Msdt exe что это

Как удалить msdt

Подлинный файл является одним из компонентов программного обеспечения Microsoft Windows Operating System, разработанного Microsoft Corporation .

Msdt.exe — это исполняемый файл (программа) для Windows. Расширение имени файла .exe — это аббревиатура от англ. слова executable — исполнимый. Необходимо запускать исполняемые файлы от проверенных производителей программ, потому что исполняемые файлы могут потенциально изменить настройки компьютера или нанести вред вашему компьютеру. Бесплатный форум с информацией о файлах может помочь вам разобраться является ли msdt.exe вирусом, трояном, программой-шпионом, рекламой, которую вы можете удалить, или файл принадлежит системе Windows или приложению, которому можно доверять.

Вот так, вы сможете исправить ошибки, связанные с msdt.exe

Используйте программу Настройщик Windows, чтобы найти причину проблем, в том числе и медленной работы компьютера.
Обновите программу Diagnostics Troubleshooting Wizard. Обновление можно найти на сайте производителя (ссылка приведена ниже).
В следующих пунктах предоставлено описание работы msdt.exe.

Информация о файле msdt.exe

Описание: msdt.exe часто вызывает проблемы и необходим для Windows. Файл msdt.exe находится в папке C:\Windows\System32. Известны следующие размеры файла для Windows 10/11/7 983,040 байт (30% всех случаев), 343,552 байт и еще 6 варианта .
Это системный файл Windows. Это заслуживающий доверия файл от Microsoft. Msdt.exe способен записывать ввод данных. Поэтому технический рейтинг надежности 1% опасности.

Вирусы с тем же именем файла

Является ли msdt.exe вирусом? Нет, это не вирус. Настоящий файл msdt.exe — это безопасный системный процесс Microsoft Windows, который называется «Diagnostics Troubleshooting Wizard». Тем не менее, авторы зловредных программ, таких как вирусы, черви, и трояны намеренно называют процессы таким же именем, чтобы избежать обнаружения. Вирусы с тем же именем файлов: например, TROJ_GEN.R08NC0DAR15 (определяется антивирусом TrendMicro), и HEUR:Trojan.Win32.Generic (определяется антивирусом Kaspersky).
Чтобы убедиться, что работающий msdt.exe на вашем компьютере — это не вредоносный процесс, нажмите здесь, чтобы запустить Проверку на вирусы.

Как распознать подозрительные процессы? Если msdt.exe находится в подпапках «C:\Users\USERNAME», тогда рейтинг надежности 66% опасности. Размер файла 143,872 байт (50% всех случаев) или 409,600 байт. Это не системный процесс Windows. Msdt.exe способен мониторить приложения, манипулировать другими программами и записывать ввод данных.

Важно: Некоторые вредоносные программы маскируют себя как msdt.exe, особенно, если они расположены не в каталоге C:\Windows\System32. Таким образом, вы должны проверить файл msdt.exe на вашем ПК, чтобы убедиться, что это угроза. Мы рекомендуем Security Task Manager для проверки безопасности вашего компьютера.

Комментарий пользователя

Лучшие практики для исправления проблем с msdt

Аккуратный и опрятный компьютер — это главное требование для избежания проблем с msdt. Для этого требуется регулярная проверка компьютера на вирусы, очистка жесткого диска, используя cleanmgr и sfc /scannow, удаление программ, которые больше не нужны, проверка программ, которые запускаются при старте Windows (используя msconfig) и активация Автоматическое обновление Windows. Всегда помните о создании периодических бэкапов, или в крайнем случае о создании точек восстановления.

Если у вас актуальные проблемы, попробуйте вспомнить, что вы делали в последнее время, или последнюю программу, которую вы устанавливали перед тем, как появилась впервые проблема. Используйте команду resmon, чтобы определить процесс, который вызывает проблемы. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.

Следующие программы могут вам помочь для анализа процесса msdt.exe на вашем компьютере: Security Task Manager отображает все запущенные задания Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записей автозагрузки. Уникальная оценка рисков безопасности указывает на вероятность процесса быть потенциально опасным — шпионской программой, вирусом или трояном. Malwarebytes Anti-Malware определяет и удаляет бездействующие программы-шпионы, рекламное ПО, трояны, кейлоггеры, вредоносные программы и трекеры с вашего жесткого диска.

msdt сканер

скачать

Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.

Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.

Reimage бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.

Что такое msdt.exe? Это безопасно или вирус? Как удалить или исправить это

msdt.exe это исполняемый файл, который является частью Microsoft Windows, разработанный Корпорация Microsoft, Версия программного обеспечения для Windows: 6.3.9600.16384 обычно 162304 в байтах, но у вас может отличаться версия.

Расширение .exe имени файла отображает исполняемый файл. В некоторых случаях исполняемые файлы могут повредить ваш компьютер. Пожалуйста, прочитайте следующее, чтобы решить для себя, является ли msdt.exe Файл на вашем компьютере — это вирус или вредоносная программа, которую вы должны удалить, или, если это действительно допустимый файл операционной системы Windows или надежное приложение.

Msdt.exe безопасно, или это вирус или вредоносная программа?

Первое, что поможет вам определить, является ли тот или иной файл законным процессом Windows или вирусом, это местоположение самого исполняемого файла. Например, для msdt.exe его путь будет примерно таким: C: \ Program Files \ Microsoft Corporation \ Microsoft Windows \ msdt.exe

Чтобы определить его путь, откройте диспетчер задач, перейдите в «Просмотр» -> «Выбрать столбцы» и выберите «Имя пути к изображению», чтобы добавить столбец местоположения в диспетчер задач. Если вы обнаружите здесь подозрительный каталог, возможно, стоит дополнительно изучить этот процесс.

Еще один инструмент, который иногда может помочь вам обнаружить плохие процессы, — это Microsoft Process Explorer. Запустите программу (не требует установки) и активируйте «Проверить легенды» в разделе «Параметры». Теперь перейдите в View -> Select Columns и добавьте «Verified Signer» в качестве одного из столбцов.

Если статус процесса «Проверенная подписывающая сторона» указан как «Невозможно проверить», вам следует взглянуть на процесс. Не все хорошие процессы Windows имеют метку проверенной подписи, но ни один из плохих.

Имя: msdt.exe
Программного обеспечения: Microsoft Windows,
Издатель: Корпорация Microsoft
Ожидаемое местоположение: C: \ Program Files \ Microsoft Corporation \ Microsoft Windows \ подпапке
Ожидаемый полный путь: C: \ Program Files \ Microsoft Corporation \ Microsoft Windows \ msdt.exe
SHA1: 2205EF771C0A573AE75F2DF604BE7BD99EC832FC
SHA256:
MD5: A677D395CED80E6925DDE0A4719AC2F8
Известно, что до 162304 размер байт в большинстве Windows;

Если у вас возникли какие-либо трудности с этим исполняемым файлом, вы должны определить, заслуживает ли он доверия, перед удалением msdt.exe. Для этого найдите этот процесс в диспетчере задач.

Найти его местоположение и сравнить размер и т. Д. С приведенными выше фактами

Если вы подозреваете, что можете быть заражены вирусом, вы должны немедленно попытаться это исправить. Чтобы удалить вирус msdt.exe, необходимо скачайте и установите приложение полной безопасности, как это, Обратите внимание, что не все инструменты могут обнаружить все типы вредоносных программ, поэтому вам может потребоваться попробовать несколько вариантов, прежде чем вы добьетесь успеха.

Кроме того, функциональность вируса может сама влиять на удаление msdt.exe. В этом случае вы должны включить Безопасный режим с загрузкой сетевых драйверов — безопасная среда, которая отключает большинство процессов и загружает только самые необходимые службы и драйверы. Когда вы можете запустить программу безопасности и полный анализ системы.

Могу ли я удалить или удалить msdt.exe?

Не следует удалять безопасный исполняемый файл без уважительной причины, так как это может повлиять на производительность любых связанных программ, использующих этот файл. Не забывайте регулярно обновлять программное обеспечение и программы, чтобы избежать будущих проблем, вызванных поврежденными файлами. Что касается проблем с функциональностью программного обеспечения, проверяйте обновления драйверов и программного обеспечения чаще, чтобы избежать или вообще не возникало таких проблем.

Разбор таска Let’s Defend. DogWalk 0-Day Activity

В далеком 2020 году независимый исследователь Imre Rad опубликовал статью с уязвимостью в компоненте операционной системы Windows — msdt.exe (тот самый =) ). Microsoft посчитала найденную уязвимость недостаточно критичной, чтобы на нее реагировать. Однако после истории с Follina вендор решил выпустить патч, закрывающий уязвимость DogWalk.

Коротко о msdt.exe и пакетах диагностики

MSDT (Microsoft’s Diagnostic Troubleshooting Wizard) — мастер диагностики и устранения проблем Windows, информация о работе msdt.exe. Если вы желаете использовать msdt.exe по назначению, то здесь список доступных пакетов для решения проблем в Windows.

Пакет устранения неисправностей состоит из следующих компонентов:

Манифест устранения неполадок— указывает на основные проблемы, которые может обнаружить пакет, и сценарии, используемые для их обнаружения, устранения и проверки их устранения. Расширение файла: .diagpkg.

Скрипты устранения неполадок — сценарии, используемые для определения наличия основной причины. Расширение файла: .ps1.

Скрипты разрешения — сценарии, используемые для устранения основной причины, обнаруженной сценарием устранения неполадок. Расширение файла: .ps1.

Скрипты проверки — сценарии, используемые для проверки того, смогли ли сценарии решить проблему. Расширение файла: .ps1.

Локализация ресурсов — строки локализованных ресурсов, используемые манифестом устранения неполадок и сценариями. Расширение файла: .psd1, .dll.mui.

Для удобства использования пакетов диагностики есть возможность создания файлов — DIAGCAB. DIAGCAB-файлы позволяют создать портативный архив, который будет использовать пакет диагностики размещенный на каком-либо ресурсе или включающий все файлы в себя.

Пакеты диагностики должны быть подписаны, чтобы пользователи msdt могли удостовериться в их подлинности. Пакеты, расположенные по пути %WINDIR%\diagnostics\system являются стандартными и не подлежат проверке сертификата.

Об уязвимости

Для описания уязвимости использовалась статья с Medium. Рассмотрим порядок запуска пакета диагностики, расположенного на удаленном ресурсе:

Копирование файла во временную директорию, путь который известен заранее C:\Users\John Doe\AppData\Local\Temp\SDIAG_0636db01-fabd-49ed-bd1d-b3fbbe5fd0ca

Проверка цифровой подписи пакета

Если проверка подписи успешна, то запуск пакета диагностики

Для копирования пакета во временную директорию используется уязвимая функция SdpCopyDirectory из sdiageng.dll, код которой представлен ниже. Функция уязвима к Path Traversal.

Мы можем определить имя файла, в пакете диагностики, следующим образом: ..\..\..\..\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\evil.exe, и закрепиться в директории автозагрузки.

Разбор таска LetsDefend: SOC174 — DogWalk 0-Day Activity

В LetsDefend есть два уровня тасков:

Security Analyst (кейсы для аналитиков 1-го уровня, по логам нужно определить является ли обнаруженная активность вредоносной)

Incident responder (кейсы ориентированы на реагирование, добавляется возможность подключаться к машинам по VNC и проводить анализ артефактов)

Также доступны следующие источники событий:

список запущенных процессов

выполняемые команды в терминале

сетевые соединения на хосте

подключиться к хосту через VNC

Исходные данные

Нам известно следующее:

имя машины/ip: Jack-dev-server / 172.16.17.81

название правила, которое сработало: SOC174 — DogWalk 0-Day Activity

ID CVE: CVE-2022-34713

записка от L1 SOC: I saw that the diagcab file was run with msdt.exe at 11.08.2022 07:58. But I did not understand how this happened and what happened next.

причина реагирования: Running a diagcab file with msdt.exe

Просмотр электронной почты

Я предположил, что вредоносный файл был доставлен вложением в электронном письме.

Тело сообщения, которое получил пользователь Jack Hanma

В теле письма мы видим ссылку hxxps://52e9-3-17-146-251[.]ngrok[.]io/config/hotfix895214.diagcab, которая содержит в доменном имени ngrok, и указывает на файл hotfix895214.diagcab. Следующим шагом нужно убедиться, получилось ли пользователю установить сетевое соединение с вредоносным сервером.

Сетевые соединения

В сетевых подключениях, связанных с нашим хостом мы видим четыре сессии:

Сетевые соединения, связанные с IP: 172.16.17.81

1-2 — пользователь запросил A-запись для доменного имени 52e9-3-17-146-251.ngrok.io и получил ответ от DNS-сервера:8.8.8.8 — A: 3.134.39.220

3 — пользователь запросил директорию /package

4 — пользователь запросил файл /AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/calc.exe

Из вышесказанного делаем вывод, что пользователь перешел в директорию /package и загрузил файл /AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/calc.exe

Анализ событий на хосте

Первым делом я проверил журнал Microsoft-Windows-Sysmon/Operational. События, связанные с Image = msdt.exe:

В результате мы видим четыре события:

События, связанные с Image=msdt.exe

В событии ниже мы видим, что chrome запустил процесс msdt.exe с параметрами /cab «C:\Users\LetsDefend\Downloads\hotfix895214.diagcab. Теперь мы знаем, что файл с пакетом диагностики находился в директории Downloads пользователя LetsDefend.

Описание запуска процесса msdt.exe

В следующих двух событиях мы видим, что процесс msdt.exe создал два файла в директории автозагрузки:

Событие создания файла Событие создания файла

Проверим события chrome.exe:

Убедились в том, что пакет диагностики загружали через chrome.exe

Также убедимся в наличии файлов в директории автозагрузки:

Файлы, расположенные в директории автозагрузки

Командой certutil.exe -hashfile .\<имя файла> MD5 получим хеш-суммы файлов и проверим их репутацию на virustotal.

Анализ пакета диагностики

С помощью 7zip откроем пакет диагностики hotfix895214.diagcab.

Конфигурационный файл внутри пакета диагностики

Посмотрим содержимое файла custom.diagcfg

Содержимое файла custom.diagcfg

Обратим внимание на ключ Package, который указывает на расположение файлов пакета диагностики:

Скачать Msdt.exe и исправить ошибки EXE

Файл msdt.exe считается разновидностью файла Diagnostics Troubleshooting Wizard. Наиболее часто он используется в ПО Microsoft® Windows® Operating System, разработанном компанией Microsoft. Он использует расширение EXE и считается файлом Win32 EXE (Исполняемое приложение).

Файл msdt.exe впервые был выпущен для ОС Windows Vista 11/08/2006 с Windows Vista. Последней версией файла для Windows 10 является v10.0.15063.0 (WinBuild.160101.0800), выпущенная 07/29/2015. Файл msdt.exe включен в Windows 10, Windows 8.1 и Windows 8.

В этой короткой статье приводятся подробные сведения о файле, шаги по устранению проблем EXE с msdt.exe и список бесплатных загрузок для каждой версии, содержащейся в нашем полном каталоге файлов.

Рекомендуемая загрузка: исправить ошибки реестра в WinThruster, связанные с msdt.exe и (или) Windows.

Совместимость с Windows 10, 8, 7, Vista, XP и 2000

Средняя оценка пользователей

Обзор файла

Сведения о разработчике и ПО
Разработчик ПО:	Microsoft Corporation
Программа:	Microsoft® Windows® Operating System
Авторское право:	© Microsoft Corporation. All rights reserved.

Сведения о файле
Набор символов:	Unicode
Код языка:	English (U.S.)
Флаги файлов:	(none)
Маска флагов файлов:	0x003f
Точка входа:	0x46ed0
Размер кода:	294912

Информация о файле	Описание
Размер файла:	1470 kB
Дата и время изменения файла:	2017:03:18 18:18:44+00:00
Дата и время изменения индексного дескриптора файлов:	2017:11:05 07:07:54+00:00
Тип файла:	Win32 EXE
Тип MIME:	application/octet-stream
Предупреждение!	Possibly corrupt Version resource
Тип компьютера:	Intel 386 or later, and compatibles
Метка времени:	1983:02:04 05:46:36+00:00
Тип PE:	PE32
Версия компоновщика:	14.10
Размер кода:	294912
Размер инициализированных данных:	1210368
Размер неинициализированных данных:	0
Точка входа:	0x46ed0
Версия ОС:	10.0
Версия образа:	10.0
Версия подсистемы:	10.0
Подсистема:	Windows GUI
Номер версии файла:	10.0.15063.0
Номер версии продукта:	10.0.15063.0
Маска флагов файлов:	0x003f
Флаги файлов:	(none)
Файловая ОС:	Windows NT 32-bit
Тип объектного файла:	Executable application
Подтип файла:	0
Код языка:	English (U.S.)
Набор символов:	Unicode
Наименование компании:	Microsoft Corporation
Описание файла:	Diagnostics Troubleshooting Wizard
Версия файла:	10.0.15063.0 (WinBuild.160101.0800)
Внутреннее имя:	DiagWizard
Авторское право:	© Microsoft Corporation. All rights reserved.
Оригинальное имя файла:	msdt.exe
Название продукта:	Microsoft® Windows® Operating System
Версия продукта:	10.0.15063.0

✻ Фрагменты данных файлов предоставлены участником Exiftool (Phil Harvey) и распространяются под лицензией Perl Artistic.

Что такое сообщения об ошибках msdt.exe?

msdt.exe — ошибки выполнения

Ошибки выполнения — это ошибки Windows, возникающие во время «выполнения». Термин «выполнение» говорит сам за себя; имеется в виду, что данные ошибки EXE возникают в момент, когда происходит попытка загрузки файла msdt.exe — либо при запуске приложения Windows, либо, в некоторых случаях, во время его работы. Ошибки выполнения являются наиболее распространенной разновидностью ошибки EXE, которая встречается при использовании приложения Windows.

В большинстве случаев ошибки выполнения msdt.exe, возникающие во время работы программы, приводят к ненормальному завершению ее работы. Большинство сообщений об ошибках msdt.exe означают, что либо приложению Windows не удалось найти этот файл при запуске, либо файл поврежден, что приводит к преждевременному прерыванию процесса запуска. Как правило, Windows не сможет запускаться без разрешения этих ошибок.

К числу наиболее распространенных ошибок msdt.exe относятся:

msdt.exe — недопустимое изображение.
msdt.exe — ошибка приложения.
Не удается найти msdt.exe.
Не удается установить msdt.exe.
Не удается запустить msdt.exe. Класс не зарегистрирован.
Не удается запустить msdt.exe.
Не удалось правильно инициализировать msdt.exe.
Ошибка файла msdt.exe; файл должен быть закрыт. Приносим извинения за неудобства.
Файл msdt.exe не является допустимым приложением Win32.
Файл msdt.exe не выполняется.
Не удается найти msdt.exe.
Ошибка при запуске программы: msdt.exe.
Неправильный путь приложения: msdt.exe.
Файл msdt.exe отсутствует или поврежден.
Windows не удалось запустить — msdt.exe.

Не удается запустить программу из-за отсутствия msdt.exe на компьютере. Попробуйте переустановить программу, чтобы устранить эту проблему.

Таким образом, крайне важно, чтобы антивирус постоянно поддерживался в актуальном состоянии и регулярно проводил сканирование системы.

Поиск причины ошибки msdt.exe является ключом к правильному разрешению таких ошибок. Несмотря на то что большинство этих ошибок EXE, влияющих на msdt.exe, происходят во время запуска, иногда ошибка выполнения возникает при использовании Microsoft® Windows® Operating System. Причиной этого может быть недостаточное качество программного кода со стороны Microsoft Corporation, конфликты с другими приложениями, сторонние плагины или поврежденное и устаревшее оборудование. Кроме того, эти типы ошибок msdt.exe могут возникать в тех случаях, если файл был случайно перемещен, удален или поврежден вредоносным программным обеспечением. Таким образом, крайне важно, чтобы антивирус постоянно поддерживался в актуальном состоянии и регулярно проводил сканирование системы.

Как исправить ошибки msdt.exe — 3-шаговое руководство (время выполнения:

Если вы столкнулись с одним из вышеуказанных сообщений об ошибке, выполните следующие действия по устранению неполадок, чтобы решить проблему msdt.exe. Эти шаги по устранению неполадок перечислены в рекомендуемом порядке выполнения.

Шаг 1. Восстановите компьютер до последней точки восстановления, «моментального снимка» или образа резервной копии, которые предшествуют появлению ошибки.

Чтобы начать восстановление системы (Windows XP, Vista, 7, 8 и 10):

Нажмите кнопку «Пуск» в Windows
В поле поиска введите «Восстановление системы» и нажмите ENTER.
В результатах поиска найдите и нажмите «Восстановление системы»
Введите пароль администратора (при необходимости).
Следуйте инструкциям мастера восстановления системы, чтобы выбрать соответствующую точку восстановления.
Восстановите компьютер к этому образу резервной копии.

Если на этапе 1 не удается устранить ошибку msdt.exe, перейдите к шагу 2 ниже.

Шаг 2. Запустите средство проверки системных файлов (System File Checker), чтобы восстановить поврежденный или отсутствующий файл msdt.exe.

Средство проверки системных файлов (System File Checker) — это утилита, входящая в состав каждой версии Windows, которая позволяет искать и восстанавливать поврежденные системные файлы. Воспользуйтесь средством SFC для исправления отсутствующих или поврежденных файлов msdt.exe (Windows XP, Vista, 7, 8 и 10):

Нажмите кнопку «Пуск» в Windows
В поле поиска введите cmd, но НЕ НАЖИМАЙТЕ ENTER.
Нажмите и удерживайте CTRL-Shift на клавиатуре, одновременно нажимая ENTER.
Появится диалоговое окно запроса разрешения.
В поле нажмите «ДА».
Должен отображаться черный экран с мигающим курсором.
На этом черном экране введите sfc /scannow и нажмите ENTER.
Средство проверки системных файлов (System File Checker) начнет поиск неполадок, связанных с msdt.exe, а также других неполадок с системными файлами.
Для завершения процесса следуйте инструкциям на экране.

Следует понимать, что это сканирование может занять некоторое время, поэтому необходимо терпеливо отнестись к процессу его выполнения.

Если на этапе 2 также не удается устранить ошибку msdt.exe, перейдите к шагу 3 ниже.

Шаг 3. Выполните обновление Windows.

Когда первые два шага не устранили проблему, целесообразно запустить Центр обновления Windows. Во многих случаях возникновение сообщений об ошибках msdt.exe может быть вызвано устаревшей операционной системой Windows. Чтобы запустить Центр обновления Windows, выполните следующие простые шаги:

Нажмите кнопку «Пуск» в Windows
В поле поиска введите «Обновить» и нажмите ENTER.
В диалоговом окне Центра обновления Windows нажмите «Проверить наличие обновлений» (или аналогичную кнопку в зависимости от версии Windows)
Если обновления доступны для загрузки, нажмите «Установить обновления».
После завершения обновления следует перезагрузить ПК.

Если Центр обновления Windows не смог устранить сообщение об ошибке msdt.exe, перейдите к следующему шагу. Обратите внимание, что этот последний шаг рекомендуется только для продвинутых пользователей ПК.

Если эти шаги не принесут результата: скачайте и замените файл msdt.exe (внимание: для опытных пользователей)

Если ни один из предыдущих трех шагов по устранению неполадок не разрешил проблему, можно попробовать более агрессивный подход (примечание: не рекомендуется пользователям ПК начального уровня), загрузив и заменив соответствующую версию файла msdt.exe. Мы храним полную базу данных файлов msdt.exe со 100%-ной гарантией отсутствия вредоносного программного обеспечения для любой применимой версии Windows . Чтобы загрузить и правильно заменить файл, выполните следующие действия:

Найдите версию операционной системы Windows в нижеприведенном списке «Загрузить файлы msdt.exe».
Нажмите соответствующую кнопку «Скачать», чтобы скачать версию файла Windows.
Копировать файл в соответствующий каталог вашей версии Windows:

Если этот последний шаг оказался безрезультативным и ошибка по-прежнему не устранена, единственно возможным вариантом остается выполнение чистой установки Windows 10.

Разбор таска Let’s Defend. DogWalk 0-Day Activity

Коротко о msdt.exe и пакетах диагностики

Пакет устранения неисправностей состоит из следующих компонентов:

Об уязвимости

Проверка цифровой подписи пакета

Если проверка подписи успешна, то запуск пакета диагностики

Разбор таска LetsDefend: SOC174 — DogWalk 0-Day Activity

В LetsDefend есть два уровня тасков:

Также доступны следующие источники событий:

список запущенных процессов

выполняемые команды в терминале

сетевые соединения на хосте

подключиться к хосту через VNC

Исходные данные

Нам известно следующее:

имя машины/ip: Jack-dev-server / 172.16.17.81

название правила, которое сработало: SOC174 — DogWalk 0-Day Activity

ID CVE: CVE-2022-34713

записка от L1 SOC: I saw that the diagcab file was run with msdt.exe at 11.08.2022 07:58. But I did not understand how this happened and what happened next.

причина реагирования: Running a diagcab file with msdt.exe

Просмотр электронной почты

Я предположил, что вредоносный файл был доставлен вложением в электронном письме.

Тело сообщения, которое получил пользователь Jack Hanma

Сетевые соединения

В сетевых подключениях, связанных с нашим хостом мы видим четыре сессии:

Сетевые соединения, связанные с IP: 172.16.17.81

3 — пользователь запросил директорию /package

4 — пользователь запросил файл /AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/calc.exe

Анализ событий на хосте

Первым делом я проверил журнал Microsoft-Windows-Sysmon/Operational. События, связанные с Image = msdt.exe:

В результате мы видим четыре события:

События, связанные с Image=msdt.exe

Описание запуска процесса msdt.exe

В следующих двух событиях мы видим, что процесс msdt.exe создал два файла в директории автозагрузки:

Событие создания файла Событие создания файла

Проверим события chrome.exe:

Убедились в том, что пакет диагностики загружали через chrome.exe

Также убедимся в наличии файлов в директории автозагрузки:

Файлы, расположенные в директории автозагрузки

Командой certutil.exe -hashfile .\<имя файла> MD5 получим хеш-суммы файлов и проверим их репутацию на virustotal.

Анализ пакета диагностики

С помощью 7zip откроем пакет диагностики hotfix895214.diagcab.

Конфигурационный файл внутри пакета диагностики

Посмотрим содержимое файла custom.diagcfg

Содержимое файла custom.diagcfg

Обратим внимание на ключ Package, который указывает на расположение файлов пакета диагностики:

Что такое msdt.exe? Это безопасно или вирус? Как удалить или исправить это

Msdt.exe безопасно, или это вирус или вредоносная программа?

Имя: msdt.exe
Программного обеспечения: Microsoft Windows,
Издатель: Корпорация Microsoft
Ожидаемое местоположение: C: \ Program Files \ Microsoft Corporation \ Microsoft Windows \ подпапке
Ожидаемый полный путь: C: \ Program Files \ Microsoft Corporation \ Microsoft Windows \ msdt.exe
SHA1: 2205EF771C0A573AE75F2DF604BE7BD99EC832FC
SHA256:
MD5: A677D395CED80E6925DDE0A4719AC2F8
Известно, что до 162304 размер байт в большинстве Windows;

Найти его местоположение и сравнить размер и т. Д. С приведенными выше фактами

Могу ли я удалить или удалить msdt.exe?

Как удалить msdt

Вот так, вы сможете исправить ошибки, связанные с msdt.exe

Используйте программу Настройщик Windows, чтобы найти причину проблем, в том числе и медленной работы компьютера.
Обновите программу Diagnostics Troubleshooting Wizard. Обновление можно найти на сайте производителя (ссылка приведена ниже).
В следующих пунктах предоставлено описание работы msdt.exe.

Информация о файле msdt.exe

Вирусы с тем же именем файла

Комментарий пользователя

Лучшие практики для исправления проблем с msdt

msdt сканер

скачать

Reimage бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.

The trouble with Microsoft’s Troubleshooters

Recent versions of Windows are equipped with a “Troubleshooting” feature that can be found in the Control Panel or the new Settings application. You might find this tool useful if you have some trouble with your computer as it can quickly fix some common issues in a user-friendly way. This write up demonstrates an implementation flaw that can be used to compromise a computer where a crafted diagnostic package is opened. Microsoft [edit: initially] pushed back providing a fix for the current versions of Windows [edit: but decided two fix it two years later]; to avoid trouble, pay special attention to not open .diagcab files. Mail server operators are recommended to include this file type to their blacklists.

Vulnerability

Windows is shipped with a bunch of Troubleshooters by default. The technology is flexible so additional diagnostic packages can be downloaded from the internet. Integrity of these packages are protected to avoid external tampering, if signature verification fails, the tool refuses to execute the package.

So where is the problem then? A flaw in the implementation allows attackers to save any files to any locations on the file system (in line with the permissions of the current user) and this takes place before the integrity of the package is checked. Even though overwriting of files is not possible via this vulnerability due to another security measure, an attacker could still gain code execution here by dropping a file to the Startup folder of Windows, which will be executed by the Operating System next time when the user logs in.

Threat actors usually distribute malicious files like this in email, via their shady websites or packaged in a torrent file. As in case of every vulnerability, there are several constraints of successful exploitation:

The email attachments are monitored and scanned by decent email providers — so they could detect and reject messages with attachments like this
Certain file extensions are blocked by the mail reader or web browser applications. According to Microsoft, Outlook and Internet Explorer are protected since .diagcab is blacklisted by these two softwares if the file is coming from the internet zone.
User interaction to trigger processing of the diagnostic file by clicking on it
The user must be using a Microsoft Windows operating system

During my testing, I concluded that neither Gmail nor Outlook Live blocked .diagcab files at all, so users of these services could be potential targets. I encountered the filtering mechanism of some MS Exchange based corporate servers blocking my attachments, however, by linking to a webdav share, I could circumvent this protection so the diagcab file could be executed in Outlook. But not even links like this can be used ultimately, they are deactivated by providers like Gmail or Outlook Live and blocked by other security measures of Internet Explorer.

Other popular products like Google Chrome, Mozilla Firefox or Thunderbird simply pop up the standard open and execute dialog box when they see .diagcab files. Actually, even Microsoft Edge. Using one of these browsers for reading emails on a web based platform is probably the biggest attack vector of this vulnerability — especially given that users of those platforms are used to the high quality pre-filtering of the emails received.

There is a Man-in-the-Middle attack vector as well; if a .diagcab file is downloaded over a clear-text network channel (like via the plain http links found here), the same attack could be performed by operators of a hostile network (like public Wi-Fi or similar).

The table below summarizes the potential attack vectors that have been tested and found the flaw to be exploitable:

Technical details

The software behind the Troubleshooters technology is called Microsoft Support Diagnostics Tool and located at %WINDIR%\System32\msdt.exe. It is associated to the following file types:

Files with .diagcfg extension are simple XML files that hold reference to one or more diagnostic packages and provide meta information about them. They are packaged into Microsoft cabinet (.cab) file archives and saved with .diagcab extension. The XML content itself could look something like this:

The Path attribute of the referenced packages point to a directory in the file system. Packages under %WINDIR%\Diagnostics folder are considered to be valid without any further checking, but anything else is subject to signature verification. This is implemented in the helper library sdiageng.dll. Before verifying the signature, the implementation makes a local copy of the referenced directory to a temporary random destination folder, something like “C:\Users\John Doe\AppData\Local\Temp\SDIAG_0636db01-fabd-49ed-bd1d-b3fbbe5fd0ca”. Note this path has a static number of components which will make the attack deterministic.

The function responsibly for the file transfer is SdpCopyDirectory of sdiageng.dll and its skeleton code looks something like this:

After the copy is done, the dll verifies the integrity based on the file DiagPackage.cat. If everything is correct and the user proceeds with the wizard on the GUI, the embedded powershell scripts are executed under the hood.

Here comes the trick: since the data source is controlled by the attacker and network file systems are supported by the Windows OS natively, this pattern can be exploited before the integrity check had chance to detect the malformed package. A rogue, network attached file system can gain controlled write over the destination file system by returning ..\.. components in the file name.

For proof of concept, I chose to spin up a webdav server of my own. Webdav is a firewall friendly, lightweight protocol that is easy to script, but I believe the same attack could be mounted with CIFS as well. The UNC (Universal Naming Convention) path of a webdav share looks something like this: \\localhost@80\DavWWWRoot. An example session of interaction with such a malicious webdav server from the command prompt:

Putting this altogether, the crafted .diagcab file has the package path set to the rogue webdav server. Once it is opened by the victim, a new file is saved under the Startup directory, and is executed by the operating system on the next startup.

Exploitation of the vulnerability described above was tested on Windows 10 version 1903 (OS Build 18362.535), probably other versions are affected as well.

Remediation

I believe the correct remediation at MS side would be discarding file system entries that have a path separator character in their name. This could be done in the implementation of the FindFirstFile/FindNextFile API calls, which reside in kernel32.dll, so in the kernel space. This would protect all applications having a similar vulnerable pattern in their code, no matter which file system backend the nasty file system entries were returned by, providing sufficient protection for both local and remote file systems.

Since this won’t happen for a while, I don’t recommend opening .diagcab files anymore. Mail system administrators are advised to tweak the blacklist in their configurations.

Diagcab files and a rogue webdab PoC server is hosted online for demonstrational purposes. (This latter will go down once my free dyno hours are exhausted at Heroku.)

If you wish, you can test the same via this webpage hosted on Github.io.

You can inspect the webdav backend server by running the following command:

If you execute the diagcab file hosted here, it will configure your Windows to launch the calculator at login. To revert the original status of your computer press CTRL+R, type shell:startup and remove the calc.exe file from the folder.

Sources of the webdav server exploit can be found on Github:

Timeline

12/22/2019: issue reported

12/23/2019: case is opened

6/1/2020: Microsoft responded to not fix the issue

9/1/2020: Draft of this write up shared with Microsoft as they requested

15/1/2020: Public advisory

7/x/2022: Microsoft block-listed .diagcab in Edge

7/29/2022: Google block-listed .diagcab in Chrome (CVE-2022–2622)

8/4/2022: Microsoft have reassessed the case “This email may come as a bit of a surprise, but this is a follow up to your case MSRC 55532 which was submitted back in 2019. We have reassessed the issue per our updated Windows bug bar (https://aka.ms/windowsbugbar) and determined that this issue meets our criteria for servicing with a security update.” (CVE-2022–34713)

Microsoft’s response

MS: Microsoft has decided that it will not be fixing this vulnerability in the current version and we are closing this case. …

IR: Clicking on a non-executable file driven by an official Microsoft technology could save attacker controlled content to any attacker controlled location on the file system including shell:startup and thus accomplishing code execution. Please confirm Microsoft does not consider this being a vulnerability. …

MS: There are a number of file types that can execute code in such a way but aren’t technically “executables”. And a number of these are considered unsafe for users to download/receive in email, even .diagcab is blocked by default in Outlook on the web and other places. This is noted a number of places online by Microsoft.

The issue is that to make use of this attack an attacker needs to create what amounts to a virus, convince a user to download the virus, and then run it. Yes, it doesn’t end in .exe, but these days most viruses don’t. Some protections are already put into place, such as standard files extensions to be blocked, of which this is one. We are also always seeking to improve these protections. But as written this wouldn’t be considered a vulnerability. No security boundaries are being bypassed, the PoC doesn’t escalate permissions in any way, or do anything the user couldn’t do already.

Msdt exe что это

Как удалить msdt

Вот так, вы сможете исправить ошибки, связанные с msdt.exe

Информация о файле msdt.exe

Комментарий пользователя

Лучшие практики для исправления проблем с msdt

msdt сканер

Что такое msdt.exe? Это безопасно или вирус? Как удалить или исправить это

Msdt.exe безопасно, или это вирус или вредоносная программа?

Могу ли я удалить или удалить msdt.exe?

Разбор таска Let’s Defend. DogWalk 0-Day Activity

Коротко о msdt.exe и пакетах диагностики

Об уязвимости

Разбор таска LetsDefend: SOC174 — DogWalk 0-Day Activity

Исходные данные

Просмотр электронной почты

Сетевые соединения

Анализ событий на хосте

Анализ пакета диагностики

Скачать Msdt.exe и исправить ошибки EXE

Обзор файла

Что такое сообщения об ошибках msdt.exe?

msdt.exe — ошибки выполнения

Как исправить ошибки msdt.exe — 3-шаговое руководство (время выполнения:

Шаг 1. Восстановите компьютер до последней точки восстановления, «моментального снимка» или образа резервной копии, которые предшествуют появлению ошибки.

Шаг 2. Запустите средство проверки системных файлов (System File Checker), чтобы восстановить поврежденный или отсутствующий файл msdt.exe.

Шаг 3. Выполните обновление Windows.

Если эти шаги не принесут результата: скачайте и замените файл msdt.exe (внимание: для опытных пользователей)

Разбор таска Let’s Defend. DogWalk 0-Day Activity

Коротко о msdt.exe и пакетах диагностики

Об уязвимости

Разбор таска LetsDefend: SOC174 — DogWalk 0-Day Activity

Исходные данные

Просмотр электронной почты

Сетевые соединения

Анализ событий на хосте

Анализ пакета диагностики

Что такое msdt.exe? Это безопасно или вирус? Как удалить или исправить это

Msdt.exe безопасно, или это вирус или вредоносная программа?

Могу ли я удалить или удалить msdt.exe?

Как удалить msdt

Вот так, вы сможете исправить ошибки, связанные с msdt.exe

Информация о файле msdt.exe

Комментарий пользователя

Лучшие практики для исправления проблем с msdt

msdt сканер

The trouble with Microsoft’s Troubleshooters

Vulnerability

Technical details

Remediation

Timeline

Microsoft’s response

Добавить комментарий Отменить ответ