PC van een vriendin doet heel vreemd - Windows clients

zaterdag 12 augustus 2006 16:30

Acties:

Verwijderd

Topicstarter

Ik heb een probleem waar ik niet uit kom. Gisteren heb ik een PC van wat spyware berooft en een hardnekkige foutmelding verschijnt na ongeveer een kwartier.

Je zet de PC aan, dingetje start keurig op. Na ongeveer 5 minuten is taskmanager niet meer te openen en nog 10 minuten later kun je niets meer met het apparaat:

"Er zijn onvoldoende systeembronnen beschikbaar om aan de aanvraag te kunnen voldoen"

verschijnt bij elk programma dat je wilt openen. Ik heb al gekeken met Hijackthis en Adaware. Beide vonden niets na mijn opruiming. Ik heb Magic Waterfals screensaver eraf weten te slopen.

Ik heb écht alles geprobeert, maar het apparaat verrekt het om mee te werken in welke vorm dan ook. Deze klacht had ze ook vóór de opruiming. Het moeilijke is dat ze zelf niet gelooft dat het spyware kan zijn terwijl ik denk dat ze op de een of andere manier een dikke rootkit te pakken heeft.

Er is ook een extra netwerkverbinding aangemaakt naar een of andere duistere provider. Zelfs in veilige modus krijg ik die niet weg.

Windows opnieuw installeren is even geen optie omdat zij een Nederlandse versie gebruikt die al op de computer stond bij aanschaf. Er is geen installatieCD voor handen en ik heb de engelse versie waar ze niets mee kan.

Vrouwtje in paniek, kan haar werk niet meer doen en heeft al gebeld naar een technisch bedrijf. Echter kost zo'n bedrijfje klauwen vol met geld en hoop ik dat we er zo uitkomen. Zoeken op Google leverde niets nuttigs en relevants op.

Het betreft Windows XP nl prof.

zaterdag 12 augustus 2006 16:35

Acties:

Satch

Als je een legale windows key hebt (zit vaak een stikker op de kast geplakt) kan je ook met een andere cd installeren. Dit is echt verreweg het makkelijkste. Dit soort problemen krijg je namelijk vrijwel nooit helemaal weg. Zorg wel dat je eerst belangrijke dingen backupt.

Vaak zit er ook wel een recovery cd bij de computer zelf ipv een xp cd.

edit: het is ook verstandig dit programma te gebruiken: meuktracker: Crap Cleaner 1.32.345

[ Voor 15% gewijzigd door Satch op 12-08-2006 16:37 ]

zaterdag 12 augustus 2006 16:35

Acties:

DEVoTi0N

Volgensmij krijg je je die melding, wanneer er geen geheugen meer beschikbaar is. Kijk anders eens in task manager hoe het zit met geheugen gebruik, en of er een of ander programmaatje heel erg geheugen aan het snoepen is.

zaterdag 12 augustus 2006 16:35

Acties:

Verwijderd

Post het hijackthis log dan eens.

zaterdag 12 augustus 2006 16:38

Acties:

Resistor

Niet meggeren!

Stap 1 is altijd de netwerkkabel er uit trekken voor het opstarten.
Dan kan je vanaf een cd alle programma's draaien die je wilt draaien om de boel op te ruimen zonder dat er nieuwe zooi bij komt via de netwerkkabel.

Mede omdat je zegt dat er een onbekende verbinding is.

Kan je niet Googlen op de naam van die verbinding? iets zegt mij dat je vriendin niet de enige is met die verbinding

[ Voor 29% gewijzigd door Resistor op 12-08-2006 16:40 ]

What will end humanity? Artificial intelligence or natural stupidity?

zaterdag 12 augustus 2006 16:40

Acties:

roelio

fruitig, en fris.

Ga eens met Taakbeheer het geheugen en CPU gebruik bekijken

Zou kunnen dat er een programma is wat abnormaal veel geheugen claimt bijvoorbeeld.

Verder is een Hijackthis log idd wel ff interessant.

Wat betreft die netwerkverbinding, wat gebeurt er als je die wilt verwijdere? Aan welke netwerkkaart of apparaat is die verbinding verbonden? Kun je onderdelen van die verbinding wegmikken via Apparaatbeheer?

AMD Phenom II X4 // 8 GB DDR2 // SAMSUNG 830 SSD // 840 EVO SSD // Daar is Sinterklaas alweer!!

zaterdag 12 augustus 2006 16:49

Acties:

rp87

wat geeft hij aan als je de taskmanager wil openen?
iets als: taskmanager has been disabled by your administrator.

ik denk namelijk dat ik op mijn pc ongeveer hetzelfde probleem heb, alleen krijg ik geen error dat er onvoldoende geheugen is maar hij wordt wel traag als hij een tijdje aanstaat (geheugen verbruik is dan erg hoog)

eerst kon ik nog het geheugen gebruik en cpu gebruik zien in de taskmanager (na het eerst weer aangezet te hebben bij gpedit) maar nu zie ik dat zelfs ook al niet meer.

voor mij blijft er maar 1 optie over denk ik: windows overnieuw instaleren.

zaterdag 12 augustus 2006 16:53

Acties:

DataGhost

iPL dev

Kijk in taakbeheer ook eens naar VM size (zo heet het in het engels iig, view -> select columns -> Virtual Memory Size). Vaak zit daar een proces mij wat abnormaal veel geheugen claimt als de normale memory usage niet optelt naar je commit charge. Je zou ook kunnen proberen Process Explorer van sysinternals te gebruiken. Verder zou het ook nog kunnen dat er een evt. rootkit verborgen zit? Luistert ze toevallig muziek via de pc en heeft ze Sony cd's?

(verder ken ik geen rootkits voor windows)
Komt je commit charge uberhaupt wel boven het interne geheugen uit, en heb je genoeg swap-ruimte? (dwz 2x je interne geheugen ongeveer als swapfile)
Oh, en zorg dat je de processen kan zien van alle gebruikers

Log trouwens ook eens in als Administrator als je dat nog niet gedaan hebt, misschien heb je anders geen rechten om eea te bekijken. Als je hem niet ziet op het welkomstscherm kan je 2x ctrl+alt+del doen om het in te typen, als je geen welkomstscherm hebt moet je bij het opstarten (van de GUI, niet van het booten van windows

) ctrl, shift of alt (vergeten

) ingedrukt houden om een inlogscherm te krijgen.

limoentje schreef op zaterdag 12 augustus 2006 @ 17:16:
Btw als je een rootkit verdenkt:
http://www.sysinternals.com/Utilities/RootkitRevealer.html

hmja, dat was ik nog vergeten, maar die duurt zo lang

daarom waarschijnlijk

[ Voor 37% gewijzigd door DataGhost op 12-08-2006 17:17 ]

zaterdag 12 augustus 2006 17:16

Acties:

roelio

fruitig, en fris.

Btw als je een rootkit verdenkt:
http://www.sysinternals.com/Utilities/RootkitRevealer.html

AMD Phenom II X4 // 8 GB DDR2 // SAMSUNG 830 SSD // 840 EVO SSD // Daar is Sinterklaas alweer!!

zaterdag 12 augustus 2006 19:36

Acties:

Verwijderd

Topicstarter

DataGhost schreef op zaterdag 12 augustus 2006 @ 16:53:
Kijk in taakbeheer ook eens naar VM size (zo heet het in het engels iig, view -> select columns -> Virtual Memory Size). Vaak zit daar een proces mij wat abnormaal veel geheugen claimt als de normale memory usage niet optelt naar je commit charge. Je zou ook kunnen proberen Process Explorer van sysinternals te gebruiken. Verder zou het ook nog kunnen dat er een evt. rootkit verborgen zit? Luistert ze toevallig muziek via de pc en heeft ze Sony cd's? (verder ken ik geen rootkits voor windows)
Komt je commit charge uberhaupt wel boven het interne geheugen uit, en heb je genoeg swap-ruimte? (dwz 2x je interne geheugen ongeveer als swapfile)
Oh, en zorg dat je de processen kan zien van alle gebruikers Log trouwens ook eens in als Administrator als je dat nog niet gedaan hebt, misschien heb je anders geen rechten om eea te bekijken. Als je hem niet ziet op het welkomstscherm kan je 2x ctrl+alt+del doen om het in te typen, als je geen welkomstscherm hebt moet je bij het opstarten (van de GUI, niet van het booten van windows ) ctrl, shift of alt (vergeten ) ingedrukt houden om een inlogscherm te krijgen.

[...]

hmja, dat was ik nog vergeten, maar die duurt zo lang daarom waarschijnlijk

Ik ga eens aan de slag. Als admin had ik al geprobeert. Gewoon, taakbeheer gaat niet open bij het aanroepen. ook niet met Ctrl-Alt-Del.

Ik ga er zodra ik er weer kom even Ewido erop los laten.

In veilige modi is er niets aan de hand. Ik kon me ook herrinneren dat ze laatst geen rechten had om Adode reader te installeren. Ze heeft gewoon FAT32 en geen weerbartsige NTFS. Was dat maar waar dan was het zo opgelost.
RootkitRevealer ken ik en die gaat er ook overheen. In de hijackthislog zat géén spyware. Alles is nagelopen in zowel veilige als real modi. Ik wil die log rustig neerzetten als zij er weer is, maar ik zoek het dieper.

Zoals zij met de PC omgaat kan er eigenlijk niets gebeuren. Ik zag tot mijn grote schrik dat SP2 er nog niet opstond, maar de firewall was wel aan. Haar antivirus is ook up to date (AVG).

Ze gaat een paar dagen weg. Daarna zet ik mijn tanden er weer in als dat bedrijf nog niet is geweest want ze heeft uit wanhoop al een afspraak geritselt.

Zolang ik geen NL versie van XP heb en zij het origineel niet heeft kan ik weinig doen. Alle acties om spyware te doden heb ik gedaan, maar het hielp niet. Ze kan 10-15 minuten computeren en dan moet ze gewoon resetten. Trek de stekker er maar gewoon uit en stop hem er weer in.

Ik snap het niet want mijn systeem is al vele jaren vrij van spyware, rootkits en virussen. Ik weet ze gewoon buiten te houden, maar wat heeft zij aan mijn firewall die je talloze vragen gaat stellen (een soort UAC in Vista). Daar zal ze geen barst van snappen en gewoon op ja blijven drukken zodat die firewall zijn doel ook voorbij schiet.

Als ik taskmanager hier aanroep vloept ie meteen op het scherm. Net nog gedaan. Dus dat moet gewoon zonder uitzondering. De eerste 5 minuten lukt dat ook bij haar!
*Gaat zich verdiepen in rootkits, want zij vormen ook stilaan een dreiging als ik de waarschuwingsdienst mag geloven.

PS: Omdat in veilige modi met netwerkondersteuning het apparaat perfect functioneerd zoek ik het niet in een corrupte installatie. Zij installeerd nooit iets en die Windows zal traag vervuilen. Ze heeft het apparaat pas een jaar en het wordt door mij af en toe schoongemaakt met Ccleaner.

Request: Er is géén geheugen tekort. Pagefile wordt door het systeem beheert.

Nieuwsgierig? Het gaat om een 65-jaar oude dame met wie ik het uitermate goed kan vinden.

[ Voor 16% gewijzigd door Verwijderd op 12-08-2006 19:52 ]