Toon posts:

[Windows 11] Bestand of map is beschadigd en onleesbaar

Pagina: 1
Acties:

Vraag

zondag 14 januari 2024 13:15

Acties:
  • 0 Henk 'm!
  • Mastakilla
  • Registratie: Februari 2001
  • Laatst online: 16-05 14:01

Mastakilla

Topicstarter
Hallo,

De laptop van mijn vrouw heeft het lastig de laatste tijd...

Mijn vrouw klaagde dat hij soms vast liep en dat het enige dat nog hielp een harde power off was.

Toen ik de laptop begon te onderzoeken, viel me op dat TeamViewer kloeg dat de verification faalde:
Afbeeldingslocatie: https://tweakers.net/i/_cLNfCTVZ2F8PgasqLlW-vmdFjo=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/54L0Qewbbs37sIHjOuM1oYVG.png?f=user_large

Ok, geen probleem dacht ik. Dan zwier ik TeamViewer eraf en installeer ik het opnieuw. Maar ook dat werkte niet wegens een foutmelding "Bestand of map is beschadigd en onleesbaar":
Afbeeldingslocatie: https://tweakers.net/i/1iLxTZujtpu9RSpArUYrl3FUXik=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/FSQyqM2fiGyyFB0B0ckrPLtM.png?f=user_large

Vervolgens heb ik hetvolgende geprobeerd:

chkdsk draaien @ boot ('chkdsk /f /r c:')

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60

Checking file system on C:
The type of the file system is NTFS.


A disk check has been scheduled.
Windows will now check the disk.                         

Stage 1: Examining basic file system structure ...
  1267712 file records processed.                                                         
File verification completed.
 Phase duration (File record verification): 11.25 seconds.
  28103 large file records processed.                                    
 Phase duration (Orphan file record recovery): 10.73 milliseconds.
  0 bad file records processed.                                      
 Phase duration (Bad file record checking): 1.94 milliseconds.

Stage 2: Examining file name linkage ...
  2722 reparse records processed.                                       
  1597428 index entries processed.                                                        
Index verification completed.
 Phase duration (Index verification): 51.08 seconds.
  0 unindexed files scanned.                                         
 Phase duration (Orphan reconnection): 5.18 seconds.
  0 unindexed files recovered to lost and found.                     
 Phase duration (Orphan recovery to lost and found): 1.99 seconds.
  2722 reparse records processed.                                       
 Phase duration (Reparse point and Object ID verification): 19.45 milliseconds.

Stage 3: Examining security descriptors ...
Cleaning up 3726 unused index entries from index $SII of file 0x9.
Cleaning up 3726 unused index entries from index $SDH of file 0x9.
Cleaning up 3726 unused security descriptors.
Security descriptor verification completed.
 Phase duration (Security descriptor verification): 78.83 milliseconds.
  164859 data files processed.                                            
 Phase duration (Data attribute verification): 2.14 milliseconds.
CHKDSK is verifying Usn Journal...
  35298600 USN bytes processed.                                                            
Usn Journal verification completed.
 Phase duration (USN journal verification): 222.42 milliseconds.

Windows has scanned the file system and found no problems.
No further action is required.

 975887436 KB total disk space.
 409069564 KB in 610487 files.
    430300 KB in 164860 indexes.
         0 KB in bad sectors.
   1409140 KB in use by the system.
     65536 KB occupied by the log file.
 564978432 KB available on disk.

      4096 bytes in each allocation unit.
 243971859 total allocation units on disk.
 141244608 allocation units available on disk.
Total duration: 1.16 minutes (69974 ms).

Internal Info:
00 58 13 00 bf d4 0b 00 0f 97 15 00 00 00 00 00  .X..............
2b 0a 00 00 77 00 00 00 00 00 00 00 00 00 00 00  +...w...........

Ik dacht dat ik tijdens de boot wel zag dat hij iets aan het repareren was, maar in de log zie ik dat op het eerste zicht niet terug :?

chkdsk draaien vanuit de Explorer GUI

Afbeeldingslocatie: https://tweakers.net/i/DZHQ9FILan4nNFFKMzFqC4sBpKI=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/nTBCoVWUvFk4buym6jyJjBAh.png?f=user_large

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50

Chkdsk was executed in scan mode on a volume snapshot.  

Checking file system on C:

Stage 1: Examining basic file system structure ...
  1267712 file records processed.                                                         File verification completed.
 Phase duration (File record verification): 12.33 seconds.
  28103 large file records processed.                                     Phase duration (Orphan file record recovery): 17.94 milliseconds.
  0 bad file records processed.                                       Phase duration (Bad file record checking): 3.05 milliseconds.

Stage 2: Examining file name linkage ...
  2722 reparse records processed.                                         1597588 index entries processed.                                                        Index verification completed.
 Phase duration (Index verification): 45.82 seconds.

 Phase duration (Orphan reconnection): 9.15 seconds.

 Phase duration (Orphan recovery to lost and found): 15.29 milliseconds.
  2722 reparse records processed.                                        Phase duration (Reparse point and Object ID verification): 21.99 milliseconds.

Stage 3: Examining security descriptors ...
Security descriptor verification completed.
 Phase duration (Security descriptor verification): 50.05 milliseconds.
  164939 data files processed.                                             Phase duration (Data attribute verification): 1.34 milliseconds.
CHKDSK is verifying Usn Journal...
  37026056 USN bytes processed.                                                            Usn Journal verification completed.
 Phase duration (USN journal verification): 121.67 milliseconds.

Windows has scanned the file system and found no problems.
No further action is required.

 975887436 KB total disk space.
 410325260 KB in 610743 files.
    430440 KB in 164940 indexes.
   1410692 KB in use by the system.
     65536 KB occupied by the log file.
 563721044 KB available on disk.

      4096 bytes in each allocation unit.
 243971859 total allocation units on disk.
 140930261 allocation units available on disk.
Total duration: 1.12 minutes (67555 ms).

----------------------------------------------------------------------


Stage 1: Examining basic file system structure ...

Stage 2: Examining file name linkage ...

Stage 3: Examining security descriptors ...

Vragen

Maar dit heeft dus niets opgelost...

Mijn vragen zijn dan ook:
* Hoe kan ik weten welke files allemaal corrupt zijn?
* Is er een manier om die te verwijderen (ik heb normaal van alles een backup)?
* Wat zou de oorzaak kunnen zijn?

Alle reacties

zondag 14 januari 2024 13:18

Acties:
  • +2 Henk 'm!
  • nelizmastr
  • Registratie: Maart 2010
  • Nu online

nelizmastr

Goed wies kapot

Draait de laptop op een SSD of nog een prehistorisch stuk rammelend ijzer?

Wat zegt bijv. een crystaldiskinfo of hdtune over de gezondheid van de schijf?

Al een virusscan gedraaid?

Als de schijf beschadigd is, kunnen er zomaar aan de lopende band meer bestanden corrumperen en uiteindelijk zal het systeem niet meer starten.

I reject your reality and substitute my own

zondag 14 januari 2024 13:23

Acties:
  • 0 Henk 'm!
  • Mastakilla
  • Registratie: Februari 2001
  • Laatst online: 16-05 14:01

Mastakilla

Topicstarter
Een SSD...

SMART waarden zijn 100% gezond (volgens HDD Sentinel). Ik zal zo crystaldiskinfo of hdtune er eens op proberen te zetten en een scan te laten lopen.

Defender is actief en ben nu net een offline scan begonnen.

edit: Defender heeft niets gevonden...

[ Voor 8% gewijzigd door Mastakilla op 14-01-2024 13:39 ]

zondag 14 januari 2024 14:17

Acties:
  • +1 Henk 'm!
  • The_Doman
  • Registratie: Augustus 2005
  • Laatst online: 10:52

The_Doman

In dit soort gevallen zou ik eerst eens een geheugentest laten uitvoeren.

Google: Windows Memory Test
Google: Memtest

zondag 14 januari 2024 14:23

Acties:
  • 0 Henk 'm!
  • Mastakilla
  • Registratie: Februari 2001
  • Laatst online: 16-05 14:01

Mastakilla

Topicstarter
Ik heb gisteren ook mdsched (Windows Memory Diagnostic) gelopen en heb die ook actief zien draaien, maar toen ik vervolgens naar de log zocht in event viewer, vond ik niets :?

Ben nu trouwens een surface test aan het lopen met HDD Sentinel.

[ Voor 16% gewijzigd door Mastakilla op 14-01-2024 14:24 ]

maandag 15 januari 2024 00:18

Acties:
  • 0 Henk 'm!
  • Mastakilla
  • Registratie: Februari 2001
  • Laatst online: 16-05 14:01

Mastakilla

Topicstarter
Dit is een screenshot van CrystalDiskInfo:
Afbeeldingslocatie: https://tweakers.net/i/W-AyrOPi2M2JbFSR3slLxrhZH_Q=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/KbNsnPZ7OsLFDcXrUe8ImwLp.png?f=user_large

En hier een screenshot van HD Tune (beetje vreemde snelheid in het begin)
Afbeeldingslocatie: https://tweakers.net/i/tteK0pNEPDVRot8xK1mj_It_dfY=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/jLoO8LdwYO45bSgpaitzWrjg.png?f=user_large

Surface test in HDD Sentinel vond geen enkele foute sector. Is er een scanner die op filesystem niveau kan checken? Iets dat file per file probeert te lezen... Er moet toch iets zijn dat kan zeggen welke files er allemaal corrupt en onleesbaar zijn?

maandag 15 januari 2024 05:52

Acties:
  • +1 Henk 'm!
  • EricJH
  • Registratie: November 2003
  • Laatst online: 01:11

EricJH

Installeer Teamviewer gewoon over de huidige Teamviewer installatie heen en kijk of dat het probleem oplost.

maandag 15 januari 2024 08:31

Acties:
  • 0 Henk 'm!
  • Mastakilla
  • Registratie: Februari 2001
  • Laatst online: 16-05 14:01

Mastakilla

Topicstarter
Of TeamViewer werkt, lijkt me nog het minste van mijn zorgen... Mij lijkt het veeeel belangrijker dat ik kan identificeren welke andere files nog onleesbaar zijn. En als ik op jou manier het probleem met TeamViewer oplos, dan zal ik nooit met zekerheid kunnen zeggen of er geen andere files nog een probleem hebben.

Dus nee, dat wil ik niet...

maandag 15 januari 2024 09:56

Acties:
  • 0 Henk 'm!
  • Mastakilla
  • Registratie: Februari 2001
  • Laatst online: 16-05 14:01

Mastakilla

Topicstarter
Zowel short als long/extended SMART self-test komen terug zonder fouten...

code:
1
2
3
4
5
6
7
8
9
10
11

C:\Windows\System32>Smartctl -l selftest /dev/sda
smartctl 7.4 2023-08-01 r5530 [x86_64-w64-mingw32-w11-b22631] (sf-7.4-1)
Copyright (C) 2002-23, Bruce Allen, Christian Franke, www.smartmontools.org

=== START OF SMART DATA SECTION ===
Self-test Log (NVMe Log 0x06)
Self-test status: No self-test in progress
Num  Test_Description  Status                       Power_on_Hours  Failing_LBA  NSID Seg SCT Code
 0   Extended          Completed without error                2704            -     -   -   -    -
 1   Short             Completed without error                2703            -     -   -   -    -
 2   Short             Completed without error                2702            -     -   -   -    -

[ Voor 71% gewijzigd door Mastakilla op 15-01-2024 10:57 ]

maandag 15 januari 2024 10:20

Acties:
  • 0 Henk 'm!
  • Mastakilla
  • Registratie: Februari 2001
  • Laatst online: 16-05 14:01

Mastakilla

Topicstarter
Bij gebrek aan tool die mij kan zeggen welke files op mijn filesystem onleesbaar zijn, dacht ik "ik maak gewoon zelf iets", maar als ik een cat (in powershell) of een type (in command prompt) op die uninstall.exe doe, dan is het alsof de file leeg is (terwijl hij wel degelijk niet-0-bytes is). De cat / type komen dan ook terug zonder foutmelding en met exit code 0 :'(
Dus mijn idee om dan maar zelf over alle files in het filesystem te loopen met een testje, is minder eenvoudig dan gedacht.
Als ik de file echter probeer uit te voeren vanuit command prompt of powershell, dan krijg ik wel dezelfde foutmelding...

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65

PS C:\WINDOWS\system32> dir 'C:\Program Files\TeamViewer\uninstall.exe'


    Directory: C:\Program Files\TeamViewer


Mode                 LastWriteTime         Length Name
----                 -------------         ------ ----
-a----         5/01/2024     17:34        1165944 uninstall.exe


PS C:\WINDOWS\system32> cat 'C:\Program Files\TeamViewer\uninstall.exe' | Measure-Object


Count    : 1
Average  :
Sum      :
Maximum  :
Minimum  :
Property :



PS C:\WINDOWS\system32> dir .\xcopy.exe


    Directory: C:\WINDOWS\system32


Mode                 LastWriteTime         Length Name
----                 -------------         ------ ----
-a----         7/05/2022      7:20          73728 xcopy.exe


PS C:\WINDOWS\system32> cat .\xcopy.exe | Measure-Object


Count    : 243
Average  :
Sum      :
Maximum  :
Minimum  :
Property :



PS C:\WINDOWS\system32> .\xcopy.exe
Invalid number of parameters
0 File(s) copied
PS C:\WINDOWS\system32> 'C:\Program Files\TeamViewer\uninstall.exe'
C:\Program Files\TeamViewer\uninstall.exe
PS C:\WINDOWS\system32> & 'C:\Program Files\TeamViewer\uninstall.exe'
Program 'uninstall.exe' failed to run: Bestand of map is beschadigd en onleesbaarAt line:1 char:1
+ & 'C:\Program Files\TeamViewer\uninstall.exe'
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~.
At line:1 char:1
+ & 'C:\Program Files\TeamViewer\uninstall.exe'
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : ResourceUnavailable: (:) [], ApplicationFailedException
    + FullyQualifiedErrorId : NativeCommandFailed

PS C:\WINDOWS\system32> cat 'C:\Program Files\TeamViewer\uninstall.exe'

PS C:\WINDOWS\system32> echo $?
True

maandag 15 januari 2024 11:45

Acties:
  • 0 Henk 'm!
  • Mastakilla
  • Registratie: Februari 2001
  • Laatst online: 16-05 14:01

Mastakilla

Topicstarter
'sfc -scannow' vond (en herstelde) trouwens ook problemen:
code:
1
2
3
4
5
6
7
8
9
10
11

C:\Windows\System32>sfc /scannow

Beginning system scan.  This process will take some time.

Beginning verification phase of system scan.
Verification 100% complete.

Windows Resource Protection found corrupt files and successfully repaired them.
For online repairs, details are included in the CBS log file located at
windir\Logs\CBS\CBS.log. For example C:\Windows\Logs\CBS\CBS.log. For offline
repairs, details are included in the log file provided by the /OFFLOGFILE flag.


In de log file vond ik volgende errors:
code:
1
2
3
4
5

2024-01-15 11:05:36, Error                 CSI    00001421 (F) STATUS_OBJECT_NAME_NOT_FOUND #82436# from Windows::Rtl::SystemImplementation::DirectFileSystemProvider::SysCreateFile(flags = 0, handle = {provider=NULL, handle=0, name= ("null")}, da = (FILE_GENERIC_READ|DELETE), oa = @0xcccd0fd330->OBJECT_ATTRIBUTES {s:48; rd:NULL; on:[116]'\??\C:\WINDOWS\Servicing\Packages\Microsoft-Windows-Kernel-LA57-FoD-Package~31bf3856ad364e35~amd64~~10.0.22621.1.cat'; a:(OBJ_CASE_INSENSITIVE)}, iosb = @0xcccd0fd390, as = (null), fa = (FILE_ATTRIBUTE_NORMAL), sa = (FILE[gle=0xd0000034]
2024-01-15 11:05:36, Error                 CSI    _SHARE_READ|FILE_SHARE_WRITE|FILE_SHARE_DELETE), cd = FILE_OPEN, co = (FILE_NON_DIRECTORY_FILE|FILE_SYNCHRONOUS_IO_NONALERT), eab = NULL, eal = 0, disp = Invalid)
[gle=0xd0000034]
2024-01-15 11:05:36, Error                 CSI    00001422 (F) STATUS_OBJECT_NAME_NOT_FOUND #82435# from Windows::Rtl::SystemImplementation::CSystemIsolationLayer_IRtlSystemIsolationLayerTearoff::OpenFilesystemFile(flags = 0, da = (FILE_GENERIC_READ|DELETE), fn = [l:116]'\??\C:\WINDOWS\Servicing\Packages\Microsoft-Windows-Kernel-LA57-FoD-Package~31bf3856ad364e35~amd64~~10.0.22621.1.cat', sa = (FILE_SHARE_READ|FILE_SHARE_WRITE|FILE_SHARE_DELETE), oo = (FILE_SYNCHRONOUS_IO_NONALERT|FILE_NON_DIRECTORY_FILE), file = NULL, disp = (null))
[gle=0xd0000034]

sfc heeft maw enkel "Windows-files" gescand en hersteld. En niet bv die TeamViewer files...

maandag 15 januari 2024 12:00

Acties:
  • +2 Henk 'm!
  • The_Doman
  • Registratie: Augustus 2005
  • Laatst online: 10:52

The_Doman

Lastig probleem om te doorgronden wat er nu precies mis gaat.
Dat het systeem regelmatig vastloopt geeft wel de gedachte dat er een probleem is met geheugen of de SSD

Eerst zou ik eens dat memtest86 programma gebruiken om het geheugen echt goed te testen.
HDD/SSD betrouwbaarheid zou je kunnen testen met H2TestW.
Deze schrijft data naar een opslagmedium en blijft deze dan herhaaldelijk verifiëren.

SFC is een goede check, maar deze kan zelf ook soms fouten aangeven die er niet zijn.
Hier nog een topic over bestandsbeschadiging onder Windows, interessant wel om dan Windows file compressie te gebruiken om eventuele datacorruptie te kunnen herkennen.
Heel veel corruptie bij pc en laptops met windows 11 en 10.

Je kan eventueel een In-place Upgrade/Repair uitvoeren via een ISO/USB.

maandag 15 januari 2024 14:40

Acties:
  • +1 Henk 'm!
  • passer
  • Registratie: November 2002
  • Laatst online: 11:47

passer

Vertellen je logboeken niets?

dinsdag 16 januari 2024 09:05

Acties:
  • 0 Henk 'm!
  • Mastakilla
  • Registratie: Februari 2001
  • Laatst online: 16-05 14:01

Mastakilla

Topicstarter
H2TestW heb ik zonder problemen kunnen lopen, maar dat lijkt me ongeveer hetzelfde te doen als een surface test in HD Sentinel maar dan veeeeel beperkter (HD Sentinel kan bv ook bestaande data "refreshen" en testen)

De laptop heeft zonet zonder problemen 20u Prime95 blend (= ook heel memory intensief) achter de rug. Temps hierbij bleven erg goed (max 78°C, maar 99% van de tijd minder 60°C).

edit:
Memtest86 heeft na enkele uren trouwens ook niets gevonden

[ Voor 6% gewijzigd door Mastakilla op 16-01-2024 23:42 ]

woensdag 17 januari 2024 09:19

Acties:
  • 0 Henk 'm!
  • Mastakilla
  • Registratie: Februari 2001
  • Laatst online: 16-05 14:01

Mastakilla

Topicstarter
Hij is vannacht weer gecrasht om 0u46. Hieronder de logs hiervan

Afbeeldingslocatie: https://tweakers.net/i/Q_6dNgbSEIFyNRoBqcXieCziGnY=/800x/filters:strip_exif()/f/image/bq0YJhnVAs2ox8cvrDUf22HL.png?f=fotoalbum_large

woensdag 17 januari 2024 09:24

Acties:
  • 0 Henk 'm!
  • passer
  • Registratie: November 2002
  • Laatst online: 11:47

passer

Surf eens op eventlog 6008

woensdag 17 januari 2024 10:00

Acties:
  • 0 Henk 'm!
  • Mastakilla
  • Registratie: Februari 2001
  • Laatst online: 16-05 14:01

Mastakilla

Topicstarter
Wat bedoel je precies? Want de webpaginas die ik hierover vind gaan over "oplossen dat er een onverwachte event 6008 is".

Die event 6008 is mijn geval namelijk absoluut niet onverwacht, ik weet nl exact waardoor hij komt... Hij komt nl omdat ik de powerknop 5 seconden indruk :)
Dat is nl de enige manier om de laptop opnieuw te kunnen opstarten als hij vast loopt...

[ Voor 16% gewijzigd door Mastakilla op 17-01-2024 10:30 ]

woensdag 17 januari 2024 10:28

Acties:
  • 0 Henk 'm!
  • Mastakilla
  • Registratie: Februari 2001
  • Laatst online: 16-05 14:01

Mastakilla

Topicstarter
En hij is net weeral gecrasht :/

Beide crashes waren terwijl ik een HD Sentinel surface test aan het lopen was (kan toeval zijn of niet). Wou daar nl nog een screenshot van nemen...

[ Voor 75% gewijzigd door Mastakilla op 17-01-2024 10:30 ]

woensdag 17 januari 2024 10:44

Acties:
  • 0 Henk 'm!
  • passer
  • Registratie: November 2002
  • Laatst online: 11:47

passer

Waarom postte je dat plaatje dan :?

geen foutmeldingen bij Toepassingen?

woensdag 17 januari 2024 10:47

Acties:
  • +1 Henk 'm!
  • The_Doman
  • Registratie: Augustus 2005
  • Laatst online: 10:52

The_Doman

In begrijp dat de laptop dus vastloopt/freezed zonder enige BSOD stopcode waaruit je nog iets kan afleiden?
Dat lijkt toch weer een serieus hardware probleem.
Sinds wanneer is het probleem eigenlijk ontstaan?
Is er iets veranderd (upgrade?) aan de laptop?
En om welke laptop gaat het eigenlijk?

Eigenlijk zou je ook eens een schone test installatie moeten doen
Backup (image) maken dan wel natuurlijk, wat dan ook meteen een goede test van het systeem zou zijn.
Doe dan wel een backup controle (verify), ook weer uit voorzorg zeker bij een onstabiel systeem
Eventueel:
SSD plaatsen en clonen oude SSD

Zelf zou ik ook eens testen met een andere SSD indien mogelijk.

woensdag 17 januari 2024 12:13

Acties:
  • 0 Henk 'm!
  • Mastakilla
  • Registratie: Februari 2001
  • Laatst online: 16-05 14:01

Mastakilla

Topicstarter
passer schreef op woensdag 17 januari 2024 @ 10:44:
Waarom postte je dat plaatje dan :?

geen foutmeldingen bij Toepassingen?
Omdat je vroeg naar de logboeken...

Ik zag er niets nuttig in staan, maar misschien kijk ik er over. Vandaar dat ik die screenshot voor je postte...

Ik zal zo eens kijken onder toepassingen...

[ Voor 6% gewijzigd door Mastakilla op 17-01-2024 12:15 ]

woensdag 17 januari 2024 12:14

Acties:
  • 0 Henk 'm!
  • Mastakilla
  • Registratie: Februari 2001
  • Laatst online: 16-05 14:01

Mastakilla

Topicstarter
Intussen is het ook gelukt om HD Sentinel surface test te lopen zonder een crash:
Afbeeldingslocatie: https://tweakers.net/i/pWSkTbqAfLpkloqX5wVyWyZ4HIA=/800x/filters:strip_exif()/f/image/Z4GwbMEoZbcRxVIcks6SQXzK.png?f=fotoalbum_large
Afbeeldingslocatie: https://tweakers.net/i/n-jVIVBKC0vxDVXEVsBNpcaHy8E=/800x/filters:strip_exif()/f/image/yZsa4LEd7h1JrH0jqKrTGMxA.png?f=fotoalbum_large

[ Voor 28% gewijzigd door Mastakilla op 17-01-2024 13:40 ]

woensdag 17 januari 2024 18:40

Acties:
  • +1 Henk 'm!
  • EricJH
  • Registratie: November 2003
  • Laatst online: 01:11

EricJH

Scan de laptop eens op malware met de volgende tools:
Hitman Pro
Emsisoft Emergency Kit
Super Antispyware

Heb je voorafgaand aan de problemen nieuwe programma's of updates voor programma's geinstalleerd?

donderdag 18 januari 2024 20:21

Acties:
  • 0 Henk 'm!
  • Mastakilla
  • Registratie: Februari 2001
  • Laatst online: 16-05 14:01

Mastakilla

Topicstarter
The_Doman schreef op woensdag 17 januari 2024 @ 10:47:
In begrijp dat de laptop dus vastloopt/freezed zonder enige BSOD stopcode waaruit je nog iets kan afleiden?
Dat lijkt toch weer een serieus hardware probleem.
Sinds wanneer is het probleem eigenlijk ontstaan?
Is er iets veranderd (upgrade?) aan de laptop?
En om welke laptop gaat het eigenlijk?

Eigenlijk zou je ook eens een schone test installatie moeten doen
Backup (image) maken dan wel natuurlijk, wat dan ook meteen een goede test van het systeem zou zijn.
Doe dan wel een backup controle (verify), ook weer uit voorzorg zeker bij een onstabiel systeem
Eventueel:
SSD plaatsen en clonen oude SSD

Zelf zou ik ook eens testen met een andere SSD indien mogelijk.
Laptop loopt idd vast zonder BSOD. Lijkt idd te wijzen op HW probleem, maar dan is het wel vreemd dat Memtest86, Prime95 Blend het niet kunnen triggeren. Surface test van HDD heeft het wel 2x laten vastlopen, maar in die zelfde tijd is het ook nog enkele malen vastgelopen toen de laptop gewoon aan idlen was, dus veel zegt dat niet...

Sinds wanneer het gebeurt weet ik niet zeker. Volgens de event log hieronder, lijkt het al wel enkele maanden aan de gang (ik denk niet dat die enkele keren in het begin van het jaar dezelfde oorzaak hadden).
Afbeeldingslocatie: https://tweakers.net/i/dDCXjn_Wbu66HL3MeGcMwu-uJ6w=/800x/filters:strip_exif()/f/image/q5RbjXxekaNkIyaQYmRTTsJS.png?f=fotoalbum_large

Wat er exact allemaal veranderd is in die periode kan ik moeilijk zeggen (het is dan ook mijn vrouw haar laptop). De upgrade van Windows 10 naar Windows 11 staat er al een jaar op, dus ik DENK niet dat dat het is...
Afbeeldingslocatie: https://tweakers.net/i/OvVWUlEPQ5pPQb4sshnedJy8de0=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/lKz5rdeq1bmfIXEpYWXMwW95.png?f=user_large

Het gaat om volgende laptop:
uitvoering: HP Envy x360 15-bp104nb (Belgisch model)
Waar volgende verandering zijn aan gebeurd:
* Batterij begon op te zwellen en omdat fake batterij van www.replacedirect.be niet werkte en originele batterij belachelijk duur is, loopt hij sindsdien zonder batterij (enkel op netstroom). Dit is reeds sinds begin 2022.
* Heb de vastgesoldeerde 4GB RAM uitgebreid met 8GB RAM (12GB in totaal dus). Dit is ook al zeker 2 jaar geleden
* Heb de 256GB SSD vervangen door een 1TB SSD en Windows 10 toen ook geherinstalleerd. Ook al zeker 2 jaar geleden.

Herinstallatie overweeg ik. Maar dan moet ik eerst de oorzaak weten / oplossen. Veeam maakt dagelijks een backup naar mijn NAS. Maar ik vind het wel verontrustend dat als ik de onleesbare file met Command Prompt of Explorer kopieer, er geen foutmelding is en ook de kopie onleesbaar is... :/

Een reserve 1TB SSD heb ik niet vrees ik :/

donderdag 18 januari 2024 20:24

Acties:
  • 0 Henk 'm!
  • Mastakilla
  • Registratie: Februari 2001
  • Laatst online: 16-05 14:01

Mastakilla

Topicstarter
EricJH schreef op woensdag 17 januari 2024 @ 18:40:
Scan de laptop eens op malware met de volgende tools:
Hitman Pro
Emsisoft Emergency Kit
Super Antispyware

Heb je voorafgaand aan de problemen nieuwe programma's of updates voor programma's geinstalleerd?
Ok hier zijn de resultaten (heb ze allemaal ook in safe mode gelopen):

Emsisoft Emergency Kit

Niets gevonden:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26

Emsisoft Emergency Kit - Versie 2023.10
Laatste Update: 18/01/2024 21:15:01
Mijn eigen LAPTOP-ELKE\elkep
 LAPTOP-ELKE
 Windows 11x64 

Scaninstellingen:

Scanmodus: Aangepaste scan
Objecten: Geheugen, Sporen, C:\

Detecteer PUPs: AAN
Scan archieven: AAN
Scan email data bestanden: AAN
ADS Scan: AAN

Scan gestart:   18/01/2024 22:30:22

Gescand:    742661
Gevonden:   0
Geheugen scannen... 
Sporen zoeken... 
Bestanden scannen... 

Scan geëindigd: 19/01/2024 0:30:55
Scantijd:   2:00:33

Super Antispyware

Enkel wat tracking cookies:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136

SUPERAntiSpyware Scan Log
https://www.superantispyware.com

Generated 01/18/2024 at 10:23 PM

Application Version : 10.0.1260
Database Version : 17956

Scan type       : Complete Scan
Total Scan Time : 00:31:56

Operating System Information
Windows 10 Professional 64-bit (Build 10.00.22631)
UAC Off - Administrator

Memory items scanned      : 710
Memory items detected   : 0
Registry items scanned    : 45480
Registry items detected : 0
File items scanned        : 183480
File items detected     : 109

Adware.Tracking Cookie
    .aaxads.com\gdpr_status [ C:\USERS\ELKEP\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .amazon-adsystem.com\ad-id [ C:\USERS\ELKEP\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .amazon-adsystem.com\ad-privacy [ C:\USERS\ELKEP\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .criteo.com\uid [ C:\USERS\ELKEP\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .csxd.contentsquare.net\_cs_cvars___1255 [ C:\USERS\ELKEP\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .csxd.contentsquare.net\_cs_id___1255 [ C:\USERS\ELKEP\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .eyeota.net\SERVERID [ C:\USERS\ELKEP\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .innovid.com\uuid [ C:\USERS\ELKEP\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .quantserve.com\d [ C:\USERS\ELKEP\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .quantserve.com\mc [ C:\USERS\ELKEP\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .spotxchange.com\audience [ C:\USERS\ELKEP\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\NETWORK\COOKIES ]
    support.hp.com\kampyleSessionPageCounter [ C:\USERS\ELKEP\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .0cf.io\_dbid [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .affirm.com\tracker_device [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .bitrix.info\bx_user_id [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .brand-display.com\_knxq_ [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .bumlam.com\suuid3 [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .doodle.com\doodle_tracking_id [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .e-volution.ai\llum [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .fandom.com\tracking-opt-in-status [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .fandom.com\tracking-opt-in-version [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .hit.gemius.pl\Gdynp [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .hit.gemius.pl\Gdynp [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .hit.gemius.pl\Gdynp [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .hln.be\temptationTrackingId [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .ispot.tv\pt [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .kbc.be\sat_track [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .ladsp.com\smn_uid [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .lytics.io\seerid [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .mgid.com\muidn [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .onaudience.com\cookie [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .onetag-sys.com\OTP [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .prfct.co\pa_google_ts [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .prfct.co\pa_openx_ts [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .prfct.co\pa_rubicon_ts [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .prfct.co\pa_twitter_ts [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .prfct.co\pa_uid [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .prfct.co\pa_yahoo_ts [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .revjet.com\trx [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .slack.com\show_download_ssb_banner [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .zeotap.com\zc [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    api.doodle.com\doodle_tracking_id [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    beacon.lynx.cognitivlabs.com\UID [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    beacon.lynx.cognitivlabs.com\ss [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    kbctouch.kbc.be\LOG_TRACKING_COOKIE [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    recommender.scarabresearch.com\cdv [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    recommender.scarabresearch.com\xp [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    www.bruzz.be\wingify_donot_track_actions [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    www.doordachtdigitaal.be\cookielawinfo-checkbox-advertisement [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    www.nannyinnood.com\cmplz_banner-status [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    www.relaxy.be\relaxy_tracking [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    www.thomasmore.be\wingify_donot_track_actions [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    yourfreecounter.com\uid_id2 [ C:\USERS\ELKEP\APPDATA\LOCAL\MICROSOFT\EDGE\USER DATA\DEFAULT\NETWORK\COOKIES ]
    .adsensecustomsearchads.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickup.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickup.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .pages.clickup.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    clickup.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickup.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickup.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickx.be [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickup.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickx.be [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickup.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickup.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickx.be [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickx.be [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickup.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickx.be [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickup.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickup.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickup.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    tracking.g2crowd.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickup.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickup.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickx.be [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .www.clickx.be [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickup.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .sjv.io [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickup.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .www.clickx.be [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    webfiles.ucll.be [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    webfiles.ucll.be [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    webfiles.ucll.be [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickx.be [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickx.be [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickx.be [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickx.be [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickx.be [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickx.be [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickx.be [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    www.clickx.be [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickup.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickup.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .trafficguard.ai [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .trafficguard.ai [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    uaadcodedsp.rontar.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickx.be [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickup.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickup.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickup.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickup.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickup.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickup.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickup.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickup.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickup.com [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickx.be [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]
    .clickx.be [ C:\USERS\ELKEP\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\ER40ZZK1.DEFAULT-RELEASE\COOKIES.SQLITE ]

============
 End of Log 
============

Hitman Pro

Hitman Pro heeft in mijn ogen wel wat verdachte dingen gevonden...

Als ik hem gewoon loop, dan vind ie wat tracking cookies en een vreemde file gerelateerd aan MS Teams. Hoewel dat de file signed is door MS en VirusTotal er niets over kan vinden, is het toch erg verdacht dat hij verborgen is...

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84

HitmanPro3.8.34.330
www.hitmanpro.com

Computername....:LAPTOP-ELKE
Windows.......:10.0.0.22631.X64/8
Username......:LAPTOP-ELKE\elkep
UAC.........:Enabled
License.......:Free

Scandate......:2024-01-1820:32:57
Scanmode......:Normal
Scanduration....:2m20s
Diskaccessmode..:Directdiskaccess(SRB)
Cloud........:Internet
Reboot.......:No
CloseBrowser....:Yes
CloseRemember...:No

Threats.......:0
Traces.......:37

Objectsscanned...:3.388.153
Filesscanned....:227.074
Remnantsscanned..:1.333.255files/1.827.824keys

Suspiciousfiles____________________________________________________________

C:\ProgramData\elkep\Microsoft\Teams\Update.exe
Size.......:2.591.080bytes
Age.......:848.5days(2021-09-2208:58:54)
Entropy.....:5.9
SHA-256.....:15DCC8C270A9313AA7F6461DDFD5BF0566CAE0DDFF52AC88DF247BB104145853
Product.....:MicrosoftTeams
Publisher....:MicrosoftCorporation
Description...:MicrosoftTeamsclassic
Version.....:3.3.9.1
RSAKeySize...:2048
LanguageID....:0
Authenticode...:Valid
Fuzzy......:23.0
Thefileiscompletelyhiddenfromviewandmostantivirusproducts.Itmaybelongtoarootkit.
Programstartsautomaticallywithoutuserintervention.
UsestheWindowsRegistrytoruneachtimetheuserlogson.
ProgramiscodesignedwithavalidAuthenticodecertificate.
Startup
HKU\S-1-5-21-2030799542-1875557044-1553952482-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\com.squirrel.Teams.Teams
References
C:\Users\elkep\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\MicrosoftTeams(workorschool).lnk

Cookies_____________________________________________________________________
C:\Users\elkep\AppData\Local\Google\Chrome\UserData\Default\Network\Cookies:addthis.com
C:\Users\elkep\AppData\Local\Google\Chrome\UserData\Default\Network\Cookies:adnxs.com
C:\Users\elkep\AppData\Local\Google\Chrome\UserData\Default\Network\Cookies:adsrvr.org
C:\Users\elkep\AppData\Local\Google\Chrome\UserData\Default\Network\Cookies:agkn.com
C:\Users\elkep\AppData\Local\Google\Chrome\UserData\Default\Network\Cookies:casalemedia.com
C:\Users\elkep\AppData\Local\Google\Chrome\UserData\Default\Network\Cookies:crwdcntrl.net
C:\Users\elkep\AppData\Local\Google\Chrome\UserData\Default\Network\Cookies:demdex.net
C:\Users\elkep\AppData\Local\Google\Chrome\UserData\Default\Network\Cookies:dlx.addthis.com
C:\Users\elkep\AppData\Local\Google\Chrome\UserData\Default\Network\Cookies:doubleclick.net
C:\Users\elkep\AppData\Local\Google\Chrome\UserData\Default\Network\Cookies:dpm.demdex.net
C:\Users\elkep\AppData\Local\Google\Chrome\UserData\Default\Network\Cookies:e.dlx.addthis.com
C:\Users\elkep\AppData\Local\Google\Chrome\UserData\Default\Network\Cookies:everesttech.net
C:\Users\elkep\AppData\Local\Google\Chrome\UserData\Default\Network\Cookies:flashtalking.com
C:\Users\elkep\AppData\Local\Google\Chrome\UserData\Default\Network\Cookies:mathtag.com
C:\Users\elkep\AppData\Local\Google\Chrome\UserData\Default\Network\Cookies:mxptint.net
C:\Users\elkep\AppData\Local\Google\Chrome\UserData\Default\Network\Cookies:openx.net
C:\Users\elkep\AppData\Local\Google\Chrome\UserData\Default\Network\Cookies:pubmatic.com
C:\Users\elkep\AppData\Local\Google\Chrome\UserData\Default\Network\Cookies:rlcdn.com
C:\Users\elkep\AppData\Local\Google\Chrome\UserData\Default\Network\Cookies:rum.optimizely.com
C:\Users\elkep\AppData\Local\Google\Chrome\UserData\Default\Network\Cookies:scorecardresearch.com
C:\Users\elkep\AppData\Local\Google\Chrome\UserData\Default\Network\Cookies:turn.com
C:\Users\elkep\AppData\Local\Google\Chrome\UserData\Default\Network\Cookies:w55c.net
C:\Users\elkep\AppData\Local\Microsoft\Edge\UserData\Default\Network\Cookies:ad.gt
C:\Users\elkep\AppData\Local\Microsoft\Edge\UserData\Default\Network\Cookies:addthis.com
C:\Users\elkep\AppData\Local\Microsoft\Edge\UserData\Default\Network\Cookies:adform.net
C:\Users\elkep\AppData\Local\Microsoft\Edge\UserData\Default\Network\Cookies:adnxs.com
C:\Users\elkep\AppData\Local\Microsoft\Edge\UserData\Default\Network\Cookies:ads.bidstreamserver.com
C:\Users\elkep\AppData\Local\Microsoft\Edge\UserData\Default\Network\Cookies:ads.travelaudience.com
C:\Users\elkep\AppData\Local\Microsoft\Edge\UserData\Default\Network\Cookies:casalemedia.com
C:\Users\elkep\AppData\Local\Microsoft\Edge\UserData\Default\Network\Cookies:ctnsnet.com
C:\Users\elkep\AppData\Local\Microsoft\Edge\UserData\Default\Network\Cookies:doubleclick.net
C:\Users\elkep\AppData\Local\Microsoft\Edge\UserData\Default\Network\Cookies:googleadservices.com
C:\Users\elkep\AppData\Local\Microsoft\Edge\UserData\Default\Network\Cookies:pixel.rubiconproject.com
C:\Users\elkep\AppData\Local\Microsoft\Edge\UserData\Default\Network\Cookies:scorecardresearch.com

Afbeeldingslocatie: https://tweakers.net/i/JwposZzl5FIBI3UYPgmM3v11wI0=/x800/filters:strip_exif()/f/image/rx0POOVziWI6Ixo72A0lu4vK.png?f=fotoalbum_large

Als ik nadien nogmaals in safe mode Hitman Pro draai, dan vind hij diezelfde file en nog een andere verdachte file. Het lukt me echter niet om hier een log van op te slagen. Iedere keer crashed Hitman Pro (dit is enkel in safe mode :? )

Ik heb er dan maar enkele screenshots van genomen:
Afbeeldingslocatie: https://tweakers.net/i/wIyAUuSxrJpZ-YGCEd9xUZ3Nyi0=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/hAiCAg8KOh52jRqJr9zWpW6R.png?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/ZSHoqRz6fcAn31p-iNybabQFQoc=/full-fit-in/4000x4000/filters:no_upscale():fill(white):strip_exif()/f/image/13lssl2k9RF1TpBUgeRTVoQf.png?f=user_large
Afbeeldingslocatie: https://tweakers.net/i/d39y_F67vzQ89AfrR5aG-45u52U=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/LBlTRtwm8oyNUKp7qGEURxxe.jpg?f=user_large

Afbeeldingslocatie: https://tweakers.net/i/nAWRNc8sMZtHg79aMuVMKBm9qSA=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/iz46S9tRxZoNdPvOnV85d2BO.jpg?f=user_large
Afbeeldingslocatie: https://tweakers.net/i/ayMYA2Si03qqUj6KgvBKhXnvgYQ=/full-fit-in/4920x3264/filters:max_bytes(3145728):no_upscale():strip_icc():fill(white):strip_exif()/f/image/CxWXXIZiMtkC5uH8I4PFxeel.jpg?f=user_large

De eerste file is dezelfde als van de eerste scan en is dus verdacht omdat hij zich probeert te verstoppen. Die tweede file vind hij zelfs enkel in safe mode en in de description staat een taal waar ik zelfs niet kan herkennen.

Maar ook deze keer vind hij niets in VirusTotal:
Afbeeldingslocatie: https://tweakers.net/i/IMAqE3zyEZMLQth4oexYt7mUxjo=/x800/filters:strip_exif()/f/image/0t1q2kol3QOujZLqD6zGBcG9.png?f=fotoalbum_large

[ Voor 99% gewijzigd door Mastakilla op 19-01-2024 01:51 ]

donderdag 18 januari 2024 20:38

Acties:
  • +1 Henk 'm!
  • Dracoz
  • Registratie: Maart 2006
  • Laatst online: 12:12

Dracoz

Mastakilla schreef op maandag 15 januari 2024 @ 11:45:
'sfc -scannow' vond (en herstelde) trouwens ook problemen:
code:
1
2
3
4
5
6
7
8
9
10
11

C:\Windows\System32>sfc /scannow

Beginning system scan.  This process will take some time.

Beginning verification phase of system scan.
Verification 100% complete.

Windows Resource Protection found corrupt files and successfully repaired them.
For online repairs, details are included in the CBS log file located at
windir\Logs\CBS\CBS.log. For example C:\Windows\Logs\CBS\CBS.log. For offline
repairs, details are included in the log file provided by the /OFFLOGFILE flag.


In de log file vond ik volgende errors:
code:
1
2
3
4
5

2024-01-15 11:05:36, Error                 CSI    00001421 (F) STATUS_OBJECT_NAME_NOT_FOUND #82436# from Windows::Rtl::SystemImplementation::DirectFileSystemProvider::SysCreateFile(flags = 0, handle = {provider=NULL, handle=0, name= ("null")}, da = (FILE_GENERIC_READ|DELETE), oa = @0xcccd0fd330->OBJECT_ATTRIBUTES {s:48; rd:NULL; on:[116]'\??\C:\WINDOWS\Servicing\Packages\Microsoft-Windows-Kernel-LA57-FoD-Package~31bf3856ad364e35~amd64~~10.0.22621.1.cat'; a:(OBJ_CASE_INSENSITIVE)}, iosb = @0xcccd0fd390, as = (null), fa = (FILE_ATTRIBUTE_NORMAL), sa = (FILE[gle=0xd0000034]
2024-01-15 11:05:36, Error                 CSI    _SHARE_READ|FILE_SHARE_WRITE|FILE_SHARE_DELETE), cd = FILE_OPEN, co = (FILE_NON_DIRECTORY_FILE|FILE_SYNCHRONOUS_IO_NONALERT), eab = NULL, eal = 0, disp = Invalid)
[gle=0xd0000034]
2024-01-15 11:05:36, Error                 CSI    00001422 (F) STATUS_OBJECT_NAME_NOT_FOUND #82435# from Windows::Rtl::SystemImplementation::CSystemIsolationLayer_IRtlSystemIsolationLayerTearoff::OpenFilesystemFile(flags = 0, da = (FILE_GENERIC_READ|DELETE), fn = [l:116]'\??\C:\WINDOWS\Servicing\Packages\Microsoft-Windows-Kernel-LA57-FoD-Package~31bf3856ad364e35~amd64~~10.0.22621.1.cat', sa = (FILE_SHARE_READ|FILE_SHARE_WRITE|FILE_SHARE_DELETE), oo = (FILE_SYNCHRONOUS_IO_NONALERT|FILE_NON_DIRECTORY_FILE), file = NULL, disp = (null))
[gle=0xd0000034]

sfc heeft maw enkel "Windows-files" gescand en hersteld. En niet bv die TeamViewer files...
SFC zal ook nooit de TeamViewer files gaan herstellen, dit is namelijk een sytem file checker.
Tevens spuugt die ook een aantal errors. Hiervoor zou je eventueel SFCFIX kunnen proberen.

Wat betreft TeamViewer, ik zou deze geheel verwijderen en opnieuw installeren volgens de advanced uninstall instructions: https://community.teamvie...ed-uninstall-instructions

Vergeet hierbij ook niet ff je C:\Program Files\TeamViewer map te legen voordat je TeamViewer gaat installeren.

Ryzen 7 7800X3D ,MSI PRO X670-P WIFI, 2x16GB DDR5 6000Mhz, Nvidia RTX2070 Super

donderdag 18 januari 2024 20:49

Acties:
  • +1 Henk 'm!
  • Yaksa
  • Registratie: December 2008
  • Nu online

Yaksa

Kan het niet een voedingsprobeem zijn, dat er met het opzwellen van de batterij ook iets in het netsnoer + voeding niet goed gegaan is? Wordt de adapter misschien te warm?

Only two things are infinite, the universe and human stupidity, and I'm not sure about the former

donderdag 18 januari 2024 21:05

Acties:
  • +1 Henk 'm!
  • EricJH
  • Registratie: November 2003
  • Laatst online: 01:11

EricJH

Andere denkrichting. Misschien dat je AV beveiliging of firewall iets raars doet? Welk(e) beveiligingsprogramma('s) heb je geinstalleerd. Kijk eens wat gebeurt als je deze deinstalleert en Wndows opnieuw opstart.

vrijdag 19 januari 2024 01:56

Acties:
  • 0 Henk 'm!
  • Mastakilla
  • Registratie: Februari 2001
  • Laatst online: 16-05 14:01

Mastakilla

Topicstarter
Dracoz schreef op donderdag 18 januari 2024 @ 20:38:
[...]


SFC zal ook nooit de TeamViewer files gaan herstellen, dit is namelijk een sytem file checker.
Tevens spuugt die ook een aantal errors. Hiervoor zou je eventueel SFCFIX kunnen proberen.

Wat betreft TeamViewer, ik zou deze geheel verwijderen en opnieuw installeren volgens de advanced uninstall instructions: https://community.teamvie...ed-uninstall-instructions

Vergeet hierbij ook niet ff je C:\Program Files\TeamViewer map te legen voordat je TeamViewer gaat installeren.
SFCfix kan niets meer vinden (dacht ook dat ik gezien dat sfc zelf alles al had kunnen herstellen)
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

SFCFix version 3.0.2.1 by niemiro.
Start time: 2024-01-19 01:17:17.847
Microsoft Windows 10 Build 22631 - amd64
Not using a script file.

AutoAnalysis::
SUMMARY: No corruptions were detected.
AutoAnalysis:: directive completed successfully.

Successfully processed all directives.

Failed to generate a complete zip file. Upload aborted.

SFCFix version 3.0.2.1 by niemiro has completed.
Currently storing 0 datablocks.
Finish time: 2024-01-19 01:52:45.380
----------------------EOF-----------------------


Zoals ik eerder al zei:
Of TeamViewer nu werkt of niet, kan me eigenlijk niet schelen...

Ik wil vooral weten welke files impacted zijn... (zodat ik, bij belangrijke files, kan nakijken of mijn backups ervan nog in orde zijn)
In tweede instantie zou het ook leuk zijn te weten waarom het gebeurt en hoe het te herstellen (voor alle files dan, niet TeamViewer specifiek).

vrijdag 19 januari 2024 01:58

Acties:
  • 0 Henk 'm!
  • Mastakilla
  • Registratie: Februari 2001
  • Laatst online: 16-05 14:01

Mastakilla

Topicstarter
Yaksa schreef op donderdag 18 januari 2024 @ 20:49:
Kan het niet een voedingsprobeem zijn, dat er met het opzwellen van de batterij ook iets in het netsnoer + voeding niet goed gegaan is? Wordt de adapter misschien te warm?
Goed idee!!

De adapter voelt echter amper warm aan...

vrijdag 19 januari 2024 01:59

Acties:
  • 0 Henk 'm!
  • Mastakilla
  • Registratie: Februari 2001
  • Laatst online: 16-05 14:01

Mastakilla

Topicstarter
EricJH schreef op donderdag 18 januari 2024 @ 21:05:
Andere denkrichting. Misschien dat je AV beveiliging of firewall iets raars doet? Welk(e) beveiligingsprogramma('s) heb je geinstalleerd. Kijk eens wat gebeurt als je deze deinstalleert en Wndows opnieuw opstart.
Ik heb gewoon de standaard MS meuk (MS Defender, MS Firewall).
Zal ze morgen eens proberen uit te zetten...

vrijdag 19 januari 2024 02:05

Acties:
  • 0 Henk 'm!
  • Mastakilla
  • Registratie: Februari 2001
  • Laatst online: 16-05 14:01

Mastakilla

Topicstarter
Fyi:
Ik heb mijn post hierboven ivm de virus / malware scanners (https://gathering.tweakers.net/forum/view_message/77854792) geupdate.

Ik vind wat Hitman Pro vond toch maar wat vreemd. Het lijken allemaal officiële files en VirusTotal vind niets, maar waarom zou een update.exe van Microsoft zich proberen te verbergen? En waarom zou een printconfig.dll zo'n vreemde taal in zijn description hebben en enkel maar gedetecteerd worden in safe mode?

Dat echter niets het als virus of malware herkent, lijkt me echter te wijzen op een FBI / Mossad niveau van hackers en zo interessant ben ik bij mijn weten nu ook weer niet :?

vrijdag 19 januari 2024 05:23

Acties:
  • +1 Henk 'm!
  • EricJH
  • Registratie: November 2003
  • Laatst online: 01:11

EricJH

Mastakilla schreef op vrijdag 19 januari 2024 @ 02:05:
Fyi:
Ik heb mijn post hierboven ivm de virus / malware scanners (https://gathering.tweakers.net/forum/view_message/77854792) geupdate.

Ik vind wat Hitman Pro vond toch maar wat vreemd. Het lijken allemaal officiële files en VirusTotal vind niets, maar waarom zou een update.exe van Microsoft zich proberen te verbergen? En waarom zou een printconfig.dll zo'n vreemde taal in zijn description hebben en enkel maar gedetecteerd worden in safe mode?

Dat echter niets het als virus of malware herkent, lijkt me echter te wijzen op een FBI / Mossad niveau van hackers en zo interessant ben ik bij mijn weten nu ook weer niet :?
Ik de file hash van update.exe in VT opgezocht. Het is inderdaad gewoon een executable van Microsoft.

Kun je de hash of VT link van het andere bestand hier posten? Dan kunnen we we even meekijken.

vrijdag 19 januari 2024 05:23

Acties:
  • +1 Henk 'm!
  • sh4d0wman
  • Registratie: April 2002
  • Laatst online: 11:29

sh4d0wman

Attack | Exploit | Pwn

Hmm, zowel MS Teams (legitieme binaries) als genoemde DLL komen wel terug in privilege escalation attacks. Vaak misbruikt het dll hijacking in verschillende varianten.

Probeer die vreemde description eens te googlen, misschien volgt daar een hit op. Upload zowel alle Teams en TeamViewer bestanden naar virustotal.

Kan wel of niet verband houden met je crashes/corrupte bestanden. :P

[ Voor 11% gewijzigd door sh4d0wman op 19-01-2024 05:25 ]

This signature has been taken down by the Dutch police in the course of an international lawenforcement operation.

vrijdag 19 januari 2024 09:50

Acties:
  • 0 Henk 'm!
  • Mastakilla
  • Registratie: Februari 2001
  • Laatst online: 16-05 14:01

Mastakilla

Topicstarter
EricJH schreef op vrijdag 19 januari 2024 @ 05:23:
[...]
Ik de file hash van update.exe in VT opgezocht. Het is inderdaad gewoon een executable van Microsoft.

Kun je de hash of VT link van het andere bestand hier posten? Dan kunnen we we even meekijken.
https://www.virustotal.co...dff52ac88df247bb104145853
https://www.virustotal.co...274db8e90da1219de4cae23c1

[ Voor 11% gewijzigd door Mastakilla op 19-01-2024 09:51 ]

vrijdag 19 januari 2024 10:05

Acties:
  • 0 Henk 'm!
  • Mastakilla
  • Registratie: Februari 2001
  • Laatst online: 16-05 14:01

Mastakilla

Topicstarter
sh4d0wman schreef op vrijdag 19 januari 2024 @ 05:23:
Hmm, zowel MS Teams (legitieme binaries) als genoemde DLL komen wel terug in privilege escalation attacks. Vaak misbruikt het dll hijacking in verschillende varianten.

Probeer die vreemde description eens te googlen, misschien volgt daar een hit op. Upload zowel alle Teams en TeamViewer bestanden naar virustotal.

Kan wel of niet verband houden met je crashes/corrupte bestanden. :P
Zou niet direct weten hoe ik daarop kan zoeken. Ik zal straks eens opnieuw scannen en proberen of ik dat veld kan kopiëren.
Wel vond ik al dat LanguageID 1025 "Arabic - Saudi Arabia" zou zijn. Dus best een veel gesproken taal (kan iemand hier dit misschien proberen te vertalen?).
Het is iig een taal waarvan ik niet begrijp waarom ze op mijn vrouw haar laptop zou staan...

Ook lijkt het me zeer bizar dat infected binaries door geen enkele AV gedetecteerd worden. Kunnen ze tegenwoordig al filehashes spoofen in safe mode??

vrijdag 19 januari 2024 19:00

Acties:
  • +2 Henk 'm!
  • Dracoz
  • Registratie: Maart 2006
  • Laatst online: 12:12

Dracoz

Mastakilla schreef op vrijdag 19 januari 2024 @ 01:56:
[...]
Zoals ik eerder al zei:
Of TeamViewer nu werkt of niet, kan me eigenlijk niet schelen...

Ik wil vooral weten welke files impacted zijn... (zodat ik, bij belangrijke files, kan nakijken of mijn backups ervan nog in orde zijn)
In tweede instantie zou het ook leuk zijn te weten waarom het gebeurt en hoe het te herstellen (voor alle files dan, niet TeamViewer specifiek).
Persoonlijk zou ik er zelf niet al teveel tijd aan besteden en gewoon een clean windows install doen.
De belangrijkste bestanden die je wilt bewaren even een backup van maken en apart zetten van de andere backups.

Na de clean windows install kun je in ieder geval uitsluiten of het een software of een hardware probleem is.

Ryzen 7 7800X3D ,MSI PRO X670-P WIFI, 2x16GB DDR5 6000Mhz, Nvidia RTX2070 Super

vrijdag 19 januari 2024 21:49

Acties:
  • +1 Henk 'm!
  • The_Doman
  • Registratie: Augustus 2005
  • Laatst online: 10:52

The_Doman

Dit duurt inderdaad zo al erg lang natuurlijk en of er nog een oplossing uit komt?
Zelf zou ik een backup/image maken (als dat betrouwbaar lukt op deze laptop?) en een repair en/of schone installatie uitvoeren.

Als je de oude SSD nog hebt deze eventueel als test gebruiken?
Ook omdat de Kingston A2000 toch wel eens wat problemen geeft?

zondag 21 januari 2024 12:46

Acties:
  • 0 Henk 'm!
  • Mastakilla
  • Registratie: Februari 2001
  • Laatst online: 16-05 14:01

Mastakilla

Topicstarter
Het duurt inderdaad te lang en ik wil inderdaad een verse installatie doen, maar, zoals ik eerder al zei, wil ik eerst weten welke bestanden corrupted zijn.
Aangezien kopies (backups) van de corrupte bestanden, ook gewoon corrupt zijn, is dit voor mij erg belangrijk...

Bij gebrek aan manier om te zoeken naar zo'n corrupte bestanden, heb ik dan zelf maar een scriptje geschreven. Hoogstwaarschijnlijk geeft dit veel false positives en misschien zal het ook niet alle corrupte bestanden aanduiden, maar het is toch al beter dan niets...

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

#!/bin/bash

output_file="/mnt/c/temp/findempty.log"
>"$output_file"

dir="/mnt/c/"

find "${dir}" -print0 | 
while IFS= read -r -d '' file; do 
  if [[ -f "$file" ]]; then
    cat "$file" | tr -d '\0' >/dev/null 2>&1
    if [[ "${PIPESTATUS[0]}" != "0" ]]; then
      echo -e "CATERROR:\t                    $file" | tee -a "$output_file"
    elif [[ -z "$(cat "$file" | tr -d '\0' | head)" ]]; then
      if [[ "$(wc -c "$file" | awk '{print $1}')" != "0" ]]; then
        echo -e "PROBLEM:\t$(wc -c "$file" | awk '{ printf "%-20s", $1; for (i=2; i<NF; i++) printf $i " "; print $NF}')" | tee -a "$output_file"
      fi
    fi
  elif [[ -d "$file" ]]; then
    :
  else
    echo -e "UNKNOWN:\t                    $file" | tee -a "$output_file"
  fi
done


Dit bash scriptje toont alle bestanden die geen output hebben van een 'cat' commando en die niet 0 bytes zijn. Het toont ook bestanden die het niet kon openen.

In totaal waren 1403 resultaten, waarvan 1154 potentieel corrupte bestanden en de rest die niet geopend konden worden
code:
1
2
3
4
5
6
7
8

root@Laptop-Elke:~# cat /mnt/c/temp/findempty.log | wc -l
1403
root@Laptop-Elke:~# cat /mnt/c/temp/findempty.log |grep ^CATERROR | wc -l
244
root@Laptop-Elke:~# cat /mnt/c/temp/findempty.log |grep ^PROBLEM | wc -l
1154
root@Laptop-Elke:~# cat /mnt/c/temp/findempty.log |grep ^UNKNOWN | wc -l
5


Omdat de volledige lijst wat veel is, heb ik hem hieronder wat proberen samen te vatten:

code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32

root@Laptop-Elke:~# cat /mnt/c/temp/findempty.log |grep ^PROBLEM | cut -c 29- | cut -c -30 | sort -u
 /mnt/c/Config.Msi/13eea721.rb
...
 /mnt/c/Config.Msi/13eea753.rb
 /mnt/c/Program Files (x86)/Ar
 /mnt/c/Program Files (x86)/HP
 /mnt/c/Program Files (x86)/Ha
 /mnt/c/Program Files/Adobe/Ad
 /mnt/c/Program Files/TeamView
 /mnt/c/ProgramData/Microsoft/
 /mnt/c/ProgramData/NVIDIA Cor
 /mnt/c/Users/Default/AppData/
 /mnt/c/Users/Default/NTUSER.D
 /mnt/c/Users/Public/Desktop/A
 /mnt/c/Users/elkep/AppData/Lo
 /mnt/c/Users/elkep/AppData/Ro
 /mnt/c/Users/elkep/NTUSER.DAT
 /mnt/c/Windows/Boot/PCAT/boot
 /mnt/c/Windows/Installer/13ee
 /mnt/c/Windows/Installer/MSIF
 /mnt/c/Windows/Panther/Rollba
 /mnt/c/Windows/Prefetch/DRVIN
 /mnt/c/Windows/Prefetch/RUNDL
 /mnt/c/Windows/Prefetch/TEAMV
 /mnt/c/Windows/Prefetch/TVUPD
 /mnt/c/Windows/ServiceProfile
 /mnt/c/Windows/SoftwareDistri
 /mnt/c/Windows/System32/SMI/S
 /mnt/c/Windows/System32/confi
 /mnt/c/Windows/System32/sru/S
 /mnt/c/Windows/WinSxS/Backup/
 /mnt/c/Windows/WinSxS/x86_mic


Ik heb enkele andere niet teamviewer exe's geprobeerd en die zijn inderdaad op een zelfde manier corrupt
code:
1
2
3
4
5
6
7
8
9
10
11

root@Laptop-Elke:~# cat /mnt/c/temp/findempty.log |grep .exe$
PROBLEM:      652088              /mnt/c/Program Files/TeamViewer/TeamViewer_Note.exe
PROBLEM:      359224              /mnt/c/Program Files/TeamViewer/tv_w32.exe
PROBLEM:      1165944             /mnt/c/Program Files/TeamViewer/uninstall.exe
PROBLEM:      519992              /mnt/c/Program Files/TeamViewer/WriteDump.exe
PROBLEM:      255168              /mnt/c/Program Files (x86)/Articulate/360/Desktop Application/Articulate 360 Installer Service.exe
PROBLEM:      304816              /mnt/c/Program Files (x86)/HP/HP Support Framework/Modules/HPDeviceCheck/HPDeviceCheck.exe
PROBLEM:      1389232             /mnt/c/Program Files (x86)/HP/HP Support Framework/Modules/HPDIA.exe
PROBLEM:      303792              /mnt/c/Program Files (x86)/HP/HP Support Framework/Modules/HPWPD.exe
PROBLEM:      63648               /mnt/c/Program Files (x86)/HP/HP Support Framework/Modules/PSDR/HPPSDrPrinterHealthMonitor.exe
PROBLEM:      314032              /mnt/c/Program Files (x86)/HP/HP Support Framework/Resources/BingPopup/BingPopup.exe


Ik heb enkele log files geprobeerd, maar als ik ze met notepad++ open dan staat daar wel degelijk binary content in (soms enkel 'NUL' chars)
code:
1
2
3
4
5
6
7
8
9
10

root@Laptop-Elke:~# cat /mnt/c/temp/findempty.log |grep .log$
CATERROR:                         /mnt/c/ProgramData/Microsoft/Network/Downloader/edb.log
CATERROR:                         /mnt/c/Users/elkep/AppData/Local/Microsoft/Internet Explorer/CacheStorage/edb.log
PROBLEM:      524288              /mnt/c/Users/elkep/AppData/Local/Microsoft/Internet Explorer/Indexed DB/edbtmp.log
CATERROR:                         /mnt/c/Users/elkep/AppData/Local/Microsoft/Windows/WebCache/V01.log
CATERROR:                         /mnt/c/Users/elkep/AppData/Local/Microsoft/Windows/WebCache/V01tmp.log
PROBLEM:      2097152             /mnt/c/Users/elkep/AppData/Local/Packages/Microsoft.ZuneMusic_8wekyb3d8bbwe/LocalState/Database/1be53fc201d9d9a4/edbtmp.log
CATERROR:                         /mnt/c/Users/elkep/AppData/Local/Packages/MicrosoftWindows.Client.CBS_cw5n1h2txyewy/AppData/Indexed DB/edb.log
CATERROR:                         /mnt/c/Windows/System32/sru/SRU.log
PROBLEM:      65536               /mnt/c/Windows/System32/sru/SRUtmp.log


Ik heb zonet ook eens geprobeerd die uninstall.exe van TeamViewer met Notepad++ en ook die bevat eigenlijk alleen maar 'NUL' chars. Dit verklaard waarom ze nog een niet 0 bytes size hebben en dat het 'cat' commando niets output
Afbeeldingslocatie: https://tweakers.net/i/neQ0dL0CRnvmmpPocL_HhOpGNhk=/800x/filters:strip_exif()/f/image/FZEgChbm3y2f1oIWHjUJzG96.png?f=fotoalbum_large

Maar het goede nieuws is dat er geenenkel belangrijk bestand tussen staat, dus dat geeft me iets meer vertrouwen in mijn bestaande backups voor als ik Windows opnieuw installeer vanavond...

[ Voor 5% gewijzigd door Mastakilla op 21-01-2024 12:50 ]

zondag 21 januari 2024 13:22

Acties:
  • 0 Henk 'm!
  • The_Doman
  • Registratie: Augustus 2005
  • Laatst online: 10:52

The_Doman

Dit is eindeloos uitzoek werk natuurlijk.
Als het Windows systeem echt zo beschadigd/onstabiel is dat niets meer betrouwbaar werkt zou ik een image/backup maken vanuit een WinPe systeem met volledige integriteitscheck/controle van de backup.
Als je een ander syteem hebt om de SSD te backuppen zou dat ook een optie zijn natuurlijk.

zondag 21 januari 2024 17:30

Acties:
  • 0 Henk 'm!
  • Mastakilla
  • Registratie: Februari 2001
  • Laatst online: 16-05 14:01

Mastakilla

Topicstarter
Voor zover ik nu begrijp, is het filesystem niet echt (meer) beschadigd. De content van de files zelf lijkt me gewoon vervangen door 'NUL' characters...

Dus backups van die files hebben dan sowieso geen zin...

Maar, als de lijst van potentieel geimpacte files van mij een beetje klopt, maakt het ook niets uit. Want het zijn allemaal programma files en niet haar documenten...
Als er natuurlijk andere files maar gedeeltelijk beschadigd zijn (bv dat de helft van de content is vervangen door 'NUL' characters, dan gaat mijn scriptje die niet gevonden hebben en zit ik potentieel nog wel meer een probleem.
Gelukkig heb ik, als het goed is, nog backups van maanden geleden, van toen de files misschien nog niet beschadigd waren... Maar dan moet ik ze wel op tijd identificeren...

Dus gewoon een Windows reinstall zou dat moeten oplossen.

Vraag blijft natuurlijk of het vastlopen van Windows daarmee opgelost gaat zijn, maar dat valt denk ik enkel af te wachten...

[ Voor 27% gewijzigd door Mastakilla op 21-01-2024 17:33 ]

zondag 21 januari 2024 18:39

Acties:
  • 0 Henk 'm!
  • The_Doman
  • Registratie: Augustus 2005
  • Laatst online: 10:52

The_Doman

Mastakilla schreef op zondag 21 januari 2024 @ 17:30:
Dus gewoon een Windows reinstall zou dat moeten oplossen.
Normaal gesproken wel natuurlijk, maar we weten nog steeds niet of het probleem nu hard- of softwarematig is.
Voor dat je toch een herinstallatie doet kan je ook nog een repair install uitvoeren.
Dat kan ook heel veel serieuze problemen oplossen.
Instabiele Win10pro met een systeemherstelpunt weer fixen (Repair Install)
Betreft hier Windows 10 maar geldt ook voor Windows 11.

zondag 21 januari 2024 23:23

Acties:
  • 0 Henk 'm!
  • biomass
  • Registratie: Augustus 2004
  • Laatst online: 16-05 21:17

biomass

Als je de hardware niet vertrouwd, zou ik alleen lees acties op het systeem doen...
Met clonezilla zou je een image van de SSD kunnen maken (check eerst je SMART waarden van de SSD eens??) en met een Linux Mint 21 usb stick zou je het geheugen kunnen testen buiten Windows om . (kan natuurlijk ook met alleen memtest86+)
Als dat allemaal lukt, wordt het wat waarschijnlijker dat je Windows installatie corrupt is. Maar zonder malware kan dat eigenlijk allleen maar door hardware falen of slechte drivers. En bij dat laatste zou je verwachten dat er meer mensen op het internet gaan klagen.

Als je een NAS hebt en je kunt de inhoud van je SSD er op kwijt, zou mijn suggestie zijn om een image van de SSD te maken

[ Voor 3% gewijzigd door biomass op 21-01-2024 23:24 ]

Pagina: 1
Reageer

Apple iPhone 16e LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq