Forum PCLab.pl: Asus Z170 Premium - wciśnięty klawisz-widmo - Forum PCLab.pl

Skocz do zawartości

Otwarty

Ikona Ostatnio dodane tematy

Ikona Najnowsze pliki

Strona 1 z 1
  • Nie możesz rozpocząć nowego tematu
  • Nie możesz odpowiadać w tym temacie

Asus Z170 Premium - wciśnięty klawisz-widmo

#1 Użytkownik jest niedostępny   Kowaliks 

  • Gaduła
  • PipPipPip
  • Grupa: Forumowicze
  • Postów: 147
  • Dołączył: Pn, 13 Gru 10

Napisany 10 Maj 2019 - 09:10

Bardzo proszę o pomoc, bo kompletnie zdurniałem. Widziałem już przeróżne rzeczy, ale czegoś takiego jeszcze nie.

Mam wspomnianą w tytule Z170 Premium. Komputer z tą płytą chodzi od półtorej roku bez większych problemów, jest podpięty do zasilacza nie z czarnej listy, za UPSem i ma najnowszy BIOS.

2 dni temu w Windows nagle zaczęło mi "pisać" spację. Tak jakby była wciśnięta cały czas na klawiaturze (uprzedzając - mam wszystko przewodowe). Odpięcie WSZYSTKICH urządzeń na USB nie pomogło. Reboot, odpięcie od prądu też nie. Nie wiem, czy dzieje się to też w trybie awaryjnym, gdyż nie jestem w stanie wpisać hasła. W następnym kroku wyczyściłem NVRAM, CMOS i przepaliłem BIOS, podejrzewając jakiś problem z funkcją Virtual Keyboard, która emuluje klawiaturę, jeśli się nie mylę, po podpięciu telefonu do płyty. Co ciekawe, problem nie występuje w menu UEFI, ani w EFI Shellu. Odpiąłem wszystkie dyski, urządzenia na PCI-Express, zostawiając tylko RAM i procesor z chłodzeniem. Wreszcie włożyłem pendrive'a z instalacją Ubuntu Server i... to samo, w instalatorze jest "wciśnięta" spacja. Tak samo w instalatorze Windows.

Powyłączałem jeszcze wszystkie urządzenia w BIOSie - thunderbolta, USB 3.0, WiFi, BT, Audio, funkcje OC, przełączyłem w tryb Legacy, co z reguły wyłącza większość rozszerzeń UEFI, bez powodzenia. Podmieniłem wreszcie RAM na pewną kostkę i procesor na inny, co również nic nie dało.

Skończyły mi się pomysły, co jeszcze można zrobić?

#2 Użytkownik jest niedostępny   MitycznyJeż 

  • krzem gotuJEŻ, węgiel zdrapuJEŻ
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 19769
  • Dołączył: So, 12 Kwi 14

Napisany 10 Maj 2019 - 10:00

Może mimo tego, że płyta nie ma PS/2, to coś sieje sygnałami po LPC?
Menedżer urządzeń (przynajmniej u mnie) nie pozwala na wyłączenie klawy PS/2 wprost, ale ponoć po siłowym wgraniu innego sterownika jest to możliwe -> KLIK

Jak "przepalałeś" BIOS?
Paranoicznie zakładając że mamy złośliwego "gościa" najlepiej flashować przez programator.

#3 Użytkownik jest niedostępny   Kowaliks 

  • Gaduła
  • PipPipPip
  • Grupa: Forumowicze
  • Postów: 147
  • Dołączył: Pn, 13 Gru 10

Napisany 10 Maj 2019 - 12:38

Zobacz postMitycznyJeż, o 10 Maj 2019 - 11:00, napisał(a):

Może mimo tego, że płyta nie ma PS/2, to coś sieje sygnałami po LPC?
Menedżer urządzeń (przynajmniej u mnie) nie pozwala na wyłączenie klawy PS/2 wprost, ale ponoć po siłowym wgraniu innego sterownika jest to możliwe -> KLIK

Jak "przepalałeś" BIOS?
Paranoicznie zakładając że mamy złośliwego "gościa" najlepiej flashować przez programator.


Trochę dziwne, żeby LPC się zepsuła w tak specyficzny sposób. Do tego dzieje się to poza UEFI setup, więc coś wskazuje na FW lub soft blisko FW.

Przepalałem przez EZflash z poziomu UEFI, ale wyczyściłem cały NVRAM, więc teoretycznie cały zakres powinien być wyczyszczony razem z potencjalnym storagem dla szkodników. Płyta chyba ma USB flashback, więc spróbuje bez CPU z pendrive'a.
To nie paranoja, takie rzeczy się zdarzają - uwaga o programatorze jest jak najbardziej na miejscu, będę się musiał zwrócić o binarkę do ASUSa, bo na stronie udostępniają tylko pakiety capsule (dziękuję, Intel za robienie wszystkim pod górę). Akurat mam takie urządzenie, tylko uchwyt będę musiał dorobić.

Mam AV (co prawda Avast, ale jest), mam bitlockera, włączony UAC, defendera, hasło i aktualny OS, więc jeśli faktycznie coś weszło, to niefajnie. Zrobiłem już kopię wszystkich danych, więc nie boję się kiego ransomware'u, czy innych. Nie było też jakiegoś niezwykłego ruchu (mam dosyć szczegółowe logi na firewallu na routerze).

W najgorszym razie po porostu płyta zdechła w bardzo nietypowy sposób.

#4 Użytkownik jest niedostępny   MitycznyJeż 

  • krzem gotuJEŻ, węgiel zdrapuJEŻ
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 19769
  • Dołączył: So, 12 Kwi 14

Napisany 10 Maj 2019 - 12:48

Z tego co nieraz się przewija w tematach o modyfikacji UEFI (w szczególności ogarniania coffee lake na serii 100/200) ezflash/flashbacki nie gwarantują nadpisania wszystkiego na kości. Jak się chce mieć to w 100% dobrze, to tylko programator.

Capsule to jest binarka, tyle że z dodatkowym nagłówkiem na początku. Możesz wypakować właściwy wsad np. UEFITool'em.
Capsule to decyzja asusa - inni producenci się w to nie bawią. Intel w wielu miejscach zawinił, ale nie tutaj ;)

#5 Użytkownik jest niedostępny   Kowaliks 

  • Gaduła
  • PipPipPip
  • Grupa: Forumowicze
  • Postów: 147
  • Dołączył: Pn, 13 Gru 10

Napisany 10 Maj 2019 - 13:34

Zobacz postMitycznyJeż, o 10 Maj 2019 - 13:48, napisał(a):

Z tego co nieraz się przewija w tematach o modyfikacji UEFI (w szczególności ogarniania coffee lake na serii 100/200) ezflash/flashbacki nie gwarantują nadpisania wszystkiego na kości. Jak się chce mieć to w 100% dobrze, to tylko programator.

Capsule to jest binarka, tyle że z dodatkowym nagłówkiem na początku. Możesz wypakować właściwy wsad np. UEFITool'em.
Capsule to decyzja asusa - inni producenci się w to nie bawią. Intel w wielu miejscach zawinił, ale nie tutaj ;)


Dzięki za sugestię!

Niestety nie zawsze da się wyciągnąć - są kapsułki aktywne, które binarkę budują w czasie ekstrakcji (możesz np zapisać algorytm generujący MAC dla sieciówki z chipsetu, albo zmienić ustawienia domyślne bez rekomilacji całego BIOSu). Jeśli taka tam jest, to będzie trzeba pisać.
"Czysta" binarka biosu powinna dać MAC "88:88:88:88:87:88" lub "00:00:00:00:00:01".

Zobaczę w domu, co to za przypadek.

#6 Użytkownik jest niedostępny   Kowaliks 

  • Gaduła
  • PipPipPip
  • Grupa: Forumowicze
  • Postów: 147
  • Dołączył: Pn, 13 Gru 10

Napisany 11 Maj 2019 - 21:24

Zgrałem BIOS programatorem i bardzo się różni od binarki. Znalazłem w zrzucie pi x oko 600 kB kodu w trzech kawałkach, którego nie powinno tam być (w sensie tam "wypełniacz" 0xFF w 2/3 obrazu). Złożyłem ticket do supportu ASUSa, załączyłem plik z obrazem i zobaczymy co będzie. Większość BIOSu jest identyczna z obrazem (oczywiście poza ustawieniami), ale też jest dużo różnic po kilkadziesiąt bajtów.

W międzyczasie nie używam tego komputera.

@MitycznyJeż - mogłeś mieć rację, że robak.

#7 Użytkownik jest niedostępny   MitycznyJeż 

  • krzem gotuJEŻ, węgiel zdrapuJEŻ
  • PipPipPipPipPip
  • Grupa: Forumowicze
  • Postów: 19769
  • Dołączył: So, 12 Kwi 14

Napisany 11 Maj 2019 - 22:06

MAC znajduje się w GBE regionie. Jeżeli chcesz grzebać, to można wspomnianym uefitoolem i narzędziami od intela -> KLIK

Jeżeli dobrze pamiętam, to na kości bios są zapisywane niektóre dane podczas działania/konfiguracji... Dlatego też nie oczekiwałbym że dump z działającej stacji będzie identyczny z wsadem.

Przy dalszej analizie czy faktycznie "mamy gościa" może się przydać uefiextract - pozwala wypakować każdy moduł z uefi do oddzielnego pliku, co później możnaby dalej diffować.

#8 Użytkownik jest niedostępny   Kowaliks 

  • Gaduła
  • PipPipPip
  • Grupa: Forumowicze
  • Postów: 147
  • Dołączył: Pn, 13 Gru 10

Napisany 12 Maj 2019 - 14:27

Zobacz postMitycznyJeż, o 11 Maj 2019 - 23:06, napisał(a):

MAC znajduje się w GBE regionie. Jeżeli chcesz grzebać, to można wspomnianym uefitoolem i narzędziami od intela -> KLIK

Jeżeli dobrze pamiętam, to na kości bios są zapisywane niektóre dane podczas działania/konfiguracji... Dlatego też nie oczekiwałbym że dump z działającej stacji będzie identyczny z wsadem.

Przy dalszej analizie czy faktycznie "mamy gościa" może się przydać uefiextract - pozwala wypakować każdy moduł z uefi do oddzielnego pliku, co później możnaby dalej diffować.


Oczywiście, że nie jest identyczny. Niektóre ustawienia BIOSa nie są zapisywane na CMOSie, ale na Flashu właśnie, zresztą jest tool do zmiany domyślnych ustawień przed wypaleniem i nie zmienia on checksumy samego kodu. Tak samo instalacja drivera graficznego Intela nadpisuje GOP w BIOSie, więc różnic jest sporo już po pierwszym uruchomieniu Windowsa.

Uefitool i UANA nie chcą rozmawiać z tym obrazem, a Aptio Manager pokazuje 'foreign code block(s)', więc w 100% mam zainfekowany komputer. Trochę mało fajnie, bo teraz czeka mnie zmiana haseł wszędzie.
Paczkę wysłałem też do Kasperskiego i Eseta, może coś z tego wyjdzie pożytecznego.

#9 Użytkownik jest niedostępny   Kowaliks 

  • Gaduła
  • PipPipPip
  • Grupa: Forumowicze
  • Postów: 147
  • Dołączył: Pn, 13 Gru 10

Napisany 13 Maj 2019 - 23:54

Dostałem odpowiedź od inżyniera ASUSa - twierdzą, że BIOS jest zainfekowany. Pomimo tego, że płyta jest poza okresem gwarancyjnym poprosili mnie o wysłanie jej do serwisu na testy i wymianę, prawdopodobnie nie do PL.

Ciekawe, czy dostanę taką samą, czy coś innego mi zaproponują.

Strona 1 z 1
  • Nie możesz rozpocząć nowego tematu
  • Nie możesz odpowiadać w tym temacie

1 Użytkowników czyta ten temat
0 użytkowników, 1 gości, 0 anonimowych