Cześć, piszę ponieważ mam pytanie co do procesu, który jest uruchomiony na moim komputerze. Chodzi o NVdisplay.container.exe. Zaciekawił mnie gdyż obok nie ma napisanego opisu oraz nie mogę sprawdzić jego własciwości ani lokalizacji. Pytanie więc: Czy to na pewno proces Nvidii?

Druga sprawa to mail jaki dostałem. Tego typu maile to próby wyłudzenia i nikt nie ma dostępu do mojego komputera prawda? Szczególnie, że opisana sytuacja się nie zdarzyła co zresztą mogę łatwo udowodnić - nie mam kamerki.

Dla bezpieczeństwa przesyłam logi FRST, choć nie wiem czy są potrzebne w tej sytuacji.

FRST.txt (47,2 KB) Shortcut.txt (48,6 KB) Addition.txt (54,7 KB)

Mail to scam z przynajmniej 2 letnią historią, oznacz jako spam, może poczta nauczy się to wywalać do folderu “wiadomości-śmieci”.

E-mail może wyciekł z bazą danych np. sklepu morele.

To trzeba odinstalować:

Opis: NVDisplay.Container.exe nie jest niezbędny dla systemu Windows i często powoduje problemy. NVDisplay.Container.exe znajduje się w podfolderze „C: \ Program Files” - często jest to C: \ Program Files \ NVIDIA Corporation \ Display.NvContainer . Znane rozmiary plików w systemie Windows 10/8/7 / XP to 462968 bajtów (23% wszystkich wystąpień), 464272 bajty i 51 kolejnych wariantów. https://www.file.net/process/nvdisplay.container.exe.html
Działa jako usługa NVDisplay.ContainerLocalSystem: Usługa kontenerowa dla głównych funkcji NVIDIA.
Plik jest plikiem podpisanym przez Verisign. NVDisplay.Container.exe nie jest plikiem systemowym Windows. Plik NVDisplay.Container.exe jest podpisany cyfrowo. Program nie ma widocznego okna. NVDisplay.Container.exe jest w stanie monitorować aplikacje. Dlatego ocena bezpieczeństwa technicznego jest 21% niebezpieczna; ale powinieneś także porównać tę ocenę z opiniami użytkowników.

Co do maila, to próba oszustwa - według mnie - spam dla naiwnych.

Raczej nieświadomych.

Z otwarciem maila nie wiąże się ryzyko? W nic nie klikałem (linków ani załączników zreszta nie było). Co z tą Nvidia? Dlaczego odinstalowac?
Swoją drogą, zauważyłem taki wpis w Podglądzie zdarzeń. Zdziwiło mnie to Logowanie anonimowe. Czy to coś niebezpiecznego?

Nazwa dziennika:Security
Źródło: Microsoft-Windows-Security-Auditing
Data: 2020-11-25 10:42:14
Identyfikator zdarzenia:4624
Kategoria zadania:Logowanie
Poziom: Informacje
Słowa kluczowe:Sukcesy inspekcji
Użytkownik: Nie dotyczy
Komputer: Admin01
Opis:
Użytkownik pomyślnie zalogował się na koncie.

Podmiot:
Identyfikator zabezpieczeń: NULL SID
Nazwa konta: -
Domena konta: -
Identyfikator logowania: 0x0

Typ logowania: 3

Nowe logowanie:
Identyfikator zabezpieczeń: LOGOWANIE ANONIMOWE
Nazwa konta: LOGOWANIE ANONIMOWE
Domena konta: ZARZĄDZANIE NT
Identyfikator logowania: 0x4821c
Identyfikator GUID logowania: {00000000-0000-0000-0000-000000000000}

Informacje o procesie:
Identyfikator procesu: 0x0
Nazwa procesu: -

Informacje o sieci:
Nazwa stacji roboczej:
Adres źródłowy sieci: -
Port źródłowy: -

Szczegółowe informacje o uwierzytelnianiu:
Proces logowania: NtLmSsp
Pakiet uwierzytelniania: NTLM
Usługi przejściowe: -
Nazwa pakietu (tylko NTLM): NTLM V1
Długość klucza: 0

To zdarzenie jest generowane w momencie utworzenia sesji logowania. Jest ono generowane na komputerze, do którego został uzyskany dostęp.

Pola podmiotu wskazują konto w systemie lokalnym, które zażądało logowania. Najczęściej jest to usługa, na przykład usługa Serwer, lub proces lokalny taki jak Winlogon.exe lub Services.exe.

Pole typu logowania wskazuje rodzaj zaistniałego logowania. Najczęstsze typy to 2 (interakcyjne) i 3 (sieciowe).

Pola nowego logowania wskazują konto, dla którego zostało utworzone nowe logowanie, czyli konto, które zostało zalogowane.

Pola sieci wskazują lokalizację, z której pochodziło zdalne żądanie logowania. Nazwa stacji roboczej nie zawsze jest dostępna i w niektórych przypadkach może być pusta.

Pola informacji o uwierzytelnianiu zawierają szczegółowe informacje o tym konkretnym żądaniu logowania.
- Identyfikator GUID logowania to unikatowy identyfikator, za pomocą którego można skorelować to zdarzenie ze zdarzeniem centrum dystrybucji kluczy.
- Usługi przejściowe wskazują, które usługi pośrednie uczestniczyły w tym żądaniu logowania.
- Nazwa pakietu wskazuje, który protokół podrzędny spośród protokołów NTLM został użyty.
- Długość klucza wskazuje długość wygenerowanego klucza sesji. Jeśli nie zażądano klucza sesji, jest to wartość 0.
Kod XML zdarzenia:



4624
0
0
12544
0
0x8020000000000000

98894


Security
Admin01



S-1-0-0
-
-
0x0
S-1-5-7
LOGOWANIE ANONIMOWE
ZARZĄDZANIE NT
0x4821c
3
NtLmSsp
NTLM


{00000000-0000-0000-0000-000000000000}
-
NTLM V1
0
0x0
-
-
-

Co do NVdisplay.container.exe to opis tego wraz z linkami dodatkowymi jest tu.

Ponoć słuzy do zbierania danych telemetrycznych.
Co do logów z FRST to ja moge tylko zasugerować ze masz problem z Eset poniewaz system wskazuje ze jego sterownik jest niekompatybilny, oprócz tego są błędy plików systemowych.
Dlatego polecał bym w wierszu poleceń z uprawnieniami administratora uruchomić polecenie.
sfc /scannow i wstawić komunikat po jego wykonaniu. Mogą być trzy rodzaje.
Masz takze widoczny problem w menadzerze zadań dotyczacy Himachi i Teredo.
Co do reszty to poczekaj na faceta od bezpieczeństwa.
Zapomniałem.
Wpis anonimowe logowanie jest to uprawnienie, które pozwala innym komputerom na znalezienie Twojego komputera w otoczeniu sieciowym, znalezienie udostępnionych plików lub drukarek itp.

Czego dotyczą te problemy w menadzerze zadan? I kim jest facet od bezpieczeństwa? Co do logowania anonimowego to rozumiem, że nic groźnego?

To część sterownika Nvidii, niegroźna. Jak masz podejrzenia, że to jakiś trojan, prześlij plik na virustotal.com i sprawdź.

A mail to oszustwo, do kosza.

Himachi jest wyłączone więc trzeba je ponownie poprzez Menadzer urzadzeń uruchomić.
W Teredo sterownik nie startuje. Zaleceniem jest aktualizacja.
Logowanie to system do siebie. Brak zewnetrznego adresu.
Sorry, zamiast napisać menadżer urządzeń napisałem “zadań”. Mea culpa.
Facet od bezpieczeństwa to iJuliusz. Tylko on ma tu uprawnienia do pisania plików naprawczych. Musisz poczekać.

Nie wiem jak to sprawdzić, gdy kliknie na lokalizację lub właściwości procesu to nic się nie dzieje.

Poprawna ścieżka do pliku to C:\Program Files\NVIDIA Corporation\Display.NvContainer\NVDisplay.Container.exe
Możesz pobrać narzędzie Autoruns ze strony Microsoftu i sprawdzić, czy ścieżka się zgadza. Z poziomu programu można też od razu przesłać plik na Virustotal.

Sprawdziłem, ten plik podaje wszystko czyste, jednakże w tym folderze mam również nvgwls i w nim wykryło coś

To jest plik Invidii. Na własciwym miejscu, podpisany.
eGambit często jak nie potrafi okreslić pliku to pisze ze jest niepewny do 99%. Tak tam pisze. To nie jest nazwa malware.

Ok, czyli mimo, że nie mogę otworzyć właściwości i lokalizacji tego procesu container to wszystko wydaje się być dobrze?

Wejdź na stronę https://haveibeenpwned.com

I wpisz tam swój adres email i sprawdź czy nie widnieje w jakieś bazie danych oszustów/złodziei które wyciekły do sieci publicznie.

Napisałem ci ze log wykazuje błędy z integralnościa plików systemowych. Napisałem co zrobić. Napisałem też zebyś poprosił iJuliusza aby obejrzał twoje logi z FRST.
Nie wiem na co klikasz. W niektórych przypadkach tak bywa np. gdy w Menadzerze zadań z “prawokliku” kliknę na Wyszukiwarka, Ustawienia, Start, Microsoft Store to Własciwości czy Lokalizacja mam wyłączone. Dopiero muszę to rozwinąć by móc mieć dostęp.
Jeśli w linii figuruje tylko nazwa procesu to rozwiń go i sprawdż.
Jak to wyglada w Win7 już nie pamiętam bo 7 lat minęło ale moze podobnie

Pisałem, ale brak odpowiedzi. Co do błędów z integralnościa to scannow pokazuje mi, że nie znaleziono żadnych. Rozwijanie zobaczę gdy będę miał dostep do komputera.

Sprawdziłem, czysty.