Add for printing
| File name: | |
| Full analysis: | https://app.any.run/tasks/945b6b91-d650-486d-a4aa-971e45f795a3 |
| Verdict: | Malicious activity |
| Analysis date: | August 27, 2022, 23:00:22 |
| OS: | Windows 7 Professional Service Pack 1 (build: 7601, 32 bit) |
| Indicators: | |
| MIME: | application/x-dosexec |
| File info: | PE32 executable (DLL) (console) Intel 80386, for MS Windows |
| MD5: |
936FFF9550533EC850202B01790257AA |
| SHA1: |
23ED7FCCF3C3E374D3BFFEABD96DBEA82360DBE3 |
| SHA256: |
DE392D3E99A4B823ABBB5862E2B372D1713C70CE7CF6637FCD3817D129843B25 |
| SSDEEP: |
24:eH1GSKLmVtEC0DWvGIZW0554NVKLRvEd35WWdPOPN8/s:y24X+JIZWg5GV2EV5WwaMs |
ANY.RUN is an interactive service which provides full access to the guest system. Information in this report could be distorted by user actions and is provided for user acknowledgement as it is. ANY.RUN does not guarantee maliciousness or safety of the content.
Add for printing
-
MALICIOUS
-
Loads dropped or rewritten executable
- SearchProtocolHost.exe (PID: 652)
-
Changes the autorun value in the registry
- reg.exe (PID: 3480)
-
-
SUSPICIOUS
-
Checks supported languages
- vlc.exe (PID: 2816)
- Skype.exe (PID: 2856)
- Skype.exe (PID: 2448)
- Skype.exe (PID: 1704)
- Skype.exe (PID: 3020)
- Skype.exe (PID: 2752)
- Skype.exe (PID: 3076)
- Skype.exe (PID: 3796)
- Skype.exe (PID: 956)
- WinRAR.exe (PID: 2992)
- Skype.exe (PID: 2452)
-
Reads the computer name
- vlc.exe (PID: 2816)
- Skype.exe (PID: 2448)
- Skype.exe (PID: 2856)
- Skype.exe (PID: 2452)
- Skype.exe (PID: 3076)
- Skype.exe (PID: 3020)
- Skype.exe (PID: 3796)
- Skype.exe (PID: 2752)
- Skype.exe (PID: 1704)
- Skype.exe (PID: 956)
- WinRAR.exe (PID: 2992)
-
Executed via COM
- DllHost.exe (PID: 3136)
-
Application launched itself
- Skype.exe (PID: 2448)
- Skype.exe (PID: 2452)
- Skype.exe (PID: 3076)
-
Reads CPU info
- Skype.exe (PID: 2448)
-
Changes default file association
- Skype.exe (PID: 2448)
-
Executed as Windows Service
- vssvc.exe (PID: 3536)
-
-
INFO
-
Reads the computer name
- DllHost.exe (PID: 3136)
- runas.exe (PID: 3340)
- systempropertiesprotection.exe (PID: 960)
- vssvc.exe (PID: 3536)
- systempropertiesremote.exe (PID: 4044)
-
Manual execution by user
- vlc.exe (PID: 2816)
- Skype.exe (PID: 2448)
- WinRAR.exe (PID: 2992)
- systempropertiesprotection.exe (PID: 1320)
- systempropertiesremote.exe (PID: 2684)
- systempropertiesprotection.exe (PID: 960)
- systempropertiesremote.exe (PID: 4044)
-
Checks supported languages
- reg.exe (PID: 3480)
- runas.exe (PID: 3340)
- DllHost.exe (PID: 3136)
- reg.exe (PID: 2496)
- systempropertiesremote.exe (PID: 4044)
- systempropertiesprotection.exe (PID: 960)
- vssvc.exe (PID: 3536)
-
Reads settings of System Certificates
- Skype.exe (PID: 2448)
-
Dropped object may contain Bitcoin addresses
- Skype.exe (PID: 2448)
-
Find more information about signature artifacts and mapping to MITRE ATT&CK™ MATRIX at the
full report
Add for printing
No Malware configuration.
Add for printing
TRiD
| .exe | | | Win32 Executable (generic) (52.9) |
|---|---|---|
| .exe | | | Generic Win/DOS Executable (23.5) |
| .exe | | | DOS Executable Generic (23.5) |
Summary
| Architecture: | IMAGE_FILE_MACHINE_I386 |
|---|---|
| Subsystem: | IMAGE_SUBSYSTEM_WINDOWS_CUI |
| Compilation Date: | 2009-Jul-14 01:04:50 |
| Detected languages: |
|
| CompanyName: | Microsoft Corporation |
| FileVersion: | 6.1.7600.16385 (win7_rtm.090713-1255) |
| LegalCopyright: | © Microsoft Corporation. All rights reserved. |
| ProductName: | Microsoft® Windows® Operating System |
| ProductVersion: | 6.1.7600.16385 |
DOS Header
| e_magic: | MZ |
|---|---|
| e_cblp: | 144 |
| e_cp: | 3 |
| e_crlc: | — |
| e_cparhdr: | 4 |
| e_minalloc: | — |
| e_maxalloc: | 65535 |
| e_ss: | — |
| e_sp: | 184 |
| e_csum: | — |
| e_ip: | — |
| e_cs: | — |
| e_ovno: | — |
| e_oemid: | — |
| e_oeminfo: | — |
| e_lfanew: | 184 |
PE Headers
| Signature: | PE |
|---|---|
| Machine: | IMAGE_FILE_MACHINE_I386 |
| NumberofSections: | 1 |
| TimeDateStamp: | 2009-Jul-14 01:04:50 |
| PointerToSymbolTable: | — |
| NumberOfSymbols: | — |
| SizeOfOptionalHeader: | 224 |
| Characteristics: |
|
Sections
Resources
No data.
Add for printing
Add for printing
Behavior graph
Click at the process to see the details
start
runas.exe
no specs
searchprotocolhost.exe
no specs
PhotoViewer.dll
no specs
vlc.exe
skype.exe
skype.exe
reg.exe
skype.exe
no specs
reg.exe
no specs
skype.exe
skype.exe
no specs
skype.exe
skype.exe
no specs
skype.exe
no specs
skype.exe
no specs
winrar.exe
no specs
systempropertiesprotection.exe
no specs
systempropertiesprotection.exe
vssvc.exe
no specs
systempropertiesremote.exe
no specs
systempropertiesremote.exe
Process information
Add for printing
Modification events
Add for printing
Dropped files
Download PCAP, analyze network streams, HTTP content and a lot more at the
full report
Add for printing
HTTP requests
No HTTP requests
Download PCAP, analyze network streams, HTTP content and a lot more at the
full report
Connections
DNS requests
Threats
Add for printing
← Вернуться в раздел «Microsoft Windows»
Цитата:
Без него все ок.
Да и с ним все ок.
Насколько мне помнится, у гражданина EsTaF вечно были какие-то невероятные проблемы — что на линуксах, что на виндовсах.
Автор: dariusii
Дата сообщения: 05.04.2011 12:15
Dead_Moroz
Цитата:
Да и с ним все ок.
нет.
Добавлено:
Цитата:
Насколько мне помнится, у гражданина EsTaF вечно были какие-то невероятные проблемы — что на линуксах, что на виндовсах.
польщен)
Автор: Chis1
Дата сообщения: 05.04.2011 12:45
В папке C:\Windows\Temp\ куча пустых папок вида: SDIAG_d3c5d1b3-0778-4341-93a8-4284937f82b4 .
Возникают каждый день, иногда по два раза. Как я понимаю, это результаты диагностики. Заметил, что эта проверка происходит в процессе загрузки или сразу после.
До установки SP этого не замечал. В планировщике этой задачи не нашел.
Может кто разбирался, что проверяется и можно- ли отключить?
Автор: wwo1
Дата сообщения: 05.04.2011 14:44
dariusii
Цитата:
Видимо, этот пакет обновлений еще сырой.
SP1 не из файла ставил? Если да, то из всех возможных вариантов установки (на разных машинах, больше 200 точно) самым беспроблемным был через центр обновлений в таком порядке:
Сначала dotNetFx40_Full_x86_x64, затем ставятся ВСЕ обновления (по пять-семь штук, с перезагрузкой), затем прогнать MicrosoftFixit50202 и поставить Windows6.1-KB947821-v10-x64. Сам SP1 последним, там остаётся 87 метров с мелочью.
И лучше на чистую систему.
Chis1
Цитата:
В папке C:\Windows\Temp\
Не по теме, просто совет.
Для удобства переназначь четыре временные папки Windows в корень другого диска (напр. D:\Temp) и создай библиотеку. Всегда под рукой (для очистки).
Автор: aidarsimon
Дата сообщения: 05.04.2011 15:11
Автор: wwo1
Дата сообщения: 05.04.2011 15:25
aidarsimon
Цитата:
Какие-то непонятки с брандмауэром.
Самое лучшее, удобное, простое и надёжное решение — Agnitum Outpost Firewall Pro.
Автор: aidarsimon
Дата сообщения: 05.04.2011 15:30
wwo1
Ты мне денег дашь?
Автор: wwo1
Дата сообщения: 05.04.2011 15:35
aidarsimon
Да брось ты. За $50 лучший фаервол в мире с пожизненной «гарантией» — ну совсем недорого.
Даже просто, поставь пиратку (временно) и проверь, как работает тех. поддержка.
Я доволен абсолютно. Это не Norton и пр. хрень.
Впрочем, отвлёкся. На твой вопрос (о брандмауэре, не о деньгах) ответить не могу, не пользуюсь.
Автор: aidarsimon
Дата сообщения: 05.04.2011 15:43
wwo1
Ок, дело в том, что мы переходим на полностью легальное ПО. Поэтому грех не пользоваться встроенным в Windows 7 программным средством.
Автор: wwo1
Дата сообщения: 05.04.2011 15:47
aidarsimon
Цитата:
Поэтому грех не пользоваться встроенным в Windows 7 программным средством.
Дык не работает оно!
Цитата:
-Космонавты! Которая тут цапа?
-Там, ржавая гайка, родной.
-Да у вас тут всё ржавое!
-А эта самая ржавая!
Автор: aidarsimon
Дата сообщения: 05.04.2011 15:50
wwo1
Не знаю как вам, а мне это брандмауер нравится. По сравнению с ХР-шным просто прелесть.
Дело в том, что я не знаю, какой процесс еще остался заблокированным.
А так он работает и очень хорошо.
Автор: BakLAN
Дата сообщения: 05.04.2011 17:04
dariusii
Цитата:
Уже появилось желание вообще переходить на xp x64.
Сам сидел на этой ОСи пару лет. Не советую. Если надо х64 — Windows 7, если х32 — или ХР, или Windows 7. И ни в коем случае не советовал бы пользовать ХР х64 или любые Vista — это мелкософтовский мусор.
Автор: aidarsimon
Дата сообщения: 05.04.2011 17:12
BakLAN
Совершенно верно. Вот только vista x64 не так плоха, как xp x64
Автор: BakLAN
Дата сообщения: 05.04.2011 17:29
aidarsimon
Висту вообще приходилось пользовать лишь один раз в жизни — на ноуте надо было записать компакт. И всё. В остальном, только плевки и негативные отзывы людей, которые сталкивались с этой неудачной мелкософтовской ОСью. Не скажу, что другие мелкософтовские ОСи мне нравятся, но если сравнивать, то конечно или ХР или 7-ка — это уже исходя из аппаратных возможностей. Ну, или, на худой конец, 2000-ка . А с ХР х64 история вообще печальная. Мелкософт как создала эту ОСь, так потом её и похоронила. Ни поддержки 2010-го офиса, откровенно наплевательское отношения всех остальных производителей софта на эту ось — тоже, в следствие чего, во многих программа возникают глюки под ХР х64, а под х86 — их нет. Хотя, если смотреть в общем на х64, то считается, что в обычных процах 64-битные инструкции работают «коряво» в отличии от процов типа Itanium. Но это ведь не для дома…. И даже исходя из логики, если бы всё было на практике технологически организовано как и в теории, 64-битные ОСи работали бы быстрее, чем 32-битные, но на практике получается совершенно наоборот. Вероятно причина не в ОСях, а в процах. По крайней мере у меня сложилось такое впечатление.
Автор: Dead_Moroz
Дата сообщения: 05.04.2011 17:45
BakLAN
Цитата:
Хотя, если смотреть в общем на х64, то считается, что в обычных процах 64-битные инструкции работают «коряво» в отличии от процов типа Itanium.
А вы не путаете, часом, IA-64 и x86-64 (x64/AMD64/Intel64/EM64T)? Это совершенно разные процессорные архитектуры, программа для IA-64 Itanium’а даже не запустится на x64 процессоре, и наоборот.
Автор: aidarsimon
Дата сообщения: 05.04.2011 19:08
Хочу разрушить миф о говняности Vista
Видимо потому что все везде говорят, мол виста говно, появляется эффект лавины. Один дурак сказал, все повторяют. Примерно то же самое.
Если бы мне предложили на выбор что взять — XP или Висту, я бы не раздумывая взял Висту, будь то 64 или 32 бита.
Виста хорошо работает на подобающем железе.
Могу привести пример — у моего знакомого стоит виста с 2007 года. Он ставил первый СП, потом второй. В это время менял железо — видуху, еще чего-то там. Установлена куча игр, куча софта было переустановлено. Система работает безотказно, и я его так и не переубедил поставить семерку.
Что еще надо, когда система работает хорошо?
Могу привести массу аргументов за Висту против XP.
Так что хотелось бы, чтобы разговор на эту тему не заходил.
Виста -нормальная ось. С выходом СП2 считается самой стабильной.
Западные аналитики в области софта и харда тесты проводят именно под ней. Это о многом говорит. Такие монстры как Bild и т.д. тестят софт и железо именно под Vista SP2.
Так что не зная системы, говорить что она говно, по мягкой мере смешно и как-то по-детски.
Автор: Dead_Moroz
Дата сообщения: 05.04.2011 19:12
aidarsimon
Да тут разрушай-не разрушай… правильно, эффект лавины сказывается. Я тоже на Висте сидел долго, в принципе, на ХР возвращаться абсолютно не хотелось. Но, не стоит забывать о том, что СП2 вышел не сразу ведь, правда? Всякие глюки и глючочки немного отравляли жизнь. А того, что Виста, дескать, «требовательная» — я не чувствовал, возможно, потому, что правду говорят — не стоит ставить современную ОС на хлам.
Автор: firebox
Дата сообщения: 05.04.2011 19:18
Цитата:
Хочу разрушить миф о говняности Vista
Сейчас то да, Vista SP2 + PU имхо не хуже 7. Что называется найди десять отличий. А вот вышла она мягко говоря в не очень годном виде. До SP1 то еще уг было. Миф есть, но основан на реальных фактах. Как то так
Автор: aidarsimon
Дата сообщения: 05.04.2011 19:30
firebox
Ну у меня был только баг со звуком. Нельзя было устройства переключать. Больше ничего такого не замечал.
Автор: wwo1
Дата сообщения: 05.04.2011 19:39
Виста была очень умным ходом со стороны Microsoft — альфа-тестирование новой ОС’и за счёт потребителя. Когда удалось довести до ума и исправить ошибки, выпустили семёрку. Не надо о Висте.
Автор: aidarsimon
Дата сообщения: 05.04.2011 19:48
Надо, надо. Чтоб таких глупых постов больше не было.
Автор: dariusii
Дата сообщения: 05.04.2011 20:06
Цитата:
SP1 не из файла ставил? Если да, то из всех возможных вариантов установки (на разных машинах, больше 200 точно) самым беспроблемным был через центр обновлений в таком порядке:
Сначала dotNetFx40_Full_x86_x64, затем ставятся ВСЕ обновления (по пять-семь штук, с перезагрузкой), затем прогнать MicrosoftFixit50202 и поставить Windows6.1-KB947821-v10-x64. Сам SP1 последним, там остаётся 87 метров с мелочью.
И лучше на чистую систему.
Сам дистрибутив уже есть sp1. sp1 интегрирован, то есть
Можно и твоим методом. через пол часа — аналогичная ситуация.
И да. Даже музыка продолжает играть при таком зависоне. ctrl+shift+esc — нет отзыва.
Автор: wwo1
Дата сообщения: 05.04.2011 20:24
dariusii
Цитата:
Даже музыка продолжает играть при таком зависоне. ctrl+shift+esc — нет отзыва.
Забавно. Это на чистой системе?
Единственное, что могу посоветовать — WinSight, StarTeam, CodeGuard.
Если эти названия ни о чём не говорят, тогда ничего.
Стоп! Дошло. Вариант.
Цитата:
Сам дистрибутив уже есть sp1. sp1 интегрирован
Ты в этой пиратке уверен? Ставить стоит только с копий MS дисков. Возможно перетвикана.
aidarsimon
Цитата:
Надо, надо. Чтоб таких глупых постов больше не было.
Умничать не надо.
Автор: dariusii
Дата сообщения: 05.04.2011 20:29
wwo1
http://www.windxp.com.ru/win7/articles50.htm
В четвертый, или уже в пятый раз повторю, что ставил обновление и более банальным способом — через центр обновлений, как пишут это делать. Без ра з ни цы. без ра з ни цы ……………
#
билдеры ставить. сильно. такие заморочки с отладчиками…
не. я лучше слезу с sp1, что и сделал. полет отличный.
Думаю, что проблему не решат никогда. нет ее у многих. Это не Linux, где багрепорты можно писать. без сп1, да и фик с ним. лишь бы работало.
Автор: wwo1
Дата сообщения: 05.04.2011 20:43
dariusii
Цитата:
билдеры ставить. сильно.
Да не ставить.
Цитата:
Если эти названия ни о чём не говорят, тогда ничего.
А проблема всё же в пиратке. Какая-то перетвиканая дрянь, которая с грехом пополам проходит на чистой (ну относительно) Windows и которую SP проглотить уже не может. Ставить можно только с копий MS дисков или версий от Мурзилки (Wzor).
Цитата:
я лучше слезу с sp1, что и сделал. полет отличный..
Флаг в руки.
Автор: aidarsimon
Дата сообщения: 05.04.2011 20:47
Цитата:
Умничать не надо.
Ну раз ты считаешь меня умным, то я не против. Я тоже так считаю. Спасибо.
Конечно я сыронизировал. Но смысл понятен.
Надо заканчивать оффтоп.
Автор: suomifinland
Дата сообщения: 05.04.2011 22:56
Ребята, в двух словах.., проблема… Есть ярлык программы, на Рабочем столе, она запускается только от имени Администратора, т.е. правой мышью выбираю «Запуск от имени администратора»… Вопрос: что необходимо сделать чтобы по левому клику мыши программа сразу-же запускалась..? Спасибо Вам!
Автор: Neon2
Дата сообщения: 05.04.2011 23:07
suomifinland, в свойствах ярлыка прописать запуск от имени администратора.
Автор: BakLAN
Дата сообщения: 06.04.2011 00:49
Dead_Moroz
Цитата:
А вы не путаете, часом, IA-64 и x86-64 (x64/AMD64/Intel64/EM64T)? Это совершенно разные процессорные архитектуры, программа для IA-64 Itanium’а даже не запустится на x64 процессоре, и наоборот.
Я говорил о реализации 64-битных инструкций вообще. А то, что это совершенно разные архитектуры, я в курсе.
Добавлено:
aidarsimon
Когда я говорил, что Висту не посоветовал бы, то имел в виду, прежде всего, её тормознутость, которая была замечена сразу же после её выхода. Ускорили ли её сервис паки я не в курсе. И то, что она говно, я тоже не говорил. Тем не менее ставить её для собственных нужд не собираюсь.
Автор: wwo1
Дата сообщения: 06.04.2011 08:43
Цитата:
Ускорили ли её сервис паки я не в курсе.
После сборки обработать напильником
Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114115116117118119120121122123124125126127128129130131132133134135136137138139140141142143144145146147148149150151152153154155156157158159160161162163164165166167168169170171172173174175176177178179180181
Предыдущая тема: Задачи на bat-файлах 10
Форум Ru-Board.club — поднят 15-09-2016 числа. Цель — сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.
Windows 10: Multiple Temp folders/files created at startup
Discus and support Multiple Temp folders/files created at startup in AntiVirus, Firewalls and System Security to solve the problem; Hello,
I was recently trying a few different AV programmes on my Win10 Pro machine. When I restart the machine, or it wakes from sleep, multiple…
Discussion in ‘AntiVirus, Firewalls and System Security’ started by ClaptonChris, Jul 3, 2020.
-
Multiple Temp folders/files created at startup
Hello,
I was recently trying a few different AV programmes on my Win10 Pro machine. When I restart the machine, or it wakes from sleep, multiple folders & tmp files are created, probably 20-30 or so, all the files are zero size.
There are also a bunch of SDIAG folders, the contents are all files from 2019, prior to the machine being built.
Lastly there are some txt files which appear to be timestamped logs.
I have Bull Guard and there are no issues displayed. I’ve also run several Malware scanners, without any errors or infections. I’ve also used the MS Safety Scanner
I’m wondering whether there is an infection or possible conflicts from artefacts of the AV system that are causing issues?
Any advice / help would be much appreciated.
-
how to list windows temp folder in batch file at startup
Win 10 Pro
I have a batch file called by a shortcut in startup. It creates a few drives with subst and then lists contents of temporary folders.
There is no output from the command below unless the batch file runs as administrator
du -q «C:\windows\Temp»
My login has administrator rights but this only seems to let me change protections and privileges, not «run as administrator» by default.
At one time I changed the protections on the temp folder but then I reasoned that it would be nice if the procedure would handle the situation where an update reinstates SYSTEM ownership which has just happened — hence the lack of output from the DU command.
If a shortcut to the batch file is configured to run as administrator then the UAC gets in the way. So I tried the work-around to create a scheduled task to be run via a startup batch file. After a lot of fiddling about it will run and the subst commands
appear to work but the drives are not actually created.So I am now trying to solve problems several generations of problem removed from the original.
Can anyone suggest a complete solution please without patching windows 10…?
-
These temp files will not delete
Hi Jeffrey,
Thank you for your interest in Windows 10.
We understand that, you are unable to delete temp files on Windows 10 and I’d be certainly help you.
For a better understanding of your issue, answer the query below:
- Do you receive any prompt or error code?
- What happens, when you try to delete temp files?
I suggest you to follow these methods below and check, if it works:
Method 1:
- Press Windows key + R key together, to open RUN command Window.
- Type «temp» in the RUN Command Window, to open temp folder and then delete the files and folders inside the temp folder.
If the issue persists, follow method 2.
Method 2:
- Press Windows key + R key together, to open RUN command Window.
- Type «%temp%» in the RUN Command Window, to open temp folder and then delete the files and folders inside the temp folder.
If the issue persists, follow method 3.
Method 3:
I suggest you to boot the computer to Safe Mode, then perform disk cleanup on Windows 10 and check, if it works.
I suggest you to refer the article and check, if it helps.
Windows Startup Settings (including safe mode):
http://windows.microsoft.com/en-us/windows-10/change-startup-settings-in-windows-10#v1h=tab01
Let’s try to perform disk cleanup on Windows 10 and check, if it works.
Disk cleanup in Windows 10:
http://windows.microsoft.com/en-in/windows-10/disk-cleanup-in-windows-10
Please feel free to contact us, if you face any issues with Windows.
Thank you.
-
Multiple Temp folders/files created at startup
about temp folder
Hi Hector,
The temp folder provides work space for programs. Yes they can be deleted. We suggest that you follow the steps provided by Sangeeta Sarkar on how to delete Temp files on this
link. You may also type in the search box Disk Cleanup and hit enter. It will evaluate your disk and give you a list of folders sizes that can be deleted.
Keep us updated on the status of the issue. We will be glad to assist you further.
Regards.
Multiple Temp folders/files created at startup
-
Multiple Temp folders/files created at startup — Similar Threads — Multiple Temp folders
-
Files created on chrome_PuffinComponentUnpacker_BeginUnzipping* folder, within temp folder?
in Windows 10 Gaming
Files created on chrome_PuffinComponentUnpacker_BeginUnzipping* folder, within temp folder?: I have witnessed following files being created on my PC during the startup: C:\\Users\\User1\\AppData\\Local\\Temp\\chrome_PuffinComponentUnpacker_BeginUnzipping11296_2132512403\\app-setup.js… -
Files created on chrome_PuffinComponentUnpacker_BeginUnzipping* folder, within temp folder?
in Windows 10 Software and Apps
Files created on chrome_PuffinComponentUnpacker_BeginUnzipping* folder, within temp folder?: I have witnessed following files being created on my PC during the startup: C:\\Users\\User1\\AppData\\Local\\Temp\\chrome_PuffinComponentUnpacker_BeginUnzipping11296_2132512403\\app-setup.js… -
Files on temp folder
in Windows 10 Network and Sharing
Files on temp folder: I installed windows 10 and all my files went to temp folder. How can I get it back to original folders?https://answers.microsoft.com/en-us/windows/forum/all/files-on-temp-folder/d1f1b4db-30f0-461b-bee9-45e2a672c0b6
-
Files on temp folder
in Windows 10 Gaming
Files on temp folder: I installed windows 10 and all my files went to temp folder. How can I get it back to original folders?https://answers.microsoft.com/en-us/windows/forum/all/files-on-temp-folder/d1f1b4db-30f0-461b-bee9-45e2a672c0b6
-
Files on temp folder
in Windows 10 Software and Apps
Files on temp folder: I installed windows 10 and all my files went to temp folder. How can I get it back to original folders?https://answers.microsoft.com/en-us/windows/forum/all/files-on-temp-folder/d1f1b4db-30f0-461b-bee9-45e2a672c0b6
-
trojans create file for appdata temp or windows temp folder
in Windows 10 Installation and Upgrade
trojans create file for appdata temp or windows temp folder: trojans create file for appdata temp or windows temp folderhttps://answers.microsoft.com/en-us/windows/forum/all/trojans-create-file-for-appdata-temp-or-windows/5f158b9d-b52f-4a62-b5ef-e6a7105ec4bd
-
Multiple Temp Folders
in Windows 10 Network and Sharing
Multiple Temp Folders: Why are there multiple laptop folders in my C:\ Temp?Can I delete them without it causing issues?
They all have the same laptop name. The contents are either Onedrive or the below picture.
[ATTACH]
Contents of these Temp folders:
[ATTACH]…
-
Temp File Folder
in Windows 10 Network and Sharing
Temp File Folder: Hello Community;Lately my Temp File folder has been getting overloaded with files such as : mat-debug- X X X X, the X’s represent numbers why are these files showing up and is there a fix to stop them from showing up. Will I be able to delete them without…
-
Why are these temp files created ?
in Windows 10 Support
Why are these temp files created ?: I’ve noticed a folder that builds up hundreds of temp files inside with names like 1A72CF2C.tmp and 1CF741E1.tmp. The path to the directory is:C:\Users\username\AppData\Local\Packages\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\TempState\Content.MSO
They can be…
Подробности о наиболее часто используемом файле с именем «sdiag.exe»
- Продукт:
- (Пустое значение)
- Компания:
- (Пустое значение)
- Описание:
- (Пустое значение)
- Версия:
- (Пустое значение)
- MD5:
- 8e9be8c818225eae7f2d723f2d58b970
- SHA1:
- 035ae08a497bb9202af2457c5e57641efe530310
- SHA256:
- d754d1b861559cc3adcc470c9436f6b7afe30e4bd7d92f8db6f2976bf7d4e156
- Размер:
- 455680
- Папка:
- %SystemDiskRoot%\Talking Dictionary
- ОС:
- Windows 7
- Частота:
- Низкая
Процесс «sdiag.exe» безопасный или опасный?
Последний новый вариант файла «sdiag.exe» был обнаружен 4532 дн. назад.
Комментарии пользователей для «sdiag.exe»
У нас пока нет комментариев пользователей к файлам с именем «sdiag.exe».
Добавить комментарий для «sdiag.exe»
Для добавления комментария требуется дополнительная информация об этом файле. Если вам известны размер, контрольные суммы md5/sha1/sha256 или другие атрибуты файла, который вы хотите прокомментировать, то вы можете воспользоваться расширенным поиском на главной странице .
Если подробности о файле вам неизвестны, вы можете быстро проверить этот файл с помощью нашей бесплатной утилиты. Загрузить System Explorer.
Проверьте свой ПК с помощью нашей бесплатной программы
System Explorer это наша бесплатная, удостоенная наград программа для быстрой проверки всех работающих процессов с помощью нашей базы данных. Эта программа поможет вам держать систему под контролем. Программа действительно бесплатная, без рекламы и дополнительных включений, она доступна в виде установщика и как переносное приложение. Её рекомендуют много пользователей.
Время на прочтение6 мин
Количество просмотров2.4K
Введение
В далеком 2020 году независимый исследователь Imre Rad опубликовал статью с уязвимостью в компоненте операционной системы Windows — msdt.exe (тот самый =) ). Microsoft посчитала найденную уязвимость недостаточно критичной, чтобы на нее реагировать. Однако после истории с Follina вендор решил выпустить патч, закрывающий уязвимость DogWalk.
Коротко о msdt.exe и пакетах диагностики
MSDT (Microsoft’s Diagnostic Troubleshooting Wizard) — мастер диагностики и устранения проблем Windows, информация о работе msdt.exe. Если вы желаете использовать msdt.exe по назначению, то здесь список доступных пакетов для решения проблем в Windows.
Пакет устранения неисправностей состоит из следующих компонентов:
-
Манифест устранения неполадок— указывает на основные проблемы, которые может обнаружить пакет, и сценарии, используемые для их обнаружения, устранения и проверки их устранения. Расширение файла: .diagpkg.
-
Скрипты устранения неполадок — сценарии, используемые для определения наличия основной причины. Расширение файла: .ps1.
-
Скрипты разрешения — сценарии, используемые для устранения основной причины, обнаруженной сценарием устранения неполадок. Расширение файла: .ps1.
-
Скрипты проверки — сценарии, используемые для проверки того, смогли ли сценарии решить проблему. Расширение файла: .ps1.
-
Локализация ресурсов — строки локализованных ресурсов, используемые манифестом устранения неполадок и сценариями. Расширение файла: .psd1, .dll.mui.
Для удобства использования пакетов диагностики есть возможность создания файлов — DIAGCAB. DIAGCAB-файлы позволяют создать портативный архив, который будет использовать пакет диагностики размещенный на каком-либо ресурсе или включающий все файлы в себя.
Пакеты диагностики должны быть подписаны, чтобы пользователи msdt могли удостовериться в их подлинности. Пакеты, расположенные по пути %WINDIR%\diagnostics\system являются стандартными и не подлежат проверке сертификата.
Об уязвимости
Для описания уязвимости использовалась статья с Medium. Рассмотрим порядок запуска пакета диагностики, расположенного на удаленном ресурсе:
-
Копирование файла во временную директорию, путь который известен заранее C:\Users\John Doe\AppData\Local\Temp\SDIAG_0636db01-fabd-49ed-bd1d-b3fbbe5fd0ca
-
Проверка цифровой подписи пакета
-
Если проверка подписи успешна, то запуск пакета диагностики
Для копирования пакета во временную директорию используется уязвимая функция SdpCopyDirectory из sdiageng.dll, код которой представлен ниже. Функция уязвима к Path Traversal.
TCHAR attackerControlledSourcePath[MAXPATH]; // this is the "user input"
TCHAR tempDirectory[MAXPATH];
GetTempPathW(MAXPATH, tempDirectory);
TCHAR allFilesFromAttackerControlledSourcePath[MAXPATH];
StringCchPrintfW(allFilesFromAttackerControlledSourcePath, MAXPATH,
L"%s\\*.*", AttackerControlledSourcePath);
hFind = FindFirstFile(allFilesFromAttackerControlledSourcePath, &FindFileData);
do {
TCHAR srcFile[MAXPATH];
TCHAR dstFile[MAXPATH];
StringCchPrintfW(srcFile, MAXPATH, L"%s\\%s",
attackerControlledSourcePath, FindFileData.cFileName);
StringCchPrintfW(dstFile, MAXPATH, L"%s\\%s", tempDirectory,
FindFileData.cFileName);
CopyFileW(srcFile, dstFile, TRUE);
while (FindNextFile(hFind, &FindFileData) != 0);FindClose(hFind);Мы можем определить имя файла, в пакете диагностики, следующим образом: ..\..\..\..\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\evil.exe, и закрепиться в директории автозагрузки.
Разбор таска LetsDefend: SOC174 — DogWalk 0-Day Activity
В LetsDefend есть два уровня тасков:
-
Security Analyst (кейсы для аналитиков 1-го уровня, по логам нужно определить является ли обнаруженная активность вредоносной)
-
Incident responder (кейсы ориентированы на реагирование, добавляется возможность подключаться к машинам по VNC и проводить анализ артефактов)
Также доступны следующие источники событий:
-
сетевые соединения
-
электронная почта
-
список запущенных процессов
-
выполняемые команды в терминале
-
сетевые соединения на хосте
-
история браузера
-
подключиться к хосту через VNC
Исходные данные
Нам известно следующее:
-
имя машины/ip: Jack-dev-server / 172.16.17.81
-
название правила, которое сработало: SOC174 — DogWalk 0-Day Activity
-
ID CVE: CVE-2022-34713
-
записка от L1 SOC: I saw that the diagcab file was run with msdt.exe at 11.08.2022 07:58. But I did not understand how this happened and what happened next.
-
причина реагирования: Running a diagcab file with msdt.exe
Просмотр электронной почты
Я предположил, что вредоносный файл был доставлен вложением в электронном письме.
В теле письма мы видим ссылку hxxps://52e9-3-17-146-251[.]ngrok[.]io/config/hotfix895214.diagcab, которая содержит в доменном имени ngrok, и указывает на файл hotfix895214.diagcab. Следующим шагом нужно убедиться, получилось ли пользователю установить сетевое соединение с вредоносным сервером.
Сетевые соединения
В сетевых подключениях, связанных с нашим хостом мы видим четыре сессии:
1-2 — пользователь запросил A-запись для доменного имени 52e9-3-17-146-251.ngrok.io и получил ответ от DNS-сервера:8.8.8.8 — A: 3.134.39.220
3 — пользователь запросил директорию /package
4 — пользователь запросил файл /AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/calc.exe
Из вышесказанного делаем вывод, что пользователь перешел в директорию /package и загрузил файл /AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/calc.exe
Анализ событий на хосте
Первым делом я проверил журнал Microsoft-Windows-Sysmon/Operational. События, связанные с Image = msdt.exe:
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
<Select Path="Microsoft-Windows-Sysmon/Operational">*[EventData[Data[@Name='Image'] and Data='C:\Windows\System32\msdt.exe']]</Select>
</Query>
</QueryList>В результате мы видим четыре события:
В событии ниже мы видим, что chrome запустил процесс msdt.exe с параметрами /cab «C:\Users\LetsDefend\Downloads\hotfix895214.diagcab. Теперь мы знаем, что файл с пакетом диагностики находился в директории Downloads пользователя LetsDefend.
В следующих двух событиях мы видим, что процесс msdt.exe создал два файла в директории автозагрузки:
Проверим события chrome.exe:
<QueryList>
<Query Id="0" Path="Microsoft-Windows-Sysmon/Operational">
<Select Path="Microsoft-Windows-Sysmon/Operational">*[EventData[Data[@Name='Image'] and Data='C:\Program Files\Google\Chrome\Application\chrome.exe']]</Select>
</Query>
</QueryList>
Также убедимся в наличии файлов в директории автозагрузки:
Командой certutil.exe -hashfile .\<имя файла> MD5 получим хеш-суммы файлов и проверим их репутацию на virustotal.
-
cmd.exe
-
cmd.exe2
Анализ пакета диагностики
С помощью 7zip откроем пакет диагностики hotfix895214.diagcab.
Посмотрим содержимое файла custom.diagcfg
Обратим внимание на ключ Package, который указывает на расположение файлов пакета диагностики:
\\52e9-3-17-146-251.ngrok.is@ssl\DavWWWRoot\PackageВ директории выше должен располагаться файл с именем ..\..\..\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\calc.exe2. К сожалению туннель ngrok больше недоступен.
Sigma Rules
В репозитории Sigma были правила основанные на создание процесса msdt.exe или загрузки модуля sdiageng.dll.
Добавлено правило детектирующие создание файлов в директории автозагрузки
Правила Sigma для детектирования аномалий msdt.exe:
sigma/rules/windows/file_event/file_event_win_msdt_autorun.yml
sigma/rules/windows/image_load/image_load_msdt_sdiageng.yml
sigma/rules/windows/process_creation/proc_creation_win_lolbins_by_office_applications.yml
sigma/rules/windows/process_creation/proc_creation_win_msdt_susp_cab_options.yml
sigma/rules/windows/process_creation/proc_creation_win_msdt_diagcab.yml:description
sigma/rules/windows/process_creation/proc_creation_win_possible_applocker_bypass.yml
sigma/rules/windows/process_creation/proc_creation_win_lolbin_msdt_answer_file.yml
sigma/rules/windows/process_creation/proc_creation_win_msdt.yml:description
sigma/rules/windows/process_creation/proc_creation_win_msdt_susp_parent.yml
sigma/rules/windows/process_creation/proc_creation_win_renamed_msdt.yml
sigma/rules/windows/process_creation/proc_creation_win_outlook_shell.ymlПодписывайтесь на Telegram Detection is easy