/dev/null - Overig

SecureBootEncodeUEFI.exe flashed regelmatig op

16-05-2023, 13:48 door Anoniem, 16 reacties
Als ik mijn PC (Win10) een tijdje met rust laat, flashed er regelmatig heel kort een zwart window op met boven in het programma SecureBootEncodeUEFI.exe.

In de volgende vraag wordt dit fenomeen ook beschreven:
https://answers.microsoft...
De uitleg is totaal niet verhelderend m.b.t. waarom dit wordt uitgevoerd.

Zodra ik mijn PC weer ga gebruiken, blijft dit fenomeen achterwege.

Kan iemand mij uitleggen waarom dit regelmatig op treedt als de PC niet gebruikt/bediend wordt.
Reacties (16)
16-05-2023, 16:32 door Anoniem
Door Anoniem: In de volgende vraag wordt dit fenomeen ook beschreven:
https://answers.microsoft...
De uitleg is totaal niet verhelderend m.b.t. waarom dit wordt uitgevoerd.
De uitleg is zelfs totaal niet terug te vinden voor je lezers als je niet de volledige URL vermeldt. En als je hem alsnog gaat posten, gebruik dan meteen de url-tag die bij "Ondersteunde bbcodes" (direct onder "Reageren") beschreven staat.

Weet je, je vraagt mensen om hulp hier ("Kan iemand mij uitleggen..."). Help dan op jouw beurt de mensen die je om hulp vraagt door de volledige URL als hyperlink op te nemen. Als je die kleine moeite voor een ander al niet doet, op basis waarvan zou die ander zich dan eigenlijk gemotiveerd moeten voelen om ook maar enige moeite voor jou te doen?
16-05-2023, 17:38 door Anoniem
Door Anoniem: Als ik mijn PC (Win10) een tijdje met rust laat, flashed er regelmatig heel kort een zwart window op met boven in het programma SecureBootEncodeUEFI.exe.

In de volgende vraag wordt dit fenomeen ook beschreven:
https://answers.microsoft...
De uitleg is totaal niet verhelderend m.b.t. waarom dit wordt uitgevoerd.

Zodra ik mijn PC weer ga gebruiken, blijft dit fenomeen achterwege.

Kan iemand mij uitleggen waarom dit regelmatig op treedt als de PC niet gebruikt/bediend wordt.


Sorry voor de onvolledige URL, dat is het gevolg van een kopieerfout.
Hier de URL:
https://answers.microsoft.com/en-us/windows/forum/all/securebootencodeuefiexe/fe0aa6b3-e31f-4040-9aee-9e5999d834bf
16-05-2023, 19:41 door Anoniem
Bij twijfel zou ik het als malware of een hack (MSI?) zien en het uit voorzorg blokkeren zodat het niet meer kan/mag starten.
16-05-2023, 23:23 door Anoniem
Als Windows automatische updates aan staan, en het de computer uit de slaap/sluimerstand mag halen, dan komen er wel eens dos prompten voorbij schieten.
Ik zie ze ook regelmatig na een handmatige update en herstart over het scherm flitsen.
Sommige dingen kan Windows niet onder Windows dus moet het onder DOS...
18-05-2023, 10:15 door Anoniem
Ik heb deze sinds afgelopen patchdinsdag in C:\Windows\System32 staan. Als ik met de muis hover zegt deze Gathers Encoded SecureBoot UEFI Telemetry.

Dit is de .exe op VT
https://www.virustotal.com/gui/file/e33d8e0e43755e2e61fa43a8070962af2821e33d5780706b13afa23fe789c231/detection

Ik heb de Britse versie van Windows 10 Home in 64 bits. Het heeft vast iets met BlackLotus te maken. Hier gaan we meer van horen het komende jaar. Als het op mijn systeem staat is het waarschijnlijk veilig want ik ben super paranoïde met de software die ik toelaat op mijn systeem.
20-05-2023, 11:59 door Anoniem
Door Anoniem: Als Windows automatische updates aan staan, en het de computer uit de slaap/sluimerstand mag halen, dan komen er wel eens dos prompten voorbij schieten.
Ik zie ze ook regelmatig na een handmatige update en herstart over het scherm flitsen.
Sommige dingen kan Windows niet onder Windows dus moet het onder DOS...
haha wat een oude meuk.
20-05-2023, 15:50 door Anoniem
Door Anoniem:
Door Anoniem:
Ik zie ze ook regelmatig na een handmatige update en herstart over het scherm flitsen.
Sommige dingen kan Windows niet onder Windows dus moet het onder DOS...
haha wat een oude meuk.
Dit slaat natuurlijk nergens op, het heeft niks met DOS te maken maar het is gewoon commandline mode.
(kan een .cmd script zijn maar ook een powershell script)
Dat je dan o.a. commands kunt gebruiken die ook al in MS-DOS zaten betekent nog niet dat het dan "onder DOS" is!
20-05-2023, 16:42 door Anoniem
Nee compleet fout. Als eerste het is geen DOS het is niet oud en Windows does alles onder Windows.


DOS is een besturingsysteem Disk Operating System. Dat bevatte een commandline interface genaamd DOS prompt of 4DOS en dat zit er al niet meer in sinds Windows NT series waar we Command Prompt krijgen. Wat je waarschijnlijk nu hebt gezien.

Er is niks ouds aan het wordt gewoon onderhouden je ziet of snapt dat enkel niet tenzij je actief changelogs bijhoudt en onderligende functies intensief gebruikt. Als je echter geeft om een modernere commandline interface met meer grafische ondersteuning en object ondersteuning dan kun je ook Powershell gebruiken.

En als je nog moderner wilt Windows Terminal gebruiken wat weer een complete herziening is is van Command Prompt inspiratie haal uit Cygwin en native BASH ondersteuning biedt voor de mensen die met UNIX en Linux werken.

Maar als je het niet nodig hebt zou ik er vanaf blijven dit is niet bedoeld voor huis tuin keuken gebruik. Als je enige vorm van IT beheer doet is het altijd aan te raden de commandline interfaces te begrijpen. Want je kan veel met grafische interfaces maar niet alles en zodra er iets echt naar de ratten gaat en je gedropt wordt in een rescue modus ben je heel blij als je commandline snapt.
21-05-2023, 04:43 door Anoniem
Hier de TopicStarter.

Nu weet ik nog steeds niet wat SecureBootEncodeUEFI.exe is en waarom het bij in rust zijnde PC regelmatig uitgevoerd wordt.

Groeten
21-05-2023, 13:42 door Anoniem
https://learn.microsoft.com/en-us/windows-hardware/drivers/bringup/secure-boot-and-device-encryption-overview

Ik noem het DOS ook al is het geëvolueerd naar Opdrachtprompt of Powershell, het ziet er uit als DOS, het werkt als DOS, dus...

Je wil ze niet de kost geven wat ik aan Windows gered heb met die "haha wat een oude meuk"...
21-05-2023, 16:42 door Anoniem
Door Anoniem: Hier de TopicStarter.

Nu weet ik nog steeds niet wat SecureBootEncodeUEFI.exe is en waarom het bij in rust zijnde PC regelmatig uitgevoerd wordt.

Groeten

Dat lijkt niemand op Internet echt precies te weten .

https://answers.microsoft.com/en-us/windows/forum/all/securebootencodeuefiexe/fe0aa6b3-e31f-4040-9aee-9e5999d834bf?page=1

de posting van 'greenreaper' klinkt aannemelijk voor wat het waarschijnlijk is.

op https://malwaretips.com/blogs/remove-securebootencodeufei-exe/ staat een stukje intro over wat de echte versie van SecurebvootencodeUefi zou doen (er zijn ook trojaned/malware versies van). Geen bronvermelding alleen waar de schrijver zich op baseert.
22-05-2023, 00:50 door Anoniem
Door Anoniem:
Door Anoniem: Hier de TopicStarter.

Nu weet ik nog steeds niet wat SecureBootEncodeUEFI.exe is en waarom het bij in rust zijnde PC regelmatig uitgevoerd wordt.

Groeten

Dat lijkt niemand op Internet echt precies te weten .

https://answers.microsoft.com/en-us/windows/forum/all/securebootencodeuefiexe/fe0aa6b3-e31f-4040-9aee-9e5999d834bf?page=1

de posting van 'greenreaper' klinkt aannemelijk voor wat het waarschijnlijk is.

op https://malwaretips.com/blogs/remove-securebootencodeufei-exe/ staat een stukje intro over wat de echte versie van SecurebvootencodeUefi zou doen (er zijn ook trojaned/malware versies van). Geen bronvermelding alleen waar de schrijver zich op baseert.

Er zijn dus meerdere mensen die dit fenomeen recent opgemerkt hebben.
Ik heb nog geprobeerd met ProcessMonitor en FullEventView de uitvoerings-geschiedenis te traceren, echter niets over SecureBootEncodeUEFI.exe terug te vinden. Hoewel het een legitiem WinOS programma schijnt te zijn, geeft dit wel veel argwaan.
22-05-2023, 04:49 door Anoniem
Ik heb mijn versie in Windows 11 even door Virus Total gehaald:

https://www.virustotal.com/gui/file/041ce263ad7a0aaab5436aa814b63ff0c776f0c39186854fd4a19cb5bdcb1652/details

Gemaakt: vrijdag 14 april 2023, 05:00:11
Gewijzigd: vrijdag 14 april 2023, 05:00:11

Ik kan ook niet echt iets vinden behalve wat learn.microsoft.com (voorheen TechNet) erover verteld.

Het lijkt me dat Windows zo af en toe de aangekondigde driver updates moet bijwerken, voordat ze geüpdatet worden, anders blokkeert je systeem. Dat word dan via een batch/taak gedaan voor Windows start.

Vanaf Windows 2008 Server stelt Microsoft dat er voor alle taken een Wizard ingebouwd is. Ook om de uefi te benaderen. Dat duurt ongeveer 3 minuten. Via de opdrachtprompt 3 seconden.
22-05-2023, 05:03 door Anoniem
Kwam deze voorbij tijdens het typen van mijn voorgaande reactie:

https://www.virustotal.com/gui/file/3e56c3d9e5b12edbd9e4006413d87fba099de1eba33d2bea566e742166cb366a

DBXUpdateKB.bin met de handtekening SKUSiPolicy.P7b beiden in C:\Windows\System32\SecureBootUpdates.
22-05-2023, 09:28 door Anoniem
Door Anoniem: Nu weet ik nog steeds niet wat SecureBootEncodeUEFI.exe is en waarom het bij in rust zijnde PC regelmatig uitgevoerd wordt.

Mijn theorie is dat het met de malware BlackLotus heeft te maken. Deze malware kan het Secure Boot proces omzeilen. Deze maand was daar een eerste patch voor van Microsoft op patchdinsdag 19 uur.

Microsoft wil om dit te repareren een sloot aan Secure Boot signatures revoken (intrekken) en dit heeft grote gevolgen voor alles wat met Secure Boot opstart. Van opstartbare USB sticks tot recovery partitions van je computer fabrikant tot zelfs Linux. Deze moeten allemaal opnieuw ondertekend worden door Microsoft anders kunnen ze niet opstarten met Secure Boot in de toekomst. Je krijgt dan een foutmelding van de UEFI.

Wat Microsoft nu in kaart zal willen brengen, is welke DBX bestanden in de UEFI van elke computer die Windows draait staan en welke binaries met Secure Boot opstarten. Zodat ze kunnen inschatten of het een erg grote ramp wordt begin 2024 wanneer de aanpassingen in de UEFI's toegepast worden. Hiervoor is telemetrie nodig, die SecureBootEncodeUEFI.exe verzameld. Dat is mijn theorie. Volgens VirusTotal zit er assembly code in de .exe, wat logisch is omdat de DBX uitlezen niet iets is wat standaard in C/C++ libraries zit.

Anoniem 10:15
22-05-2023, 23:14 door Anoniem
Door Anoniem:
Door Anoniem: Nu weet ik nog steeds niet wat SecureBootEncodeUEFI.exe is en waarom het bij in rust zijnde PC regelmatig uitgevoerd wordt.

Mijn theorie is dat het met de malware BlackLotus heeft te maken. Deze malware kan het Secure Boot proces omzeilen. Deze maand was daar een eerste patch voor van Microsoft op patchdinsdag 19 uur.

Microsoft wil om dit te repareren een sloot aan Secure Boot signatures revoken (intrekken) en dit heeft grote gevolgen voor alles wat met Secure Boot opstart. Van opstartbare USB sticks tot recovery partitions van je computer fabrikant tot zelfs Linux. Deze moeten allemaal opnieuw ondertekend worden door Microsoft anders kunnen ze niet opstarten met Secure Boot in de toekomst. Je krijgt dan een foutmelding van de UEFI.

Wat Microsoft nu in kaart zal willen brengen, is welke DBX bestanden in de UEFI van elke computer die Windows draait staan en welke binaries met Secure Boot opstarten. Zodat ze kunnen inschatten of het een erg grote ramp wordt begin 2024 wanneer de aanpassingen in de UEFI's toegepast worden. Hiervoor is telemetrie nodig, die SecureBootEncodeUEFI.exe verzameld. Dat is mijn theorie. Volgens VirusTotal zit er assembly code in de .exe, wat logisch is omdat de DBX uitlezen niet iets is wat standaard in C/C++ libraries zit.

Anoniem 10:15
Hier de TS.
Dank voor deze uitleg. Klinkt heel plausibel. Maar waarom geeft MS daar niet wat uitleg over?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.