Проблема с доступом к сети

Vodnik · 30 Сен 2022

Проблема с доступом к сети

Бывший корпоративный ноутбук с ОС Windows 7, отключён от домена и отдан мне за ненадобностью. Использую для доступа в интернет (через подключение к смартфону), обучения, установлены несколько VPN.

Пару дней назад внезапно отвалился интернет; причём статус сети показывает Подключено и Доступ в интернет. Такое случалось пару раз и ранее, решалось удалением с последующим восстановлением сетевого адаптера. Но на этот раз не помог ни один стандартный совет из интернета (отключить IPV6, ipconfig /flushdns и т.п., удаление адаптера, очистка оснастки и др.). Заметил следующее:
- адаптер получает IP-адрес, DNS и DefGW
- ping <default_gateway> выдаёт ошибку General Failure; ping собственного IP работает
- в Свойствах адаптера видно, что трафик активно идёт в обоих направлениях, хотя ни одно из приложений подключиться к интернету не может (это и навело на мысль о вирусе)
- выход в интернет у меня только через телефон; подключиться можно по WiFi или по кабелю (модему), при этом используются разные адаптеры, но проблема одна и та же

Работает антивирус McAfee, ничего подозрительного не находит.
Dr. Web CureIt! нейтрализовал tool.nssm.3, но это не решило проблему.
Логи AVZ и uVS прилагаю.

Tatasik · 30 Сен 2022

Vodnik написал(а):
адаптер получает IP-адрес

Какой IP получает устройство? Достаточно первые 2 октета уточнить.

Vodnik написал(а):
ping собственного IP работает

Что понимается под собственным IP? 127.0.0.0 или, то, что видите в состоянии подключения?

Vodnik написал(а):
Подключено и Доступ в интернет

Больше похоже на проблемы с DNS.
Что покажет команда nslookup tehnari.ru, а после неё nslookup tehnari.ru 8.8.8.8
Также, интересно увидеть ping 178.208.71.52

Vodnik написал(а):
Работает антивирус McAfee

Я бы для начала посоветовал его отключить, часто блочит всё подряд.

Vodnik написал(а):
установлены несколько VPN

VPN тоже не запускается или с запущенным VPN доступ пропадает?

Написали много и вроде бы по делу, а понять уровень Вашей компетентности из текста не получается, по этому такие вопросы.

Vvvyg · 30 Сен 2022

Vodnik написал(а):
Логи AVZ и uVS прилагаю.

От UVS нужен образ, раз уж к нам заглянули.
По логу AVZ плохого не видно, разве что ясно, что ничего не пингуется.
И McAfee для верности рекомендовал бы удалить.

Vodnik · 1 Окт 2022

@Tatasik, pingи и nlslookupы - в файле ping.txt.
VPNы не работают из-за отсутствия сети.
McAfee отключить не могу, он запаролен (бывший корп. ноут, только от домена отключили, ОС я не переустанавливал).
Моя компетентность... Работаю в IT компании, но не сетевиком, а телефонистом. Поэтому такие ответы.

@Vvvyg, образ от uVS прилагаю. В лог написало, что у меня повреждена сотня системных DLL.

Vvvyg · 1 Окт 2022

Vodnik написал(а):
Работаю в IT компании, но не сетевиком, а телефонистом

Вижу, от Агата программа...

Попробуем. Обычно в рабочую систему под политиками я не лезу, но тут другой случай.

Скопируйте скрипт ниже в буфер обмена (выделить и нажать Ctrl-C):

Код:

;uVS v4.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
deltmp
dnsreset
winsockreset
sfcall
regt 27
delref 10.10.51.15:3128
delref 217.173.68.122:3128
apply
restart

Запустите файл start.exe из папки с uVS, выберите "Запустить под текущим пользователем", в главном меню программы - Скрипты -> выполнить скрипт из буфера обмена.
Выполняться будет долго.
Компьютер перезагрузится.
В папке с UVS будет лог выполнения скрипта, текстовый файл с именем из даты и времени выполнения, прикрепите его с своему сообщению.
Сообщите, что с проблемой. Если не помогло, такой лог сделайте.

Скачайте Farbar Recovery Scan Tool или с зеркала и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Vodnik · 2 Окт 2022

Выполнение предложенного скрипта в uVS на проблему с доступом к сети никак не повлияло. Какой лог сделать, ссылку не указали. Из лога FarBar узнал много нового про свой компьютер...

Vvvyg · 2 Окт 2022

Есть точки восстановления:

14-09-2022 17:28:27 Installed Cisco AnyConnect Secure Mobility Client
14-09-2022 17:41:02 Windows Update
15-09-2022 14:16:54 Microsoft Visual C++ 2012 Redistributable (x64) - 11.0.61030
28-09-2022 08:55:43 Removed Cisco AnyConnect Secure Mobility Client
28-09-2022 09:08:31 ILLUSION リアル彼女を削除しました
28-09-2022 09:08:59 ILLUSION 裏リアル彼女を削除しました

Простейший вариант - откатиться на самую позднюю, когда проблема не наблюдалась.

Vodnik · 3 Окт 2022

Откатился на самую первую точку восстановления 14.09.2022.
Windows сообщила, что в процессе произошёл сбой и откат неудачен.
Однако сеть заработала.

Vvvyg · 3 Окт 2022

Вот и хорошо, проблема малопонятная.
Стоит сходить к админу и попросить удалить лишний софт, включая антивирус.

Vodnik · 3 Окт 2022

Через несколько часов успешной работы проблема вернулась.
Не знаю, с чем это можно связать:
- установились обновления Windows, но проблема возникла не после этого

Vodnik · 3 Окт 2022

Мне удалось снести большую часть приложений McAfee, кроме агентов - у них нет опции Uninstall. Но осталась одна прилада - CrowdStrike. Эта штука никак не управляется и не сносится (требует токен). Мне кажется, что в какой-то момент от неё мелькнуло сообщение типа "You are disconnected from network for your safety".

Vodnik · 3 Окт 2022

Не нахожу её в автозапуске. uVS может помочь убрать её оттуда?

Vvvyg · 3 Окт 2022

Давайте, лучше новый отчёт FRST, там больше инфы. По нему и почистим, и хвосты McAfee уберём.

prima · 4 Окт 2022

Vodnik написал(а):
Мне удалось снести большую часть приложений McAfee, кроме агентов - у них нет опции Uninstall.

https://www.mcafee.com/support/?articleId=TS101331&page=shell&shell=article-view

Vodnik · 4 Окт 2022

prima написал(а):
https://www.mcafee.com/support/?arti...l=article-view

MCPR на этом ноуте не выполняется или что-то блокирует его выполнение.

Vodnik · 4 Окт 2022

Vvvyg написал(а):
Давайте, лучше новый отчёт FRST, там больше инфы. По нему и почистим, и хвосты McAfee уберём.

Новый отчёт прилагается, FRST_Add2.7z.
Мне кажется, основной враг здесь не McAfee, а CrowdStrike. Это некая прога для защиты от атак. Управляется с сервера, на котором зарегистрирована, без токена её ни удалить, ни остановить не удаётся (оно так и задумано, предлагают переинсталляцию Windows). Много лет она никак не проявляла себя. Через несколько часов после отката к точке восстановления Windows 14.09 в трее промелькнуло от неё сообщение типа "Вы были отключены от сети для вашей безопасности". Вскоре после этого сеть и пропала. Компания Falcon прекратила поддержку своих продуктов в России. Связь с администраторами утрачена. Возникают всякие мысли...

Сервис:

>sc query csagent
SERVICE_NAME: csagent
TYPE : 2 FILE_SYSTEM_DRIVER
STATE : 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

Остановить не удаётся - Access is denied.

Vvvyg · 4 Окт 2022

Сразу предупрежу, при удалении подобных программ методом грубой силы могут быть проблемы.
В своё время пытался удалить корпоративный антивирус Symantec в похожей ситуации, передали ПК при переходе в другую организацию, сеть ломалась напрочь, и никакие методы её восстановления не помогали, справилась только утилита от вендора, но она токен или пароль не требовала.

Выполняем дальнейшее в безопасном режиме, точку восстановления системы создайте вручную заранее.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-2565340449-27840162-1824196758-1013\...\Run: [] => [X]
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\Users\A475608\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
AV: CrowdStrike Falcon Sensor (Enabled - Up to date) {EA434D4F-A911-75C3-EDB5-285395B11F27}
AS: CrowdStrike Falcon Sensor (Enabled - Up to date) {5122ACAB-8F2B-7A4D-D705-1321EE36559A}
R2 CSFalconService; C:\Program Files\CrowdStrike\CSFalconService.exe [3312144 2022-08-04] (Microsoft Windows Hardware Compatibility Publisher -> CrowdStrike, Inc.)
R1 CSAgent; C:\WINDOWS\system32\drivers\CrowdStrike\csagent.sys [2977352 2022-08-04] (Microsoft Windows Hardware Compatibility Publisher -> CrowdStrike, Inc.)
R3 CSDeviceControl; C:\WINDOWS\System32\DRIVERS\CSDeviceControl.sys [224448 2022-01-22] (Microsoft Windows Hardware Compatibility Publisher -> CrowdStrike, Inc.)
R0 CSFirmwareAnalysis; C:\WINDOWS\System32\DRIVERS\CSFirmwareAnalysis.sys [93248 2021-10-21] (Microsoft Windows Hardware Compatibility Publisher -> CrowdStrike, Inc.)
C:\WINDOWS\SYSTEM32\DRIVERS\CROWDSTRIKE\OSFM-00000322.BIN
2022-09-13 19:03 - 2022-10-02 23:48 - 000000000 ____D C:\Program Files\CrowdStrike
2022-09-13 19:03 - 2022-09-13 19:03 - 000000000 ____D C:\ProgramData\CrowdStrike
2022-10-04 09:31 - 2018-11-30 10:42 - 000000000 ____D C:\WINDOWS\system32\Drivers\CrowdStrike
2022-10-03 12:29 - 2018-11-29 12:01 - 000000000 ____D C:\Program Files\Common Files\McAfee
2022-10-03 12:29 - 2018-11-29 11:20 - 000000000 ____D C:\ProgramData\McAfee
2022-10-03 09:49 - 2018-11-29 11:20 - 000000000 ____D C:\Program Files\McAfee
FirewallRules: [{DE3AE4DE-D2CB-4AE1-B6CE-09B8F99B9FD1}] => (Allow) C:\Program Files\McAfee\Agent\macmnsvc.exe => No File
FirewallRules: [{335D446E-49A2-47E7-9771-5B3734E3D5C9}] => (Allow) C:\Program Files\McAfee\Agent\macmnsvc.exe => No File
FirewallRules: [{928D06D4-7737-4E3D-A13A-01B79A40D4B6}] => (Allow) C:\Program Files\McAfee\Agent\macmnsvc.exe => No File
FirewallRules: [{A513A084-0E40-455D-89BF-21B520BC71D7}] => (Allow) C:\Program Files\McAfee\Agent\macmnsvc.exe => No File
FirewallRules: [{139EAC35-572A-49B8-A745-A974C7CD35BE}] => (Block) C:\users\oleg lubashin\downloads\anydesk.exe => No File
FirewallRules: [{96469639-40DF-46DE-9C0F-867793BE375E}] => (Block) C:\users\oleg lubashin\downloads\anydesk.exe => No File
FirewallRules: [TCP Query User{465AB3E3-C25C-4776-91AB-83D6F531302B}I:\d\old_d\g\soft\anydesk\anydesk.exe] => (Allow) I:\d\old_d\g\soft\anydesk\anydesk.exe => No File
FirewallRules: [UDP Query User{01673545-D87E-4514-A5BB-6DD09049EDCD}I:\d\old_d\g\soft\anydesk\anydesk.exe] => (Allow) I:\d\old_d\g\soft\anydesk\anydesk.exe => No File
FirewallRules: [{154CF5E3-69C4-469E-A967-6D6C066394D5}] => (Allow) C:\Users\Oleg Lubashin\AppData\Roaming\Zoom\bin\airhost.exe => No File
FirewallRules: [{C294AD29-32CB-42E0-AB9B-F30F86093321}] => (Allow) C:\Users\Oleg Lubashin\AppData\Roaming\Zoom\bin\airhost.exe => No File
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Отпишите по результатам, будет плохо - запустите восстановление системы.

Vodnik · 4 Окт 2022

Не удалось.
После выполнения скрипта Windows не загружалась, пришлось прибегнуть к Restore.

Vvvyg · 4 Окт 2022

О чём и предупреждал.
Все найденные в сети инструкции по удалению этой хрени требуют родной деинсталлятор и токен (

Vvvyg · 6 Окт 2022

Vodnik написал(а):
Не удалось.
После выполнения скрипта Windows не загружалась, пришлось прибегнуть к Restore.

В общем, лучший вариант - переустановка системы.

Проблема с доступом к сети

Новые

Вложения

Новые

Новые

Новые

Вложения

Новые

Новые

Вложения

Новые

Новые

Новые

Новые

Новые

Новые

Новые

Новые

Новые

Новые

Вложения

Новые

Новые

Вложения

Новые

Новые

Похожие темы