Skocz do zawartości
Kowaliks

Asus Z170 Premium - wciśnięty klawisz-widmo

Rekomendowane odpowiedzi

Bardzo proszę o pomoc, bo kompletnie zdurniałem. Widziałem już przeróżne rzeczy, ale czegoś takiego jeszcze nie.

 

Mam wspomnianą w tytule Z170 Premium. Komputer z tą płytą chodzi od półtorej roku bez większych problemów, jest podpięty do zasilacza nie z czarnej listy, za UPSem i ma najnowszy BIOS.

 

2 dni temu w Windows nagle zaczęło mi "pisać" spację. Tak jakby była wciśnięta cały czas na klawiaturze (uprzedzając - mam wszystko przewodowe). Odpięcie WSZYSTKICH urządzeń na USB nie pomogło. Reboot, odpięcie od prądu też nie. Nie wiem, czy dzieje się to też w trybie awaryjnym, gdyż nie jestem w stanie wpisać hasła. W następnym kroku wyczyściłem NVRAM, CMOS i przepaliłem BIOS, podejrzewając jakiś problem z funkcją Virtual Keyboard, która emuluje klawiaturę, jeśli się nie mylę, po podpięciu telefonu do płyty. Co ciekawe, problem nie występuje w menu UEFI, ani w EFI Shellu. Odpiąłem wszystkie dyski, urządzenia na PCI-Express, zostawiając tylko RAM i procesor z chłodzeniem. Wreszcie włożyłem pendrive'a z instalacją Ubuntu Server i... to samo, w instalatorze jest "wciśnięta" spacja. Tak samo w instalatorze Windows.

 

Powyłączałem jeszcze wszystkie urządzenia w BIOSie - thunderbolta, USB 3.0, WiFi, BT, Audio, funkcje OC, przełączyłem w tryb Legacy, co z reguły wyłącza większość rozszerzeń UEFI, bez powodzenia. Podmieniłem wreszcie RAM na pewną kostkę i procesor na inny, co również nic nie dało.

 

Skończyły mi się pomysły, co jeszcze można zrobić?

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Może mimo tego, że płyta nie ma PS/2, to coś sieje sygnałami po LPC?

Menedżer urządzeń (przynajmniej u mnie) nie pozwala na wyłączenie klawy PS/2 wprost, ale ponoć po siłowym wgraniu innego sterownika jest to możliwe -> KLIK

 

Jak "przepalałeś" BIOS?

Paranoicznie zakładając że mamy złośliwego "gościa" najlepiej flashować przez programator.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Może mimo tego, że płyta nie ma PS/2, to coś sieje sygnałami po LPC?

Menedżer urządzeń (przynajmniej u mnie) nie pozwala na wyłączenie klawy PS/2 wprost, ale ponoć po siłowym wgraniu innego sterownika jest to możliwe -> KLIK

 

Jak "przepalałeś" BIOS?

Paranoicznie zakładając że mamy złośliwego "gościa" najlepiej flashować przez programator.

 

Trochę dziwne, żeby LPC się zepsuła w tak specyficzny sposób. Do tego dzieje się to poza UEFI setup, więc coś wskazuje na FW lub soft blisko FW.

 

Przepalałem przez EZflash z poziomu UEFI, ale wyczyściłem cały NVRAM, więc teoretycznie cały zakres powinien być wyczyszczony razem z potencjalnym storagem dla szkodników. Płyta chyba ma USB flashback, więc spróbuje bez CPU z pendrive'a.

To nie paranoja, takie rzeczy się zdarzają - uwaga o programatorze jest jak najbardziej na miejscu, będę się musiał zwrócić o binarkę do ASUSa, bo na stronie udostępniają tylko pakiety capsule (dziękuję, Intel za robienie wszystkim pod górę). Akurat mam takie urządzenie, tylko uchwyt będę musiał dorobić.

 

Mam AV (co prawda Avast, ale jest), mam bitlockera, włączony UAC, defendera, hasło i aktualny OS, więc jeśli faktycznie coś weszło, to niefajnie. Zrobiłem już kopię wszystkich danych, więc nie boję się kiego ransomware'u, czy innych. Nie było też jakiegoś niezwykłego ruchu (mam dosyć szczegółowe logi na firewallu na routerze).

 

W najgorszym razie po porostu płyta zdechła w bardzo nietypowy sposób.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Z tego co nieraz się przewija w tematach o modyfikacji UEFI (w szczególności ogarniania coffee lake na serii 100/200) ezflash/flashbacki nie gwarantują nadpisania wszystkiego na kości. Jak się chce mieć to w 100% dobrze, to tylko programator.

 

Capsule to jest binarka, tyle że z dodatkowym nagłówkiem na początku. Możesz wypakować właściwy wsad np. UEFITool'em.

Capsule to decyzja asusa - inni producenci się w to nie bawią. Intel w wielu miejscach zawinił, ale nie tutaj ;)

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Z tego co nieraz się przewija w tematach o modyfikacji UEFI (w szczególności ogarniania coffee lake na serii 100/200) ezflash/flashbacki nie gwarantują nadpisania wszystkiego na kości. Jak się chce mieć to w 100% dobrze, to tylko programator.

 

Capsule to jest binarka, tyle że z dodatkowym nagłówkiem na początku. Możesz wypakować właściwy wsad np. UEFITool'em.

Capsule to decyzja asusa - inni producenci się w to nie bawią. Intel w wielu miejscach zawinił, ale nie tutaj ;)

 

Dzięki za sugestię!

 

Niestety nie zawsze da się wyciągnąć - są kapsułki aktywne, które binarkę budują w czasie ekstrakcji (możesz np zapisać algorytm generujący MAC dla sieciówki z chipsetu, albo zmienić ustawienia domyślne bez rekomilacji całego BIOSu). Jeśli taka tam jest, to będzie trzeba pisać.

"Czysta" binarka biosu powinna dać MAC "88:88:88:88:87:88" lub "00:00:00:00:00:01".

 

Zobaczę w domu, co to za przypadek.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Zgrałem BIOS programatorem i bardzo się różni od binarki. Znalazłem w zrzucie pi x oko 600 kB kodu w trzech kawałkach, którego nie powinno tam być (w sensie tam "wypełniacz" 0xFF w 2/3 obrazu). Złożyłem ticket do supportu ASUSa, załączyłem plik z obrazem i zobaczymy co będzie. Większość BIOSu jest identyczna z obrazem (oczywiście poza ustawieniami), ale też jest dużo różnic po kilkadziesiąt bajtów.

 

W międzyczasie nie używam tego komputera.

 

@MitycznyJeż - mogłeś mieć rację, że robak.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

MAC znajduje się w GBE regionie. Jeżeli chcesz grzebać, to można wspomnianym uefitoolem i narzędziami od intela -> KLIK

 

Jeżeli dobrze pamiętam, to na kości bios są zapisywane niektóre dane podczas działania/konfiguracji... Dlatego też nie oczekiwałbym że dump z działającej stacji będzie identyczny z wsadem.

 

Przy dalszej analizie czy faktycznie "mamy gościa" może się przydać uefiextract - pozwala wypakować każdy moduł z uefi do oddzielnego pliku, co później możnaby dalej diffować.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

MAC znajduje się w GBE regionie. Jeżeli chcesz grzebać, to można wspomnianym uefitoolem i narzędziami od intela -> KLIK

 

Jeżeli dobrze pamiętam, to na kości bios są zapisywane niektóre dane podczas działania/konfiguracji... Dlatego też nie oczekiwałbym że dump z działającej stacji będzie identyczny z wsadem.

 

Przy dalszej analizie czy faktycznie "mamy gościa" może się przydać uefiextract - pozwala wypakować każdy moduł z uefi do oddzielnego pliku, co później możnaby dalej diffować.

 

Oczywiście, że nie jest identyczny. Niektóre ustawienia BIOSa nie są zapisywane na CMOSie, ale na Flashu właśnie, zresztą jest tool do zmiany domyślnych ustawień przed wypaleniem i nie zmienia on checksumy samego kodu. Tak samo instalacja drivera graficznego Intela nadpisuje GOP w BIOSie, więc różnic jest sporo już po pierwszym uruchomieniu Windowsa.

 

Uefitool i UANA nie chcą rozmawiać z tym obrazem, a Aptio Manager pokazuje 'foreign code block(s)', więc w 100% mam zainfekowany komputer. Trochę mało fajnie, bo teraz czeka mnie zmiana haseł wszędzie.

Paczkę wysłałem też do Kasperskiego i Eseta, może coś z tego wyjdzie pożytecznego.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Dostałem odpowiedź od inżyniera ASUSa - twierdzą, że BIOS jest zainfekowany. Pomimo tego, że płyta jest poza okresem gwarancyjnym poprosili mnie o wysłanie jej do serwisu na testy i wymianę, prawdopodobnie nie do PL.

 

Ciekawe, czy dostanę taką samą, czy coś innego mi zaproponują.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

  • Tematy

  • Odpowiedzi

    • @galakty Nic. Póki będzie działał nikt nie będzie kazał go demontować, no chyba że kamienica będzie bardzo niskiej klasy energetycznej i trzeba będzie to zrobić by ją podnieść, ale na to są też inne sposoby. Zatem dotąd dokąd będzie sprawny, będzie można go używać. Potem tak jak napisał @RimciRimci ale w dyrektywie jest też opcja używania źródeł na biopaliwa i paliwa alternatywne, zatem dalej zostaje piec na biogaz czy na inne biopaliwa.
    • Polemizowałbym. Wg mnie na to właśnie liczą rządzący, aby ludzie kupili ściemę nazewniczą. Składka ubezpieczeniowa polega na tym, że jest stała. Kup sobie jakiekolwiek ubezpieczenie w prywatnej firmie albo chociaż przeczytaj regulamin oferty. Płacisz stałą składkę x i masz ubezpieczenie od wymienionych zdarzeń na kwotę y oraz pokrycie kosztów leczenia do kwoty z. Tak działają u nas składki społeczne dla DG. Płacisz x i dostaniesz y emerytury/renty/chorobowego (gdzie y w magiczny sposób dla kolejnych roczników dąży do 0). Opłata NFZ jest wyliczana jako procent od dochodu, więc w moim odczuciu jest to podatek a nie składka. Na UoP z kolei wszystkie "składki" są podatkiem naliczanym procentowo od przychodu. Plus NFZ względem prywatnych ubezpieczeń taki, że nie masz limitu kosztów leczenia (o ile się załapiesz na termin w publicznej służbie zdrowia i uważasz ją za satysfakcjonującą). Tak więc dla mnie bliżej tu do podatku, ale też dostajesz "więcej" niż w składkowym ubezpieczeniu. Ja płacę niezbędne minimum do wspólnej skarbonki (kosza), a prywatne mam kupione ubezpieczenie na rok utraty dochodów plus do 2mln kosztów leczenia za granicą.
    • "Ale to tylko teoria spiskowa szurów!!!!"  
    • Morawiecki jedyne co robi, to nadal kłamie jak z nut . Hipokryzja w jego wykonaniu nadal jest u niego mocną stroną. A poza tym pisałeś do pisowca, który jedzie na jednej tej samej płycie co inni obecni tu pisowcy, kilku ich tu jest.
  • Aktywni użytkownicy

×
×
  • Dodaj nową pozycję...