Islass.exe? (Gy.exe, nmdfgds0.dll)
Mortarius
Messages postés
1552
Statut
Membre
-
Mortarius Messages postés 1552 Statut Membre -
Mortarius Messages postés 1552 Statut Membre -
Bonjour,
J'ai eu il y a quelques jour un virus, je l'ai vu la premiere fois sous la forme de NMDFGDS0.dll, j'ai chercher sur internet, et il en est resolus que ca viens d'un keygen (n'as pus la boite du jeux). J'ai restorer mon PC a un point anterieure et tout aller bien. (Pour infos, le virus etait un fichier .exe qui creer le .dll, le virus etait principalement pour monter l'usage de mon CPU a 100% mais aussi un keylogger (N'as pus compte wow...)
Seulement la, j'allume mon PC et mon CPU est encore a 100%, apres 3-4 jours. J'ai pu regarder dans le gestionnaire des taches et je vois que c'est Islass.exe qui me prends environ 50% de CPU. Avec les autres trucs, ca montais a 100%.
Mes question sont donc :
Qu'est-ce que Islass.exe? Google ne m'as rien retourner de concret.
Est-ce donc mon virus?
Voir un autre?
Et, la restoration de point de sauvegardes, peut-elle supprimer un virus? Vu que c'est une application, je pense que oui, et ca marchais bien.
Je doit dire que j'ai eu ce virus juste apres avoir telecharger Avast, sur un site quelconque, il m'as notifier le virus et peut-etre est-ce ca qui a enclencher le virus en lui meme...
Je ne sais pas vraiment.
Merci de vos reponses.
(Je suis sur clavier qwerty, pas d'accents possible)
J'ai eu il y a quelques jour un virus, je l'ai vu la premiere fois sous la forme de NMDFGDS0.dll, j'ai chercher sur internet, et il en est resolus que ca viens d'un keygen (n'as pus la boite du jeux). J'ai restorer mon PC a un point anterieure et tout aller bien. (Pour infos, le virus etait un fichier .exe qui creer le .dll, le virus etait principalement pour monter l'usage de mon CPU a 100% mais aussi un keylogger (N'as pus compte wow...)
Seulement la, j'allume mon PC et mon CPU est encore a 100%, apres 3-4 jours. J'ai pu regarder dans le gestionnaire des taches et je vois que c'est Islass.exe qui me prends environ 50% de CPU. Avec les autres trucs, ca montais a 100%.
Mes question sont donc :
Qu'est-ce que Islass.exe? Google ne m'as rien retourner de concret.
Est-ce donc mon virus?
Voir un autre?
Et, la restoration de point de sauvegardes, peut-elle supprimer un virus? Vu que c'est une application, je pense que oui, et ca marchais bien.
Je doit dire que j'ai eu ce virus juste apres avoir telecharger Avast, sur un site quelconque, il m'as notifier le virus et peut-etre est-ce ca qui a enclencher le virus en lui meme...
Je ne sais pas vraiment.
Merci de vos reponses.
(Je suis sur clavier qwerty, pas d'accents possible)
A voir également:
- Islass.exe? (Gy.exe, nmdfgds0.dll)
- Advapi32.dll ccleaner ✓ - Forum Windows
- Logilda dll ✓ - Forum Windows 8 / 8.1
- Cccleaner procédure introuvable dans biblio liens dynamiques - Forum Windows 7
- %Systemroot%\system32\shell32.dll - Forum Windows
- Setdefaultdlldirectories kernel32.dll windows 7 ✓ - Forum Windows 7
2 réponses
Quelques nouvelles.
Ce n'est pas Islass.exe mais
LSASS.exe (on confond parfois ISASS.exe)
Il date celui la.
Tristesobre, reponse numero 7 :
"Le virus n'est pas LSASS.exe !
NE LE SUPPRIMEZ PAS !
Le virus s'appelle sasser.
Voici quelques informations à son sujet
===========================
NOMS ET ALIAS DU VER :
Sasser (Panda Software)
Sasser.A (CA)
Sasser (F-Secure)
W32/Sasser.worm (Mc Afee)
W32/Sasser-A (Sophos)
W32.Sasser.Worm (Symantec)
WORM_SASSER.A (Trend Micro)
Bat.Sasser.a
SYSTEME(S) CONCERNE(S) :
Windows 2000
Windows XP
Windows NT
Windows 2003
1/ INFORMATIONS ET DETAILS :
Sasser est un virus qui se propage via le réseau. Si une machine connectée à Internet n'est pas à jour dans ses correctifs ni protégée par un pare-feu correctement configuré, Sasser l'infecte via le port TCP 445 en utilisant la faille LSASS de Windows : le virus provoque le téléchargement d'un fichier AVSERVE.EXE, Avserve2.exe dans le répertoire Windows via FTP et le port TCP 5554, puis son exécution à distance sans aucune intervention de l'utilisateur.
Une fois l'ordinateur infecté, le virus se copie dans le répertoire Système sous des noms variables ([nombre aléatoire]_up.exe), modifie la base de registres pour s'exécuter à chaque démarrage, puis lance 128 processus simultanés afin de balayer le réseau à la recherche de nouvelles machines vulnérables. L'exploitation de la faille LSASS par le virus rend le système instable, d'où un plantage de LSASS.EXE (et non ISASS.EXE) et un redémarrage automatique du système (message d'erreur : "LSA Shell has encountered a problem and needs to close. We are sorry for the inconvenience").
Sous Windows XP, un message d'erreur s'affiche à l'initiative de Autorite NT\System, puis l'ordinateur redémarre automatiquement après 60 secondes. Si ce délai ne vous laisse pas le temps de télécharger le correctif, il est possible de stopper le compte à rebours et d'annuler le redémarrage automatique en procédant de la manière suivante : cliquez sur le bouton "Démarrer", sélectionnez "Exécuter...", entrez " shutdown -a " puis cliquez "Ok" (cette opération n'est valable que pour Windows XP). Le virus créé enfin un fichier C:\WIN.LOG où il consigne l'adresse IP de la dernière machine infectée ainsi que le nombre total de machines contaminées.
Une propagation massive de Sasser et d'éventuelles variantes pourrait causer des perturbations similaires à celles engendrées par le virus Blaster en août 2003, en rendant notamment difficile voire impossible l'accès à certains sites web. La mise à jour des machines sous Windows NT, 2000, XP et 2003 est donc impérative pour combler la faille LSASS exploitée par le virus, mais aussi par divers outils de piratage à distance actuellement en circulation.
2/ PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus Panda avec le PAV.SIG d'aujourd'hui. En cas de doute, les utilisateurs de Windows NT, 2000, XP et 2003 doivent également mettre à jour leur système avec ces differents patchs : KB 835732 ( https://docs.microsoft.com/en-us/ ) KB 828741 ( https://docs.microsoft.com/en-us/ ) KB 837001 ( https://docs.microsoft.com/en-us/ ) Grace à ces patchs, dix-neuf vulnérabilités dont sept de niveau critique seront corrigées dans divers composants ou services de Windows XP, 2000, NT 4.0 et 2003 (LSASS, LDAP, PCT, Winlogon, Metafile, Help and Support Center, Utility Manager, Windows Management, Local Descriptor Table, H.323, Virtual DOS Machine, Negotiate SSP, SSL et ASN.1 ?Double Free?). Ces vulnérabilités peuvent permettre à une personne malveillante d'exécuter le code de son choix et de prendre le contrôle à distance de l'ordinateur de sa victime ou à un virus de s'exécuter automatiquement à l'insu de l'utilisateur.
3/ DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus afin d'empêcher toute réinfection de l'ordinateur par le virus. Les utilisateurs disposant d'un antivirus peuvent l'utiliser en analyse à la demande si celui-ci est bien à jour.
Des informations supplémentaire seront disponible sur le site web (en Anglais):
https://www.pandasecurity.com/?ref=www.pandasoftware.com/virus_info/encyclopedia/overview.aspx
https://www.pandasecurity.com/?ref=www.pandasoftware.com/virus_info/encyclopedia/overview.aspx
================================
Comme d'habitude avec ces petits virus qui rebootent vot système,
faut connaître l'astuce anti-reboot.
Dès que la fenêtre indiquant que le système va s'arrêter s'affiche, voilci ce que vous devez faire :
- Cliquez sur démarrer. Le menu s'affiche.
- Cliquez sur exécuter
- Tapez 'cmd' et cliquez sur 'OK'. La fenêtre dite 'de commande' s'affiche.
- Tapez l'instruction suivante : shutdown -a
Et voilou, vous pouvez continuer.
Bonne désinfection"
-----------------------------------------------
Parcontre, mon virus GY.exe est bien reelle lol, un autre virus sans doute.
Celui ci est recent, je ne trouve des post que depuis ce mois ci.
Voici mon rapport Hijackthis:
"Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:19:15, on 1/27/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\tsnpstd3.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\V-Gear BEE\VBService.exe
D:\Free Music Zilla\FMZilla.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\vsnpstd3.exe
C:\Program Files\Huawei\HuaWeiDataCard.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
I:\Thomas\THQ\Dawn of War - Soulstorm\Soulstorm.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - Startup: BEE Service.lnk = C:\Program Files\V-Gear BEE\VBService.exe
O4 - Startup: FMZilla.lnk = D:\Free Music Zilla\FMZilla.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D83C75E5-8154-4032-937E-FAB4666AE340}: NameServer = 203.197.12.30 202.54.1.18
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe"
Ce n'est pas Islass.exe mais
LSASS.exe (on confond parfois ISASS.exe)
Il date celui la.
Tristesobre, reponse numero 7 :
"Le virus n'est pas LSASS.exe !
NE LE SUPPRIMEZ PAS !
Le virus s'appelle sasser.
Voici quelques informations à son sujet
===========================
NOMS ET ALIAS DU VER :
Sasser (Panda Software)
Sasser.A (CA)
Sasser (F-Secure)
W32/Sasser.worm (Mc Afee)
W32/Sasser-A (Sophos)
W32.Sasser.Worm (Symantec)
WORM_SASSER.A (Trend Micro)
Bat.Sasser.a
SYSTEME(S) CONCERNE(S) :
Windows 2000
Windows XP
Windows NT
Windows 2003
1/ INFORMATIONS ET DETAILS :
Sasser est un virus qui se propage via le réseau. Si une machine connectée à Internet n'est pas à jour dans ses correctifs ni protégée par un pare-feu correctement configuré, Sasser l'infecte via le port TCP 445 en utilisant la faille LSASS de Windows : le virus provoque le téléchargement d'un fichier AVSERVE.EXE, Avserve2.exe dans le répertoire Windows via FTP et le port TCP 5554, puis son exécution à distance sans aucune intervention de l'utilisateur.
Une fois l'ordinateur infecté, le virus se copie dans le répertoire Système sous des noms variables ([nombre aléatoire]_up.exe), modifie la base de registres pour s'exécuter à chaque démarrage, puis lance 128 processus simultanés afin de balayer le réseau à la recherche de nouvelles machines vulnérables. L'exploitation de la faille LSASS par le virus rend le système instable, d'où un plantage de LSASS.EXE (et non ISASS.EXE) et un redémarrage automatique du système (message d'erreur : "LSA Shell has encountered a problem and needs to close. We are sorry for the inconvenience").
Sous Windows XP, un message d'erreur s'affiche à l'initiative de Autorite NT\System, puis l'ordinateur redémarre automatiquement après 60 secondes. Si ce délai ne vous laisse pas le temps de télécharger le correctif, il est possible de stopper le compte à rebours et d'annuler le redémarrage automatique en procédant de la manière suivante : cliquez sur le bouton "Démarrer", sélectionnez "Exécuter...", entrez " shutdown -a " puis cliquez "Ok" (cette opération n'est valable que pour Windows XP). Le virus créé enfin un fichier C:\WIN.LOG où il consigne l'adresse IP de la dernière machine infectée ainsi que le nombre total de machines contaminées.
Une propagation massive de Sasser et d'éventuelles variantes pourrait causer des perturbations similaires à celles engendrées par le virus Blaster en août 2003, en rendant notamment difficile voire impossible l'accès à certains sites web. La mise à jour des machines sous Windows NT, 2000, XP et 2003 est donc impérative pour combler la faille LSASS exploitée par le virus, mais aussi par divers outils de piratage à distance actuellement en circulation.
2/ PREVENTION :
Les utilisateurs concernés doivent mettre à jour leur antivirus Panda avec le PAV.SIG d'aujourd'hui. En cas de doute, les utilisateurs de Windows NT, 2000, XP et 2003 doivent également mettre à jour leur système avec ces differents patchs : KB 835732 ( https://docs.microsoft.com/en-us/ ) KB 828741 ( https://docs.microsoft.com/en-us/ ) KB 837001 ( https://docs.microsoft.com/en-us/ ) Grace à ces patchs, dix-neuf vulnérabilités dont sept de niveau critique seront corrigées dans divers composants ou services de Windows XP, 2000, NT 4.0 et 2003 (LSASS, LDAP, PCT, Winlogon, Metafile, Help and Support Center, Utility Manager, Windows Management, Local Descriptor Table, H.323, Virtual DOS Machine, Negotiate SSP, SSL et ASN.1 ?Double Free?). Ces vulnérabilités peuvent permettre à une personne malveillante d'exécuter le code de son choix et de prendre le contrôle à distance de l'ordinateur de sa victime ou à un virus de s'exécuter automatiquement à l'insu de l'utilisateur.
3/ DESINFECTION :
Avant de commencer la désinfection, il est impératif de s'assurer avoir appliqué les mesures préventives ci-dessus afin d'empêcher toute réinfection de l'ordinateur par le virus. Les utilisateurs disposant d'un antivirus peuvent l'utiliser en analyse à la demande si celui-ci est bien à jour.
Des informations supplémentaire seront disponible sur le site web (en Anglais):
https://www.pandasecurity.com/?ref=www.pandasoftware.com/virus_info/encyclopedia/overview.aspx
https://www.pandasecurity.com/?ref=www.pandasoftware.com/virus_info/encyclopedia/overview.aspx
================================
Comme d'habitude avec ces petits virus qui rebootent vot système,
faut connaître l'astuce anti-reboot.
Dès que la fenêtre indiquant que le système va s'arrêter s'affiche, voilci ce que vous devez faire :
- Cliquez sur démarrer. Le menu s'affiche.
- Cliquez sur exécuter
- Tapez 'cmd' et cliquez sur 'OK'. La fenêtre dite 'de commande' s'affiche.
- Tapez l'instruction suivante : shutdown -a
Et voilou, vous pouvez continuer.
Bonne désinfection"
-----------------------------------------------
Parcontre, mon virus GY.exe est bien reelle lol, un autre virus sans doute.
Celui ci est recent, je ne trouve des post que depuis ce mois ci.
Voici mon rapport Hijackthis:
"Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:19:15, on 1/27/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\tsnpstd3.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program Files\V-Gear BEE\VBService.exe
D:\Free Music Zilla\FMZilla.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\vsnpstd3.exe
C:\Program Files\Huawei\HuaWeiDataCard.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
I:\Thomas\THQ\Dawn of War - Soulstorm\Soulstorm.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - Startup: BEE Service.lnk = C:\Program Files\V-Gear BEE\VBService.exe
O4 - Startup: FMZilla.lnk = D:\Free Music Zilla\FMZilla.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D83C75E5-8154-4032-937E-FAB4666AE340}: NameServer = 203.197.12.30 202.54.1.18
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe"
