Windows blijft hangen op "shutting down"

Kan je met een Linux Live systeem (USB, DVD, CD ofzo) wel normaal afsluiten als je shutdown doet? Zo niet: probleem kan met je hardware of firmware te maken hebben, of de ACPI instellingen.

Heb je al geprobeerd je pagefile uit te zetten.

Ofwel; geen wisselbestand instellen in je systeem settings.

Wellicht in combinatie met een bad sector de oorzak van deze "hang".

De Checkdisk leest niet altijd bij de eerste testcycle een fout, soms pas na meerdere passes!

Kijk toch even na of je die BSOD kan vinden/zien, zet de feature uit dat de computer reboot/afsluit wanneer hij een BSOD toont.
Dan kun je direct zien waar je moet zoeken voor je probleem.
Zie deze site met instructies:

http://www.bleepingcomput...find-bsod-error-messages/

Als de BSOD niks oplevert kun je ook Windows repair uitvoeren.

Over welk Windows versie hebben we het?

Ik neem aan Windows 10
Dit lijkt mij namelijk wel aanemelijk.

5. Upgrade the Computer’s CMOS/BIOS. Faulty CMOS and BIOS settings can cause startup and shutdown problems.

Het hoeft niet per se Windows te zijn, het kan ook zijn dat je bios niet goed is en daardoor een reset nodig heeft. Ik werk zelden mij Bios bij, maar laatst had ik ook dat hij niet wou afsluiten. Ik heb toen een nieuwe bios versie erop gezet en nu sluit hij weer netjes af.

Windows 10 ? Zet "snel opstarten" eens uit

Assix schreef op donderdag 14 april 2016 @ 03:28:
[...]


Hm, ik kan in safe mode wel gewoon afsluiten trouwens! Ik ben dit vergeten te vermelden. Dan is het uitproberen van een Linux systeem al overbodig lijkt me?
Ik kan alleen verder niet bedenken waar dan de oorzaak precies ligt als het in safe mode wel gewoon kan.

Ik ga het eens zonder pagefile proberen!

Dat klinkt als een service of proces die niet dood wil en Windows bij het gracefull afsluiten, en dat als windows hem daadwerkelijk de nek omdraait je een bsod krijgt. Welk proces of service het is zal wel in de bsod vermeld staan.

Assix schreef op donderdag 14 april 2016 @ 10:42:
[...]


Het gaat om Windows 7 64bit, ik zal dit ook even in de openingspost zetten.

Ik heb de BSOD opgezocht:

The computer has rebooted from a bugcheck. The bugcheck was: 0x0000009f (0x0000000000000004, 0x0000000000000258, 0xfffffa800c776660, 0xfffff80000b9a3d0). A dump was saved in: C:\Windows\MEMORY.DMP. Report Id: 041416-6021-01.

Persoonlijk heb ik geen flauw idee wat ik met die memory dump daadwerkelijk kan doen, sorry. Wanneer ik de code google vind ik veel over PC's die onverwacht zijn afgesloten, maar ben nog niet verder gekomen.

Ik zal een bios update eens proberen, volgens mij heb ik alleen nog de nieuwste versie.
Ik heb trouwens Microsoft Fixit meerdere keren proberen te draaien, deze blijft echter altijd hangen op het zoeken van "changes in hardware" als in het zoeken van nieuw apparaten in apparaatbeheer.

toon volledige bericht

Hmmm, de BSOD geeft inderdaad niet veel meer informatie. Dan toch nog even door de eventviewer spitten om te zien of daar nog gekke dingen tussen staan.

En anders misschien toch een re-install.. Maar ja, dan is het altijd maar de vraag of het helpt.

Stop 9F betekent: "driver power state failure"

OORZAAK
Deze fout treedt op als u stuurprogramma's niet verwerken stroom staat overgang aanvragen goed, meestal tijdens één van de volgende procedures:

• Afsluiten
• Onderbreken of hervatten vanuit stand-by modus
• Onderbreken of de slaapstand

Oplossing is een betere driver vinden

[ Voor 9% gewijzigd door Brahiewahiewa op 14-04-2016 12:34 ]

Lijkt dus dat het met een hardware driver te maken heeft die in Safe Mode niet gebruikt wordt. Meestal zijn dat een paar zaken als

- GPU
- I/O controllers
- Virtuele Firmware Devices

Kijk of er recent drivers bijgewerkt zijn, en kijk ook meteen of er niet ergens een driver toch nog bij te werken is.

Directory:
%PROGRAMFILES%\KMSnano
Product:
KMS GUI ELDI
Company:
@ByELDI
Description:
KMS GUI ELDI

[v10.2.0] KMSPico – One-click to activate Microsoft Office & Windows all editions

Dit kan je tegen komen in Windows 7 64 bit met KMseldi:

Service_KMS.exe
Service_KMS
C:\Program Files\KMSpico

Ze maken gebruik van:
Symantec Time Stamping Services CA - G2 in hun digitale handtekening
Met als Detail :
CN = @ByELDI Certificate Authority.
Pas wanneer je helemaal bij het aller laatste venster beland bent met deze check op het digitaal
ondertekend zijn, stuit je dan er op dat dat oncontroleerbaar is.


Het programma heeft het proces mscorsvw.exe nodig, een process van Micorsoft.NET framework 4.

Klik (met rechter muisknop) op start > Uitvoeren en plak:
"C:\WINDOWS\system32\mmc.exe" "C:\WINDOWS\system32\services.msc"
Klik op OK.
Service KMSELDI
Pad naar uitvoerbaar bestand: C:\Program Files\KMSpico\Service_KMS.exe

Windows register C:\Windows\regedit.exe
De waarden van de uninstall voor KMseldi:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{8B29D47F-92E2-4C20-9EE0-F710991F5D7C}_is1
Ik raad aan de uninstaller van Kmseldi NIET te gebruiken en handmatig verder die troep op te ruimen.
In de CurrentControlSet staan waarde voor de configuratie waar een service wordt gestart als Windows wordt gestart.
Stel je zou een Service wijzigen in de Interface, dan veranderen hier de waarden.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Service KMSELDI
Deze 2 ControlSets worden gebruikt wanneer gestart wordt via F8 laatst juiste configuratie.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Service KMSELDI
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\Service KMSELDI
Dus mocht je na het verwijderen die service nog zien in de lijst, kan je die uit het register verwijderen.

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico

Note:
KMSVC.DLL heeft niks te maken met kmseldi


______________________________________________________________________
De invloed van het programma:

C:\Program Files\KMSpico\TokensBackup\Keys.txt
In dit kladblok bestand kan je je productcode nu terug vinden, ik denk dat de makers van het programma deze productecode misschien ook wel weten.
C:\Program Files\KMSpico\driver\tap-windows-9.21.0.exe
tap-windows-9.9.2_3.exe is digitally signed by OpenVPN Technologies, Inc..
Een Open Vpn, heeft de software misschien met deze driver te veel invloed gehad op je systeem op driverniveau.
de inhoud van UnInstallDriver.cmd in diezelfde map
@echo off
pushd "%~dp0"
Set uninstaller="%programfiles%\TAP-Windows\Uninstall.exe"
%uninstaller% /S
Set uninstaller="%programfiles%\KMS-Windows\Uninstall.exe"
%uninstaller% /S
popd
exit
Dat betekend dat er dan 2 uninstallers worden gestart wanneer je het programma via de interface zou uninstallen, lijkt me niet verstandig,
in de map C:\Program Files\KMSpico\scripts zie ik zowel CMD scripts als .REG bestanden.

Windows SmartScreen, like the SmartScreen Filter in Internet Explorer, helps keep your PC safe by checking downloaded files and web content within apps to help protect you from malicious software and potentially unsafe web content

In die map is te zien wat het programma gebruikte aan register regels.
in EnableSmartScreen.reg zien we:
[-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
"SmartScreenEnabled"="RequireAdmin"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter]
"EnabledV9"=dword:00000001

De Sleutel:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System
moet alleen een lege standaardwaarde bevatten.

in DisableSmartScreen.reg zien we:

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
"EnableSmartScreen"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
"SmartScreenEnabled"="Off"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter]
"EnabledV9"=dword:00000000
Verwijder die waarden hierboven, niet de sleutels. daar is nu nog steeds je beveiliging lek.

Dit betekend dat er veiligheid uitgeschakeld werd via parameters in het register, en de kans is groot dat er gespioneerd is op je computer.

[ Voor 51% gewijzigd door Verwijderd op 15-04-2016 16:14 ]

Mijn neef heeft er ook last van gehad. We dagen zitten klooien om op te lossen zonder resultaat. We dachten ook aan een virus of driver wat niet lekker was, echter we kwamen er niet meer uit en hebben uiteindelijk besloten om de boel maar opnieuw te installeren. Het was een werkje. Het is een laatste zwaar middel maar iets wat gegarandeerd werkt om problemen uit de weg te ruimen.

Lees dan samen met je neef mijn berichten door en denk daar serieus over Nivida_intel
In mijn berichten kan je zien waar dat alles te vinden is in het systeem en wat het doet.
En dat is echt een zware serieuze bedreiging die niet onderschat moet worden, het programma neemt je hele systeem over.

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office

Bestanden met het type .xrm-ms zien we samen met een aantal register bestanden in de map:
C:\Program Files\KMSpico\cert\kmscert*
The XRM-MS file type is primarily associated with 'Microsoft' by Microsoft Corporation. This is a Windows Vista activation certificate; basically an XML file found on the OEM's installation or recovery media.
.xrm-ms
Met een script met de extensie .cmd genaamd installAll.cmd
een deel van de inhoud is alsvolgt:\
@echo off
echo ByELDI
echo No cierre esta ventana!
echo Instalando Programas...

Ik zet hier niet de hele code neer, maar dat het samen met de rest van de bestanden in de mappen van deze software kwaadwillend is is dan ook 100% zeker.

Je ziet hier een naar mijn mening zuid Europese taal, doet mij denken aan spaans of italiaans.
Kortom, het register wordt gemanipuleerd in de parameters om een product van Microsoft geactiveerd te krijgen, waarna je computer het bezit is geworden van diegene die aan de andere kant van die software aan de touwtjes trekken.
Je begon je startpost met dat je eigenlijk altijd je computer aan had staan, en waarschijnlijk gewoon met verbinding.
Ook al laat je je computer altijd aan staan, waarom zou deze dan altijd verbinding hebben?
Het is een kleine moeite om wanneer je zelf geen gebruik maakt van internet de verbinding tijdelijk te verbreken, en opnieuw verbinding te maken wanneer je dat nodig hebt, dat zou voor zulke malware als dit al een probleem zijn.
Je zou dan ook direct de gevolgen daarvan kunnen merken, aangezien deze software jouw handelen kan volgen. Ik kan in de map C:\Program Files\KMSpico\cert zien dat er register bestanden zijn voor het aanmaken van activaties van office pakketten 2010, 2013 en 2016 en voor Windows7 t/m 10, gebruik makend van Security-Licensing-SLC-Component-SKU-*.xrm-ms bestanden.

Ik heb deze malware in Windows 7 64-bit geïnstalleerd in een virtual box offline.
Dus ik heb de bestanden gedownload, en zonder verbinding deze software getest.
En het is zorgwekkend dat die server met de download naar die malware niet aangepakt kan worden.
Want we kwamen dit product van ELDI al eerder tegen dit jaar in een ander systeem, in een eerder bericht, in 2015.
Dus dan zullen we daar als tweaker eens mee afwerken, toch? met die nare rommel.
Gratis bestaat nu eenmaal niet in deze wereld....
Kortom, wanneer je de computer niet gebruikt en die met verbinding aan laat staan, kan de software de beveiliging aan en uit zetten via register bestanden, en hun gang gaan via jouw systeem..

Kaspersky scan op het download bestand van kmspico, software afkomstig van @ELDI
virusnaam:
NetTool.Win64.RPCHook.a
VirusTotal/

De TS kan inderdaad beter data veiligstellen en Windows opnieuw installeren, en snappen hoe dat werkt om het systeem schoon te houden en veilig en snel te houden, met een beetje beheer.

ff offline over computers die elkaar besturen,
De service hulp op afstand heb ik altijd gewoon uit het register verwijderd, omdat die niet wilde luisteren naar hoe ik die instelde in de interface.
Dat was de enige service namelijk van Microsoft die gewoon bleef starten ook wanneer die in de interface op uitgeschakeld was ingesteld.
Gezien die service alleen te maken had met de Microsoft hulp op afstand, werd deze service dan ook niet meer gehost via het register omdat ik die service daar had verwijderd.
De enige constante die dat heeft met het onderwerp in dit topic is dat het een service is die de mogelijkheid biedt om je computer door een ander systeem te kunnen laten besturen.
Virussen die op die service zouden willen teren zouden dan dat onderdeel al missen.
Op het moment dat ik die service ben gaan verwijderen wist ik natuurlijk dat ik geen hulp op afstand nodig had van Microsoft. Dus een service verwijderen uit een Windows systeem kan via het register met behulp van het instellen van machtigingen per sleutel.

[ Voor 22% gewijzigd door Verwijderd op 15-04-2016 16:37 ]

De laatste loodjes, van wat dit virus doet en uitvoert:
C:\Program Files\KMSpico\driver
Met het scriptbestand Cert.cmd in deze map wordt via de extensie:
.pfx - Personal Information Exchange - Crypto-shelluitbreiding
het bestand certELDI.pfx geïmporteerd in je systeem.
Die code is te lezen als ik Cert.cmd open in kladblok.
Dat is de map driver van KMSpico (@ELDI) dan met eigen drivers.
Met Eigen gemaakte certificaten, dit alles omdat iemand op deze computer dit programma installeerde, hoogstwaarschijnlijk wel met het idee dat het geen zuivere koffie is.
Zo wordt ook door het programma de parameter van Windows defender benaderd.
Vergeet niet dat de software is geinstalleerd door de administrator van de computer, en dus ook al die rechten heeft.

Met het bestand RemoveExceptionsWD.reg in de map C:\Program Files\KMSpico\scripts wordt Windows defender aangepakt:
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes]
Deze sleutel wordt verwijderd indien Windows Defender daar iets mee zou gaan doen.
In het bestand AddExceptionsWD.reg:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender\Exclusions\Processes]
"C:\\Program Files\\KMSpico\\AutoPico.exe"=dword:00000000
"C:\\Program Files\\KMSpico\\KMSELDI.exe"=dword:00000000
"C:\\Program Files\\KMSpico\\Service_KMS.exe"=dword:00000000
"C:\\Windows\\SECOH-QAD.exe"=dword:00000000

Wordt door deze parameters de software van @ELDI geheel ontzien door Windows Defender.

Met de code van het bestand Install_Task.cmd:
Wordt Elke dag om 23:59:59 opnieuw gestart standaard met onder andere in de code de code NT AUTHORITY\SYSTEM" (ik zet hier die codes niet neer moet je goed begrijpen, ik wil ze niet verspreiden op geen enkele manier).
Dus elke dag om die tijd wordt op het niveau van administrator de malware standaard opnieuw gestart.

Met het script Install_Service.cmd wordt een root aangelegd voor de service van Service KMSELDI Service_KMS.exe.
DIe service kan dan de drivers beheren in de map C:\Program Files\KMSpico\driver.

met het bestand Log.cmd worden logfiles gemaakt door de software in kwestie.
met de code in Silent.cmd:
Hiermee verbergt KMSELDI.exe zich met de zelf gemaakt root in de code van Install_Service.cmd.
Dat hele systeem fungeert gewoon vanuit de systeem map Programfiles en is goedgekeurd door de gebruiker die de software installeerde, tis niet anders...

Je beschrijft de werking van kmspico die Windows activation om de tuin leidt. Maar je rept ook ineens over remote controle. Test dat maar eens door te sniffen...
Maar goed dit wordt dan warez bespreking.

KillerAce_NL schreef op vrijdag 15 april 2016 @ 20:43:
Je beschrijft de werking van kmspico die Windows activation om de tuin leidt.

Klopt, dat kan je hier lezen.

KillerAce_NL schreef op vrijdag 15 april 2016 @ 20:43:
Maar je rept ook ineens over remote controle. Test dat maar eens door te sniffen...
Maar goed dit wordt dan warez bespreking.

Deze malware werkt met remote controle, en werd hier besproken.
Verder ga ik dan ook geen onderwerpen over warez hier bespreken.
Dan link je bepaalde zaken aan elkaar en drijf je af.
Gezien het feit de term Malware je ook vaak aan kan treffen bij de term Warez.
Het ging hier over de besmetting van @Eldi. En omdat ik het zo kon testen heb ik daar alle bevindingen hier beschreven, aangezien ik dan in zoveel mogelijk lagen ga kijken waar de persoon die er in trapte dit soort software te installeren geen weet van had. Meer niet.

Ik wijs je er alleen op dat je een analyse post van zaken die normaal en bekend zijn.
De echte kms pico is safe. Heb je hem van de andere bron dan kan er iets anders inzitten.
Je download kun je checken met comodo valkyrie.

KillerAce_NL schreef op vrijdag 15 april 2016 @ 20:53:
Ik wijs je er alleen op dat je een analyse post van zaken die normaal en bekend zijn.
De echte kms pico is safe. Heb je hem van de andere bron dan kan er iets anders inzitten.
Je download kun je checken met comodo valkyrie.

Lees Dit.

Ja en hoe is dit relevant ? Dat gaat over illegale versies die geactiveerd kunnen worden.

Dan kan je eens lezen wat er gebeurd in het systeem Windows.
Aangezien het handmatig te verwijderen is allemaal, ook al weet je niet wat een systeem zo onbeveiligd met deze software er op uitgehaald heeft.
Voor zulke virussen dan simpel om het register te beheren.
Deze software kan namelijk van alles uitvoeren zonder dat jij het ZIEN kan.
En daar over is bijna geen verdere informatie meer te vinden, aangezien die aan de andere kant ook tijdelijk tools kunnen gebruiken en weer verwijderen, ze hebben een root, in het systeem, ik beschrijf de aard en de ernst er van tot in de details.

[ Voor 37% gewijzigd door Verwijderd op 15-04-2016 21:13 ]

Hey gast laat maar. Ik kan je niet volgen.... Het lijkt wel of je er of ander complex hebt. Nofi

Na 20 jaar weet ik wel wat.
Suc6 ts. Ik trek me bij deze verder terug.

KillerAce_NL schreef op vrijdag 15 april 2016 @ 21:16:
Hey gast laat maar. Ik kan je niet volgen.... Het lijkt wel of je er of ander complex hebt. Nofi

Na 20 jaar weet ik wel wat.
Suc6 ts. Ik trek me bij deze verder terug.

Ik zal nooit zeggen wat jij wel of niet weet, ik kan alleen van mezelf uitgaan.
Na 20 jaar, Natuurlijk weet jij ook veel, ik ken je niet daar in.
Maar wat ik weet over Windows is alles te vinden waar het zit, vanuit de root.
En we zien dan toch dat de makers van deze malware exact een root weten aan te leggen, en dat wilde ik uitleggen.
Waarom je woorden als "complex" er aan verbind, is dan niet hoe ik dat zie .
Aangezien ik Windows vanuit de root beheer, en begrijp dat geen enkele software zonder mijn goedkeuren een root aan gaat leggen.
Rootkit op gebruikersniveau valt de malware van KMSELDI onder.
Ja, dan zou dit topic verhuizen kunnen naar Virussen en beveiliging.
De TS was nog in de veronderstelling denk ik dat het om een Windows probleem ging, omdat het in Windows actief was.

[ Voor 9% gewijzigd door Verwijderd op 15-04-2016 21:24 ]

Ja een clean install is inderdaad het beste.
Ik heb nu de codes en de teksten opgeslagen die bij deze malware horen, dus het gaat niet alleen er om of je zelf met al die informatie iets kan, maar ook de lezers van dit forum.
Verder kan je zelf je systeem beheren, aangezien je computer voor van alles is misbruikt de afgelopen tijd.
De Malware werd bedient door mensen, die alle informatie van je systeem van afgelopen tijd zo konden pakken.
Of je daar in bent geïnteresseerd in dan in hoeverre jij dat erg vindt, daar ga ik verder niet over.
Veel succes verder.

Assix schreef op zaterdag 16 april 2016 @ 00:32:
Er mag van mij een slotje op het topic, clean install heeft het probleem verholpen. Iedereen bedankt voor hun inbreng! Verder denk ik niet dat er een zinvolle discussie gaat komen over een gerelateerd onderwerp.

Dat is inderdaad wat gebeurd met opgeloste topics.

Assix schreef op zaterdag 16 april 2016 @ 00:32:
Er mag van mij een slotje op het topic, clean install heeft het probleem verholpen. Iedereen bedankt voor hun inbreng! Verder denk ik niet dat er een zinvolle discussie gaat komen over een gerelateerd onderwerp.

Verholpen of niet, nu weet je nog steeds de oorzaak niet

Verwijderd schreef op zaterdag 16 april 2016 @ 01:46:
[...]

Dat is inderdaad wat gebeurd met opgeloste topics.

[ Voor 9% gewijzigd door Raven op 16-04-2016 11:08 ]

Raven schreef op zaterdag 16 april 2016 @ 11:01:

offtopic:
Dat is niet wat er gebeurt met opgeloste topics , er gaat pas een slot op als het topic compleet ontspoort of als het max. aantal berichten van 10k is bereikt. Stel nou dat iemand met hetzelfde issue langskomt, dan kan ie tenminste een bestaand topic gebruiken ipv een nieuwe aan te maken....

Ja zo kan je het ook bekijken
In dit geval was de oorzaak dat de bestanden AutoPico.exe, KMSELDI.exe, Service_KMS.exe, SECOH-QAD.exe en de VPN driver tap-windows-9.21.0.exe i.s.m cdm scripts en *.reg bestanden het systeem manipuleerde via de installatie van KMSpico.
Het systeem van de TS was geïnfecteerd met DIT VIRUS
Een clean install heeft die problemen nu opgelost, maar het zit m wel in het voorkomen van het installeren van software als KMSpico van @ELDI.
De bewustwording dat je je computer online aan anderen geeft wanneer je die malware hebt geïnstalleerd.

[ Voor 4% gewijzigd door Verwijderd op 16-04-2016 11:17 ]

Was dat wel zeker dan? Dat die aanwezig zijn betekend niet dat er wat anders gedaan is dan dat waarvoor dat programmaatje is gebruikt.

Raven schreef op zaterdag 16 april 2016 @ 11:18:
Was dat wel zeker dan? Dat die aanwezig zijn betekend niet dat er wat anders gedaan is dan dat waarvoor dat programmaatje is gebruikt.

Ik kon alleen zien aan het programma dat je er Microsoft producten mee kan activeren.
Wat diegene die de root van de software verder aanstuurde is ook niet te zien.
daar heb ik het verder niet over.
Wat ik heb uitgelegd is hoe via register bewerkingen die pishingfilter en de smartscreenfilters worden uitgeschakeld, en via het register Windows Defender wordt verteld alle EXE bestanden van het programma als goedaardig te zien. (werden gewoon uitgesloten om benaderd te worden door Windows Defender via registerwaarden)

Kortom, ik kon in de registerbestanden lezen die waren geïnstalleerd in de map C:\Program Files\KMSpico, waar ik in een virutalbox deze software heb bekeken, en wat het in het systeem doet.
Het zet de beveiliging uit en aan met register bestanden die ik gewoon kon lezen omdat die in de map KMSpico staan.
Dus ik heb zelf gelezen in de CMD scripts en in de register bestanden hoe de software de beveiliging van Windows omzeilt, wat ze er mee doen, zie je in mijn teksten niet terug, ik kan er alleen mee aan geven dat die software gelijk staat aan een rootkit op gebruikersniveau.

Dat is wat het programma kan, of de makers het goedaardig of kwaadaardig gebruiken, of de TS gratis wilde activeren, ik kan daar geen antwoord op geven, ik bekijk het puur technisch in het systeem Windows 7 64-bit, en wat het daar doet, en welke mogelijkheden het programma heeft voor alle partijen.

Even kort gezegd, als je systeem besmet is met een rootkit, weet je inderdaad niet wat er gebeurd, en daar kan ik ook geen uitsluitsel over geven, ik kan alleen een uitsluitsel geven over wat ik kan zien in die mappen die door de gebruiker is geïnstalleerd, omdat ik die software dus zelf onder de loep heb genomen hier, en ik een tweaker ben. Ik tweak nu al 12 jaar mijn systemen, en er start alleen op wat ik wil wat er start, als ik voor mezelf moet praten, ik ben de baas op mijn computer, en niemand anders...

Dus als er mensen zijn met een link naar een goedaardig programma van deze kwaliteit, geef me een link, dan zal ik die testen als het kan. Want smartscreen filters uitschakelen, phisingfilters uitschakelen en windows defender om de tuin leiden met registerbestanden, dat doet een goedaardig programma NIET.

Ik hoop meer voor de TS dat die in de toekomst leert wat veiliger daarmee om te gaan.
Omdat het haar al schade heeft berokkend in haar systeem, en de malware van vandaag geen kattepis is.

De trigger was het woord KMSeldi.... in de foutmelding.
Met deze malware zou je het over de wijze van verspreiding kunnen hebben, en welke gebruikers het treft.
Microsoft producten activeren, op de officiële manier wordt daar geen software van derden voor geïnstalleerd maar een licentie gekocht, dus dit virus verspreidt zich dan op die manier, wat de kans op dat het geheim blijft groter maakt, en wat minder snel verspreidt.
Een virus die zich op die manier verspreidt kan denk ik door hun doelgroep zich op die manier voortbewegen anders dan zoals bij Ransomware het geval is, die zich via banners en content verspreidt, en weer een andere aandacht verdient., Veel sterkte allemaal.

systeem starten zonder KMSeldi:
VERWIJDER DE VOLGENDE SLEUTELS::
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{8B29D47F-92E2-4C20-9EE0-F710991F5D7C}_is1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Service KMSELDI
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\Service KMSELDI
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\Service KMSELDI
Check of er meer Controlsets zijn. Hoe langer het systeem bestaat hoe meer controlsets.

Na een reboot doet KMSELDI niks meer, en kan je de resten opruimen, zie vorige berichten.

[ Voor 40% gewijzigd door Verwijderd op 16-04-2016 18:38 ]

Assix schreef op vrijdag 15 april 2016 @ 23:49:
[...]
Als dit het geval zou zijn denk ik toch echt dat ik wel enigszins ergens problemen van had ondervonden, aangezien dit al ruim een jaar op mijn PC staat. Je zou dan op zijn minst verwachten dat mijn paypal rekening zou zijn geplunderd, denk je ook niet?

Excuus, ik wil nog heel even reageren op dit stukje, deze software van @ELDI had de mogelijkheid om met jouw systeem met uitgeschakelde smartscreen en phishing filters met goed keuren van Windows Defender te up en downloaden wat ever they want, met jouw IP als adres.
Kortom, je bent niet beroofd van je centen, je bent tijdelijk beroofd van je computer.
Er was een VPN driver die er voor zorgde dat je computer door de makers van de malware met remote controle door hen bestuurd kon worden.
De software gedraagt zich in Windows verder ook niet agressief, het is bedoeld om jou van een activatie te voorzien, waarbij de malware jouw computer kon gebruiken, voor eventuele andere dingen waar we verder niks over kunnen zeggen. Hetzelfde als jij vandaag gaat surfen, je geschiedenis en cookies verwijderd, en niemand kan zien waar je heen bent gesurft die dag, vergelijk het daar maar mee.

Dat je computer niet meer af kon sluiten had te maken met het feit dat anderen dat niet wilden, die meer grip hadden op je systeem dan jij zelf. En nu dat is opgelost, is dat voor jou wel handig om te weten, toch?
Want deze malware wil liever niet ontdekt worden op een computer die altijd aan staat en online is.
Dus ik ben erg blij voor je dat je niet beroofd bent, maar het had wel kunnen gebeuren.

Het beroofd (van geld op je rekening) worden op die manier vergt weer andere kennis, dit lijkt me meer aangelegd door scriptkiddies die hacktools in bezit hebben en kunnen programmeren met de code die runt op .NET framework 4.
Die gebruiken die tools op dezelfde manier zoals jij een programma gebruikt.
Je hebt je systeem weer schoon en opnieuw geïnstalleerd, hoe ga jij je in de toekomst beveiligen?
Op een goed beveiligd systeem had je deze malware niet kunnen installeren wanneer je meldingen van een goeie AV daar serieus in zou betrekken.



Dus daarom heb ik je process explorer ook aan geraden.
Deze malware is van Spaanse teksten voorzien. De kans is groot dat het virus daar vandaan komt.
Dus de kans is groot dat bijvoorbeeld Spanjaarden, als dat zo is, want wie het deed is voor ons hier niet te zien, je computer aan het misbruiken voor ..... tja vul maar in, wat hun doel was....

[ Voor 9% gewijzigd door Verwijderd op 17-04-2016 20:45 ]

Ik ben wel blij dat er op deze topic geen slotje zit, waarom? Op dit moment denk ik dat als ik verder ga kijken, en dat doe ik nu eenmaal, het verbijsterend is dat de computer van Assix eigenlijk dus 1 jaar lang een soort " Ezel " is geweest voor dat wat dus niet gezien werd, down en uploaden naar hartenlust op andermans IP adres.
Nu is dat in een wereld waar iedereen het alles downloaden prima zou vinden natuurlijk geen probleem, sterker nog, dan was deze rootkit opgezet met een VPN-driver TAP-Windows natuurlijk niet interessant geweest.
Maar wat is de realiteit?
Lees je het nieuws?
De filmindustrie is net als brein heel erg gericht op het aanpakken van het illegaal downloaden van data waar men dus eigenlijk ergens anders voor zou moeten betalen (geld is weer de geleider)
Wat we op dit moment in het nieuws kunnen lezen is dat de film industrie beweerd hele lijsten van IP adressen te hebben, de Nederlandse staat ook voor de rechter wil dagen omdat ze van mening zijn dat die te weinig deden aan het illegaal downloaden, torrents, Warez enz....
Weer krijgt een geheel andere groep dan een draai om de oren economisch en financieel stel de rechter zou de 78 miljoen die de filmindustrie eist van de Nederlandse regering goedkeuren.
Ik ga jullie nog niet eens vertellen hoe groot de Staatsschuld is in Nederland, maar de belastingbetaler, als het aan de filmindustrie ligt, gaat dat alles vergoeden, willen ze dus via een rechter voor elkaar krijgen.
Nu zal Assix misschien denken, wat heeft het met mij te maken????
Nou, je IP adres zou daar wel eens tussen kunnen staan, waar anderen via je computer een jaar lang aan het down en/of uploaden zijn geweest, en inderdaad nee, je paypall account is niet gekraakt.
Maar je mag nu hopen, omdat Brussel de regels wil aanscherpen op dat gebied, dat jij straks er niet voor opdraait voor de volle 100%.
Het is niet mijn bedoeling je bang te maken, maar onwetendheid kan dus wel gevaarlijker zijn dan je denkt.
Wanneer er echte straffen uitgedeeld gaan worden aan mensen met IP adressen waarvan illegaal is gedownload, dan komen ze niet bij diegene die:
Zoals KMSeldi dat doet.
ik ga verder niet in over proxy, thor browsers en dat soort manieren, want de echte sluwe zogenaamde slimmerds krijgen ze toch niet te pakken.
Tenminste, niet als Assix, stel dat het haar overkomt in de toekomst er op aangesproken te worden, niet meer in staat is te bewijzen dat ze ...... wie wat downloade of uploade?
En dat is er gebeurd Assix, het afgelopen jaar op je computer.
Ik ga je niet de technische kanten helemaal uitleggen, want ik volg die dingen ook tot op een bepaalde hoogte, ik ben geen programmeur of zo op dat niveau.
Dus ik laat je 1 van de 3 installatie logs zien van:



De rood gemaakte tekst zijn de zaken die zorgelijk zijn.
De blauwe teksten zijn wat comments van mezelf.
de Log:
______________________________________________________________
00:54:15:711 2016.04.15 KMS GUI ELDI 37.0.0.0
Official Site:
http://forums.mydigitallife.info/forums/51-KMS-tools
KMSpico v10.1.9
Windows Detected: Windows 7 Home Premium : HomePremium : ************

00:54:15:737 Time Start: 15-4-2016 0:54:15
00:54:15:724 Using host: ***.***.**.***:****
00:54:15:737 Checking Internet Connection...
00:54:15:816 Windows Detected: Windows 7 Home Premium : ***********
00:54:15:816 Using host: ***.***.**.***:****
00:54:15:868 Opening Firewall Port...
00:54:15:973 Error: Unable to ping because a network connection is not available. ᜀ Logisch, offline he
00:54:15:973 No Internet Connection Detected Ja zo gaan die dingen wanneer het getest wordt offline
00:54:16:301 Opening Firewall App... Wat een firewall is hoef ik in 2016 niemand uit te leggen
00:54:16:340 KMSEmulator Port: 1688
00:54:16:353 Get Registry : SYSTEM\CurrentControlSet\Services\sppsvc:Start
00:54:16:353 Making tokens backup...
00:54:16:392 Taking backup of: C:\Windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\SoftwareProtectionPlatform C:\ProgramData\Microsoft\OfficeSoftwareProtectionPlatform
00:54:16:432 KMSEmulator running port: 1688
00:54:17:126 Backuping Product Keys...
00:54:17:140 Get Registry : SOFTWARE\Microsoft\Windows NT\CurrentVersion:DigitalProductId
00:54:17:297 Key Found: -*****
00:54:17:389 Product Keys Saved
00:54:17:389 Backup made in: C:\Program Files\KMSpico\TokensBackup
00:54:17:402 Loading OEM Key Dumper...
00:54:17:415 None MSDM table found
00:54:17:415 Office 2016 Skipped
00:54:17:493 Office 2013 Skipped
00:54:17:585 Office 2010 Skipped
00:54:20:875 Found Windows Products: 1
00:54:20:875 Name: Windows(R) 7, HomePremium edition
Description: Windows Operating System - Windows(R) 7, **** channel
GracePeriodRemaining: 0
LicenseStatus: 1
PartialProductKey: *****

00:54:20:888 Version Windows Skipped
00:54:20:888 Closing Firewall Port...
00:54:20:928 Closing Firewall App...
00:54:20:967 Set Registry : HKEY_CURRENT_USER\Control Panel\Desktop:PaintDesktopVersion
00:54:20:980 Time Finish: 15-4-2016 0:54:20
00:54:20:993 Total Time: 5 seconds
00:54:20:993 Client listener shut down
00:54:20:993 Error: Object reference not set to an instance of an object. ᜉ
______________________________________________________________________________

Ik heb weinig commentaar gegeven verder in het blauw, ik denk dat de tweakers het wel begrijpen, dat niemand er iets aan kan doen?
En dat die grote boze filmindustie misschien toch de realiteit gaan snappen dat een gang naar de rechter de belastingbetaler er voor op laat draaien, en dan zijn we plots allemaal Nederlander, nice he?
Of een ander Europees land, waarbij de staatsschulden groeien als een boom die nooit meer stopt met groeien, ik vat dit samen als een probleem voor mensen, niet alleen voor Assix. Ik hoop niet dat het te overdonderend is voor mensen die graag korte berichten lezen, dit is kort gezegd met 2 regels niet simpel uit te leggen. Mijn excuses alvast voor de mensen die zich misschien gaan ergeren, stuur me een PM met wat je op het hart hebt, en ik zal er rekening mee proberen te houden

Meneer heldigard is vast trots op zichzelf, maar hoe zit het als zijn malware gekraakt wordt?
En er wat duidelijk wordt? Wat kunnen de filmindustrie en brein daar aan doen?
Want zo is Assix straks het slachtoffer van zaken die ze zelf misschien niet heeft uitgevoerd.
En dat laten we toch niet gebeuren? Daarom geef ik hier zo veel aandacht aan.


Als je op de afbeelding klikt kan je meer lezen over de extensie .res

Jammer dat je weinig begrijpt van de term: Probleem is opgelost
Maar goed, top dat het probleem is opgelost door de boel opnieuw te installeren, zoals ik al zei het is het laatste middel maar het werkt vaak erg goed en geen last dat je heel diep in je systeem moet gaan om dingen aan te maken....

Nivida_intel schreef op maandag 18 april 2016 @ 17:34:
Jammer dat je weinig begrijpt van de term: Probleem is opgelost
Maar goed, top dat het probleem is opgelost door de boel opnieuw te installeren, zoals ik al zei het is het laatste middel maar het werkt vaak erg goed en geen last dat je heel diep in je systeem moet gaan om dingen aan te maken....

Ja dat probleem op de computer is inderdaad opgelost, wat betreft dat er nu dan geen malware op aanwezig is, of het probleem wat jij niet ziet, en dus niet alles hebt gelezen/begrepen wat ik neer heb gezet, je niet inziet dat dit soort problemen voor de gebruiker ook pas opgelost zijn wanneer dit soort malware wat beter wordt belicht.
Het gaat hier niet alleen om een virus op een computer, maar over de gehele overname van een computer 1 jaar lang, dus moet je proberen verder te kijken. Dan is de kant tussen mens en machine goed te zien.
Daarbij hebben de makers van de malware ook al jouw Microsoft productkey's en kunnen ze goed gebruiken in hun programma. Ik heb er al ongeveer 100 gezien in .... dat ga ik je niet vertellen.
Goed begrijpen dat de productkey('s) van Assix ook gewoon geript is(zijn) ByEldi.

[ Voor 12% gewijzigd door Verwijderd op 18-04-2016 17:47 ]

Allemaal aannames van iemand die kms pico gaat analyseren terwijl dit allemaal al bekend is... Tip: Av vendors hebben dit ook beschreven incl de laatste activatie methode dmv een loopback met een adapter door de firewall...

Daarom zei ik al, beschrijf niet alleen maar, ga ook sniffen.
Maar jouw tijd, jouw keuze om die te verdoen 😉

Mijn tijd verdoen? zo zie ik dat niet, ik heb nu genoeg informatie over mensen die in problemen komen omdat ze ongewenste malware helemaal niet als ongewenst zagen, en help jij ze dan maar met hun problemen. Het gaat er meer om dat men ook verder leert kijken. Waarom raad jij mij aan te gaan sniffen?

Omdat je nu aannames doet op gebaseerd op een install. Controleer het maar eens, je zult zien dat er niks openstaat en er geen remote control is. (mits originele download)


Alles wat je beschrijft is bekend (maar dan in meer detail en zonder aannames), daarom is je exercitie een beetje nutteloos.
Zo zul je lezen dat er zoveel changes gedaan worden omdat KMS Pico 3 manieren heeft om te activatie hacken. Last resort is de methode met virtuele adapter.
Alles blijft echter intern.

Waarom typ je dit eigenlijk tegen mij?
Tap-Windows Adapter V9
die driver had goede bedoelingen? Aannames?
Maar ik heb nu wel genoeg er over geschreven, alles veranderd langzaam.
Ik ga verder niet welles nietes hierover met anderen daarover voeren.
Als je commentaar hebt op de inhoud kan je een moderator vragen, verder wens ik je een fijne avond toe.

Nee, daar hoef ik geen mod om te vragen zo werkt een discussie forum niet. Ik geef aan dat je alles baseert op aannames en dat je bevindingen niet nieuw zijn, maar allang bekend. Zoek voor de gein eens uit hoe kms pico werkt...voordat je allerlei theorieën de wereld in slingert


Waarom ?
Nou daarom:

Verwijderd schreef op maandag 18 april 2016 @ 20:33:
Waarom raad jij mij aan te gaan sniffen?

Als je dat niet bevalt staat het je vrij om niet meer te reageren.

[ Voor 20% gewijzigd door KillerAce_NL op 18-04-2016 21:20 ]

Anders stel ik voor dat je die kms troep zelf installeert en de codes eens gaat lezen.
En dan ga jij aantonen dat alles wat ik schreef niet kan kloppen met kloppende onderbouwingen.
Dat ik vrij ben om wel of niet te reageren wist ik al
En ik ben niet zwanger, dus bevallen doe ik ook al niet.

[ Voor 58% gewijzigd door Verwijderd op 18-04-2016 21:26 ]

Eh....en nu is het wel genoeg geweest, dus dit topic kan dicht!

[ Voor 38% gewijzigd door TheVMaster op 19-04-2016 00:10 ]