Tollmuch » 10 окт 2015 11:13, Сб
Добрый день!
Спасибо, что пустили на форум Я, собственно, не сисадмин, а так - юзер с вопросами А вопрос такой (прошу прощения за длинный пост, но тут несколько нестандартная сложилась ситуация):
Есть ноут Dell Inspiron 5720, купленный в свое время с 8-кой (х64, Домашняя для одного языка), затем обновленный до 8.1 и вот недавно до 10-ки.
В качестве фаервола+антивируса на нем еще сразу после покупки был установлен Agnitum Outpost Security Suite Pro (OSSP), собственно как и на всех прочих компьютерах в моем хозяйстве. У меня на него пожизненная лицензия, поэтому варианты "фтопку" пока не рассматриваются Но проблема возникла именно с ним.
К выходу 10-ки OSSP обновить не успели, поэтому 10-ка его просто отрубила. Примерно через месяц-полтора вышла версия OSSP 9.2, якобы под 10-ку. Я естественно, обновился - на двух 32-битных компах встало без проблем, на двух 64-битных - с проблемой. OSSP ставит в систему свой "драйвер сетевых операций" - Agnitum Firewall Driver, краткий ID - afw. И вот на 64-битных компах он изначально не мог загрузиться, о чем OSSP виновато сообщал. Т.е. фаервол есть, но за сетью следить не может Драйвер сетевых операций прописывается сетевой службой в свойствах всех сетевых подключений. Он появляется в списке компонентов сетевого подключения, вместе с "планировщиком пакетов QoS" и т.п.
====
C:\windows\system32>netcfg -sn
Network Adapters
-----------------
pci\ven_10ec&dev_8136&subsys_05651028&rev_05 Realtek PCIe FE Family Controller
usb\vid_148f&pid_5572 TP-LINK Wireless USB Adapter
pci\ven_14e4&dev_4365 Broadcom 802.11n Network Adapter
usbcdcncm\vid_12d1&subclass_02&prot_16&wwan HUAWEI Mobile Connect - Network Adap
ter #4
nonpnpnetworkinterface\{f66b711f-136d-474c-8292-d752c457bc31} HUAWEI Mobile Conn
ect - Network Adapter #2
usbcdcncm\vid_12d1&subclass_02&prot_16&wwan HUAWEI Mobile Connect - Network Adap
ter #3
Network Protocols
-----------------
ms_ndisuio NDIS-протокол ввода-вывода пользовательского режима
ms_ndiswanlegacy Устаревшая версия NDIS-драйвера глобальной сети для у
даленного доступа
ms_netbt WINS Client(TCP/IP) Protocol
ms_wanarpv6 Драйвер удаленного доступа IPv6 ARP
ms_xboxgip Xbox Game Input Protocol Driver
ms_rdma_ndk Microsoft RDMA - NDK
ms_tcpip IP версии 4 (TCP/IPv4)
ms_lltdio Ответчик обнаружения топологии канального уровня
ms_ndiswan NDIS-драйвер глобальной сети для удаленного доступа
ms_implat Протокол мультиплексора сетевого адаптера (Майкрософт
)
ms_lldp Драйвер протокола LLDP (Майкрософт)
ms_wanarp Драйвер удаленного доступа IP ARP
ms_tcpip_tunnel Протокол IP (TCP/IP) - туннели
ms_tcpip6_tunnel Microsoft TCP/IP версии 6 - туннели
ms_tcpip6 IP версии 6 (TCP/IPv6)
ms_rspndr Отвечающее устройство обнаружения топологии канальног
о уровня
ms_pppoe Протокол точка-точка по Ethernet
ms_netbt_smb Message-oriented TCP/IP Protocol (SMB session)
Network Services
-----------------
ms_netbios NetBIOS Interface
ms_server Общий доступ к файлам и принтерам для сетей Microsoft
ms_wfplwf_vswitch Платформа фильтрации Microsoft Windows
afw Agnitum Firewall Driver
ms_pacer Планировщик пакетов QoS
ms_vwifi @%windir%\System32\drivers\vwififlt.sys,-105
ms_bridge MAC-мост (Майкрософт)
ms_wfplwf_lower Упрощенный фильтр основного MAC-уровня платформы филь
трации Windows
ms_wfplwf_upper Упрощенный фильтр MAC-уровня 802.3 платформы фильтрац
ии Windows
ms_nativewifip Фильтр NativeWiFi
ms_ndiscap Захват Microsoft NDIS
ms_ndislwf JumpStart Wireless Filter Driver
Network Clients
-----------------
ms_msclient Клиент для сетей Microsoft
====
В процессе переписки с ТП на одном компе с Windows 10 Pro x64 проблема в конце концов рассосалась - с какого-то неотслеженного мною момента драйвер просто стал загружаться. Они меня мытарили недели две, я им десятки мегабайт всяких логов высылал, уж не знаю, они там что-то сделали, или "само оно как-то", но работает.
На ноуте с домашней 10-кой проблема не уходит. Стандартная процедура, предлагаемая ТП, заключается в сносе OSSP, удалении временных файлов, чистке компьютера их фирменной утилитой clean.exe, и повторной установке OSSP. Я это все проделал несколько раз, безуспешно. В процессе многократных чисток/переустановок выяснилось, что прописка драйвера сетевых операций остается в свойствах сетевых подключений, даже когда OSSP вроде бы из системы снесен. Так она там и сидит, а OSSP в какой-то момент (после чистки реестра с помощью Revo Uninstaller Pro) перестал устанавливаться, считая, что его драйвера остались в системе, хотя все файлы драйверов (кроме afw.sys там еще два - afwcore.sys и sandbox64.sys, все пишутся в Windows\System32\Drivers) удалены, реестр на все упоминания afw и sandbox проверен и вычищен. Также в процессе поиска ошметков нашел в DriverStore inf-файл с правилами прописки этого драйвера. Поскольку прилагать .inf и .txt запрещено, привожу здесь:
=====
[Version]
Signature = "$Windows NT$"
Class = NetService
ClassGUID = {4D36E974-E325-11CE-BFC1-08002BE10318}
Provider = %AGTM%
CatalogFile = afw.cat
DriverVer=04/06/2015,1.0.708.17206.
[Manufacturer]
%AGTM% = AGTM,NTamd64
[AGTM.NTamd64]
%AfwDescriptionFree% =Install_Filter, Afw
[Install_Filter]
AddReg = Keys_Filter.Ndi
Characteristics = 0x40000
NetCfgInstanceId = "{0938C7C3-6B75-4c25-887C-520699035286}"
CopyFiles = Files_Filter
[Install_Filter.Services]
AddService = afw,,Service_Filter
[Install_Filter.Remove.Services]
DelService = afw,0x200
[DestinationDirs]
DefaultDestDir = 12
[SourceDisksNames]
1 = %AfwDescriptionFree%,,,
[SourceDisksFiles]
afw.inf = 1,,
afw.sys = 1,,
[Files_Filter]
afw.sys
[Keys_Filter.Ndi]
HKR, Ndi,Service,,"afw"
HKR, Ndi,CoServices,0x00010000,"afw"
HKR, Ndi,HelpText,,%AfwDescriptionFree%
HKR, Ndi,FilterClass,, failover
HKR, Ndi,FilterType,0x00010001,0x00000002
HKR, Ndi,FilterRunType,0x00010001 ,0x00000002
HKR, Ndi\Interfaces,UpperRange,,"noupper"
HKR, Ndi\Interfaces,LowerRange,,"nolower"
HKR, Ndi\Interfaces, FilterMediaTypes, 0,"ethernet, wan, ppip"
[Service_Filter]
DisplayName = %AfwDescriptionFree%
ServiceType = %SERVICE_KERNEL_DRIVER%
StartType = %SERVICE_SYSTEM_START%
ErrorControl = %SERVICE_ERROR_NORMAL%
ServiceBinary = %12%\afw.sys
LoadOrderGroup = NDIS
Description = %AfwDescriptionFree%
[Strings]
AGTM = "Agnitum"
AfwDescriptionFree = "Agnitum Firewall Driver"
SERVICE_BOOT_START = 0x0
SERVICE_SYSTEM_START = 0x1
SERVICE_AUTO_START = 0x2
SERVICE_DEMAND_START = 0x3
SERVICE_DISABLED = 0x4
SERVICE_KERNEL_DRIVER = 0x1
SERVICE_ERROR_IGNORE = 0x0
SERVICE_ERROR_NORMAL = 0x1
SERVICE_ERROR_SEVERE = 0x2
SERVICE_ERROR_CRITICAL = 0x3
REG_EXPAND_SZ = 0x00020000
REG_DWORD = 0x00010001
=====
Прошерстил реестр по строчке NetCfgInstanceId = "{0938C7C3-6B75-4c25-887C-520699035286}", вычистил все упоминания. Никакого эффекта. В сетевых подключениях по команде "netcfg -sn" драйвер afw по-прежнему прописан.
При попытке удаления afw имеем:
====
C:\windows\system32>netcfg -u afw
Попытка удаления afw ...
... завершилось со сбоем. Код ошибки: 0x8007000d.
====
Поиск по коду ошибки ничего однозначного не дал, но есть смутное подозрение, что тут дело может быть в правах доступа. Оснастки "Локальные пользователи и группы" в Домашней 10-ке просто нет, и фих знает, как там что-то можно поменять.
Далее,
=====
C:\windows\system32>netcfg -b afw
Пути привязки, начинающиеся с "afw"
afw
-> {5d624f94-8850-40c3-a3fa-a4fd2080baf3}\vwifimp_wfd
afw
-> ms_ndiswanbh
afw
-> pci\ven_14e4&dev_4365
afw
-> usbcdcncm\vid_12d1&subclass_02&prot_16&wwan
afw
-> {5d624f94-8850-40c3-a3fa-a4fd2080baf3}\vwifimp_wfd
afw
-> ms_ndiswanipv6
afw
-> usb\vid_148f&pid_5572
afw
-> ms_ndiswanip
afw
-> root\kdnic
afw
-> pci\ven_10ec&dev_8136&subsys_05651028&rev_05
afw
====
Т.е. хотя драйвера в системе 100% нет, в реестре ни на его ID, ни на ключ NetcfgInstanceId из inf-файла ни одной ссылки нет, он по-прежнему где-то прописан, и привязан к сетевым адаптерам. OSSP считает, что в системе остались драйвера, хотя их нет. Период отката с 10-ки давно кончился.
Прежде чем сносить нахрен 10-ку и пытаться (с неизвестным еще результатом) откатиться обратно до купленной с ноутом 8-ки и потом через 8.1 опять обновляться на 10-ку (ой-вэй...), очень бы хотелось попробовать таки попытаться вычистить прописку несуществующего драйвера и добиться работоспособности фаера.
Собственно, вопрос: правильно ли я понимаю, что все дело в этих "путях привязки", которые мне не удалось найти. И как их найти и удалить? Возможно ли это в принципе в Домашней редакции Винды?
Если дочитали до этого места - огромное спасибо за уделенное время. Буду признателен за любые идеи.
Добрый день!
Спасибо, что пустили на форум :) Я, собственно, не сисадмин, а так - юзер с вопросами :) А вопрос такой (прошу прощения за длинный пост, но тут несколько нестандартная сложилась ситуация):
Есть ноут Dell Inspiron 5720, купленный в свое время с 8-кой (х64, Домашняя для одного языка), затем обновленный до 8.1 и вот недавно до 10-ки.
В качестве фаервола+антивируса на нем еще сразу после покупки был установлен Agnitum Outpost Security Suite Pro (OSSP), собственно как и на всех прочих компьютерах в моем хозяйстве. У меня на него пожизненная лицензия, поэтому варианты "фтопку" пока не рассматриваются :) Но проблема возникла именно с ним.
К выходу 10-ки OSSP обновить не успели, поэтому 10-ка его просто отрубила. Примерно через месяц-полтора вышла версия OSSP 9.2, якобы под 10-ку. Я естественно, обновился - на двух 32-битных компах встало без проблем, на двух 64-битных - с проблемой. OSSP ставит в систему свой "драйвер сетевых операций" - Agnitum Firewall Driver, краткий ID - afw. И вот на 64-битных компах он изначально не мог загрузиться, о чем OSSP виновато сообщал. Т.е. фаервол есть, но за сетью следить не может :) Драйвер сетевых операций прописывается сетевой службой в свойствах всех сетевых подключений. Он появляется в списке компонентов сетевого подключения, вместе с "планировщиком пакетов QoS" и т.п.
====
C:\windows\system32>netcfg -sn
[spoiler]Network Adapters
-----------------
pci\ven_10ec&dev_8136&subsys_05651028&rev_05 Realtek PCIe FE Family Controller
usb\vid_148f&pid_5572 TP-LINK Wireless USB Adapter
pci\ven_14e4&dev_4365 Broadcom 802.11n Network Adapter
usbcdcncm\vid_12d1&subclass_02&prot_16&wwan HUAWEI Mobile Connect - Network Adap
ter #4
nonpnpnetworkinterface\{f66b711f-136d-474c-8292-d752c457bc31} HUAWEI Mobile Conn
ect - Network Adapter #2
usbcdcncm\vid_12d1&subclass_02&prot_16&wwan HUAWEI Mobile Connect - Network Adap
ter #3
Network Protocols
-----------------
ms_ndisuio NDIS-протокол ввода-вывода пользовательского режима
ms_ndiswanlegacy Устаревшая версия NDIS-драйвера глобальной сети для у
даленного доступа
ms_netbt WINS Client(TCP/IP) Protocol
ms_wanarpv6 Драйвер удаленного доступа IPv6 ARP
ms_xboxgip Xbox Game Input Protocol Driver
ms_rdma_ndk Microsoft RDMA - NDK
ms_tcpip IP версии 4 (TCP/IPv4)
ms_lltdio Ответчик обнаружения топологии канального уровня
ms_ndiswan NDIS-драйвер глобальной сети для удаленного доступа
ms_implat Протокол мультиплексора сетевого адаптера (Майкрософт
)
ms_lldp Драйвер протокола LLDP (Майкрософт)
ms_wanarp Драйвер удаленного доступа IP ARP
ms_tcpip_tunnel Протокол IP (TCP/IP) - туннели
ms_tcpip6_tunnel Microsoft TCP/IP версии 6 - туннели
ms_tcpip6 IP версии 6 (TCP/IPv6)
ms_rspndr Отвечающее устройство обнаружения топологии канальног
о уровня
ms_pppoe Протокол точка-точка по Ethernet
ms_netbt_smb Message-oriented TCP/IP Protocol (SMB session)
Network Services
-----------------
ms_netbios NetBIOS Interface
ms_server Общий доступ к файлам и принтерам для сетей Microsoft
ms_wfplwf_vswitch Платформа фильтрации Microsoft Windows
[b]afw Agnitum Firewall Driver[/b]
ms_pacer Планировщик пакетов QoS
ms_vwifi @%windir%\System32\drivers\vwififlt.sys,-105
ms_bridge MAC-мост (Майкрософт)
ms_wfplwf_lower Упрощенный фильтр основного MAC-уровня платформы филь
трации Windows
ms_wfplwf_upper Упрощенный фильтр MAC-уровня 802.3 платформы фильтрац
ии Windows
ms_nativewifip Фильтр NativeWiFi
ms_ndiscap Захват Microsoft NDIS
ms_ndislwf JumpStart Wireless Filter Driver
Network Clients
-----------------
ms_msclient Клиент для сетей Microsoft
====[/spoiler]
В процессе переписки с ТП на одном компе с Windows 10 Pro x64 проблема в конце концов рассосалась - с какого-то неотслеженного мною момента драйвер просто стал загружаться. Они меня мытарили недели две, я им десятки мегабайт всяких логов высылал, уж не знаю, они там что-то сделали, или "само оно как-то", но работает.
На ноуте с домашней 10-кой проблема не уходит. Стандартная процедура, предлагаемая ТП, заключается в сносе OSSP, удалении временных файлов, чистке компьютера их фирменной утилитой clean.exe, и повторной установке OSSP. Я это все проделал несколько раз, безуспешно. В процессе многократных чисток/переустановок выяснилось, что прописка драйвера сетевых операций остается в свойствах сетевых подключений, даже когда OSSP вроде бы из системы снесен. Так она там и сидит, а OSSP в какой-то момент (после чистки реестра с помощью Revo Uninstaller Pro) перестал устанавливаться, считая, что его драйвера остались в системе, хотя все файлы драйверов (кроме afw.sys там еще два - afwcore.sys и sandbox64.sys, все пишутся в Windows\System32\Drivers) удалены, реестр на все упоминания afw и sandbox проверен и вычищен. Также в процессе поиска ошметков нашел в DriverStore inf-файл с правилами прописки этого драйвера. Поскольку прилагать .inf и .txt запрещено, привожу здесь:
[spoiler]=====
[Version]
Signature = "$Windows NT$"
Class = NetService
ClassGUID = {4D36E974-E325-11CE-BFC1-08002BE10318}
Provider = %AGTM%
CatalogFile = afw.cat
DriverVer=04/06/2015,1.0.708.17206.
[Manufacturer]
%AGTM% = AGTM,NTamd64
[AGTM.NTamd64]
%AfwDescriptionFree% =Install_Filter, Afw
[Install_Filter]
AddReg = Keys_Filter.Ndi
Characteristics = 0x40000
[b]NetCfgInstanceId = "{0938C7C3-6B75-4c25-887C-520699035286}"[/b]
CopyFiles = Files_Filter
[Install_Filter.Services]
AddService = afw,,Service_Filter
[Install_Filter.Remove.Services]
DelService = afw,0x200
[DestinationDirs]
DefaultDestDir = 12
[SourceDisksNames]
1 = %AfwDescriptionFree%,,,
[SourceDisksFiles]
afw.inf = 1,,
afw.sys = 1,,
[Files_Filter]
afw.sys
[Keys_Filter.Ndi]
HKR, Ndi,Service,,"afw"
HKR, Ndi,CoServices,0x00010000,"afw"
HKR, Ndi,HelpText,,%AfwDescriptionFree%
HKR, Ndi,FilterClass,, failover
HKR, Ndi,FilterType,0x00010001,0x00000002
HKR, Ndi,FilterRunType,0x00010001 ,0x00000002
HKR, Ndi\Interfaces,UpperRange,,"noupper"
HKR, Ndi\Interfaces,LowerRange,,"nolower"
HKR, Ndi\Interfaces, FilterMediaTypes, 0,"ethernet, wan, ppip"
[Service_Filter]
DisplayName = %AfwDescriptionFree%
ServiceType = %SERVICE_KERNEL_DRIVER%
StartType = %SERVICE_SYSTEM_START%
ErrorControl = %SERVICE_ERROR_NORMAL%
ServiceBinary = %12%\afw.sys
LoadOrderGroup = NDIS
Description = %AfwDescriptionFree%
[Strings]
AGTM = "Agnitum"
AfwDescriptionFree = "Agnitum Firewall Driver"
SERVICE_BOOT_START = 0x0
SERVICE_SYSTEM_START = 0x1
SERVICE_AUTO_START = 0x2
SERVICE_DEMAND_START = 0x3
SERVICE_DISABLED = 0x4
SERVICE_KERNEL_DRIVER = 0x1
SERVICE_ERROR_IGNORE = 0x0
SERVICE_ERROR_NORMAL = 0x1
SERVICE_ERROR_SEVERE = 0x2
SERVICE_ERROR_CRITICAL = 0x3
REG_EXPAND_SZ = 0x00020000
REG_DWORD = 0x00010001
=====[/spoiler]
Прошерстил реестр по строчке NetCfgInstanceId = "{0938C7C3-6B75-4c25-887C-520699035286}", вычистил все упоминания. Никакого эффекта. В сетевых подключениях по команде "netcfg -sn" драйвер afw по-прежнему прописан.
При попытке удаления afw имеем:
====
C:\windows\system32>netcfg -u afw
Попытка удаления afw ...
... завершилось со сбоем. Код ошибки: 0x8007000d.
====
Поиск по коду ошибки ничего однозначного не дал, но есть смутное подозрение, что тут дело может быть в правах доступа. Оснастки "Локальные пользователи и группы" в Домашней 10-ке просто нет, и фих знает, как там что-то можно поменять.
Далее,
=====
C:\windows\system32>netcfg -b afw
Пути привязки, начинающиеся с "afw"
[spoiler]afw
-> {5d624f94-8850-40c3-a3fa-a4fd2080baf3}\vwifimp_wfd
afw
-> ms_ndiswanbh
afw
-> pci\ven_14e4&dev_4365
afw
-> usbcdcncm\vid_12d1&subclass_02&prot_16&wwan
afw
-> {5d624f94-8850-40c3-a3fa-a4fd2080baf3}\vwifimp_wfd
afw
-> ms_ndiswanipv6
afw
-> usb\vid_148f&pid_5572
afw
-> ms_ndiswanip
afw
-> root\kdnic
afw
-> pci\ven_10ec&dev_8136&subsys_05651028&rev_05
afw
====[/spoiler]
Т.е. хотя драйвера в системе 100% нет, в реестре ни на его ID, ни на ключ NetcfgInstanceId из inf-файла ни одной ссылки нет, он по-прежнему где-то прописан, и привязан к сетевым адаптерам. OSSP считает, что в системе остались драйвера, хотя их нет. Период отката с 10-ки давно кончился.
Прежде чем сносить нахрен 10-ку и пытаться (с неизвестным еще результатом) откатиться обратно до купленной с ноутом 8-ки и потом через 8.1 опять обновляться на 10-ку (ой-вэй...), очень бы хотелось попробовать таки попытаться вычистить прописку несуществующего драйвера и добиться работоспособности фаера.
Собственно, вопрос: правильно ли я понимаю, что все дело в этих "путях привязки", которые мне не удалось найти. И как их найти и удалить? Возможно ли это в принципе в Домашней редакции Винды?
Если дочитали до этого места - огромное спасибо за уделенное время. Буду признателен за любые идеи.