Меню

Gfxdownloadwrapper exe ошибка приложения

What is gfxdownloadwrapper.exe?

gfxdownloadwrapper.exe is an app from Intel that helps update your graphic card module software. The software appears to “wrap” Intel graphics card software updates, then helps to install the update on your PC.

Publisher: Intel

gfxdownloadwrapper.exe stands for Intel Graphics Executable Download Wrapper.

What does gfxdownloadwrapper.exe do?

Provides graphic card software downloads.

Is gfxdownloadwrapper.exe safe? 5 easy ways to see if gfxdownloadwrapper.exe is safe or malware.

  • 1. See who signed the gfxdownloadwrapper.exe (check the publisher)
  • 2. Scan gfxdownloadwrapper.exe with Windows Security.
  • 3. Check the network activity of gfxdownloadwrapper.exe.
  • 4. Analyze gfxdownloadwrapper.exe with VirusTotal.
  • 5. Run it in Windows Sandbox.

Instantly detect spying apps on your PC, then block them!

graph animation

Get access to the same network security tool that Information Security Professionals use to
detect suspicious .exe apps, bandwidth wasters, and privacy violators.
Trust by over 20 million people.

Get GlassWire now for FREE!

Why does gfxdownloadwrapper.exe access the network?

While investigating gfxdownloadwrapper.exe with the GlassWire network security monitor on our devices based in Austin, TX USA we found it connects to servers controlled by Akamai (and probably used by Intel) at e11.dsca.akamaiedge.net. Akamai CDN servers are most likely used to distribute Intel graphics card software updates.

About Us

Our goal at GlassWire is to help people protect their privacy and security.
We have helped over 20 million people protect their devices from threats.

Are you curious about the safety of another Windows file?
Visit our full Windows .exe file directory.

Have feedback?

Have suggestions on how we can improve this page? Please let us know.

Join our Internet security newsletter!

Learn how to protect and monitor your network with GlassWire.

Содержание

  1. igfxCUIService.exe, igfxEM.exe, igfxHK.exe, igfxTray.exe, IntelCpHeciSvc.exe, что все это за процессы такие и можно ли их убрать, отключить?
  2. Модуль igfxEM — это вирус?
  3. Что такое модуль igfxEM?
  4. Могу ли я отключить модуль igfxEM?
  5. Нужен ли мне модуль igfxEM?
  6. Что такое Gfxdownloadwrapper EXE?
  7. Что делает Csrss EXE?
  8. Что такое модуль igfxEM, перестал работать?
  9. Как исправить ошибку модуля igfxEM?
  10. Что такое IAStorIcon и нужен ли он мне?
  11. Что такое модуль IgfxCUIService?
  12. Что такое модуль Hkcmd при запуске?
  13. Что такое SECOMN64 EXE?
  14. Что такое пользовательский брокер Oobe?
  15. igfxEM.exe module — что это за процесс?
  16. Что это за программа?
  17. Как исправить проблему
  18. Перезапуск процесса
  19. Удаление из автозапуска
  20. Проверка ПК на вирусы
  21. Очистка диска и реестра ОС
  22. Обновление видеодрайвера Intel
  23. Видеоинструкция
  24. Вопросы и ответы

igfxCUIService.exe, igfxEM.exe, igfxHK.exe, igfxTray.exe, IntelCpHeciSvc.exe, что все это за процессы такие и можно ли их убрать, отключить?

161025072228Всем приветандр! coolУ меня в диспетчере задач давно уже сидит мафия из таких процессов как igfxCUIService.exe, igfxEM.exe, igfxHK.exe, igfxTray.exe, как видите всех их что-то обьединяет, а если быть точнее, то во всех их названиях присутствует частица igfx.

Еще может быть процесс IntelCpHeciSvc.exe, но у себя я его не замечал, но он быть может, поэтому о нем тоже речь пойдет! Но еще прикол в том, что появились эти процессы сами по себе, вы можете даже в это не поверить, но так оно и было. Но и другой прикол заключается в том, что это нормально. Как все было, одним вечером мне нечего было делать и я решил от скуки переустановить винду. Поставил я значит современную Windows 10 и пошел обновлять ее, чтобы она у меня была типа актуальной и со всеми обновлениями, ну то есть безопасность там и все такое..

Обновлял я через окно Параметры, там есть пункт Проверка наличия обновлений, ну я запустил поиск обновлений и пошло поехало. Винда через некоторое время начала качать обновления, и потом начала их ставить. После чего сказала мне что нужно сделать перезагрузку и если я ее не сделаю, то она ее сделает сама в типа подходящее время. Это время она выбирает самостоятельно. Один раз было такое, что я запустил обновления и лег спать.. Ну и ночью проснулся от того, что компьютер перезагрузился сам по себе! Так как у меня все работает стабильно, то стало не по себе от этого! Показалось что кто-то специально перезагрузил мой комп…

Ну и потом, когда уже установились все обновления, то после перезагрузки и появились процессы igfxCUIService.exe, igfxEM.exe, igfxHK.exe, igfxTray.exe, но вот процесса IntelCpHeciSvc.exe не было. Ну я начал разбираться, что это такое, откуда так бы сказать ноги растут… И сразу понял откуда растут, это встроенная графика Intel! То есть винда обновляет не только себя, но и качает драйвера еще к вашим устройствам, а так как у меня стоит проц Pentium G3220, то в нем уже стоит и графическое ядро, ну то есть видеокарта. Вот винда и качает для этого графического ядра драйвера, ну думаю что понятно все стало acute

Вот смотрите, вот она, банда процессов igfxCUIService.exe, igfxEM.exe, igfxHK.exe, igfxTray.exe в диспетчере задач:

161025074723

Как видите, они процессор не нагружают, да и памяти почти не используют. А вот два процесса, имею ввиду igfxEM.exe и igfxHK.exe, вообще потребляет ровно 0 Кб оперативы, вот так smile

Итак, теперь давайте разберемся для чего они вообще нужны и как их можно отключить. Я буду рассказывать по очереди, ну про каждый процесс. Начнем с igfxCUIService.exe, этот процесс запускается вот из этой папки:

161025075623

Вот видите, там на картинке я еще навел мышку на этот файл igfxCUIService.exe, чтобы вы также увидели и инфу во всплывающей подсказке. Но на нее не стоит ориентироваться, у вас то версия драйверов может быть другая, и данная инфа также может быть немного другой acute

Также я узнал, что процесс igfxCUIService.exe идет от службы Intel(R) HD Graphics Control Panel Service (igfxCUIService2.0.0.0), которая нужна для работы контрольной панели. Ну та панель, в которой всякие настройки идут, я лично не пользуюсь никогда этими настройками, так как и без этого работает все чудесно! Но на всякий случай покажу как выглядят эти настройки, вот смотрите, у меня это окно такое:

161025080322

Кстати эти настройки я запустил из панели управления, вот какой значок отвечает за эти настройки:

161025080528

Ну что, более-менее понятно что за процесс igfxCUIService.exe? Надеюсь что да! Можно ли отключить процесс igfxCUIService.exe? Да, это возможно, и я сейчас покажу как это сделать! Значит для того, чтобы убрать процесс igfxCUIService.exe так, чтобы он больше не появлялся, то тут нужно отключить саму службу Intel(R) HD Graphics Control Panel Service (igfxCUIService2.0.0.0). Для этого заходим в диспетчер задач, там на вкладке Службы нажимаем Открыть службы:

161025082959

Откроется список служб, находим тут Intel(R) HD Graphics Control Panel Service и нажимаем по ней два раза:

161025083321

Потом откроется окошко свойств службы. Так вот, чтобы отключить службу эту, вам нужно в Тип запуска выбрать: Отключена, и еще нажать кнопку Остановить. В итоге у вас в окошке должно быть вот так:

161025083609

После этих действий, процесс igfxCUIService.exe пропадет из диспетчера задач. Можно сказать, что с одним процессом мы уже разобрались, теперь что там, кто следующий? А следующие у нас это процессы igfxEM.exe и igfxHK.exe, я думаю что это процессы-братья, ибо названием они хорошо похожи. Значит что я тут могу сказать, в службах я их не нашел, то есть никакой службы, которая хотя бы один процесс запускала из этих двух, то такой службы я не нашел. Может быть я плохо искал? Ну не знаю, два раза прошелся по службам, нет ничего такого, чтобы запускало igfxEM.exe или igfxHK.exe…

Также я посмотрел в автозагрузку Windows, там тоже ничего нет, что связано с igfxEM.exe или igfxHK.exe, весьма интересно… Тут два варианта, или же эти процессы запускаются каким-то другим процессом от Intel, или же они прописаны в скрытой автозагрузке, может быть они есть в планировщике заданий. В общем, чтобы это выяснить, вы можете воспользоваться такой прогой как CCleaner. Вообще про то, как посмотреть автозагрузку в CCleaner, я писал здесь, можете глянуть. Единственное что я там не написал, что там где запланированные задачи в CClenaer, то там есть галочка Расширенный режим, ее нужно обязательно поставить, это очень важно! acute

Ну так вот, но я не буду копаться в автозагрузке, ибо даже если там что-то и есть, то если я вручную выключу процессы igfxEM.exe и igfxHK.exe, то записи в автозагрузке уже будут никому не нужны. Ну то есть они никак не будут влиять на производительность винды. Но вы подумаете, а как это я вдруг хочу отключить процессы igfxEM.exe и igfxHK.exe? Ничего сложного тут нет smile

Кстати, все действия я провожу на реальной машине, в прямом эфире я рассказываю не только как отключить эти интеловские процессы, но и сам это делаю, ибо недавно установил винду! В общем смотрите, открываете диспетчер задач, идете на ту вкладу где у вас процессы, ну вот в Windows 10 это вкладка Подробности. Там находим процессы igfxEM.exe и igfxHK.exe. Ннажимаем по правой кнопкой по igfxEM.exe и там выбираем пункт Открыть расположение файла:

161026024917

Откроется папка с этим выделенным файлом, ничего с папкой не делаем но и не закрываем ее! Теперь смотрите что вам нужно сделать, в самом диспетчере процесс igfxEM.exe завершаете, то есть нажимаете по нему правой кнопкой и выбираете Снять задачу:

161026025229

После этого процесс igfxEM.exe понятное дело что пропадет, но, самое главное, теперь в той папке что открылась, тот выделенный файл нужно переименовать так, чтобы и имя сохранить оригинальное и при этом имя изменить! Что я делаю в таких случаях? Я просто добавляю к имени файла символ нижнего пробела, в общем советую вам сделать также, вот что у вас должно получится:

161026025607

Чтобы переименовать файл, то есть чтобы сделать это быстро, то я просто выбираю файл и потом нажимаю кнопку F2 и переименовываю, мне кажется что так быстрее smile

Даже если у вас НЕ ВКЛЮЧЕНО отображение расширений файлов, то все равно данный способ сработает!

В общем я думаю вы понимаете что потом тоже самое нужно сделать и с процессом igfxHK.exe, я проверил, приколов нет, я его также переименовал.

В итоге что мы сделали? Мы отключили процессы igfxEM.exe и igfxHK.exe, и при этом никакие настройки не меняли, ничего не удаляли, просто переименовали файлы и все. Если нужно, то потом также быстро можно все вернуть обратно, убрав символ нижнего пробела! Только если будете все восстанавливать, то не забудьте, что файлы, ну которые вы переименовали, то они лежат вот тут:

Ну, по крайней мене у меня они там находятся smile

Еще у нас есть процесс igfxTray.exe, не знаю как вам, а мне по названию понятно, что процесс относится к трею и скорее всего это имеется ввиду эта иконка:

161026030223

Если по иконке нажать правой кнопкой, то будет такое меню:

161026030300

А вот сам процесс igfxTray.exe в диспетчере задач:

161026030545

Как видите, процесс ведет себя тихо, не кушает много оперативы, процессор не грузит, в принципе как и все интеловские процессы. Можно его в принципе и не отключать, но я лично буду отключать, так что если что, смотрите как это сделать. А вообще что тут смотреть? Ну что тут смотреть то а, ребята? Вот я интересный! Дело в том, что процесс igfxTray.exe отключается ровно также как и igfxEM.exe или igfxHK.exe, так что ребята, тут никаких проблем нет! В итоге у вас также должен быть такой переименованный файл:

161026031351

Ну что, подошло время к редкому зверю, процессу IntelCpHeciSvc.exe, что это такое, для чего и как отключить? На все эти вопросы я сейчас постараюсь дать ответы. В общем что это такое, то я короче поискал инфу в нете и ничего тут сказать не могу, ибо какой-то такой процесс, о котором мало знаю, короче инфы нет и все. Но зато я знаю, что этот процесс запускает служба Intel(R) Content Protection HECI Service (cphs), в описании которой говорится вот что:

Я пошел в гугловский переводчик, там вбил этот текст и понял, что вроде бы этот процесс или эта служба, это типа позволяет установить какую-то там связь с каким-то Content Protection FW. Ну короче мутка еще та, явно для супер-продвинутых каких-то спецов, а нам это даром не нужно, согласны? Ну как отключить IntelCpHeciSvc.exe я думаю нет смысла показывать, ибо я думаю вы и так уже догадались, это просто нужно вырубить службу Intel(R) Content Protection HECI Service (cphs). То есть опять открываете диспетчер задач, идете там на вкладку Службы, нажимаете Открыть службы, находите в списке службу Intel(R) Content Protection HECI Service:

161026033438

Нажимаем по службе два раза, откроется небольшое окошко свойств службы. Здесь вам нужно в выбрать в Тип запуска: Отключена, и если нажимается, то нажать кнопку Остановить:

161026033740

Ну что ребята, вот мы и отключили все интеловские процессы! Или нет? Вроде бы все.. Ну если у вас будут еще какие-то, то думаю теперь вы знаете как отключить, куда смотреть и что делать smile

Чтобы быть уверенным в том, что я все вам рассказал правильно, то после всех этих отключений, я сделал перезагрузку. Проверил, в диспетчере нет никаких процессов, ничего само не восстанавливается, так что сработало все четко так бы сказать good

Ой друганы, я немного извыняюсь, но недавно я обновлял винду, ну как обычно, и я не знаю как, но процессы опять восстановились! Короче это все из-за того что я снова запустил обновления Windows 10! Так что вот такие вот пироги. Хотя с другой стороны, вроде на отключение процессов уйдет максимум минуток десять…

Ну все, подошли мы к концу, все что мог я написал, надеюсь что все тут было вам понятно, и хотя бы часть инфы была полезной. Удачи вам в жизни и чтобы все у вас было прекрасно victory

Источник

Модуль igfxEM — это вирус?

Назначение этого файла: igfxEM.exe — это программный модуль, который мог быть установлен на вашем компьютере при его покупке. … Этот файл считается безопасным и не имеет отношения к вирусам, шпионскому или рекламному ПО.

Что такое модуль igfxEM?

igfxem.exe — это основной модуль управления Intel для видеокарт. Этот модуль Intel находится между графической картой Intel и ОС Windows. Он позволяет вашей видеокарте вращать экран, изменять настройки клавиатуры, а также ряд других важных функций графической карты Intel.

Могу ли я отключить модуль igfxEM?

Нажмите клавишу Windows + R, чтобы открыть команду «Выполнить». Введите «msconfig» и нажмите Enter, чтобы открыть меню «Конфигурация системы». В меню «Конфигурация системы» перейдите на вкладку «Службы» и найдите модуль igfxEM. Снимите флажок рядом с модулем igfxEM и нажмите Применить, чтобы сохранить изменения.

Нужен ли мне модуль igfxEM?

Информация о файле Igfxem.exe. Процесс igfxEM Module принадлежит программе Intel® Common User Interface или igfxEm от Intel (www.intel.com) или igfxEm. Описание: Igfxem.exe не является важным для Windows и часто вызывает проблемы. … Это надежный файл от Microsoft.

Что такое Gfxdownloadwrapper EXE?

gfxdownloadwrapper.exe — это приложение от Intel, которое помогает обновлять программное обеспечение модуля графической карты. … gfxdownloadwrapper.exe — это сокращение от Intel Graphics Executable Download Wrapper.

Подсистема времени выполнения клиент-сервер, или csrss.exe, является компонентом семейства операционных систем Windows NT, который обеспечивает пользовательский режим подсистемы Win32 и включен в Windows NT 3.1 и более поздних версий.

Что такое модуль igfxEM, перестал работать?

Ошибка «Модуль igfxEM перестал работать» обычно возникает, если у вас устаревший или нестабильный драйвер графики Intel. Это компонент Общего пользовательского интерфейса Intel® и никоим образом не связан с ядром Windows. Он в основном используется в ноутбуках и работает как постоянное разрешение дисплея.

Как исправить ошибку модуля igfxEM?

Чтобы решить проблему с модулем igfxEM, перестал работать

Что такое IAStorIcon и нужен ли он мне?

IAStorIcon.exe — это процесс Windows, предоставляемый Intel

По умолчанию он запускается с Windows и отображает сообщения, относящиеся к устройствам хранения, подключенным к компьютеру. При выборе откроется инструмент Intel Rapid Storage Technology.

Что такое модуль IgfxCUIService?

Процесс IgfxCUIService.exe в диспетчере задач Windows. Процесс, известный как igfxCUIService Module, принадлежит программному обеспечению Intel® Common User Interface или Intel® HD Graphics Control Panel Service от Intel (www.intel.com) или Intel Corporation — pGFX.

Что такое модуль Hkcmd при запуске?

Модуль Hkcmd или Hkcmd.exe не является вредоносным программным обеспечением или исполняемым файлом, а не является официальным расширением приложения Intel, которое помогает облегчить функцию горячих клавиш в Windows. Если вы не часто используете горячие клавиши или не используете их вообще, вы можете удалить модуль Hkcmd, следуя приведенным выше методам.

Что такое SECOMN64 EXE?

Это служба, имя которой — SECOMNService: Sound Research SECOMN Service. SECOMN64.exe — это файл, подписанный Microsoft. Он имеет цифровую подпись. Файл SECOMN64.exe — это файл, подписанный Verisign. Это не файл Windows.

Что такое пользовательский брокер Oobe?

MSOOBE означает готовность к работе с Microsoft. … Он в основном используется для активации Windows.

Источник

igfxEM.exe module — что это за процесс?

ds

Продолжая серию разъяснительных инструкций, в нашей статье сегодня речь пойдет о том, что это за программа igfxEM.exe, для чего она нужна, как убрать данный объект из автозапуска Windows, а также, как уменьшить влияние на быстродействие компьютера связанного процесса. Не теряя времени, давайте переходить дальше и разбираться со всеми этими и некоторыми другими сопутствующими моментами.

Приведенная ниже инструкция будет актуальной для любых версий операционных систем от Microsoft. Это, например: Windows XP, 7,8 или 10.

Что это за программа?

Файл igfxEM.exe является исполняемым модулем графического драйвера для устройств Intel. Само по себе название — это аббревиатура от фразы Intel Graphics Executable Main Module. Поэтому если отвечать на вопрос, нужна ли данная программа на вашем компьютере, то с уверенностью можно сказать — да. Естественно, если на ПК используется аппаратное обеспечение от Intel. Процесс igfxEM Module в диспетчере задач операционной системы относится к приложению Intel® Common User Interface.

Но порой случается так, что данный официальный драйвер может вызывать ошибки операционной системы либо чрезмерно нагружать ПК или ноутбук. Происходит это в следующих случаях:

Во всех случаях необходимо исправлять ситуацию путем применения одного из методов, показанных ниже.

hd grafika intel

Перед тем как вы перейдете дальше, рекомендуем предварительно очистить компьютер от различного скопившегося со временем мусора. Для этого можно выбрать одну из программ, предназначенных для таких целей.

Как исправить проблему

Итак, для того чтобы устранить любые ошибки, возникающие из-за файла igfxEM.exe, рассмотрим несколько действенных вариантов.

Перезапуск процесса

Если ошибка временна и вызвана неправильной работой драйвера именно в данный момент, мы можем просто выполнить перезагрузку процесса, остановив его, а потом заново запустив. Делается это следующим образом:

zapusk dispetchera zadach

perezapusk protsessa v dispetchere zadach

ostanovka protsessa v dispetchere zadach windows

После этого необходимо перезагрузить компьютер, и тогда процесс, который мы принудительно завершили, вновь запуститься в автоматическом режиме. Таким образом он и будет перезагружен.

Внимание: перед принудительным завершением процесса обязательно закройте все программы и сохраните их данные!

Удаление из автозапуска

Если ситуация не исправилась и компонент драйвера Intel HD-графики продолжает выдавать сбой, мы можем просто убрать объект из автозапуска Windows. Для этого нам понадобится:

zapusk dispetchera zadach

otklyuchenie protsessa

После следующей перезагрузки компьютера данный процесс уже не будет стартовать в автоматическом режиме. Соответственно, ошибка, которую вызывал файл igfxEM.exe, исчезнет.

Проверка ПК на вирусы

Если вариант, описанный выше привел к тому, что видеоадаптер от Intel на вашем компьютере или ноутбуке начал работать неправильно, верните отключенный объект в автозапуск. Давайте попробуем исправить ситуацию другими методами. Например, проверим наш ПК на наличие вредоносного программного обеспечения:

Ниже мы показали очистку компьютера от вирусов именно при помощи штатного защитника Windows 10. Вы можете использовать любое другое антивирусное ПО, ведь там все делается похожим образом.

zapusk antivirusa windows 10

parametry skanirovaniya antivirusa windows 10

zapusk polnogo skanirovaniya antivirusa windows 10

rabota antivirusa windows 10

Длительность сканирования компьютера и ноутбука зависит от его производительности, а также объема дисковой подсистемы. В нашем случае это заняло более 5 часов. Для того чтобы ускорить данный процесс, мы рекомендуем не трогать компьютер, закрыть все программы, также сохранить их данные.

Для максимально полного обнаружения и устранения всех угроз необходимо использовать дополнительное программное обеспечение. В специальной инструкции на нашем сайте рассмотрены лучшие из таких утилит.

Очистка диска и реестра ОС

Также, в некоторых случаях, когда файл igfxEM.exe вызывает какие-либо ошибки, нам может помочь банальная очистка накопителя компьютера, а также его реестра. Давайте разберемся, как это правильно реализовать:

ochistka nakopitelya os cherez ccleaner

ochistka reestra pk cherez ccleaner

rabota s avtozagruzkoy v ccleaner

Теперь, когда наш компьютер тщательно очищен от вирусов, мы можем перезагружать его и проверять, продолжает ли процесс igfxEM нагружать ПК, либо вызывать какие-то сбои. Если да, то лучшее, что мы можем сделать, это переустановить драйвер Intel, скачав его последнюю версию с официального сайта производителя.

Обновление видеодрайвера Intel

Итак, для того чтобы обновить драйвер на последнюю версию для вашего компьютера, необходимо перейти на официальный сайт Intel, а потом произвести несколько несложных манипуляций:

poisk drayvera intel hd grafiki

opredelenie razryadnosti intel

knopka skachivaniya drayvera intel

Остается только перезагрузить наш компьютер и проверить, исчезла ли ошибка, которая появлялась при старом драйвере.

Видеоинструкция

Для того чтобы вам было легче понять всю суть описываемого в статье процесса, просмотрите обучающий ролик по данной теме.

Вопросы и ответы

На этом мы свою инструкцию заканчиваем, а вам посоветуем приступать к делу и разбираться с проблемой, которая мешает нормально работать на компьютере. Если в ходе работы что-то пойдет не так или возникнут дополнительные сложности, обратитесь с ними в комментарии. Немного ниже вы найдете приспособленную для этого форму обратной связи.

Источник

GfxDownloadWrapper.exe file information

Windows Task Manager with GfxDownloadWrapper

GfxDownloadWrapper.exe process in Windows Task Manager

The process known as Intel® Graphics Control Panel belongs to software Intel Graphics Control Panel by (www.intel.com).

Description: GfxDownloadWrapper.exe is not essential for the Windows OS and causes relatively few problems. The GfxDownloadWrapper.exe file is located in a subfolder of C:WindowsSystem32 (mostly C:WindowsSystem32DriverStoreFileRepositorycui_dch.inf_amd64_b8e01d9e8716d2a7).
Known file sizes on Windows 10/11/7 are 162,592 bytes (25% of all occurrences), 162,840 bytes, 162,552 bytes or 160,184 bytes. https://www.file.net/process/gfxdownloadwrapper.exe.html 
The program has no visible window. GfxDownloadWrapper.exe is not a Windows system file. GfxDownloadWrapper.exe is a trustworthy file from Microsoft. The file has a digital signature.
GfxDownloadWrapper.exe appears to be a compressed file.
Therefore the technical security rating is 23% dangerous.

Recommended: Identify GfxDownloadWrapper.exe related errors

Important: Some malware camouflages itself as GfxDownloadWrapper.exe, particularly when located in the C:Windows or C:WindowsSystem32 folder. Therefore, you should check the GfxDownloadWrapper.exe process on your PC to see if it is a threat. We recommend Security Task Manager for verifying your computer’s security. This was one of the Top Download Picks of The Washington Post and PC World.

Best practices for resolving GfxDownloadWrapper issues

A clean and tidy computer is the key requirement for avoiding problems with GfxDownloadWrapper. This means running a scan for malware, cleaning your hard drive using 1cleanmgr and 2sfc /scannow, 3uninstalling programs that you no longer need, checking for Autostart programs (using 4msconfig) and enabling Windows’ 5Automatic Update. Always remember to perform periodic backups, or at least to set restore points.

Should you experience an actual problem, try to recall the last thing you did, or the last thing you installed before the problem appeared for the first time. Use the 6resmon command to identify the processes that are causing your problem. Even for serious problems, rather than reinstalling Windows, you are better off repairing of your installation or, for Windows 8 and later versions, executing the 7DISM.exe /Online /Cleanup-image /Restorehealth command. This allows you to repair the operating system without losing data.

To help you analyze the GfxDownloadWrapper.exe process on your computer, the following programs have proven to be helpful: ASecurity Task Manager displays all running Windows tasks, including embedded hidden processes, such as keyboard and browser monitoring or Autostart entries. A unique security risk rating indicates the likelihood of the process being potential spyware, malware or a Trojan. BMalwarebytes Anti-Malware detects and removes sleeping spyware, adware, Trojans, keyloggers, malware and trackers from your hard drive.

Other processes

fantapperupdateservice.exe phone companion.exe lnvhotspotsvc.exe GfxDownloadWrapper.exe updatecenterservice.exe turbolaunch.exe mssconnectorservice.exe duet.exe taskown.exe rkiwrtk.exe orbxcentralworker.exe [all]

В вашей системе запущено много процессов, которые потребляют ресурсы процессора и памяти. Некоторые из этих процессов, кажется, являются вредоносными файлами, атакующими ваш компьютер.
Чтобы исправить критические ошибки gfxdownloadwrapper.exe,скачайте программу Asmwsoft PC Optimizer и установите ее на своем компьютере

Прочтите эти руководства, чтобы решить проблемы с gfxdownloadwrapper.exe:

  • совет: Очистите реестр, чтобы исправить gfxdownloadwrapper.exe, которое перестало работать из-за ошибки.
  • совет: Как удалить заблокированный файл gfxdownloadwrapper.exe
  • совет: Очистите мусорные файлы, чтобы исправить gfxdownloadwrapper.exe, которое перестало работать из-за ошибки.

Как другие пользователи поступают с этим файлом?

Всего голосов ( 1 ), 1 говорят, что не будут удалять, а 0 говорят, что удалят его с компьютера.

Как вы поступите с файлом gfxdownloadwrapper.exe?

Некоторые сообщения об ошибках, которые вы можете получить в связи с gfxdownloadwrapper.exe файлом

  • (gfxdownloadwrapper.exe) столкнулся с проблемой и должен быть закрыт. Просим прощения за неудобство.
  • gfxdownloadwrapper.exe. Эта программа не отвечает.
  • (gfxdownloadwrapper.exe) — Ошибка приложения: the instruction at 0xXXXXXX referenced memory error, the memory could not be read. Нажмитие OK, чтобы завершить программу.
  • (gfxdownloadwrapper.exe) не является ошибкой действительного windows-приложения.
  • (gfxdownloadwrapper.exe) отсутствует или не обнаружен.

GFXDOWNLOADWRAPPER.EXE

gfxdownloadwrapper.exe

Проверьте процессы, запущенные на вашем ПК, используя базу данных онлайн-безопасности. Можно использовать любой тип сканирования для проверки вашего ПК на вирусы, трояны, шпионские и другие вредоносные программы.

Exploring an Assembly Loading Technique and Detection Mechanism for the GfxDownloadWrapper.exe LOLBIN

LOLBINs (Living-of-the-Land Binaries) have been a hot topic these last few years in the security industry as it seems there is a new one released almost weekly. Many of these LOLBINs are documented at the LOLBAS Project which describes the respective (alternate) functionality, use cases, and baseline detection information.

For the most part, LOLBINs featured in the LOLBAS project are Windows signed binaries. These typically include binaries that are a part of the operating system (Windows Signed) and other functional binaries that are added to the operating system later (Microsoft signed). However, there is another class of LOLBINs that are provided by third party vendors and are actually signed by Microsoft as well. In this blog, we will:

  1. Take a closer look at GfxDownloadWrapper.exe, a third party LOLBIN, and discuss a new execution technique that could be used for defense evasion.
  2. Take a look at the loading mechanism in GfxDownloadWrapper.exe and see if we can build a (generic) detection capability to identify the behavior within this utility as well as other, similar LOLBINs.

Introducing GfxDownloadWrapper

GfxDownloadWrapper.exe is a binary that is included with Intel video card driver software. It is a .NET application that supports the Intel Graphics Control Panel and game graphic settings. A quick analysis of the Authenticode signature shows that GfxDownloadWrapper.exe is catalog signed by the “Microsoft Windows Third Party Component CA 2012” issuer:

On one of my test workstations, there are over 20 instances of GfxDownloadWrapper on the file system located in subdirectories under c:ProgramDataPackage Cache and the c:WindowsSystem32DriverStoreFileRepository. This is likely because of updates to driver and re-installation of the driver over the last few years.

As a component of a popular driver software and having Microsoft’s genuine seal of approval, let’s further explore GfxDownloadWrapper as a vector for potential misuse…

GfxDownloadWrapper Download Functionality

In February 2019, @egre55 tweeted about an interesting download capability for GfxDownloadWrapper.exe, which was eventually added to LOLBAS:

However, this download functionality did not properly work with my first test attempt:

Since this is a .NET application and we have access to 20 or so versions of the relatively small program, we can quickly ‘decompile’ old and new version of GfxDownloadWrapper then take a peek at the source code with dnSpy. In this case, version 8.15.100.8280 and 8.15.100.8681 were quickly analyzed and diffed to show the following changes:

Interestingly, it appears the vendor decided to patch the program and implement restrictions to prevent arbitrary downloads of various and sundry content. Certainly a good thing, but with a cache of previous versions available at our disposal, we can simply identify a version without the restrictions and leverage accordingly with success:

Now, let’s shift gears and explore an interesting code execution technique…

GfxDownloadWrapper Assembly DLL Abuse

Analyzing the Source Code

With the source code available to us, we continue to explore GfxDownloadWrapper.exe and see some very interesting code at the Main() entry point:

Interestingly, GfxDownloadWrapper.exe appears to load an assembly from disk , and it looks like we have an opportunity to influence what is loaded with some input argument manipulation. As we explore further, we can infer that our initial theory is (likely) true since the program calls the internal InvokeDll() method to process an assembly with methods named ApplyRecommendedSettings(), RestoreRecommendedSettings() or CacheCleanup().

Next, we take a peak at the internal InvokeDLL() method and take a note of a few important assembly class methods and properties that can potential help us achieve our objective of loading an arbitrary managed assembly:

Determining the Inputs

In the Main() method, we capture our initial input requirements. Based on a simple input validation function, the access entry point requires four (4) arguments. The first argument requirement [1], args(0), is to simply the string value of “run”. The second argument requirement [2], args(1), is a string path to our assembly DLL payload. The third argument requirement [3], args(2), is a numeric string value for that maps to one of the required assembly methods. The fourth and final argument requirement [4], args(3), is an interesting string value that expects a semi-colon (;) as a split delimiter for multiple game identifiers with a prefix of an AppData relative path. The input requirements are shown in the following image:

When we put everything together, the following command format should be valid (Note: we’ll test this later):

Building a Proof-of-Concept Payload

As previously determined, we will need to prepare an assembly payload. In our test case, we will build an assembly DLL and use CacheCleanup for the entry method name (so our command method argument value will be “2”). Furthermore, we will need to declare the method as “public” since GfxDownloadWrapper queries for exported types to determine which of those are visible outside of the assembly:

Additionally, our declared method requires a string argument as shown in the Invoke() method:

To keep our source code/payload lean and simple, we’ll invoke Notepad.exe with the following assembly C# code:

Putting It All Together

With our payload compiled and our argument strategy worked out, let’s use the following command to execute the payload:

Note: The final character (“a”) in argument 4 was chosen randomly. This suffix value can be another value/string/etc. There may be more interesting ways to handle this argument.

As expected, our payload successfully executes after loading our ‘malicious’ assembly:

Now let’s shift gears and talk about detection…

Detecting .NET Assembly Load Events

Identifying Loaded Assemblies

There are several interesting detection opportunities beyond monitoring/hunting for process creation events and suspicious command line usage (which are still viable, of course). Recalling the static analysis that we conducted earlier, Assembly.LoadFrom() of the System.Reflection namespace, is the method used to read and load the assembly from the assembly module (DLL) into the GfxDownloadWrapper application (App Domain). We can actually see this if we take a peek at the GfxDownloadWrapper process properties with Process Hacker. Under the .NET Assemblies tab, the loaded assembly (ClassLibrary1) and DLL module (np.dll) are shown:

Process Hacker obtains this (meta)data from Event Tracing for Windows (ETW), a facility for “provider-defined data that describes the current state of an application or operation” (Microsoft Docs). ETW providers are “applications that contain event tracing instrumentation”, of which provide events for ETW consumers. Just like Process Hacker consumes ETW data for real-time display, let’s see if we can identify the provider of interesting .NET/CLR (Common Language Runtime) events and build a quick and dirty real-time monitor (“EDR?”) to catch Assembly Load events.

Quick Note on ETW Offensive Tradecraft: If you are familiar with ETW and offensive security trends, you are likely aware of the various and sundry ETW tampering techniques for disrupting ETW event collection and processing for an application. These techniques are effective, but there is still value in leveraging ETW event collection even if such a disruptive technique is deployed. Depending on the technique and usage circumstance(s), critical metadata of an application can still be collected up until the actual disruption event itself, which may be all that is required for detection success. For more information on ETW tampering, take a look at Adam Chester‘s incredible research blog as well as Dom Chell and crew’s fantastic MDSec blog where they cover .NET tradecraft quite extensively.

Investigating a Candidate ETW Provider

With a bit of research and strategic Googling, we identify the The CLR Runtime Provider [GUID e13c0d23-ccbc-4e12-931b-d9cc2eee27e4] as the candidate ETW provider. According to the documentation, this provider should furnish all that is needed to achieve our goal. This notions holds true when Drilling further into the CLR ETW documentation as we find information about Loader ETW events under the LoaderKeyword keyword, which seems to have the event metadata for the events that we would like to observe:

Preparing for the Monitor Coding Project

With our candidate ETW provider in hand, we continue to research further to identify open source and public code samples that will be helpful for building our POC monitoring program. Fortunately for us, Microsoft provides excellent code resources for a variety of use cases, and ours is certainly no exception.

For .NET applications, Microsoft makes available the Trace Event library (Microsoft.Diagnostics.Tracing.TraceEvent) for simplifying the logging of ETW events, which is available via NuGet. For preparing the environment and adding the trace library to our CSharp project, please refer to this helpful post by Alex Khanin.

Furthermore, Microsoft kindly provides code samples on Github for working with the trace library to capturing event data. We will use the 31_KernelAndClrMonitor.cs code sample as the basis of the monitor program:

Coding and Building the Proof-of-Concept Monitor

Within the sample project, we first make a few changes by removing unneeded overhead, timing elements, and kernel references. Second, we convert the Run() method into Main() since it is a console application. Lastly, we edit the heart of the program to ensure that we establish a session to only collect the (Loader) events that are useful for our purposes.

In the subsequent screenshot, the CLR Runtime Provider is enabled by the session.EnableProvider() method and is identified by ClrTraceEventPraser.ProviderGuid. We also specify ClirTraceEventParser.Keywords.Loader for raising events under the LoaderKeyword Keyword.

Note: The proof-of-concept code for our monitor can be found here.

After running our “Assembly Load Monitor” and invoking the GfxDownloadWrapper.exe, we can observe some very interesting information such as:

  • Process CmdLine
  • Assembly Name
  • Assembly Module (DLL)

To take this a step further, we could parse the interesting data and send a message to the Event Viewer or log facility for post-processing. However, we’ll save that along with a few stress test cases for another day. All things considered, ETW is quite powerful and many other useful data sources can be tapped for the greater good!

Other Defensive Considerations

Application Control

This technique did not bypass AppLocker with a default rules policy or Windows Defender Application Control (WDAC) with an enforced code integrity policy. If using an application control solution and customizing rules based on code signing as a trust enforcement mechanism, consider blocking application instances of GfxDownloadWrapper.exe or removing the catalog signature from the Catalog database.

Note: Be very careful if attempting to remove catalog signatures from the catalog database. Unintended issues may arise.

Attack Surface Reduction

Driver Rollback and support software caching are certainly viable use cases for maintaining instances of previous software to address fallback issues. However, vendors (and subsequently organizations due to downstream impact) should consider removing much older-than-necessary versions of unused drivers and software to reduce risks associated with abuse and to promote the viability of applied patches in newer versions of the software. In addition to managing the presence of the software, vendors should consider maintaining catalog hygiene to remove the signatures of older software when new software updates are released.

Conclusion

Thank you for taking the time to read this blog post. If you have any questions or comments, please feel free to reach out on here or on Twitter.

What is gfxdownloadwrapper.exe? 5 ways to see if it’s safe.

gfxdownloadwrapper.exe is an app from Intel that helps update your graphic card module software. The software appears to “wrap” Intel graphics card software updates, then helps to install the update on your PC.

Publisher: Intel

gfxdownloadwrapper.exe stands for Intel Graphics Executable Download Wrapper.

What does gfxdownloadwrapper.exe do?

Provides graphic card software downloads.

Is gfxdownloadwrapper.exe safe? 5 easy ways to see if gfxdownloadwrapper.exe is safe or malware.

Instantly detect spying apps on your PC, then block them!

Get access to the same network security tool that Information Security Professionals use to detect suspicious .exe apps, bandwidth wasters, and privacy violators. Trust by over 20 million people.

Why does gfxdownloadwrapper.exe access the network?

While investigating gfxdownloadwrapper.exe with the GlassWire network security monitor on our devices based in Austin, TX USA we found it connects to servers controlled by Akamai (and probably used by Intel) at e11.dsca.akamaiedge.net. Akamai CDN servers are most likely used to distribute Intel graphics card software updates.

About Us

Our goal at GlassWire is to help people protect their privacy and security. We have helped over 20 million people protect their devices from threats.

Are you curious about the safety of another Windows file?
Visit our full Windows .exe file directory.

Have feedback?

Have suggestions on how we can improve this page? Please let us know.

Join our Internet security newsletter!

Learn how to protect and monitor your network with GlassWire.

Learn new ways to protect your computer and phone from online threats.

We are proud to be an organizational member of the Electronic Frontier Foundation.

Как удалить wrapper

Подлинный файл является одним из компонентов программного обеспечения Maya, разработанного Autodesk .

Wrapper.exe — это исполняемый файл (программа) для Windows. Расширение имени файла .exe — это аббревиатура от англ. слова executable — исполнимый. Необходимо запускать исполняемые файлы от проверенных производителей программ, потому что исполняемые файлы могут потенциально изменить настройки компьютера или нанести вред вашему компьютеру. Бесплатный форум с информацией о файлах может помочь вам разобраться является ли wrapper.exe вирусом, трояном, программой-шпионом, рекламой, которую вы можете удалить, или файл принадлежит системе Windows или приложению, которому можно доверять.

Вот так, вы сможете исправить ошибки, связанные с wrapper.exe

  1. Используйте программу Настройщик Windows, чтобы найти причину проблем, в том числе и медленной работы компьютера.
  2. Обновите программу Java Service Wrapper Standard Edition. Обновление можно найти на сайте производителя (ссылка приведена ниже).
  3. В следующих пунктах предоставлено описание работы wrapper.exe.

Информация о файле wrapper.exe

от Tanuki Software (www.tanukisoftware.com) или AMD (www.amd.com) или Super Micro Computer или ATi (www.amd.com) или ATI (www.amd.com).

Описание: Wrapper.exe устанавливается как часть Autodesk Maya версии 5.0 и выше. Данная программа ответственна за помощь пользователю в устранении проблем с продуктом в случае необходимости. Основываясь на выборе пользователя, она помогает обеспечить лучшее решение для эффектов жидкости (Fluid Effects), ткани (nCloth), частиц (nParticles), волос (Hair), меха (Fur) и решения Live, среди прочих функциональностей и предлагает лучшие решения от главного сервера.

Подробный анализ: wrapper.exe не является важным для Windows и часто вызывает проблемы. Файл wrapper.exe находится в подпапках «C:Program Files». Известны следующие размеры файла для Windows 10/8/7/XP 126,976 байт (25% всех случаев), 204,800 байт и еще 12 варианта .
Название сервиса — Applications Manager.
Приложение не видно пользователям. Это не системный файл Windows. Нет описания файла. Процесс слушает или шлет данные на открытые порты в сети или по интернету. Wrapper.exe способен мониторить приложения. Поэтому технический рейтинг надежности 60% опасности.
Если у вас есть какие-либо проблемы с wrapper.exe, Вы можете удалить программное обеспечение RAIDXpert или Maya / PS3 Media Server, используя функцию «Установка и удаление программ» в Панели управления Windows, получить помощь от поставщика программного обеспечения AMD или обновить [1][2] программу до последней версии.

Если wrapper.exe находится в подпапках диска C:, тогда рейтинг надежности 56% опасности. Размер файла 180,224 байт (50% всех случаев) или 106,496 байт. Нет информации по файлу. Это не системный файл Windows. У процесса нет видимого окна.

Важно: Некоторые вредоносные программы маскируют себя как wrapper.exe. Таким образом, вы должны проверить файл wrapper.exe на вашем ПК, чтобы убедиться, что это угроза. Мы рекомендуем Security Task Manager для проверки безопасности вашего компьютера.

Комментарий пользователя

Это кусок программы PS3 Media Server распологается C:Program FilesPS3 Media Serverwin32servicewrapper.exe
Сергей
висел в папке Temp на системном диске, напрягал касперского, в итоге позволил касперскому удалить его. после удаления ноутбук слал по-шустрее работать
BoOF12

Лучшие практики для исправления проблем с wrapper

Аккуратный и опрятный компьютер — это главное требование для избежания проблем с wrapper. Для этого требуется регулярная проверка компьютера на вирусы, очистка жесткого диска, используя cleanmgr и sfc /scannow, удаление программ, которые больше не нужны, проверка программ, которые запускаются при старте Windows (используя msconfig) и активация Автоматическое обновление Windows. Всегда помните о создании периодических бэкапов, или в крайнем случае о создании точек восстановления.

Если у вас актуальные проблемы, попробуйте вспомнить, что вы делали в последнее время, или последнюю программу, которую вы устанавливали перед тем, как появилась впервые проблема. Используйте команду resmon, чтобы определить процесс, который вызывает проблемы. Даже если у вас серьезные проблемы с компьютером, прежде чем переустанавливать Windows, лучше попробуйте восстановить целостность установки ОС или для Windows 8 и более поздних версий Windows выполнить команду DISM.exe /Online /Cleanup-image /Restorehealth. Это позволит восстановить операционную систему без потери данных.

Следующие программы могут вам помочь для анализа процесса wrapper.exe на вашем компьютере: Security Task Manager отображает все запущенные задания Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записей автозагрузки. Уникальная оценка рисков безопасности указывает на вероятность процесса быть потенциально опасным — шпионской программой, вирусом или трояном. Malwarebytes Anti-Malware определяет и удаляет бездействующие программы-шпионы, рекламное ПО, трояны, кейлоггеры, вредоносные программы и трекеры с вашего жесткого диска.

wrapper сканер

скачать

Security Task Manager показывает все запущенные сервисы Windows, включая внедренные скрытые приложения (например, мониторинг клавиатуры или браузера, авто вход). Уникальный рейтинг надежности указывает на вероятность того, что процесс потенциально может быть вредоносной программой-шпионом, кейлоггером или трояном.

Бесплатный aнтивирус находит и удаляет неактивные программы-шпионы, рекламу, трояны, кейлоггеры, вредоносные и следящие программы с вашего жесткого диска. Идеальное дополнение к Security Task Manager.

Reimage бесплатное сканирование, очистка, восстановление и оптимизация вашей системы.

Содержание

  • 1. Что такое wrapper.exe?
  • 2. Является ли wrapper.exe безопасным, или это вирус или вредоносное ПО?
  • 3. Могу ли я удалить или удалить wrapper.exe?
  • 4. Распространенные сообщения об ошибках в wrapper.exe
  • 5. Как исправить wrapper.exe
  • 6. Январь 2023 Обновление
  • 7. Загрузите или переустановите wrapper.exe


Обновлено 2023 января: Вот три шага к использованию инструмента восстановления для устранения проблем с exe на вашем компьютере: Получите его по адресу эту ссылку

  1. Скачайте и установите это программное обеспечение.
  2. Просканируйте свой компьютер на наличие проблем с exe.
  3. Исправьте ошибки exe с помощью программного инструмента

wrapper.exe это исполняемый файл, который является частью Pirateville Deluxe Программа, разработанная Zylom Games, Программное обеспечение обычно о 64.78 MB по размеру.

Расширение .exe имени файла отображает исполняемый файл. В некоторых случаях исполняемые файлы могут повредить ваш компьютер. Пожалуйста, прочитайте следующее, чтобы решить для себя, является ли wrapper.exe Файл на вашем компьютере — это вирус или троянский конь, который вы должны удалить, или это действительный файл операционной системы Windows или надежное приложение.

Рекомендуется: Выявление ошибок, связанных с wrapper.exe.
(опциональное предложение для Reimage — Cайт | Лицензионное соглашение | Персональные данные | Удалить)

Является ли wrapper.exe вирусом или вредоносным ПО?

Является ли wrapper.exe безопасным, или это вирус или вредоносное ПО?

Первое, что поможет вам определить, является ли тот или иной файл законным процессом Windows или вирусом, это местоположение самого исполняемого файла. Например, такой процесс, как wrapper.exe, должен запускаться из C: users user appdata local zylom games pirateville deluxe pirateville.exe и нигде в другом месте.

Для подтверждения откройте диспетчер задач, выберите «Просмотр» -> «Выбрать столбцы» и выберите «Имя пути к изображению», чтобы добавить столбец местоположения в диспетчер задач. Если вы обнаружите здесь подозрительный каталог, возможно, стоит дополнительно изучить этот процесс.

Еще один инструмент, который иногда может помочь вам обнаружить плохие процессы, — это Microsoft Process Explorer. Запустите программу (не требует установки) и активируйте «Проверить легенды» в разделе «Параметры». Теперь перейдите в View -> Select Columns и добавьте «Verified Signer» в качестве одного из столбцов.

Если статус процесса «Проверенная подписывающая сторона» указан как «Невозможно проверить», вам следует взглянуть на процесс. Не все хорошие процессы Windows имеют метку проверенной подписи, но ни один из плохих.

Наиболее важные факты о wrapper.exe:

  • Находится в C: users user appdata Local Zylom Games вложенная;
  • Издатель: Zylom Games
  • Полный путь: C: users user appdata local zylom games pirateville deluxe pirateville.exe
  • Файл справки:
  • URL издателя: www.zylom.com
  • Известно, что до 64.78 MB по размеру на большинстве окон;

Если у вас возникли какие-либо трудности с этим исполняемым файлом, вы должны определить, заслуживает ли он доверия, перед удалением wrapper.exe. Для этого найдите этот процесс в диспетчере задач.

Найдите его местоположение (оно должно быть в C: users user appdata Local Zylom Games ) и сравните размер и т. Д. С приведенными выше фактами.

Если вы подозреваете, что можете быть заражены вирусом, вы должны немедленно попытаться это исправить. Чтобы удалить вирус wrapper.exe, необходимо Загрузите и установите приложение полной безопасности, например Malwarebytes., Обратите внимание, что не все инструменты могут обнаружить все типы вредоносных программ, поэтому вам может потребоваться попробовать несколько вариантов, прежде чем вы добьетесь успеха.

Кроме того, функциональность вируса сама может влиять на удаление wrapper.exe. В этом случае вы должны включить Безопасный режим с загрузкой сетевых драйверов — безопасная среда, которая отключает большинство процессов и загружает только самые необходимые службы и драйверы. Когда вы можете запустить программу безопасности и полный анализ системы.

Могу ли я удалить или удалить wrapper.exe?

Не следует удалять безопасный исполняемый файл без уважительной причины, так как это может повлиять на производительность любых связанных программ, использующих этот файл. Не забывайте регулярно обновлять программное обеспечение и программы, чтобы избежать будущих проблем, вызванных поврежденными файлами. Что касается проблем с функциональностью программного обеспечения, проверяйте обновления драйверов и программного обеспечения чаще, чтобы избежать или вообще не возникало таких проблем.

Согласно различным источникам онлайн,
3% людей удаляют этот файл, поэтому он может быть безвредным, но рекомендуется проверить надежность этого исполняемого файла самостоятельно, чтобы определить, является ли он безопасным или вирусом. Лучшая диагностика для этих подозрительных файлов — полный системный анализ с Reimage, Если файл классифицируется как вредоносный, эти приложения также удаляют wrapper.exe и избавляются от связанных вредоносных программ.

Однако, если это не вирус и вам необходимо удалить wrapper.exe, вы можете удалить Pirateville Deluxe со своего компьютера с помощью программы удаления, которая должна находиться по адресу: «C: users user appdata Local Zylom Games. Pirateville Deluxe GameInstlr.exe «- удалить UnInstall.log. Если вы не можете найти его деинсталлятор, вам может потребоваться удалить Pirateville Deluxe, чтобы полностью удалить wrapper.exe. Вы можете использовать функцию «Добавить / удалить программу» в Панели управления Windows.

  • 1. в Меню Пуск (для Windows 8 щелкните правой кнопкой мыши в нижнем левом углу экрана), нажмите Панель управления, а затем под Программы:
    o Windows Vista / 7 / 8.1 / 10: нажмите Удаление программы.
    o Windows XP: нажмите Установка и удаление программ.
  • 2. Когда вы найдете программу Pirateville Deluxeщелкните по нему, а затем:
    o Windows Vista / 7 / 8.1 / 10: нажмите Удалить.
    o Windows XP: нажмите Удалить or Изменить / Удалить вкладка (справа от программы).
  • 3. Следуйте инструкциям по удалению Pirateville Deluxe.

Распространенные сообщения об ошибках в wrapper.exe

Наиболее распространенные ошибки wrapper.exe, которые могут возникнуть:

• «Ошибка приложения wrapper.exe».
• «Ошибка wrapper.exe».
• «wrapper.exe столкнулся с проблемой и должен быть закрыт. Приносим извинения за неудобства».
• «wrapper.exe не является допустимым приложением Win32».
• «wrapper.exe не запущен».
• «wrapper.exe не найден».
• «Не удается найти wrapper.exe».
• «Ошибка запуска программы: wrapper.exe».
• «Неверный путь к приложению: wrapper.exe».

Эти сообщения об ошибках .exe могут появляться во время установки программы, во время выполнения связанной с ней программы Pirateville Deluxe, при запуске или завершении работы Windows, или даже во время установки операционной системы Windows. Отслеживание момента появления ошибки wrapper.exe является важной информацией при устранении неполадок.

Как исправить wrapper.exe

Аккуратный и опрятный компьютер — это один из лучших способов избежать проблем с Pirateville Deluxe. Это означает выполнение сканирования на наличие вредоносных программ, очистку жесткого диска cleanmgr и ПФС / SCANNOWудаление ненужных программ, мониторинг любых автозапускаемых программ (с помощью msconfig) и включение автоматических обновлений Windows. Не забывайте всегда делать регулярные резервные копии или хотя бы определять точки восстановления.

Если у вас возникла более серьезная проблема, постарайтесь запомнить последнее, что вы сделали, или последнее, что вы установили перед проблемой. Использовать resmon Команда для определения процессов, вызывающих вашу проблему. Даже в случае серьезных проблем вместо переустановки Windows вы должны попытаться восстановить вашу установку или, в случае Windows 8, выполнив команду DISM.exe / Online / Очистка-изображение / Восстановить здоровье, Это позволяет восстановить операционную систему без потери данных.

Чтобы помочь вам проанализировать процесс wrapper.exe на вашем компьютере, вам могут пригодиться следующие программы: Менеджер задач безопасности отображает все запущенные задачи Windows, включая встроенные скрытые процессы, такие как мониторинг клавиатуры и браузера или записи автозапуска. Единый рейтинг риска безопасности указывает на вероятность того, что это шпионское ПО, вредоносное ПО или потенциальный троянский конь. Это антивирус обнаруживает и удаляет со своего жесткого диска шпионское и рекламное ПО, трояны, кейлоггеры, вредоносное ПО и трекеры.

Обновлено в январе 2023 г .:

Мы рекомендуем вам попробовать это новое программное обеспечение, которое исправляет компьютерные ошибки, защищает их от вредоносных программ и оптимизирует производительность вашего ПК. Этот новый инструмент исправляет широкий спектр компьютерных ошибок, защищает от таких вещей, как потеря файлов, вредоносное ПО и сбои оборудования.

  • Шаг 1: Скачать PC Repair & Optimizer Tool (Windows 10, 8, 7, XP, Vista — Microsoft Gold Certified).
  • Шаг 2: Нажмите «Начать сканирование”, Чтобы найти проблемы реестра Windows, которые могут вызывать проблемы с ПК.
  • Шаг 3: Нажмите «Починить все», Чтобы исправить все проблемы.

скачать
(опциональное предложение для Reimage — Cайт | Лицензионное соглашение | Персональные данные | Удалить)

Загрузите или переустановите wrapper.exe

Вход в музей Мадам Тюссо не рекомендуется загружать заменяемые exe-файлы с любых сайтов загрузки, так как они могут содержать вирусы и т. д. Если вам нужно скачать или переустановить wrapper.exe, мы рекомендуем переустановить основное приложение, связанное с ним. Pirateville Deluxe.

Информация об операционной системе

Ошибки wrapper.exe могут появляться в любых из нижеперечисленных операционных систем Microsoft Windows:

  • Windows 10
  • Windows 8.1
  • Windows 7
  • Windows Vista
  • Windows XP
  • Windows ME
  • Windows 2000

Original text by BOHOPS

Background

LOLBINs (Living-of-the-Land Binaries) have been a hot topic these last few years in the security industry as it seems there is a new one released almost weekly. Many of these LOLBINs are documented at the LOLBAS Project which describes the respective (alternate) functionality, use cases, and baseline detection information.

For the most part, LOLBINs featured in the LOLBAS project are Windows signed binaries. These typically include binaries that are a part of the operating system (Windows Signed) and other functional binaries that are added to the operating system later (Microsoft signed). However, there is another class of LOLBINs that are provided by third party vendors and are actually signed by Microsoft as well. In this blog, we will:

  1. Take a closer look at GfxDownloadWrapper.exe, a third party LOLBIN, and discuss a new execution technique that could be used for defense evasion.
  2. Take a look at the loading mechanism in GfxDownloadWrapper.exe and see if we can build a (generic) detection capability to identify the behavior within this utility as well as other, similar LOLBINs.

Introducing GfxDownloadWrapper

GfxDownloadWrapper.exe is a binary that is included with Intel video card driver software. It is a .NET application that supports the Intel Graphics Control Panel and game graphic settings. A quick analysis of the Authenticode signature shows that GfxDownloadWrapper.exe is catalog signed by the “Microsoft Windows Third Party Component CA 2012” issuer:

On one of my test workstations, there are over 20 instances of GfxDownloadWrapper on the file system located in subdirectories under c:ProgramDataPackage Cache and the c:WindowsSystem32DriverStoreFileRepository. This is likely because of updates to driver and re-installation of the driver over the last few years.

As a component of a popular driver software and having Microsoft’s genuine seal of approval, let’s further explore GfxDownloadWrapper as a vector for potential misuse…

GfxDownloadWrapper Download Functionality

In February 2019, @egre55 tweeted about an interesting download capability for GfxDownloadWrapper.exe, which was eventually added to LOLBAS:

However, this download functionality did not properly work with my first test attempt:

Since this is a .NET application and we have access to 20 or so versions of the relatively small program, we can quickly ‘decompile’ old and new version of GfxDownloadWrapper then take a peek at the source code with dnSpy. In this case, version 8.15.100.8280 and 8.15.100.8681 were quickly analyzed and diffed to show the following changes:

Interestingly, it appears the vendor decided to patch the program and implement restrictions to prevent arbitrary downloads of various and sundry content. Certainly a good thing, but with a cache of previous versions available at our disposal, we can simply identify a version without the restrictions and leverage accordingly with success:

Now, let’s shift gears and explore an interesting code execution technique…

Analyzing the Source Code

With the source code available to us, we continue to explore GfxDownloadWrapper.exe and see some very interesting code at the Main() entry point:

Interestingly, GfxDownloadWrapper.exe appears to load an assembly from disk , and it looks like we have an opportunity to influence what is loaded with some input argument manipulation. As we explore further, we can infer that our initial theory is (likely) true since the program calls the internal InvokeDll() method to process an assembly with methods named ApplyRecommendedSettings(), RestoreRecommendedSettings() or CacheCleanup().

Next, we take a peak at the internal InvokeDLL() method and take a note of a few important assembly class methods and properties that can potential help us achieve our objective of loading an arbitrary managed assembly:

Determining the Inputs

In the Main() method, we capture our initial input requirements. Based on a simple input validation function, the access entry point requires four (4) arguments. The first argument requirement [1]args(0), is to simply the string value of “run”. The second argument requirement [2]args(1), is a string path to our assembly DLL payload. The third argument requirement [3]args(2), is a numeric string value for that maps to one of the required assembly methods. The fourth and final argument requirement [4]args(3), is an interesting string value that expects a semi-colon (;) as a split delimiter for multiple game identifiers with a prefix of an AppData relative path. The input requirements are shown in the following image:

When we put everything together, the following command format should be valid (Note: we’ll test this later):

GfxDownloadWrapper.exe "run" "[pathtopayload.dll]" "Method Number" ";AppDataLocalIntelGames[Some random value]"

Building a Proof-of-Concept Payload

As previously determined, we will need to prepare an assembly payload. In our test case, we will build an assembly DLL and use CacheCleanup for the entry method name (so our command method argument value will be “2”). Furthermore, we will need to declare the method as “public” since GfxDownloadWrapper queries for exported types to determine which of those are visible outside of the assembly:

Additionally, our declared method requires a string argument as shown in the Invoke() method:

To keep our source code/payload lean and simple, we’ll invoke Notepad.exe with the following assembly C# code:

Putting It All Together

With our payload compiled and our argument strategy worked out, let’s use the following command to execute the payload:

GfxDownloadWrapper.exe "run" "c:testnp.dll" "2" ";AppDataLocalIntelGamesa"

Note: The final character (“a”) in argument 4 was chosen randomly. This suffix value can be another value/string/etc. There may be more interesting ways to handle this argument.

As expected, our payload successfully executes after loading our ‘malicious’ assembly:

Now let’s shift gears and talk about detection…


Detecting .NET Assembly Load Events

Identifying Loaded Assemblies

There are several interesting detection opportunities beyond monitoring/hunting for process creation events and suspicious command line usage (which are still viable, of course). Recalling the static analysis that we conducted earlier, Assembly.LoadFrom() of the System.Reflection namespace, is the method used to read and load the assembly from the assembly module (DLL) into the GfxDownloadWrapper application (App Domain). We can actually see this if we take a peek at the GfxDownloadWrapper process properties with Process Hacker. Under the .NET Assemblies tab, the loaded assembly (ClassLibrary1) and DLL module (np.dll) are shown:

Process Hacker obtains this (meta)data from Event Tracing for Windows (ETW), a facility for “provider-defined data that describes the current state of an application or operation” (Microsoft Docs). ETW providers are “applications that contain event tracing instrumentation”, of which provide events for ETW consumers. Just like Process Hacker consumes ETW data for real-time display, let’s see if we can identify the provider of interesting .NET/CLR (Common Language Runtime) events and build a quick and dirty real-time monitor (“EDR?”) to catch Assembly Load events.

Quick Note on ETW Offensive Tradecraft: If you are familiar with ETW and offensive security trends, you are likely aware of the various and sundry ETW tampering techniques for disrupting ETW event collection and processing for an application. These techniques are effective, but there is still value in leveraging ETW event collection even if such a disruptive technique is deployed. Depending on the technique and usage circumstance(s), critical metadata of an application can still be collected up until the actual disruption event itself, which may be all that is required for detection success. For more information on ETW tampering, take a look at Adam Chester‘s incredible research blog as well as Dom Chell and crew’s fantastic MDSec blog where they cover .NET tradecraft quite extensively.

Investigating a Candidate ETW Provider

With a bit of research and strategic Googling, we identify the The CLR Runtime Provider [GUID e13c0d23-ccbc-4e12-931b-d9cc2eee27e4] as the candidate ETW provider. According to the documentation, this provider should furnish all that is needed to achieve our goal. This notions holds true when Drilling further into the CLR ETW documentation as we find information about Loader ETW events under the LoaderKeyword keyword, which seems to have the event metadata for the events that we would like to observe:

….

Preparing for the Monitor Coding Project

With our candidate ETW provider in hand, we continue to research further to identify open source and public code samples that will be helpful for building our POC monitoring program. Fortunately for us, Microsoft provides excellent code resources for a variety of use cases, and ours is certainly no exception.

For .NET applications, Microsoft makes available the Trace Event library (Microsoft.Diagnostics.Tracing.TraceEvent) for simplifying the logging of ETW events, which is available via NuGet. For preparing the environment and adding the trace library to our CSharp project, please refer to this helpful post by Alex Khanin.

Furthermore, Microsoft kindly provides code samples on Github for working with the trace library to capturing event data. We will use the 31_KernelAndClrMonitor.cs code sample as the basis of the monitor program:

Coding and Building the Proof-of-Concept Monitor

Within the sample project, we first make a few changes by removing unneeded overhead, timing elements, and kernel references. Second, we convert the Run() method into Main() since it is a console application. Lastly, we edit the heart of the program to ensure that we establish a session to only collect the (Loader) events that are useful for our purposes.

In the subsequent screenshot, the CLR Runtime Provider is enabled by the session.EnableProvider() method and is identified by ClrTraceEventPraser.ProviderGuid. We also specify ClirTraceEventParser.Keywords.Loader for raising events under the LoaderKeyword Keyword.

Note: The proof-of-concept code for our monitor can be found here.

After running our “Assembly Load Monitor” and invoking the GfxDownloadWrapper.exe, we can observe some very interesting information such as:

  • Process CmdLine

  • Assembly Name

  • Assembly Module (DLL)

To take this a step further, we could parse the interesting data and send a message to the Event Viewer or log facility for post-processing. However, we’ll save that along with a few stress test cases for another day. All things considered, ETW is quite powerful and many other useful data sources can be tapped for the greater good!

Other Defensive Considerations

Application Control

This technique did not bypass AppLocker with a default rules policy or Windows Defender Application Control (WDAC) with an enforced code integrity policy. If using an application control solution and customizing rules based on code signing as a trust enforcement mechanism, consider blocking application instances of GfxDownloadWrapper.exe or removing the catalog signature from the Catalog database.

Note: Be very careful if attempting to remove catalog signatures from the catalog database. Unintended issues may arise.

Attack Surface Reduction

Driver Rollback and support software caching are certainly viable use cases for maintaining instances of previous software to address fallback issues. However, vendors (and subsequently organizations due to downstream impact) should consider removing much older-than-necessary versions of unused drivers and software to reduce risks associated with abuse and to promote the viability of applied patches in newer versions of the software. In addition to managing the presence of the software, vendors should consider maintaining catalog hygiene to remove the signatures of older software when new software updates are released.

Conclusion

Thank you for taking the time to read this blog post. If you have any questions or comments, please feel free to reach out on here or on Twitter.

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии

А вот еще интересные материалы:

  • Яшка сломя голову остановился исправьте ошибки
  • Ясность цели позволяет целеустремленно добиваться намеченного исправьте ошибки
  • Ясность цели позволяет целеустремленно добиваться намеченного где ошибка
  • Genshin impact ошибка при запуске приложения 0xc000000142
  • Genshin impact ошибка подключения к серверу на ps4