191 ответов в этой теме

[Eugen Engelhardt]

Какие маршруты, о чём вы, люди?

О том, кто создал данный маршрут. Это понятно, что он тут ни причём, его и нет уже.

[Kirill Polubelov]

В общем, эти UDP -- это какие-то проделки ftp.exe майкрософтовские. Но к делу вряд ли имеют отношение.

По нетстату, соединения пребывают в SYN_SENT и довольно долго (result.txt и result2.txt сняты со значительным промежутком).

Учитывая отсутствие этих попыток в пред. ваершарках, если принять, что они на самом деле были, всё по-прежнему упирается в какую-то блокировку локально на ПК,

Ничего не остаётся как последовательно исключать возможные препятствия прям по списку установленного софта, имеющего отношение к сети.

Ещё раз убедитесь, что деисталлирон наш фаерволл, выключен виндовый фаерволл.

И далее, в порядке очереди:

- "Connection Manager", он же "Мастер настройки, версия 0.2.1"? Он же "Beeline Network Manager"?

- "Oracle VM VirtualBox 5.2.20" -- просто деинсталлируйте, всё равно есть версия посвежей.

- "LogMeIn Hamachi"

 

Желательно после каждой деинсталляции делать ребут ОС,

 

Это пока отдельно заметка на память, там есть какие-то приложения:

- NVIDIA:

- "Intel® Trusted Connect Service Client"

Сообщение было изменено Kirill Polubelov: 24 Август 2020 - 19:33

[SergSG]

Учитывая отсутствие этих попыток в пред. ваершарках, если принять, что они на самом деле были, всё по-прежнему упирается в какую-то блокировку локально на ПК,

Kirill, не спешите с удалением докторского файра, пусть человек сначала FTP-шные утилиты заюзает, тогда может что прояснится.

Тем более, что мы уже весь драйвер lwf выкорчевывали без какого либо успеха.

 

И неплохо бы в центре безопасности винды глянуть отключился ли виндовый файер при установке докторского или они оба сражаются.

Сообщение было изменено SergSG: 24 Август 2020 - 20:27

[sgtpepper]

 

Учитывая отсутствие этих попыток в пред. ваершарках, если принять, что они на самом деле были, всё по-прежнему упирается в какую-то блокировку локально на ПК,

Kirill, не спешите с удалением докторского файра, пусть человек сначала FTP-шные утилиты заюзает, тогда может что прояснится.

Тем более, что мы уже весь драйвер lwf выкорчевывали без какого либо успеха.

 

И неплохо бы в центре безопасности винды глянуть отключился ли виндовый файер при установке докторского или они оба сражаются.

 

SergSG, добрый день!

Сражается только докторовский фаервол, насколько я могу судить:
https://gyazo.com/0b2049e04d5b96dfce3ea2e492554eb5

А вот результат запуска FTP утилит:
https://gyazo.com/d58dfc31eb0c7bad3c4c6c84403bf071
 

[sgtpepper]

В общем, эти UDP -- это какие-то проделки ftp.exe майкрософтовские. Но к делу вряд ли имеют отношение.

По нетстату, соединения пребывают в SYN_SENT и довольно долго (result.txt и result2.txt сняты со значительным промежутком).

Учитывая отсутствие этих попыток в пред. ваершарках, если принять, что они на самом деле были, всё по-прежнему упирается в какую-то блокировку локально на ПК,

Ничего не остаётся как последовательно исключать возможные препятствия прям по списку установленного софта, имеющего отношение к сети.

Ещё раз убедитесь, что деисталлирон наш фаерволл, выключен виндовый фаерволл.

И далее, в порядке очереди:

- "Connection Manager", он же "Мастер настройки, версия 0.2.1"? Он же "Beeline Network Manager"?

- "Oracle VM VirtualBox 5.2.20" -- просто деинсталлируйте, всё равно есть версия посвежей.

- "LogMeIn Hamachi"

 

Желательно после каждой деинсталляции делать ребут ОС,

 

Это пока отдельно заметка на память, там есть какие-то приложения:

- NVIDIA:

- "Intel® Trusted Connect Service Client"

Добрый день, Кирилл,

Hamachi был удален практически сразу же после начала тестов, увы не помогло.
Beeline Network Manager был на компе с незапамятных времен, на работу FTP не влиял.
А вот Oracle VirtualBox — это, возможно, компонент Docker? Пока не могу понять, к чему еще он может относиться?

Таким образом, если прибегать к удалению, то я бы начал с него + перезагрузка.

[Kirill Polubelov]

eeline Network Manager был на компе с незапамятных времен, на работу FTP не влиял.

В нашем случае это может быть не показательно. Мне известны случаи, когда нормально работающие, какое-то время, версии VMWare, например, нет-нет, да и "обрубали" нормальную маршрутизацию на ПК.

 

 

 

А вот Oracle VirtualBox — это, возможно, компонент Docker? Пока не могу понять, к чему еще он может относиться?

Таким образом, если прибегать к удалению, то я бы начал с него + перезагрузка.

Не вопрос, если хотите, можете начать с него. Но, я правильно понимаю, что вы самостоятельно его не устанавливали? Если предполагаете, что он попал к вам в составе Docker'а, тогда, видимо, следует его удалять вместе с ним? Чтобы не нарушить его работоспособность. Но мне кажется, что у докера нет такой зависимости. В любом случае, если вы его используете, позаботьтесь о бэкапе контейнеров, на всякий случай.

Сообщение было изменено Kirill Polubelov: 25 Август 2020 - 12:54

[SergSG]

В нашем случае это может быть не показательно. Мне известны случаи, когда нормально работающие, какое-то время, версии VMWare, например, нет-нет, да и "обрубали" нормальную маршрутизацию на ПК.

Судя по картинке работы утилит, 21 порт наглухо блокируется на компе. Даже локально по 21 порту нет соединения.

Пакеты доходят до drweblwf, а дальше исчезают. Где то в системе после drweblwf стоит драйвер софтины, которая умеет разбирать и фильтровать пакеты.

Докторский и виндовый файеры мы уже исключали.

А не может это быть какой-нить адгард или нечто то подобное?

Сообщение было изменено SergSG: 25 Август 2020 - 14:26

[sgtpepper]

 

eeline Network Manager был на компе с незапамятных времен, на работу FTP не влиял.

В нашем случае это может быть не показательно. Мне известны случаи, когда нормально работающие, какое-то время, версии VMWare, например, нет-нет, да и "обрубали" нормальную маршрутизацию на ПК.

 

 

 

А вот Oracle VirtualBox — это, возможно, компонент Docker? Пока не могу понять, к чему еще он может относиться?

Таким образом, если прибегать к удалению, то я бы начал с него + перезагрузка.

Не вопрос, если хотите, можете начать с него. Но, я правильно понимаю, что вы самостоятельно его не устанавливали? Если предполагаете, что он попал к вам в составе Docker'а, тогда, видимо, следует его удалять вместе с ним? Чтобы не нарушить его работоспособность. Но мне кажется, что у докера нет такой зависимости. В любом случае, если вы его используете, позаботьтесь о бэкапе контейнеров, на всякий случай.

 

Кирилл, честно говоря, я действительно не знаю (не помню) откуда появился Oracle VirtualBox в составе программ. Docker для проверки я тоже удалил в самом начале разбора, то есть сейчас на компьютере его нет, есть только Oracle VirtualBox. Задаю уточняющие вопросы, так как хочу сначала понять необходимость)

[sgtpepper]

 

В нашем случае это может быть не показательно. Мне известны случаи, когда нормально работающие, какое-то время, версии VMWare, например, нет-нет, да и "обрубали" нормальную маршрутизацию на ПК.

Судя по картинке работы утилит, 21 порт наглухо блокируется на компе. Даже локально по 21 порту нет соединения.

Пакеты доходят до drweblwf, а дальше исчезают. Где то в системе после drweblwf стоит драйвер софтины, которая умеет разбирать и фильтровать пакеты.

Докторский и виндовый файеры мы уже исключали.

А не может это быть какой-нить адгард или нечто то подобное?

 

SergSG, теряюсь в догадках, и Адгардов тем более таких глубоких никогда не держал.
Единственное, что могу сказать в "добавок", что примерно во время появления проблемы, было пару бсодов во время вывода компьютера из сна (напомню, на нем Windows 7). Но далее что-то предполагать мои знания не позволяют, к сожалению.

[SergSG]

Кирилл, честно говоря, я действительно не знаю (не помню) откуда появился Oracle VirtualBox в составе программ. Docker для проверки я тоже удалил в самом начале разбора, то есть сейчас на компьютере его нет, есть только Oracle VirtualBox. Задаю уточняющие вопросы, так как хочу сначала понять необходимость)

Если он вам не нужен, попробуйте его удалить (с перезагрузкой). Попробуйте удалить все ПО, указанное выше Кириллом. Заодно не помешало бы удалить всё ненужное сетевое, только по очереди.

[Kirill Polubelov]

Кстати, о BSoD'ах!
Было бы крайне любезно с вашей стороны закинуть C:\Windows\MEMORY.DMP куда-нибудь сюда или в личку.

Может там что полезное окажется.

Но это не отменяет процедуры последовательного удаления подозреваемых, описанной выше.

[sgtpepper]

Кстати, о BSoD'ах!
Было бы крайне любезно с вашей стороны закинуть C:\Windows\MEMORY.DMP куда-нибудь сюда или в личку.

Может там что полезное окажется.

Но это не отменяет процедуры последовательного удаления подозреваемых, описанной выше.

Кирилл, добрый день!

Отправил C:\Windows\MEMORY.DMP в личку.

[sgtpepper]

В общем, эти UDP -- это какие-то проделки ftp.exe майкрософтовские. Но к делу вряд ли имеют отношение.

По нетстату, соединения пребывают в SYN_SENT и довольно долго (result.txt и result2.txt сняты со значительным промежутком).

Учитывая отсутствие этих попыток в пред. ваершарках, если принять, что они на самом деле были, всё по-прежнему упирается в какую-то блокировку локально на ПК,

Ничего не остаётся как последовательно исключать возможные препятствия прям по списку установленного софта, имеющего отношение к сети.

Ещё раз убедитесь, что деисталлирон наш фаерволл, выключен виндовый фаерволл.

И далее, в порядке очереди:

- "Connection Manager", он же "Мастер настройки, версия 0.2.1"? Он же "Beeline Network Manager"?

- "Oracle VM VirtualBox 5.2.20" -- просто деинсталлируйте, всё равно есть версия посвежей.

- "LogMeIn Hamachi"

 

Желательно после каждой деинсталляции делать ребут ОС,

 

Это пока отдельно заметка на память, там есть какие-то приложения:

- NVIDIA:

- "Intel® Trusted Connect Service Client"

Также отчитываюсь об удалении.

Были удалены ранее:
- Docker
- LogMeIn Hamachi

Были удалены сегодня с перезагрузкой:

- "Connection Manager", он же "Мастер настройки, версия 0.2.1"? Он же "Beeline Network Manager"?

- "Oracle VM VirtualBox 5.2.20" -- просто деинсталлируйте, всё равно есть версия посвежей.

Не помогло

[Kirill Polubelov]

Дамп посмотрел,

 

BSoD NTFS_FILE_SYSTEM (24)

MODULE_NAME: Ntfs
IMAGE_NAME:  Ntfs.sys

Случился сбой при работает с файловой системой дисков.

 

PROCESS_NAME:  WhatsApp.exe

EXCEPTION_CODE: (NTSTATUS) 0xc0000005

Но имя процесса, как мне кажется, здесь дело случая.

В процессах гигантское космическое кол-во vrlservice.exe (не хвататет даже буфера окна отладчика).

Видимо шёл какой-то толстый рендеринг 3D сцены?

 

0: kd> .cxr 0xfffff8800cd38420 ; kb
rax=0000002000000000 rbx=fffff8a00cc9a010 rcx=fffff8800cd39448
rdx=fffff8a00cc9a050 rsi=fffff8a00cc9a140 rdi=0000000000000004
rip=fffff880016e12b8 rsp=fffff8800cd38e00 rbp=fffff8800cd39660
 r8=fffff8a00cc9a3a8  r9=0000000000000008 r10=fffffa800da6f180
r11=fffffa8014883710 r12=fffff8800cd39400 r13=0000000000000000
r14=0000000000000000 r15=fffff8a00cc9a330
iopl=0         nv up ei pl nz na po nc
cs=0010  ss=0018  ds=002b  es=002b  fs=0053  gs=002b             efl=00010206
Ntfs!NtfsCommonCleanup+0x2795:
fffff880`016e12b8 f6400402        test    byte ptr [rax+4],2 ds:002b:00000020`00000004=??
  *** Stack trace for last set context - .thread/.cxr resets it
 # RetAddr           : Args to Child                                                           : Call Site
00 fffff880`01650639 : fffff8a0`142717a0 00000000`00000000 fffff880`0cd39360 00000000`00006000 : Ntfs!NtfsCommonCleanup+0x2795
01 fffff800`04098878 : fffff880`0cd39360 fffff800`040d7b53 fffff800`04097f4c fffff800`04097fb8 : Ntfs!NtfsCommonCleanupCallout+0x19
02 fffff880`016506b2 : fffff880`01650620 fffff880`0cd393e0 fffff880`0cd39600 00000000`00000000 : nt!KeExpandKernelStackAndCalloutEx+0xd8
03 fffff880`016edba4 : fffff880`0cd39400 fffff880`0cd39400 fffff880`0cd39400 fffff880`0115b210 : Ntfs!NtfsCommonCleanupOnNewStack+0x42
04 fffff880`010ddbcf : fffff880`0cd39400 fffffa80`1861ec10 fffffa80`1861efb0 fffffa80`13a08010 : Ntfs!NtfsFsdCleanup+0x144
05 fffff880`010dc6df : fffffa80`0d70c950 00000000`00000000 fffffa80`0d52dc00 fffffa80`1861ec10 : fltmgr!FltpLegacyProcessingAfterPreCallbacksCompleted+0x24f
06 fffff800`0439642f : fffffa80`1861ec10 fffffa80`1ee46600 00000000`00000000 fffffa80`135fcf20 : fltmgr!FltpDispatch+0xcf
07 fffff800`04384424 : 00000000`00000000 fffff8a0`0e92a460 fffffa80`1ee465d0 fffff800`04095e5c : nt!IopCloseFile+0x11f
08 fffff800`043841e1 : fffff8a0`0e92a460 fffff8a0`00000001 fffff8a0`0e92a460 00000000`00000000 : nt!ObpDecrementHandleCount+0xb4
09 fffff800`04344e00 : 00000000`000002c4 fffff8a0`0e92a460 fffff8a0`19d04b10 00000000`000002c4 : nt!ObpCloseHandleTableEntry+0xb1
0a fffff800`04344cf4 : 00000000`00000004 00000000`00000000 fffffa80`1ee46600 fffff800`04331ce1 : nt!ObpCloseHandleProcedure+0x30
0b fffff800`0434539a : fffff8a0`1696e601 00000000`00000001 fffffa80`1ee46600 00000000`00000001 : nt!ExSweepHandleTable+0x74
0c fffff800`04362012 : fffff8a0`1696e6b0 00000000`00000000 00000000`00000000 00000000`00000000 : nt!ObKillProcess+0x62
0d fffff800`04344f48 : 00000000`00000000 00000000`00000001 000007ff`fffdc000 00000000`00000000 : nt!PspExitThread+0x522
0e fffff800`0408be53 : fffffa80`1ee46600 fffff880`00000000 fffffa80`16533b50 00000000`00000001 : nt!NtTerminateProcess+0x138
0f 00000000`77a6157a : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13
10 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x77a6157a

 

В общем, сейчас точно не повредит:

1. Проверить файловую систему, в первую очередь системного диска, если это диск C, то, в командной строке от администратора:

chkdsk C: /F /R

при этом будет сообщение, что на текущий момент диск невозможно отмонтировать и предложит осуществить проверку при следующей загрузке ОС.

Необходимо согласиться (y) и  перезагрузить ОС и удостовериться, что пошёл процесс проверки.

В журнале событий ОС так же будет соообщение о проверке и её результатах.

 

2. Проверить целостность системных файлов, опять же в командной строке от администратора:

sfc /scannow

Результат проверки тоже желательно сохранить.

 

3. Это вы уже делали, но если в предыдущих пунктах будет обнаружены и устранены какие-либо проблемы, следует повторить, в командной строке от администратора:

netsh int ip reset
netsh winsock reset
netsh interface tcp set global autotuninglevel=disabled

и перезагрузка ОС

Сообщение было изменено Kirill Polubelov: 26 Август 2020 - 13:21

[Kirill Polubelov]

В журнале событий ОС так же будет соообщение о проверке и её результатах.

eventvwr.exe -> Application (Приложения), событие от Source (Источник) Wininit с Event ID 1001 -- там будут результаты проверки.

[SergSG]

ххх

Кирилл, а может попробовать список драйверов глянуть, чем нить типа WinObjEx.exe? Там кое где и расшифровка есть.

А может вы чего посовременней знаете, чем WinObjEx.exe

[Kirill Polubelov]

Я ничего похожего на "ххх" в 13:45 не писал! ) Поэтому не очень понял, к чему вы WinObjEx предлагаете прикладывать.

Сообщение было изменено Kirill Polubelov: 27 Август 2020 - 10:52

[SergSG]

Я ничего похожего на "ххх" в 13:45 не писал! ) Поэтому не очень понял, к чему вы WinObjEx предлагаете прикладывать.

Это я для заметности наиксил. Не прикладывать, а просто глянуть какие дрова активны, может какая идея и появится. Типа так:

 

 WOE.png   69,51К   0 Скачано раз

[sgtpepper]

Дамп посмотрел,

 

BSoD NTFS_FILE_SYSTEM (24)

MODULE_NAME: Ntfs
IMAGE_NAME:  Ntfs.sys

Случился сбой при работает с файловой системой дисков.

 

PROCESS_NAME:  WhatsApp.exe

EXCEPTION_CODE: (NTSTATUS) 0xc0000005

Но имя процесса, как мне кажется, здесь дело случая.

В процессах гигантское космическое кол-во vrlservice.exe (не хвататет даже буфера окна отладчика).

Видимо шёл какой-то толстый рендеринг 3D сцены?

 

0: kd> .cxr 0xfffff8800cd38420 ; kb
rax=0000002000000000 rbx=fffff8a00cc9a010 rcx=fffff8800cd39448
rdx=fffff8a00cc9a050 rsi=fffff8a00cc9a140 rdi=0000000000000004
rip=fffff880016e12b8 rsp=fffff8800cd38e00 rbp=fffff8800cd39660
 r8=fffff8a00cc9a3a8  r9=0000000000000008 r10=fffffa800da6f180
r11=fffffa8014883710 r12=fffff8800cd39400 r13=0000000000000000
r14=0000000000000000 r15=fffff8a00cc9a330
iopl=0         nv up ei pl nz na po nc
cs=0010  ss=0018  ds=002b  es=002b  fs=0053  gs=002b             efl=00010206
Ntfs!NtfsCommonCleanup+0x2795:
fffff880`016e12b8 f6400402        test    byte ptr [rax+4],2 ds:002b:00000020`00000004=??
  *** Stack trace for last set context - .thread/.cxr resets it
 # RetAddr           : Args to Child                                                           : Call Site
00 fffff880`01650639 : fffff8a0`142717a0 00000000`00000000 fffff880`0cd39360 00000000`00006000 : Ntfs!NtfsCommonCleanup+0x2795
01 fffff800`04098878 : fffff880`0cd39360 fffff800`040d7b53 fffff800`04097f4c fffff800`04097fb8 : Ntfs!NtfsCommonCleanupCallout+0x19
02 fffff880`016506b2 : fffff880`01650620 fffff880`0cd393e0 fffff880`0cd39600 00000000`00000000 : nt!KeExpandKernelStackAndCalloutEx+0xd8
03 fffff880`016edba4 : fffff880`0cd39400 fffff880`0cd39400 fffff880`0cd39400 fffff880`0115b210 : Ntfs!NtfsCommonCleanupOnNewStack+0x42
04 fffff880`010ddbcf : fffff880`0cd39400 fffffa80`1861ec10 fffffa80`1861efb0 fffffa80`13a08010 : Ntfs!NtfsFsdCleanup+0x144
05 fffff880`010dc6df : fffffa80`0d70c950 00000000`00000000 fffffa80`0d52dc00 fffffa80`1861ec10 : fltmgr!FltpLegacyProcessingAfterPreCallbacksCompleted+0x24f
06 fffff800`0439642f : fffffa80`1861ec10 fffffa80`1ee46600 00000000`00000000 fffffa80`135fcf20 : fltmgr!FltpDispatch+0xcf
07 fffff800`04384424 : 00000000`00000000 fffff8a0`0e92a460 fffffa80`1ee465d0 fffff800`04095e5c : nt!IopCloseFile+0x11f
08 fffff800`043841e1 : fffff8a0`0e92a460 fffff8a0`00000001 fffff8a0`0e92a460 00000000`00000000 : nt!ObpDecrementHandleCount+0xb4
09 fffff800`04344e00 : 00000000`000002c4 fffff8a0`0e92a460 fffff8a0`19d04b10 00000000`000002c4 : nt!ObpCloseHandleTableEntry+0xb1
0a fffff800`04344cf4 : 00000000`00000004 00000000`00000000 fffffa80`1ee46600 fffff800`04331ce1 : nt!ObpCloseHandleProcedure+0x30
0b fffff800`0434539a : fffff8a0`1696e601 00000000`00000001 fffffa80`1ee46600 00000000`00000001 : nt!ExSweepHandleTable+0x74
0c fffff800`04362012 : fffff8a0`1696e6b0 00000000`00000000 00000000`00000000 00000000`00000000 : nt!ObKillProcess+0x62
0d fffff800`04344f48 : 00000000`00000000 00000000`00000001 000007ff`fffdc000 00000000`00000000 : nt!PspExitThread+0x522
0e fffff800`0408be53 : fffffa80`1ee46600 fffff880`00000000 fffffa80`16533b50 00000000`00000001 : nt!NtTerminateProcess+0x138
0f 00000000`77a6157a : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : nt!KiSystemServiceCopyEnd+0x13
10 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : 0x77a6157a

 

В общем, сейчас точно не повредит:

1. Проверить файловую систему, в первую очередь системного диска, если это диск C, то, в командной строке от администратора:

chkdsk C: /F /R

при этом будет сообщение, что на текущий момент диск невозможно отмонтировать и предложит осуществить проверку при следующей загрузке ОС.

Необходимо согласиться (y) и  перезагрузить ОС и удостовериться, что пошёл процесс проверки.

В журнале событий ОС так же будет соообщение о проверке и её результатах.

 

2. Проверить целостность системных файлов, опять же в командной строке от администратора:

sfc /scannow

Результат проверки тоже желательно сохранить.

 

3. Это вы уже делали, но если в предыдущих пунктах будет обнаружены и устранены какие-либо проблемы, следует повторить, в командной строке от администратора:

netsh int ip reset
netsh winsock reset
netsh interface tcp set global autotuninglevel=disabled

и перезагрузка ОС

Кирилл, SergSG, доброго времени!

Это заняло достаточно много времени) Отчет по пунктам:
1. Проверка выполнена успешно, проблем не выявлено. Результат здесь: http://inthehood.ru/chkdsk_response.txt

2. Нашлись проблемные файлы: https://gyazo.com/d88f338f6fc83347655a2bcb1c493e72
Отчет: http://inthehood.ru/CBS.log

3. Проделал с перезагрузкой.

Проблема сохраняется
 

[Dmitry Mikhirev]

Извините, мне очень лень перечитывать весь тред. Напомните, каким образом локализовали проблему именно в данной конкретной системе? Точно уверены, что пакеты не теряются где-то в другом месте (на роутере, провайдерском шлюзе, у хостера, на целевом сервере)? Я бы попробовал прогнать трассировку TCP SYN по проблемному порту чем-нибудь вроде tracetcp. И для референса по доступному порту на том же сервере.

Сообщение было изменено Dmitry Mikhirev: 03 Сентябрь 2020 - 12:24