Проблема с доступом к сети - Страница 2

Vodnik · 03.10.2022, 13:19

Мне удалось снести большую часть приложений McAfee, кроме агентов - у них нет опции Uninstall. Но осталась одна прилада - CrowdStrike. Эта штука никак не управляется и не сносится (требует токен). Мне кажется, что в какой-то момент от неё мелькнуло сообщение типа "You are disconnected from network for your safety".

Vodnik · 03.10.2022, 13:32

Не нахожу её в автозапуске. uVS может помочь убрать её оттуда?

Vvvyg · 03.10.2022, 15:47

Давайте, лучше новый отчёт FRST, там больше инфы. По нему и почистим, и хвосты McAfee уберём.

prima · 04.10.2022, 06:06

Цитата:

Сообщение от Vodnik

Мне удалось снести большую часть приложений McAfee, кроме агентов - у них нет опции Uninstall.

https://www.mcafee.com/support/?arti...l=article-view

Vodnik · 04.10.2022, 10:33

Цитата:

Сообщение от prima

https://www.mcafee.com/support/?arti...l=article-view

MCPR на этом ноуте не выполняется или что-то блокирует его выполнение.

Vodnik · 04.10.2022, 12:40

Цитата:

Сообщение от Vvvyg

Давайте, лучше новый отчёт FRST, там больше инфы. По нему и почистим, и хвосты McAfee уберём.

Новый отчёт прилагается, FRST_Add2.7z.
Мне кажется, основной враг здесь не McAfee, а CrowdStrike. Это некая прога для защиты от атак. Управляется с сервера, на котором зарегистрирована, без токена её ни удалить, ни остановить не удаётся (оно так и задумано, предлагают переинсталляцию Windows). Много лет она никак не проявляла себя. Через несколько часов после отката к точке восстановления Windows 14.09 в трее промелькнуло от неё сообщение типа "Вы были отключены от сети для вашей безопасности". Вскоре после этого сеть и пропала. Компания Falcon прекратила поддержку своих продуктов в России. Связь с администраторами утрачена. Возникают всякие мысли...

Сервис:

>sc query csagent
SERVICE_NAME: csagent
TYPE : 2 FILE_SYSTEM_DRIVER
STATE : 4 RUNNING
(STOPPABLE, NOT_PAUSABLE, IGNORES_SHUTDOWN)
WIN32_EXIT_CODE : 0 (0x0)
SERVICE_EXIT_CODE : 0 (0x0)
CHECKPOINT : 0x0
WAIT_HINT : 0x0

Остановить не удаётся - Access is denied.

Vvvyg · 04.10.2022, 14:26

Сразу предупрежу, при удалении подобных программ методом грубой силы могут быть проблемы.
В своё время пытался удалить корпоративный антивирус Symantec в похожей ситуации, передали ПК при переходе в другую организацию, сеть ломалась напрочь, и никакие методы её восстановления не помогали, справилась только утилита от вендора, но она токен или пароль не требовала.

Выполняем дальнейшее в безопасном режиме, точку восстановления системы создайте вручную заранее.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-2565340449-27840162-1824196758-1013\...\Run: [] => [X]
GroupPolicy: Restriction ? <==== ATTENTION
Policies: C:\Users\A475608\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
AV: CrowdStrike Falcon Sensor (Enabled - Up to date) {EA434D4F-A911-75C3-EDB5-285395B11F27}
AS: CrowdStrike Falcon Sensor (Enabled - Up to date) {5122ACAB-8F2B-7A4D-D705-1321EE36559A}
R2 CSFalconService; C:\Program Files\CrowdStrike\CSFalconService.exe [3312144 2022-08-04] (Microsoft Windows Hardware Compatibility Publisher -> CrowdStrike, Inc.)
R1 CSAgent; C:\WINDOWS\system32\drivers\CrowdStrike\csagent.sys [2977352 2022-08-04] (Microsoft Windows Hardware Compatibility Publisher -> CrowdStrike, Inc.)
R3 CSDeviceControl; C:\WINDOWS\System32\DRIVERS\CSDeviceControl.sys [224448 2022-01-22] (Microsoft Windows Hardware Compatibility Publisher -> CrowdStrike, Inc.)
R0 CSFirmwareAnalysis; C:\WINDOWS\System32\DRIVERS\CSFirmwareAnalysis.sys [93248 2021-10-21] (Microsoft Windows Hardware Compatibility Publisher -> CrowdStrike, Inc.)
C:\WINDOWS\SYSTEM32\DRIVERS\CROWDSTRIKE\OSFM-00000322.BIN
2022-09-13 19:03 - 2022-10-02 23:48 - 000000000 ____D C:\Program Files\CrowdStrike
2022-09-13 19:03 - 2022-09-13 19:03 - 000000000 ____D C:\ProgramData\CrowdStrike
2022-10-04 09:31 - 2018-11-30 10:42 - 000000000 ____D C:\WINDOWS\system32\Drivers\CrowdStrike
2022-10-03 12:29 - 2018-11-29 12:01 - 000000000 ____D C:\Program Files\Common Files\McAfee
2022-10-03 12:29 - 2018-11-29 11:20 - 000000000 ____D C:\ProgramData\McAfee
2022-10-03 09:49 - 2018-11-29 11:20 - 000000000 ____D C:\Program Files\McAfee
FirewallRules: [{DE3AE4DE-D2CB-4AE1-B6CE-09B8F99B9FD1}] => (Allow) C:\Program Files\McAfee\Agent\macmnsvc.exe => No File
FirewallRules: [{335D446E-49A2-47E7-9771-5B3734E3D5C9}] => (Allow) C:\Program Files\McAfee\Agent\macmnsvc.exe => No File
FirewallRules: [{928D06D4-7737-4E3D-A13A-01B79A40D4B6}] => (Allow) C:\Program Files\McAfee\Agent\macmnsvc.exe => No File
FirewallRules: [{A513A084-0E40-455D-89BF-21B520BC71D7}] => (Allow) C:\Program Files\McAfee\Agent\macmnsvc.exe => No File
FirewallRules: [{139EAC35-572A-49B8-A745-A974C7CD35BE}] => (Block) C:\users\oleg lubashin\downloads\anydesk.exe => No File
FirewallRules: [{96469639-40DF-46DE-9C0F-867793BE375E}] => (Block) C:\users\oleg lubashin\downloads\anydesk.exe => No File
FirewallRules: [TCP Query User{465AB3E3-C25C-4776-91AB-83D6F531302B}I:\d\old_d\g\soft\anydesk\anydesk.exe] => (Allow) I:\d\old_d\g\soft\anydesk\anydesk.exe => No File
FirewallRules: [UDP Query User{01673545-D87E-4514-A5BB-6DD09049EDCD}I:\d\old_d\g\soft\anydesk\anydesk.exe] => (Allow) I:\d\old_d\g\soft\anydesk\anydesk.exe => No File
FirewallRules: [{154CF5E3-69C4-469E-A967-6D6C066394D5}] => (Allow) C:\Users\Oleg Lubashin\AppData\Roaming\Zoom\bin\airhost.exe => No File
FirewallRules: [{C294AD29-32CB-42E0-AB9B-F30F86093321}] => (Allow) C:\Users\Oleg Lubashin\AppData\Roaming\Zoom\bin\airhost.exe => No File
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Исправить и подождите. Программа создаст лог-файл (Fixlog.txt). Упакуйте его в архив и прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Отпишите по результатам, будет плохо - запустите восстановление системы.

Vodnik · 04.10.2022, 16:49

Не удалось.
После выполнения скрипта Windows не загружалась, пришлось прибегнуть к Restore.

Vvvyg · 04.10.2022, 17:47

О чём и предупреждал.
Все найденные в сети инструкции по удалению этой хрени требуют родной деинсталлятор и токен (

Vvvyg · 06.10.2022, 14:17

Цитата:

Сообщение от Vodnik

Не удалось.
После выполнения скрипта Windows не загружалась, пришлось прибегнуть к Restore.

В общем, лучший вариант - переустановка системы.

03.10.2022, 13:19	#11 (permalink)
Vodnik Member Регистрация: 21.12.2011 Сообщений: 29 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	Мне удалось снести большую часть приложений McAfee, кроме агентов - у них нет опции Uninstall. Но осталась одна прилада - CrowdStrike. Эта штука никак не управляется и не сносится (требует токен). Мне кажется, что в какой-то момент от неё мелькнуло сообщение типа "You are disconnected from network for your safety".

03.10.2022, 13:32	#12 (permalink)
Vodnik Member Регистрация: 21.12.2011 Сообщений: 29 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	Не нахожу её в автозапуске. uVS может помочь убрать её оттуда?

03.10.2022, 15:47	#13 (permalink)
Vvvyg Member Регистрация: 17.05.2011 Адрес: Тула Сообщений: 9,825 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 9863	Давайте, лучше новый отчёт FRST, там больше инфы. По нему и почистим, и хвосты McAfee уберём.

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

04.10.2022, 17:47	#19 (permalink)
Vvvyg Member Регистрация: 17.05.2011 Адрес: Тула Сообщений: 9,825 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 9863	О чём и предупреждал. Все найденные в сети инструкции по удалению этой хрени требуют родной деинсталлятор и токен (