Hello,

I've got a recent problem going with my xp system. At random moments, my computer locks up and I have to reboot. At the time of the initial episode, I had Bit Defender running.

When I try to scan the computer using BD or Spybot S&D, the computer locks up again during the scan. I have tried to scan from Safe Mode and have also downloaded and tried the following:

Kepersky
Avira
Uniblu Registry Booster 2
MalwareBytes
Spybot S&D
ATF Cleaner
AVG Antivirus
Norton Antivirus

ALL of the above, when running in scan mode, lock up the computer. I have tried everything and don't know what else to try. I currently have the AVIRA loaded as my resident antivirus.

Is there anyone out there that can help me resolve this problem? I think it is in my registry, but not sure. The Malwarbytes got a few bad files out as did Avira, but the problem remains.

I appreciate in advance any information that may help me rid my computer of this bug.

Thanks
darren

to start off; if you now have Avira loaded as your resident antivirus program , may one ask how you uninstalled each of the other antivirus programs ,and did you EVER have more than ONE antivirus program installed at any time?

I have had AVG and Avira running simultaneously, otherwise just the Avira. I also have Spybot S&D running as resident along with WinPatrol. Not good?

thanks
darren

Forgot..I removed the previous antivirus via the control panel options for install/uninstalling programs.

you mention Norton? did you use the Norton removal tool on it ?

http://service1.symantec.com/SUPPORT/tsgen...005033108162039

using the control panel add/remove is not sufficient to remove Norton completely

of interest, how far BACK does your system restore go?

if you have more than ONE installed av at any time it it tantamount to having NONE as those that ARE on board will vyw for computer supremicy and NOT search for viruses

Yes, used the Norton removal tool, which rid me of the LiveUpdate business. Norton really is a blimp of a program and overtakes everything.

Point taken with the multiple AV programs. For now it's just one. Not sure if it conflicts with the Uniblue Registry Booster 2 that is loaded.

How can you see how far back the system restore goes? I've had a look around and can't find this info. Sorry for the inexpertise...

thanks

no worries

if it is where it should be.......... go to start/programs/system restore/and open the section; have a nosey and look around rummage in there

this guide on here
http://www.bleepingcomputer.com/tutorials/tutorial56.html

gives you pictures of what you can expect to find

try that rummage?

Thanks ruby1,

I will have a look at the tutorial.

I have found the system restore under the accessories/system utilities menu. It looks like the computer automatically set a restart point every day for the last few months.

I'll read the tutorial and see what I can do. But will resetting the system eliminate malware or trojans?

Many thanks,
darren

it might help you to turn it back to before you had the clutter of programs on it to enable you to do some effective scans; if it will let you roll back,then , when you know exactly what appropriate protection programs you do have on there, you can see how the computer runs, do some basic housekeeping such as a defrag , run some basic scans and see if anything gets flagged up ; you will then still have system restore turned on as your safety net if any scans go wrong

you may ultimately need to turn Restore off to flush any malaware out OF the System restore

but that is not yet

see if it will let you roll back to a known clean and not- too- cluttered- with- extra- programs point?

run chkdsk and a defrag, sometimes the easiest solutions are best. Also do some online av scanning.
http://windowsxp.mvps.org/Scanners.htm

OK, I restored to approxamately one month ago (March 31). This was a time where I am sure there was no problems with the computer as far as lock-ups are concerned, and no excess of AV programs to add to the conflict. Just to add, I defragged the hd once a week, always regularly, before the problems started.

My first attempt to run Bit Defender AV scan after the computer rebooted, you guessed it...locked up.

I have now nullified the system restore, returning back to yesterday's date.

I am trying to understand the method of "turning restore off" to flush out the malware/bad files in the system. If I turn if OFF, then back ON, then I won't have a previous restore point to go to, correct?

Can someone give a little clarification as to the EXACT procedure for doing this so that I can retry to restore to a previous era without doing damage to the system? Not having this experience, I a hesitant to try things myself for lack of knowledge.

Thanks again for your kind help.

dmc

some nasties have a habit of 'sitting ' in the System Restore' section so that, even if you maybe run a scan and appear to be 'clean' , when you reboot the computer the horrid things are back again,

at present we know you do have system restore enabled and working, which is good

as you have previously had avg 7.5 antivirus program on there(?) why not try it again?
suggest remove the Bit defender , reboot and install avgantivirus;
http://www.filehippo.com/download_avg_antivirus/4029/

fully update the definitions, reboot your computer into safe mode and do a full system scan

see if it will let you run a system scan without locking up?

also, may one ask, as you are on XP have you service pack 2 installed and do you have any problems getting updates from the microsoft windows update site?

Hello.. back again,

I downloaded AVG 8.0 with updated definitions, rebooted into Safe Mode and scanned. The AVG program only gave me the option to scan with a command line, which it did automatically. It found a few bad files, namely "fsmgmt.dll" aka Win32/Cryptexe.A and winlogon.exe, described both as "virus". It also found various Adware files and "adware.titanshieldantispyware", lots of that

After scanning it rebooted automatically to Windows standard mode. I looked in the AVG vault for these bad files, but they were not there. Not sure if the reboot was an automatic decision of AVG, or the bug that I have.

I subsequently scanned using AVG in standard mode and the first scan revealed these same viruses, but the computer locked up at about 2 minutes into the scan, so I guess that they have not been cleared from the system. They are not currently in the quarantine folder.

I tried running the AVG scan again, this time the computer rebooted automatically about 10 seconds into the scan. Didn't like that much.

Any ideas??

continued thanks...d

please confirm that at this point in time you only have the ONE antivirus program installed which is the AVG?
I for one am still not convinced you DO have only ONE antivirus program on board; if you DO have more than one you WILL have problems
I linked you to taking on board avg 7.5 so not sure why you chose the newer 8.0 version?

if the computer will let you can you do a scan with superantispyware?


http://www.superantispyware.com/superantis...efreevspro.html

its free exe is http://www.superantispyware.com/downloadfi...ANTISPYWAREFREE you will need to install it, fully update the definitions and reboot the computer ; then run the program with the computer OFF line from the desktop icon and get a full computer scan done; when completed open the program and go to prefernces/statistics,logs ; can you highlight the report you should find and copy and paste it here please for the experts to examine ?

Hi ruby1,

Yes, I only have one antivirus, AVG 8.0. I downloaded it from the page that you linked to. I just assumed that the 8.0 would be better as it is a later (complete) version. Has this somehow compromised the possibility to clean my computer out? Just wondering why 7.5 would be recommended over 8.0...sorry for that error.

I will download Superantispyware and try it...

back in a minute.

thanks,
d

another question: do I need to run Superantispyware in Safe Mode?

Hello again,

I installed Superantispyware and updated defs, rebooted, and scanned.

Scanned ok the Memory, 0 bad files

Scanned the Registry...locked up twice.

Both times the scan ends on: C\windows\current version\internet settings\zonemap\xxxxxxx, where xxxxx is some random website address (note: when i ran SASW a few days ago, the website location was nonexistent). The number of scanned files is the same 6477, but the ending filename (xxxxx) changes. First it was corroiere.it, next antivir2007.com. I have never visited these sites and cannot find these files on my hd.

Needless to say the scan did not finish and I have no report log.

thanks,
d

Hello again,

Tried Panda Active 2.0, McAfee, Onecare.live, Prevxcsi, F-Secure...all lock up and/or reboot the computer during the scan. Only run one program at a time and uninstall afterwards as to not conflict with other AV programs.

I'm at a loss...can someone please help??

Thanks,
dmc

am almost going to suggest you DO do a log for the team to check over to see if anything IS amiss

BUT

have you yet run a disc defragment

from
http://www.bleepingcomputer.com/forums/topic44690.html



????

to state the hopefully obvious this is run OFF line and with nothing else being asked of the computer

Hi,

Yes, I do regulare defrag and cleanups, almost one every two weeks. The recent analysis said that the drive C required NO defragmentation. I did it anyway after a SCANDISK/CHKDISK , all offline with no other programs or AV running.

Still having the same problems, now the computer is rebooting more frequently.

Not sure what a log is or how it's done, but I'm about to give up in despair. I don't know what else to do...

?

thanks,
dmc

http://www.dougknox.com/xp/utils/xp_starttrack.htm

would you run this tool and post a log, maybe we can spot some leftover remnants of an av progam or something else causing a conflict

these chicken or the egg issues are hard to diagnois

Hello and thanks,

here is the log file that is produced by the StartupTrack program. I hope this is what you're asking for...

thanks for any clues...

dmc

-------------------------------------------------------------------
4/28/2008 6:26:18 PM

-- Registry --
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

No Items Found

-- Registry --
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

AdslTaskBar rundll32.exe stmctrl.dll,TaskBar
WinPatrol C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
SunJavaUpdateSched "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
VX3000 C:\WINDOWS\vVX3000.exe
AVG8_TRAY C:\PROGRA~1\AVG\AVG8\avgtray.exe
BDMCon "C:\Programmi\Softwin\BitDefender10\bdmcon.exe" /reg
BDAgent "C:\Programmi\Softwin\BitDefender10\bdagent.exe"

-- Registry --
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

No Items Found

-- Registry --
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

TweakRAM C:\Programmi\TweakRAM\TweakRAM.exe
ctfmon.exe C:\WINDOWS\system32\ctfmon.exe
Skype "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
SpybotSD TeaTimer C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe

-- Registry --
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce

No Items Found

-- Start Menu - Current User --
No Items Found

-- Start Menu - All Users --
gwum.lnk

-- Disabled Items --
dumprep 0 -k
Adobe Gamma Loader.exe
Adobe Gamma Loader
Adobe Reader Speed Launch
Bluetooth Manager
HP Digital Imaging Monitor
QuickBooks Update Agent
Adobe Gamma

-- Registry - Shell Value - HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon --
Explorer.exe

-- Running Processes --
System Idle Process
System
smss.exe \SystemRoot\System32\smss.exe
csrss.exe
winlogon.exe winlogon.exe
services.exe C:\WINDOWS\system32\services.exe
lsass.exe C:\WINDOWS\system32\lsass.exe
ati2evxx.exe C:\WINDOWS\system32\Ati2evxx.exe
svchost.exe C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
svchost.exe C:\WINDOWS\System32\svchost.exe -k netsvcs
ati2evxx.exe Ati2evxx.exe -Client
svchost.exe
svchost.exe
spoolsv.exe C:\WINDOWS\system32\spoolsv.exe
AppleMobileDeviceSer"C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"
avgwdsvc.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
CDAC11BA.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE
explorer.exe C:\WINDOWS\Explorer.EXE
MSCamS32.exe "C:\Programmi\Microsoft LifeCam\MSCamS32.exe"
HPZipm12.exe C:\WINDOWS\system32\HPZipm12.exe
svchost.exe C:\WINDOWS\System32\svchost.exe -k imgsvc
TosBtSrv.exe "C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe"
rundll32.exe "C:\WINDOWS\system32\rundll32.exe" stmctrl.dll,TaskBar
WinPatrol.exe "C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe"
jusched.exe "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
vVX3000.exe "C:\WINDOWS\vVX3000.exe"
avgtray.exe "C:\PROGRA~1\AVG\AVG8\avgtray.exe"
TweakRAM.exe "C:\Programmi\TweakRAM\TweakRAM.exe"
ctfmon.exe "C:\WINDOWS\system32\ctfmon.exe"
Skype.exe "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
gwum.exe "C:\Programmi\Gigabyte\Gigabyte Windows Utility Manager\gwum.exe"
avgrsx.exe avgrsx.exe
skypePM.exe "C:\Programmi\Skype\Plugin Manager\skypePM.exe" /SILENT
alg.exe
wuauclt.exe "C:\WINDOWS\system32\wuauclt.exe"
WINZIP32.EXE "C:\PROGRA~1\WinZip\winzip32.exe" "C:\Documents and Settings\marck\Desktop\StartupTracker3.zip"
wmiprvse.exe
StartupTracker3.exe "C:\DOCUME~1\marck\IMPOST~1\Temp\StartupTracker3.exe"

-- Running Services --

Name: ALG
Description: Fornisce supporto per plug-in di protocolli di terze parti per la Condivisione connessione Internet e Windows Firewall.
Startup Mode: Manual
Run from: C:\WINDOWS\System32\alg.exe

Name: Apple Mobile Device
Description: Provides the interface to Apple mobile devices.
Startup Mode: Auto
Run from: "C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"

Name: Ati HotKey Poller
Description:
Startup Mode: Auto
Run from: C:\WINDOWS\system32\Ati2evxx.exe

Name: AudioSrv
Description: Gestisce periferiche audio per programmi basati su Windows. Se il servizio è stato arrestato, le periferiche audio e gli effetti non funzioneranno correttamente. Se il servizio è disabilitato, i servizi da esso dipendenti non verranno avviati.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: avg8wd
Description:
Startup Mode: Auto
Run from: C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

Name: BITS
Description: Trasferisce file in background sfruttando larghezza di banda inutilizzata. Se il servizio è arrestato, funzionalità come Windows Update e MSN Explorer non sono in grado di scaricare automaticamente programmi e altri dati. Se il servizio viene disabilitato, i servizi da esso esplicitamente dipendenti potrebbero non essere in grado di trasferire file se non dispongono di un meccanismo di autoprotezione per il trasferimento dei file direttamente tramite IE nel caso in cui BITS sia stato disabilitato.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: C-DillaCdaC11BA
Description:
Startup Mode: Auto
Run from: C:\WINDOWS\System32\drivers\CDAC11BA.EXE

Name: CryptSvc
Description: Fornisce tre servizi di gestione: il servizio Database catalogo, che serve per confermare le firme dei file di Windows; il servizio Archivio principale protetto, per aggiungere e rimuovere dal computer i certificati dell'autorità di certificazione delle fonti attendibili; e il servizio Chiave, che aiuta a registrare i certificati nel computer. Se questo servizio è interrotto, i servizi di gestione non funzioneranno in modo corretto. Se il servizio è disabilitato, tutti i servizi che dipendono direttamente da questo non potranno essere avviati.
Startup Mode: Auto
Run from: C:\WINDOWS\system32\svchost.exe -k netsvcs

Name: DcomLaunch
Description: Fornisce funzionalità di avvio per i servizi DCOM.
Startup Mode: Auto
Run from: C:\WINDOWS\system32\svchost -k DcomLaunch

Name: Dhcp
Description: Gestisce la configurazione di rete registrando e aggiornando indirizzi IP e nomi DNS.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: Dnscache
Description: Risolve e salva nella cache nomi DNS per il computer. Se il servizio è stato arrestato, il computer non sarà in grado di risolvere i nomi DNS e di individuare i controller di dominio Active Directory. Se il servizio è stato disabilitato, i servizi esplicitamente dipendenti da esso non verranno avviati.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k NetworkService

Name: ERSvc
Description: Consente la segnalazione di errori per servizi e applicazioni eseguiti in ambienti non standard.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: Eventlog
Description: Abilita i messaggi del registro eventi rilasciati dai programmi di Windows e rende possibile la visualizzazione dei componenti in Visualizzatore eventi. Impossibile interrompere questo servizio.
Startup Mode: Auto
Run from: C:\WINDOWS\system32\services.exe

Name: EventSystem
Description: Supporta il servizio di notifica eventi di sistema (SENS), che implementa la distribuzione automatica degli eventi nei componenti COM che eseguono la sottoscrizione. Se il servizio viene arrestato, il servizio SENS viene chiuso e non è più in grado di inviare notifiche di connessione e disconnessione. Se il servizio viene disattivato, i servizi che dipendono esplicitamente da esso non possono essere avviati.
Startup Mode: Manual
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: FastUserSwitchingCompatibility
Description: Consente la gestione delle applicazioni che richiedono assistenza in un ambiente con più utenti.
Startup Mode: Manual
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: helpsvc
Description: Consente l'esecuzione di Guida in linea e supporto tecnico. Se il servizio è arrestato, Guida in linea e supporto tecnico non è disponibile. Se il servizio è disabilitato, i servizi da esso dipendenti non verranno avviati.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: lanmanserver
Description: Supporta la condivisione in rete di file, stampa e named-pipe per il computer in uso. Se il servizio è stato arrestato, queste funzionalità non saranno disponibili. Se il servizio è stato disabilitato, i servizi esplicitamente dipendenti da esso non verranno avviati.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: lanmanworkstation
Description: Crea e mantiene le connessioni di rete tra client e server remoti. Se il servizio è stato arrestato, le connessioni non saranno disponibili. Se il servizio è stato disabilitato, i servizi esplicitamente dipendenti da esso non verranno avviati.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: LmHosts
Description: Attiva il servizio Supporto NetBIOS su TCP/IP (NetBT) e risoluzione nomi NetBIOS.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k LocalService

Name: MSCamSvc
Description:
Startup Mode: Auto
Run from: "C:\Programmi\Microsoft LifeCam\MSCamS32.exe"

Name: Netman
Description: Gestisce gli oggetti nella cartella Connessioni di rete e telefoniche in cui è possibile visualizzare connessioni di rete locale (LAN) e connessioni remote.
Startup Mode: Manual
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: Nla
Description: Raccoglie e archivia le informazioni relative alla configurazione e al percorso di rete e ne notifica immediatamente le modifiche alle applicazioni.
Startup Mode: Manual
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: PlugPlay
Description: Abilita un computer a riconoscere e adattarsi alle modifiche hardware con il minimo input da parte dell'utente o senza alcun input. Se il servizio viene arrestato o disabilitato, il sistema diventerà instabile.
Startup Mode: Auto
Run from: C:\WINDOWS\system32\services.exe

Name: Pml Driver HPZ12
Description:
Startup Mode: Auto
Run from: C:\WINDOWS\system32\HPZipm12.exe

Name: PolicyAgent
Description: Gestisce la protezione IP e avvia ISAKMP/Oakley (IKE) e il driver di protezione IP.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\lsass.exe

Name: ProtectedStorage
Description: Fornisce l'archiviazione protetta per dati importanti, come chiavi private, per evitare l'accesso di servizi, processi, utenti non autorizzati.
Startup Mode: Auto
Run from: C:\WINDOWS\system32\lsass.exe

Name: RasMan
Description: Crea una connessione di rete.
Startup Mode: Manual
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: RpcSs
Description: Fornisce il mapper dell'endpoint e altri servizi RPC.
Startup Mode: Auto
Run from: C:\WINDOWS\system32\svchost -k rpcss

Name: SamSs
Description: Archivia le informazioni di protezione per gli account utenti locali.
Startup Mode: Auto
Run from: C:\WINDOWS\system32\lsass.exe

Name: Schedule
Description: Abilita l'utente a configurare e pianificare operazioni automatizzate sul computer in uso. Se il servizio è stato arrestato, le operazioni non verranno eseguite secondo gli orari pianificati. Se il servizio è disabilitato, i servizi da esso dipendenti non verranno avviati.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: seclogon
Description: Abilita l'avvio di processi con credenziali alternative. Se il servizio è stato arrestato, questo tipo di accesso non sarà disponibile. Se il servizio è disabilitato, i servizi da esso dipendenti non verranno avviati.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: SENS
Description: Registra eventi di sistema come accessi a Windows, eventi di rete e alimentazione. Notifica questi eventi ai sottoscrittori COM+ Event System.
Startup Mode: Auto
Run from: C:\WINDOWS\system32\svchost.exe -k netsvcs

Name: SharedAccess
Description: Fornisce servizi di conversione indirizzi di rete, indirizzamento e risoluzione nomi e/o servizi di prevenzione intrusione per una rete domestica o una piccola rete aziendale.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: ShellHWDetection
Description:
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: Spooler
Description: Carica i file in memoria per stampare in un secondo momento.
Startup Mode: Auto
Run from: C:\WINDOWS\system32\spoolsv.exe

Name: srservice
Description: Esegue le funzioni di ripristino del sistema. Per interrompere il servizio, disattivare Ripristino configurazione di sistema nella scheda Ripristino configurazione di sistema in Risorse del computer->Proprietà
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: SSDPSRV
Description: Consente di rilevare le periferiche UPnP nella rete domestica.
Startup Mode: Manual
Run from: C:\WINDOWS\System32\svchost.exe -k LocalService

Name: stisvc
Description: Fornisce servizi di acquisizione immagini per scanner e fotocamere.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k imgsvc

Name: TapiSrv
Description: Fornisce supporto API di telefonia (TAPI) per programmi che controllano periferiche di telefonia e connessioni vocali basate su IP sul computer locale e, tramite LAN, su server su cui è in esecuzione il servizio.
Startup Mode: Manual
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: TermService
Description: Consente a più utenti di connettersi in modo interattivo a un computer e la visualizzazione di desktop e applicazioni a computer remoti. Complemento di Desktop remoto (incluso Desktop remoto per amministratori), Cambio rapido utente, Assistenza remota e Terminal Server.
Startup Mode: Manual
Run from: C:\WINDOWS\System32\svchost -k DComLaunch

Name: Themes
Description: Consente la gestione dei temi.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: TOSHIBA Bluetooth Service
Description:
Startup Mode: Auto
Run from: C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

Name: TrkWks
Description: Gestisce collegamenti tra file NTFS in un computer o tra più computer in un dominio di rete.
Startup Mode: Auto
Run from: C:\WINDOWS\system32\svchost.exe -k netsvcs

Name: upnphost
Description: Fornisce supporto per ospitare periferiche Plug and Play universali.
Startup Mode: Manual
Run from: C:\WINDOWS\System32\svchost.exe -k LocalService

Name: W32Time
Description: Assicura la sincronizzazione data e ora su tutti i client e i server della rete. Se il servizio viene interrotto, la sincronizzazione data e ora non sarà disponibile. Se questo servizio è disattivato, non potrà essere avviato alcun servizio che dipende direttamente da esso.

Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: WebClient
Description: Abilita i programmi basati su Windows per creare, accedere e modificare i file basati su Internet. Se il servizio è stato arrestato, queste funzionalità non saranno disponibili. Se il servizio è disabilitato, i servizi da esso dipendenti non verranno avviati.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k LocalService

Name: winmgmt
Description: Fornisce un modello di interfacce e di oggetti comune per accedere alle informazioni di gestione sul sistema operativo, le periferiche, le applicazioni e i servizi. Se il servizio viene interrotto, la maggior parte del software basato su Windows non funzionerà in modo corretto. Se il servizio è disabilitato, i servizi da esso dipendenti non verranno avviati.
Startup Mode: Auto
Run from: C:\WINDOWS\system32\svchost.exe -k netsvcs

Name: wscsvc
Description: Effettua il monitoraggio delle impostazioni e delle configurazioni di protezione del computer.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: wuauserv
Description: Consente il download e l'installazione di aggiornamenti da Windows Update. Se il servizio è disabilitato, il computer non sarà in grado di utilizzare la funzionalità Aggiornamenti automatici né il sito Web Windows Update.
Startup Mode: Auto
Run from: C:\WINDOWS\system32\svchost.exe -k netsvcs

Name: WZCSVC
Description: Fornisce la configurazione automatica per le schede 802.11
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

http://www.bleepingcomputer.com/startups/gwum.exe-1893.html

here's just one example of some optional programs that are running that could be shut down

you have 2 antivirus programs running at the same time, this is a very bad thing!

windows xp needs no ram management programs, it's very good without them, using another program will only cause problems

Thanks for the advice. I rid my computer of the RAM things. They were loaded on the computer from the beginning. Anything to clear out the clutter is good, I guess.

As soon as I deleted these two programs as well as the BitDefender exe files that were running at startup, I rebooted. The computer locked up at the desktop. Subsequent reboot let to four "auto-reboots" and another lockup. I let the computer sit and cool off (as myself) for an hour.

Restarted okay this time. Here is the new log file...anything need reworking? Was the BitDefender the 2nd antivirus program that you were referencing? I think I got it off, but not sure.

thanks for the ongoing advice.

best,
darren

------------------------------------------------------------------------------
-- Registry --
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

No Items Found

-- Registry --
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

AdslTaskBar rundll32.exe stmctrl.dll,TaskBar
WinPatrol C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
SunJavaUpdateSched "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
AVG8_TRAY C:\PROGRA~1\AVG\AVG8\avgtray.exe

-- Registry --
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

No Items Found

-- Registry --
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

ctfmon.exe C:\WINDOWS\system32\ctfmon.exe
Skype "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
SpybotSD TeaTimer C:\Programmi\Spybot - Search & Destroy\TeaTimer.exe

-- Registry --
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce

No Items Found

-- Start Menu - Current User --
No Items Found

-- Start Menu - All Users --
No Items Found

-- Disabled Items --
dumprep 0 -k
Adobe Gamma Loader.exe
Adobe Gamma Loader
Adobe Reader Speed Launch
Bluetooth Manager
HP Digital Imaging Monitor
QuickBooks Update Agent
Adobe Gamma

-- Registry - Shell Value - HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon --
Explorer.exe

-- Running Processes --
System Idle Process
System
smss.exe \SystemRoot\System32\smss.exe
csrss.exe
winlogon.exe winlogon.exe
services.exe C:\WINDOWS\system32\services.exe
lsass.exe C:\WINDOWS\system32\lsass.exe
ati2evxx.exe C:\WINDOWS\system32\Ati2evxx.exe
svchost.exe C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
svchost.exe C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
ati2evxx.exe Ati2evxx.exe -Client
spoolsv.exe C:\WINDOWS\system32\spoolsv.exe
AppleMobileDeviceSer"C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"
avgwdsvc.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
CDAC11BA.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE
MSCamS32.exe "C:\Programmi\Microsoft LifeCam\MSCamS32.exe"
explorer.exe C:\WINDOWS\Explorer.EXE
HPZipm12.exe C:\WINDOWS\system32\HPZipm12.exe
svchost.exe C:\WINDOWS\System32\svchost.exe -k imgsvc
TosBtSrv.exe "C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe"
rundll32.exe "C:\WINDOWS\system32\rundll32.exe" stmctrl.dll,TaskBar
WinPatrol.exe "C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe"
jusched.exe "C:\Programmi\Java\jre1.6.0_03\bin\jusched.exe"
avgtray.exe "C:\PROGRA~1\AVG\AVG8\avgtray.exe"
ctfmon.exe "C:\WINDOWS\system32\ctfmon.exe"
Skype.exe "C:\Programmi\Skype\Phone\Skype.exe" /nosplash /minimized
avgrsx.exe avgrsx.exe
skypePM.exe "C:\Programmi\Skype\Plugin Manager\skypePM.exe" /SILENT
wmiprvse.exe
wuauclt.exe "C:\WINDOWS\system32\wuauclt.exe" /RunStoreAsComServer Local\[35c]SUSDS3703efc6deb4134b93e317bf32e8b189
alg.exe
wuauclt.exe "C:\WINDOWS\system32\wuauclt.exe"
StartupTracker3.exe "C:\DOCUME~1\marck\IMPOST~1\Temp\StartupTracker3.exe"

-- Running Services --

Name: ALG
Description: Fornisce supporto per plug-in di protocolli di terze parti per la Condivisione connessione Internet e Windows Firewall.
Startup Mode: Manual
Run from: C:\WINDOWS\System32\alg.exe

Name: Apple Mobile Device
Description: Provides the interface to Apple mobile devices.
Startup Mode: Auto
Run from: "C:\Programmi\File comuni\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"

Name: Ati HotKey Poller
Description:
Startup Mode: Auto
Run from: C:\WINDOWS\system32\Ati2evxx.exe

Name: AudioSrv
Description: Gestisce periferiche audio per programmi basati su Windows. Se il servizio è stato arrestato, le periferiche audio e gli effetti non funzioneranno correttamente. Se il servizio è disabilitato, i servizi da esso dipendenti non verranno avviati.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: avg8wd
Description:
Startup Mode: Auto
Run from: C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

Name: BITS
Description: Trasferisce file in background sfruttando larghezza di banda inutilizzata. Se il servizio è arrestato, funzionalità come Windows Update e MSN Explorer non sono in grado di scaricare automaticamente programmi e altri dati. Se il servizio viene disabilitato, i servizi da esso esplicitamente dipendenti potrebbero non essere in grado di trasferire file se non dispongono di un meccanismo di autoprotezione per il trasferimento dei file direttamente tramite IE nel caso in cui BITS sia stato disabilitato.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: C-DillaCdaC11BA
Description:
Startup Mode: Auto
Run from: C:\WINDOWS\System32\drivers\CDAC11BA.EXE

Name: CryptSvc
Description: Fornisce tre servizi di gestione: il servizio Database catalogo, che serve per confermare le firme dei file di Windows; il servizio Archivio principale protetto, per aggiungere e rimuovere dal computer i certificati dell'autorità di certificazione delle fonti attendibili; e il servizio Chiave, che aiuta a registrare i certificati nel computer. Se questo servizio è interrotto, i servizi di gestione non funzioneranno in modo corretto. Se il servizio è disabilitato, tutti i servizi che dipendono direttamente da questo non potranno essere avviati.
Startup Mode: Auto
Run from: C:\WINDOWS\system32\svchost.exe -k netsvcs

Name: DcomLaunch
Description: Fornisce funzionalità di avvio per i servizi DCOM.
Startup Mode: Auto
Run from: C:\WINDOWS\system32\svchost -k DcomLaunch

Name: Dhcp
Description: Gestisce la configurazione di rete registrando e aggiornando indirizzi IP e nomi DNS.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: Dnscache
Description: Risolve e salva nella cache nomi DNS per il computer. Se il servizio è stato arrestato, il computer non sarà in grado di risolvere i nomi DNS e di individuare i controller di dominio Active Directory. Se il servizio è stato disabilitato, i servizi esplicitamente dipendenti da esso non verranno avviati.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k NetworkService

Name: ERSvc
Description: Consente la segnalazione di errori per servizi e applicazioni eseguiti in ambienti non standard.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: Eventlog
Description: Abilita i messaggi del registro eventi rilasciati dai programmi di Windows e rende possibile la visualizzazione dei componenti in Visualizzatore eventi. Impossibile interrompere questo servizio.
Startup Mode: Auto
Run from: C:\WINDOWS\system32\services.exe

Name: EventSystem
Description: Supporta il servizio di notifica eventi di sistema (SENS), che implementa la distribuzione automatica degli eventi nei componenti COM che eseguono la sottoscrizione. Se il servizio viene arrestato, il servizio SENS viene chiuso e non è più in grado di inviare notifiche di connessione e disconnessione. Se il servizio viene disattivato, i servizi che dipendono esplicitamente da esso non possono essere avviati.
Startup Mode: Manual
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: FastUserSwitchingCompatibility
Description: Consente la gestione delle applicazioni che richiedono assistenza in un ambiente con più utenti.
Startup Mode: Manual
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: helpsvc
Description: Consente l'esecuzione di Guida in linea e supporto tecnico. Se il servizio è arrestato, Guida in linea e supporto tecnico non è disponibile. Se il servizio è disabilitato, i servizi da esso dipendenti non verranno avviati.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: lanmanserver
Description: Supporta la condivisione in rete di file, stampa e named-pipe per il computer in uso. Se il servizio è stato arrestato, queste funzionalità non saranno disponibili. Se il servizio è stato disabilitato, i servizi esplicitamente dipendenti da esso non verranno avviati.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: lanmanworkstation
Description: Crea e mantiene le connessioni di rete tra client e server remoti. Se il servizio è stato arrestato, le connessioni non saranno disponibili. Se il servizio è stato disabilitato, i servizi esplicitamente dipendenti da esso non verranno avviati.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: LmHosts
Description: Attiva il servizio Supporto NetBIOS su TCP/IP (NetBT) e risoluzione nomi NetBIOS.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k LocalService

Name: MSCamSvc
Description:
Startup Mode: Auto
Run from: "C:\Programmi\Microsoft LifeCam\MSCamS32.exe"

Name: Netman
Description: Gestisce gli oggetti nella cartella Connessioni di rete e telefoniche in cui è possibile visualizzare connessioni di rete locale (LAN) e connessioni remote.
Startup Mode: Manual
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: Nla
Description: Raccoglie e archivia le informazioni relative alla configurazione e al percorso di rete e ne notifica immediatamente le modifiche alle applicazioni.
Startup Mode: Manual
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: PlugPlay
Description: Abilita un computer a riconoscere e adattarsi alle modifiche hardware con il minimo input da parte dell'utente o senza alcun input. Se il servizio viene arrestato o disabilitato, il sistema diventerà instabile.
Startup Mode: Auto
Run from: C:\WINDOWS\system32\services.exe

Name: Pml Driver HPZ12
Description:
Startup Mode: Auto
Run from: C:\WINDOWS\system32\HPZipm12.exe

Name: PolicyAgent
Description: Gestisce la protezione IP e avvia ISAKMP/Oakley (IKE) e il driver di protezione IP.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\lsass.exe

Name: ProtectedStorage
Description: Fornisce l'archiviazione protetta per dati importanti, come chiavi private, per evitare l'accesso di servizi, processi, utenti non autorizzati.
Startup Mode: Auto
Run from: C:\WINDOWS\system32\lsass.exe

Name: RasMan
Description: Crea una connessione di rete.
Startup Mode: Manual
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: RpcSs
Description: Fornisce il mapper dell'endpoint e altri servizi RPC.
Startup Mode: Auto
Run from: C:\WINDOWS\system32\svchost -k rpcss

Name: SamSs
Description: Archivia le informazioni di protezione per gli account utenti locali.
Startup Mode: Auto
Run from: C:\WINDOWS\system32\lsass.exe

Name: Schedule
Description: Abilita l'utente a configurare e pianificare operazioni automatizzate sul computer in uso. Se il servizio è stato arrestato, le operazioni non verranno eseguite secondo gli orari pianificati. Se il servizio è disabilitato, i servizi da esso dipendenti non verranno avviati.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: seclogon
Description: Abilita l'avvio di processi con credenziali alternative. Se il servizio è stato arrestato, questo tipo di accesso non sarà disponibile. Se il servizio è disabilitato, i servizi da esso dipendenti non verranno avviati.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: SENS
Description: Registra eventi di sistema come accessi a Windows, eventi di rete e alimentazione. Notifica questi eventi ai sottoscrittori COM+ Event System.
Startup Mode: Auto
Run from: C:\WINDOWS\system32\svchost.exe -k netsvcs

Name: SharedAccess
Description: Fornisce servizi di conversione indirizzi di rete, indirizzamento e risoluzione nomi e/o servizi di prevenzione intrusione per una rete domestica o una piccola rete aziendale.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: ShellHWDetection
Description:
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: Spooler
Description: Carica i file in memoria per stampare in un secondo momento.
Startup Mode: Auto
Run from: C:\WINDOWS\system32\spoolsv.exe

Name: srservice
Description: Esegue le funzioni di ripristino del sistema. Per interrompere il servizio, disattivare Ripristino configurazione di sistema nella scheda Ripristino configurazione di sistema in Risorse del computer->Proprietà
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: SSDPSRV
Description: Consente di rilevare le periferiche UPnP nella rete domestica.
Startup Mode: Manual
Run from: C:\WINDOWS\System32\svchost.exe -k LocalService

Name: stisvc
Description: Fornisce servizi di acquisizione immagini per scanner e fotocamere.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k imgsvc

Name: TapiSrv
Description: Fornisce supporto API di telefonia (TAPI) per programmi che controllano periferiche di telefonia e connessioni vocali basate su IP sul computer locale e, tramite LAN, su server su cui è in esecuzione il servizio.
Startup Mode: Manual
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: TermService
Description: Consente a più utenti di connettersi in modo interattivo a un computer e la visualizzazione di desktop e applicazioni a computer remoti. Complemento di Desktop remoto (incluso Desktop remoto per amministratori), Cambio rapido utente, Assistenza remota e Terminal Server.
Startup Mode: Manual
Run from: C:\WINDOWS\System32\svchost -k DComLaunch

Name: Themes
Description: Consente la gestione dei temi.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: TOSHIBA Bluetooth Service
Description:
Startup Mode: Auto
Run from: C:\Programmi\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

Name: TrkWks
Description: Gestisce collegamenti tra file NTFS in un computer o tra più computer in un dominio di rete.
Startup Mode: Auto
Run from: C:\WINDOWS\system32\svchost.exe -k netsvcs

Name: W32Time
Description: Assicura la sincronizzazione data e ora su tutti i client e i server della rete. Se il servizio viene interrotto, la sincronizzazione data e ora non sarà disponibile. Se questo servizio è disattivato, non potrà essere avviato alcun servizio che dipende direttamente da esso.

Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: WebClient
Description: Abilita i programmi basati su Windows per creare, accedere e modificare i file basati su Internet. Se il servizio è stato arrestato, queste funzionalità non saranno disponibili. Se il servizio è disabilitato, i servizi da esso dipendenti non verranno avviati.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k LocalService

Name: winmgmt
Description: Fornisce un modello di interfacce e di oggetti comune per accedere alle informazioni di gestione sul sistema operativo, le periferiche, le applicazioni e i servizi. Se il servizio viene interrotto, la maggior parte del software basato su Windows non funzionerà in modo corretto. Se il servizio è disabilitato, i servizi da esso dipendenti non verranno avviati.
Startup Mode: Auto
Run from: C:\WINDOWS\system32\svchost.exe -k netsvcs

Name: wscsvc
Description: Effettua il monitoraggio delle impostazioni e delle configurazioni di protezione del computer.
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

Name: wuauserv
Description: Consente il download e l'installazione di aggiornamenti da Windows Update. Se il servizio è disabilitato, il computer non sarà in grado di utilizzare la funzionalità Aggiornamenti automatici né il sito Web Windows Update.
Startup Mode: Auto
Run from: C:\WINDOWS\system32\svchost.exe -k netsvcs

Name: WZCSVC
Description: Fornisce la configurazione automatica per le schede 802.11
Startup Mode: Auto
Run from: C:\WINDOWS\System32\svchost.exe -k netsvcs

are you sure you have removed the Bit defender av?

can you please fully update , reboot and rerun a full system scan off line and in safe mode with the superantispyware;


also fully update the avg antivirus program; reboot and also run a full system scan

see if they report back as clear?
and, if I noted in the above correctly I think you have the spybot's tea -timer activated?
http://www.safer-networking.org/en/faq/33.html

Hi again,

I DO believe that I've removed BitDefender successfully..do you see something that would indicate otherwise? I can't find any program assosciations but I'm not that familiar with the removal process other than by means of the control panel and startup programs.

I loaded the Superantispyware, updated, and scanned from Safe Mode. It locked up after about 6400 files checked in the Registry. Tried again, same result. The Memory was ok. This (and the other scanners) always lockup when scanning the registry.

Updated AVG, ran from Safe Mode (it scans only in DOS mode when in Safe Mode). It found some adware which I previously wrote about. I am not sure if it puts these in the vault, or what it does with the results. It took about an 1.5 hrs to run, so I didn't see the finished results, but the computer automatically rebooted and was locked up on the desktop. I don't think that this was the typical AVG procedure, but I don't know as I've never finished a complete scan.

The TeaTimer is activated. Should this be turned off. I understand that it is necessary with Spybot S&D. Should I eliminate the whole program from the computer while trying to resolve this.

Off for a stiff drink. thanks for sticking with me...

ciao,
dmc

teatimer should always be disabled when doing a scan and/or fix, even when scanning in safe mode the antimalware program may need to reboot and kill something at load up, if teatimer's trying to load and deny that change all hell breaks loose, I have seen a computer almost totally hosed this way.

spybot is a good program and very usefull, letting teatimer run is optional, teatimer is a powerful tool and like a loaded gun best left alone if you don't know what you are doing

Hmm..good information to have. I've disabled TeaTimer and rebooted. Tried to run SuperAntispyware in Safe Mode.

I just did a registry scan, as this is where things go bad, and they did again...locked up during the scan. I tried to reboot and then Windows did an "autoreboot" about 6 times. I just left the computer off for about 10 minutes.

I have notices that when scanning with Superantispyware, it always blocks up at the same point:

HKLM\SOFTWARE\MICROSOFT\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\XXXXXXX

xxx is some website..sometimes bogus, sometimes real. Some of the web addresses: corroiere.it, avast-downloads.com, antivir2007.com. etc...I hope this may be a clue.

I get the feeling that the computer is slowly dying. It seems that when it starts to act funny, it needs a cooling off period, like 10-15 minutes. Could this be that the system is slowly frying?

thanks again,
d

that sounds like 2 different problems, one I have a lot of experience with, overheating? make sure the inside of the computer is clean, give it lots of cool fresh air, make sure the cpu is adequately cooled

the other problem sounds like a remnant of a malware infection maybe with some registry corruption?

maybe the time has come to get an HJT log checked out?

SOMETHING is happening on there that hopefully an HJT log can 'reveal'

I'm good with that. I read that I need to post it on another list, however.

Is there another team that deciphers these logs? I'll be glad to forward if it puts an end to this misery.

thanks,
dmc

those who have the required 'permissions ' to post in this section on here

http://www.bleepingcomputer.com/forums/forum22.html

are the 'specialist team' ,one of whom will check over the log and tell you IF your problem IS malware related or maybe eliminate THAT factor from the equation


if you wish ; go ahead and post a log IN that section ; if you DO then the mods will , as per forum protocol, lock THIS thread until you are known to be malware free

BUT please do also be aware that you may NOT get a reply for a few days

maybe others will disagree but I think it is, at this point, your best way forward to try to solve this?

this issue was not resolved, it's best to eliminate all other possibilites first

cleaning out the inside of your case was not addressed

I concur with ruby that an expert needs to look at a hjt or dss log and see if they can find something that's been hiding from the tools used here

but they won't fix an overheating computer or a poorly maintained one, that's not what they are trained to do

Hello dmcrisp,

Now that you have posted your HJT log here: http://www.bleepingcomputer.com/forums/topic144552.html you should NOT make further changes to your computer (install/uninstall programs, use special fix tools, delete files, edit the registry, etc) unless advised by a HJT Team member, nor should you continue to ask for help elsewhere. Doing so can result in system changes which may not show in the log you already posted. Further, any modifications you make on your own may cause confusion for the helper assisting you and could complicate the malware removal process which would extend the time it takes to clean your computer.

From this point on the HJT Team should be the only members that you take advice from, until they have verified your log as clean.

Please be patient. It may take a while to get a response because the HJT Team members are EXTREMELY busy working logs posted before yours. They are volunteers who will help you out as soon as possible. Once you have made your post and are waiting, please DO NOT make another reply until it has been responded to by a member of the HJT Team. Generally the staff checks the forum for postings that have 0 replies as this makes it easier for them to identify those who have not been helped. If you post another response there will be 1 reply. A team member, looking for a new log to work may assume another HJT Team member is already assisting you and not open the thread to respond.

If after 5 days you still have received no response, then post a link to your HJT log in the thread titled "Haven't Had A Reply In Five Days?".

To avoid confusion, I am closing this topic. Good luck with your log.

Orange Blossom