.htm

Bemærk at HiJackThis.exe programmet skal gemmes i en dertil oprettet mappe og IKKE køres direkte fra nettet...

PS: Brug denne version af HJT -> http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

Så ka' jeg også se hvad der er i din opstart...

------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:51:13, on 15-12-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmer\Symantec AntiVirus\Smc.exe
C:\Programmer\Fælles filer\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programmer\ge healthcare\automated software update tool client\asutcs.exe
c:\windows\explorer.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\PspContr.Exe
C:\WINDOWS\system32\PowerDesk8\Matrox.PowerDesk.PDeskNet.exe
C:\Programmer\CapaInstaller\Client\Util\JobTrig.exe
C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe
C:\Programmer\Java\jre6\bin\jusched.exe
C:\Programmer\AnVir Task Manager Free\AnVir.exe
C:\Programmer\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nutsrv4.exe
C:\VisiGenic\vbroker\bin\osagent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Symantec AntiVirus\Rtvscan.exe
C:\visigenic\vbroker\bin\oad.exe
C:\Programmer\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\cistub.exe
C:\WINDOWS\System32\ciMeter.exe
C:\Programmer\Symantec AntiVirus\SmcGui.exe
C:\Programmer\NetInst\NiAiServ.exe
C:\WINDOWS\system32\DWRCS.EXE
C:\WINDOWS\system32\DWRCST.exe
C:\Programmer\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\supsyd.REGSJ\Skrivebord\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://intranet.stam.dk
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
F2 - REG:system.ini: Shell=c:\windows\explorer.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\userinit.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmer\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmer\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Zones] C:\WINDOWS\regedit.exe /s C:\WINDOWS\System32\Zones.reg
O4 - HKLM\..\Run: [VC_Reporting] \\svnyf004ripa\server\radmed\vc.exe /iC:\WINDOWS\ClientVC_Centricity_Reporting.ini
O4 - HKLM\..\Run: [VC_PsRepFld_PSWS] \\svnyf004ripa\server\radmed\vc.exe /iC:\WINDOWS\medoravc_PsRepFld_PSWS.ini
O4 - HKLM\..\Run: [VC_PsRepFld_MWS] \\svnyf004ripa\server\radmed\vc.exe /iC:\WINDOWS\medoravc_PsRepFld_MWS.ini
O4 - HKLM\..\Run: [VC_dictation] \\svnyf004ripa\server\radmed\vc.exe /iC:\WINDOWS\ClientVC_Centricity_dictation_ris4.ini
O4 - HKLM\..\Run: [VC_Customer] \\svnyf004ripa\server\radmed\vc.exe /iC:\WINDOWS\ClientVC_Centricity_Customer.ini
O4 - HKLM\..\Run: [VC_Centricity_RIS4] \\svnyf004ripa\server\radmed\vc.exe /iC:\WINDOWS\ClientVC_Centricity_RIS4.ini
O4 - HKLM\..\Run: [VC] \\svnyf004ripa\server\radmed\vc.exe
O4 - HKLM\..\Run: [SyncMode] C:\WINDOWS\regedit.exe /s C:\WINDOWS\System32\SyncMode5.reg
O4 - HKLM\..\Run: [STAMPowerSettings] C:\WINDOWS\System32\wscript.exe //B C:\WINDOWS\System32\SetPowerSettings.cis
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [RISLocalClient] C:\WINDOWS\System32\wscript.exe //B C:\WINDOWS\System32\RISLocalClient.cis
O4 - HKLM\..\Run: [RegSJWorkTempl] C:\WINDOWS\System32\Wscript.exe //B C:\WINDOWS\REGSJWORDSKABEL.cis
O4 - HKLM\..\Run: [RegSJTempl] C:\WINDOWS\Regedit.exe /s C:\WINDOWS\regsj-dots.reg
O4 - HKLM\..\Run: [REGSJNetPrt] C:\WINDOWS\System32\wscript.exe //B C:\WINDOWS\System32\REGSJGlobalPRTConv.cis
O4 - HKLM\..\Run: [PspUsbCf] PspUsbCf.exe
O4 - HKLM\..\Run: [PspContr] PspContr.Exe
O4 - HKLM\..\Run: [Outlook2k7-UserSettings] C:\WINDOWS\regedit.exe /s C:\WINDOWS\System32\Outlook2k7.reg
O4 - HKLM\..\Run: [OPUSIEzone] C:\WINDOWS\regedit.exe /s C:\WINDOWS\System32\OPUSIEzone.reg
O4 - HKLM\..\Run: [NuTCSetupEnviron] C:\NuTCROOT\bin\ncoeenv.exe
O4 - HKLM\..\Run: [MaxAllowedzone] C:\WINDOWS\regedit.exe /s C:\WINDOWS\System32\MaxAllowedZone.reg
O4 - HKLM\..\Run: [Matrox PowerDesk 8] C:\WINDOWS\system32\PowerDesk8\Matrox.PowerDesk.exe /silent
O4 - HKLM\..\Run: [IEPopup] C:\WINDOWS\System32\Regedit.exe /S C:\WINDOWS\System32\IEPopup.reg
O4 - HKLM\..\Run: [DotNETIERights] C:\WINDOWS\regedit.exe /s C:\WINDOWS\System32\DotNETIERights.reg
O4 - HKLM\..\Run: [DisableDesktopItemScan] C:\WINDOWS\regedit.exe /s C:\WINDOWS\System32\DisableDesktopItemScan.reg
O4 - HKLM\..\Run: [DeaktivateBHOIE] C:\WINDOWS\Regedit.exe /S C:\WINDOWS\System32\DeativateAcrobatIE.reg
O4 - HKLM\..\Run: [CapaInstaller Info Center] "C:\Programmer\CapaInstaller\Client\Util\JobTrig.exe" /autostart
O4 - HKLM\..\Run: [ccApp] "C:\Programmer\Fælles filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmer\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] rem C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [AnVir Task Manager Free] "C:\Programmer\AnVir Task Manager Free\AnVir.exe" Minimized
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: SpeechMagic Startup.lnk = C:\Programmer\SpeechMagic\BIN\SmStrtUp.exe
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\Office2k\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Office2k\OFFICE11\REFIEBAR.DLL
O14 - IERESET.INF: START_PAGE_URL= "http://intranet.stam.dk
O14 - IERESET.INF: MS_START_PAGE_URL= "http://intranet.stam.dk
O15 - Trusted Zone: http://*.131.165.178.181
O15 - Trusted Zone: http://*.filadelfia.dk
O15 - Trusted Zone: http://*.ggst.dk
O15 - Trusted Zone: http://*.powerlearn.dk
O15 - Trusted Zone: http://*.ras.ra.dk
O15 - Trusted Zone: http://*.ras_dom.dk
O15 - Trusted Zone: http://*.scandihealth.net
O15 - Trusted Zone: http://medicin.stam.dk
O15 - Trusted Zone: http://medicindemo.stam.dk
O15 - Trusted Zone: http://medicintest.stam.dk
O15 - Trusted Zone: http://*.stam.dk
O15 - Trusted Zone: http://*.sygehus.net
O15 - Trusted Zone: http://*.vsa.dk
O15 - Trusted Zone: http://*.131.165.178.181 (HKLM)
O15 - Trusted Zone: http://*.csc.dk (HKLM)
O15 - Trusted Zone: http://*.filadelfia.dk (HKLM)
O15 - Trusted Zone: http://*.ggst.dk (HKLM)
O15 - Trusted Zone: http://*.powerlearn.dk (HKLM)
O15 - Trusted Zone: http://*.ras.ra.dk (HKLM)
O15 - Trusted Zone: http://*.ras_dom.dk (HKLM)
O15 - Trusted Zone: http://post.regionsjaelland.dk  (HKLM)
O15 - Trusted Zone: http://regsjmedicin.regsj.intern (HKLM)
O15 - Trusted Zone: http://*.scandihealth.net (HKLM)
O15 - Trusted Zone: http://*.srvarh120 (HKLM)
O15 - Trusted Zone: http://*.srvarh121 (HKLM)
O15 - Trusted Zone: http://medicin.stam.dk (HKLM)
O15 - Trusted Zone: http://medicindemo.stam.dk (HKLM)
O15 - Trusted Zone: http://medicintest.stam.dk (HKLM)
O15 - Trusted Zone: http://*.stam.dk (HKLM)
O15 - Trusted Zone: http://*.sygehus.net (HKLM)
O15 - Trusted Zone: http://*.vsa.dk (HKLM)
O15 - Trusted IP range: http://10.239.72.23
O15 - Trusted IP range: http://10.239.72.23 (HKLM)
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {541AEDD4-20E8-4E6F-B12B-0FDD38BB712F} (Centricity Web ViewApp Control 3.0 SPa02) - http://10.239.72.23/amI/install/amiviewer.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1190849525828
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1190851702843
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=26688
O16 - DPF: {A8B3A7FE-9C8D-4F15-9B01-8805BDF43B1B} (AMI Pictorial Control CWeb 2.1 SPa06) - http://10.239.72.23/amI/install/amiviewer.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = regsj.intern
O17 - HKLM\Software\..\Telephony: DomainName = regsj.intern
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = regsj.intern
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = regsj.intern
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = regsj.intern
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: Domain = regsj.intern
O17 - HKLM\System\CS5\Services\Tcpip\Parameters: Domain = regsj.intern
O17 - HKLM\System\CS6\Services\Tcpip\Parameters: Domain = regsj.intern
O17 - HKLM\System\CS7\Services\Tcpip\Parameters: Domain = regsj.intern
O20 - AppInit_DLLs: C:\PROGRA~1\NetInst\NiAMH.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: ASUTService -  - c:\programmer\ge healthcare\automated software update tool client\asutcs.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmer\Fælles filer\Symantec Shared\ccSvcHst.exe
O23 - Service: CapaInstaller Metering Service (ciMeter) - CapaSystems A/S - C:\WINDOWS\System32\ciMeter.exe
O23 - Service: CapaInstaller Agent Service (cistub) - CapaSystems A/S - C:\WINDOWS\system32\cistub.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\system32\DWRCS.EXE
O23 - Service: Medivisor Agent Services (EdenAgentServices) - DameWare - (no file)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmer\Java\jre6\bin\jqs.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NetOp Helper ver. 9.00 (2007250) (NetOp Host for NT Service) - Danware Data A/S - C:\NetOp\HOST\NHOSTSVC.EXE
O23 - Service: NetInstall Service (NIAIServ) - NetSupport GmbH - C:\Programmer\NetInst\NiAiServ.exe
O23 - Service: NetInstall Executive (NiExServ) - NetSupport GmbH - C:\Programmer\NetInst\NiExServ.exe
O23 - Service: NuTCRACKER Service (NuTCRACKERService) - DataFocus, Inc. - C:\WINDOWS\system32\nutsrv4.exe
O23 - Service: OracleHOME92CLIClientCache - Unknown owner - C:\oracle\ora92cli\BIN\ONRSD.EXE
O23 - Service: VisiBroker Smart Agent (osagent) - Unknown owner - C:\VisiGenic\vbroker\bin\osagent.exe
O23 - Service: Symantec Management Client (SmcService) - Symantec Corporation - C:\Programmer\Symantec AntiVirus\Smc.exe
O23 - Service: Symantec Network Access Control (SNAC) - Symantec Corporation - C:\Programmer\Symantec AntiVirus\SNAC.EXE
O23 - Service: Symantec Endpoint Protection (Symantec AntiVirus) - Symantec Corporation - C:\Programmer\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Visibroker OAD - Unknown owner - C:\visigenic\vbroker\bin\oad.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programmer\RealVNC\VNC4\WinVNC4.exe

--
End of file - 11581 bytes



Håber det kan hjælpe dig

Jeg synes du skal lade RegionSjælland's IT-afdelning ta' sig af den sag!!!

Hent Malwarebytes Anti-Malware herfra:
http://www.besttechie.net/tools/mbam-setup.exe
Eller herfra ->
http://www.majorgeeks.com/Malwarebytes_Anti-Malware_d5756.html

Installer programmet - når det er gjort skal du lade programmet opdatere sig. Herefter åbner et vindue, hvor du skal flytte prikken til "Kør et fuldstændigt systemscan" - klik på Skan Knappen - lad programmet arbejde. Når det er færdig (det tager lidt tid afhængig af hvor meget du har på computeren).
Derefter - Tryk på "Vis resultater" knappen efter scanningen - og herefter tryk på "Fjern det valgte" - nu åbnes log'en og du skal gemme den et sted, hvor du kan finde den igen.
Kopier indholdet herind.

***Husk opdatering og at fjerne det den finder***

karise - dette er ikke spywarefri.
Tror manden syntes det er flovt nok - han bliver jo gjort til grin hvis han henvender sig til IT afdelingen :)

((Jeg er arbejdsmæsigt indenfor RegionSjælland's IT-afdelning - og vi _har_ spottet den. Og mange andre...))

Og [Malwarebytes] fanger den ikke ordentligt!

Karise_Larry hvem er du?? siden du siger du er inden for Regionens IT, hvilken afdeling tilhører du??

Og Ja den er spottet, og selve MarioForever virus/Spyware er fjernet, meeeen nu kæmper vi med at finde ud af hvordan man fjerner den dokument mappe opstart

Hej Skjødt!!!

Sonni her!!!

Er jo lidt svært at lade IT tage sig af den her fejl, når det er IT der spørger.....griner......vi prøver at undgå at skulle re-installerer nogle special maskiner

http://www.hijackfree.com/en/

Tjek med dette om der ligger noget i start punkterne der ikke skal være der.

Disse skal 'fixes' med hiJackThis ->

F2 - REG:system.ini: Shell=c:\windows\explorer.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\userinit.exe,

Desuden mener jeg ikke at disse er med som 'standard' ->
O20 - Winlogon Notify: !SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O4 - HKCU\..\Run: [AnVir Task Manager Free] "C:\Programmer\AnVir Task Manager Free\AnVir.exe" Minimized

... sammenlig evt. med en 'ren' RegSj PC ... mht ovenstående linier...

(NB: I dette Forum holder jeg mig til navnet <karise_larry> ... *S*)

((Hvad endte denne tråd med?))