Перейти к содержимому


Фото
- - - - -

Попытка изменить rundll32.exe


  • Please log in to reply
22 ответов в этой теме

#1 ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 650 Сообщений:

Отправлено 28 Июль 2019 - 10:59

Обновился NVIDIA, при обновлении была попытка изменить rundll32.exe. Др.ВЕБ сразу перехватил!!! 

Я такое впервые вижу. Бывали чудеса: сортировка икон на десктоп по алфавиту, перенос части икон на второй экран, в середине экрана пустая полоса высотой примерно 200пикселей совершенно без икон, удаление иконы фотошоп и иллюстратор, перенастройка звуковых потоков  на другие устройства, но изменить rundll32.exe   не было. Собственно обновление разрешил из-за их сообщения об исправлении багов в их собственных драйверах. Игр у меня нет вообще, кроме стандартных виндоусовских.

Еще год назад я обращался в саппорт NVIDIA по поводу чудес, ответили, что обновлений больше не будет для моей карты под виндоус 7. За этот год было штук 4-5 обновлений, прошлые годы 12.

Думаете, пытаются рекламу пристроить или что-то еще хуже?



#2 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 667 Сообщений:

Отправлено 29 Июль 2019 - 18:07

https://forum.drweb.com/index.php?showtopic=332110&page=2#entry871466

 

Видимо, то же самое. Обновление выйдет в ближайшее время.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#3 ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 650 Сообщений:

Отправлено 30 Июль 2019 - 08:06

https://forum.drweb.com/index.php?showtopic=332110&page=2#entry871466

 

Видимо, то же самое. Обновление выйдет в ближайшее время.

Получается, саппорт NVIDIA совершенно не владеет информацией, раз заявляют, что обновлений больше не будет для моей видеокарты под виндоус 7. Ну обновлялись бы, не проблема, но системные файлы менять зачем:(



#4 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 667 Сообщений:

Отправлено 30 Июль 2019 - 12:29

https://forum.drweb.com/index.php?showtopic=332110&page=2#entry871466

 

Видимо, то же самое. Обновление выйдет в ближайшее время.

Получается, саппорт NVIDIA совершенно не владеет информацией, раз заявляют, что обновлений больше не будет для моей видеокарты под виндоус 7. Ну обновлялись бы, не проблема, но системные файлы менять зачем :(

Никто системные файлы не меняет, rundll32.exe это процесс исполнитель, через него они меняют свои файлы/ключи в системе. Иногда объекты, которые меняются/удаляются, находятся в местах, которые у нас под защитой, поэтому для разрешения события мы смотрим что dll подписана подписью, которую мы знаем. В данном случае они обновили сертификат, а мы еще не успели, вот они и получили по шапке. Но иногда даже это не критично, в общем случае установка проходит успешно.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#5 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 667 Сообщений:

Отправлено 30 Июль 2019 - 15:23

База с фиксом вышла в релиз, можно обновляться и проверять.


Сообщение было изменено RomaNNN: 30 Июль 2019 - 15:24

Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#6 SergSG

SergSG

    The Master

  • Posters
  • 12 081 Сообщений:

Отправлено 30 Июль 2019 - 19:17

База с фиксом вышла в релиз, можно обновляться и проверять.

Это не фикс, это просто добавление новых сертификатов.  :)



#7 maxic

maxic

    Keep yourself alive

  • Moderators
  • 12 278 Сообщений:

Отправлено 30 Июль 2019 - 20:45

SergSG, фикс алертов ;)



#8 ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 650 Сообщений:

Отправлено 31 Июль 2019 - 14:02

 

https://forum.drweb.com/index.php?showtopic=332110&page=2#entry871466

 

Видимо, то же самое. Обновление выйдет в ближайшее время.

Получается, саппорт NVIDIA совершенно не владеет информацией, раз заявляют, что обновлений больше не будет для моей видеокарты под виндоус 7. Ну обновлялись бы, не проблема, но системные файлы менять зачем :(

Никто системные файлы не меняет, rundll32.exe это процесс исполнитель, через него они меняют свои файлы/ключи в системе. Иногда объекты, которые меняются/удаляются, находятся в местах, которые у нас под защитой, поэтому для разрешения события мы смотрим что dll подписана подписью, которую мы знаем. В данном случае они обновили сертификат, а мы еще не успели, вот они и получили по шапке. Но иногда даже это не критично, в общем случае установка проходит успешно.

 

Возможно, "установка проходит успешно", но сообщение было о попытке изменения rundll32.exe, потому спросил. Спасибо! Пару минут назад Др.ВЕБ установил обновления. 



#9 pig

pig

    Бредогенератор

  • Helpers
  • 10 651 Сообщений:

Отправлено 31 Июль 2019 - 15:35

сообщение было о попытке изменения rundll32.exe

Точную цитату хотелось бы.
Почтовый сервер Eserv тоже работает с Dr.Web

#10 ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 650 Сообщений:

Отправлено 31 Июль 2019 - 16:55

 

сообщение было о попытке изменения rundll32.exe

Точную цитату хотелось бы.

 

Насколько я помню: попытка изменить rundll32.exe

Скриншот не сделал.



#11 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 667 Сообщений:

Отправлено 31 Июль 2019 - 17:00

ЛСергей, в системном эвентлоге в разделе Doctor Web должна остаться запись.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#12 ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 650 Сообщений:

Отправлено 31 Июль 2019 - 21:36

RomaNNN,

Нашел send user blocked alert

Preventive Protection event: Delete protected key

id: 12210, timestamp: 10:25:44.897, type: RegDelKey (12), flags: 1 (wait: 1)
sid: S-1-5-21-2443128806-2598492710-3175407268-1000, cid: 1736/6312:\Device\HarddiskVolume2\Windows\System32\rundll32.exe
context: start addr: 0x77b693e0, image: 0x77a70000:\Device\HarddiskVolume2\Windows\System32\ntdll.dll
  hips: type: 9, action: deny [5]
  cmd: C:\Windows\system32\RunDll32.EXE "C:\Program Files\NVIDIA Corporation\Installer2\CoreTemp.{A5209FA6-78BB-433C-9F00-2990855AA419}\NVPrxy64.DLL",Proxy {4940C081-1766-47B7-AD59-9871D54A898E} false
  fileinfo: size: 46080, easize: 0, attr: 0x820, buildtime: 0, ctime: 14.06.2017 07:20:36.422, atime: 14.06.2017 07:39:46.150, mtime: 14.06.2017 07:39:46.152, descr: Windows host process (Rundll32), ver: 6.1.7601.23755 (win7sp1_ldr.170330-0600), company: Microsoft Corporation, oname: RUNDLL32.EXE
  status: signed_microsoft, system_file_host, spc / signed_microsoft / unknown / rundll
  key: \REGISTRY\MACHINE\SOFTWARE\Classes\mscfile\shellex\ContextMenuHandlers\OpenGLShExt, access: 0x0
resolved path: C:\Windows\system32\RunDll32.EXE, status: signed_microsoft, system_file_host, spc (4040800)
resolved path: C:\Windows\system32\RunDll32.EXE ==> allowed
resolved path: C:\Program Files\NVIDIA Corporation\Installer2\CoreTemp.{A5209FA6-78BB-433C-9F00-2990855AA419}\NVPrxy64.DLL, status: signed, pe64, new_pe, dll (2a00200)
resolved path: C:\Program Files\NVIDIA Corporation\Installer2\CoreTemp.{A5209FA6-78BB-433C-9F00-2990855AA419}\NVPrxy64.DLL ==> suspicious
send user blocked alert
id: 12210 ==> denied [5], time: 42.509229 ms

 

- EventData

   Preventive Protection event: Delete protected key id: 12210, timestamp: 10:25:44.897, type: RegDelKey (12), flags: 1 (wait: 1) sid: S-1-5-21-2443128806-2598492710-3175407268-1000, cid: 1736/6312:\Device\HarddiskVolume2\Windows\System32\rundll32.exe context: start addr: 0x77b693e0, image: 0x77a70000:\Device\HarddiskVolume2\Windows\System32\ntdll.dll hips: type: 9, action: deny [5] cmd: C:\Windows\system32\RunDll32.EXE "C:\Program Files\NVIDIA Corporation\Installer2\CoreTemp.{A5209FA6-78BB-433C-9F00-2990855AA419}\NVPrxy64.DLL",Proxy {4940C081-1766-47B7-AD59-9871D54A898E} false fileinfo: size: 46080, easize: 0, attr: 0x820, buildtime: 0, ctime: 14.06.2017 07:20:36.422, atime: 14.06.2017 07:39:46.150, mtime: 14.06.2017 07:39:46.152, descr: Windows host process (Rundll32), ver: 6.1.7601.23755 (win7sp1_ldr.170330-0600), company: Microsoft Corporation, oname: RUNDLL32.EXE status: signed_microsoft, system_file_host, spc / signed_microsoft / unknown / rundll key: \REGISTRY\MACHINE\SOFTWARE\Classes\mscfile\shellex\ContextMenuHandlers\OpenGLShExt, access: 0x0 resolved path: C:\Windows\system32\RunDll32.EXE, status: signed_microsoft, system_file_host, spc (4040800) resolved path: C:\Windows\system32\RunDll32.EXE ==> allowed resolved path: C:\Program Files\NVIDIA Corporation\Installer2\CoreTemp.{A5209FA6-78BB-433C-9F00-2990855AA419}\NVPrxy64.DLL, status: signed, pe64, new_pe, dll (2a00200) resolved path: C:\Program Files\NVIDIA Corporation\Installer2\CoreTemp.{A5209FA6-78BB-433C-9F00-2990855AA419}\NVPrxy64.DLL ==> suspicious send user blocked alert id: 12210 ==> denied [5], time: 42.509229 ms  

 

Было сообщение на русском, его в ивент лог нет

В логах Др.ВЕБ тоже нет.

Файл dwservice.log почему-то только сегодняшний.


Сообщение было изменено ЛСергей: 31 Июль 2019 - 21:36


#13 SergSG

SergSG

    The Master

  • Posters
  • 12 081 Сообщений:

Отправлено 31 Июль 2019 - 21:49

В журнале событий статистики Доктора все должно фиксироваться.



#14 ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 650 Сообщений:

Отправлено 31 Июль 2019 - 23:17

В журнале событий статистики Доктора все должно фиксироваться.

Пожалуйста, имя файла?

Здесь C:\ProgramData\Doctor Web\Logs\

dwservice.log
dwupdater.log
netfilter.log
setup-starter.log
spiderg3.log

win-space-setup.log

нет ничего.

Строчки в #12 отсюда:

C:\Windows\System32\winevt\Logs\Doctor Web.evtx



#15 RomaNNN

RomaNNN

    Ковальски

  • Dr.Web Staff
  • 5 667 Сообщений:

Отправлено 31 Июль 2019 - 23:20



В журнале событий статистики Доктора все должно фиксироваться.

 

Выше эвент как раз оттуда.

 

ЛСергей, да, это то что фиксили.


Если есть два способа, простой и сложный, то выбирай сложный, так как он проще простого способа, который тоже сложный, но ещё и кривой.

#16 SergSG

SergSG

    The Master

  • Posters
  • 12 081 Сообщений:

Отправлено 01 Август 2019 - 14:42

 

В журнале событий статистики Доктора все должно фиксироваться.

Пожалуйста, имя файла?

Я имел ввиду - Паук -> Центр Безопасности -> Статистика -> Подробный отчет.



#17 ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 650 Сообщений:

Отправлено 01 Август 2019 - 18:18

 

 

В журнале событий статистики Доктора все должно фиксироваться.

Пожалуйста, имя файла?

Я имел ввиду - Паук -> Центр Безопасности -> Статистика -> Подробный отчет.

 

В логах там ничего не было



#18 SergSG

SergSG

    The Master

  • Posters
  • 12 081 Сообщений:

Отправлено 01 Август 2019 - 18:35

 

 

 

В журнале событий статистики Доктора все должно фиксироваться.

Пожалуйста, имя файла?

Я имел ввиду - Паук -> Центр Безопасности -> Статистика -> Подробный отчет.

В логах там ничего не было

Странно, все, что показывается в балунах и вообще все события, записывается туда в человеческом виде.

 

Прикрепленный файл  Stat1.PNG   32,04К   0 Скачано раз



#19 ЛСергей

ЛСергей

    Advanced Member

  • Posters
  • 650 Сообщений:

Отправлено 02 Август 2019 - 00:01

SergSG,  у меня по какой-то причине логи чуть больше 1м. Не знаю, это давно так или нет. Не обращал внимания.

В настройках по умолчанию удаление через 7 дней, а удаление происходит через несколько часов. Прослежу.

Прикрепленные файлы:



#20 SergSG

SergSG

    The Master

  • Posters
  • 12 081 Сообщений:

Отправлено 02 Август 2019 - 15:20

SergSG,  у меня по какой-то причине логи чуть больше 1м. Не знаю, это давно так или нет. Не обращал внимания.

В настройках по умолчанию удаление через 7 дней, а удаление происходит через несколько часов. Прослежу.

 

Да, эти настройки просто шедевр дизайнерской мысли. Я бы вообще отключил удаление, не так уж там много событий.

 

Прикрепленный файл  post-62152-0-19423800-1564693098.jpg   54,84К   0 Скачано раз




Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых