Ошибка античита. Проблема, не запускается, не работает
FACEIT Anti-cheat — это клиент-серверная система, предназначенная для обнаружения игроков, которые используют признанные взломы, читы, программное обеспечение, для получения несправедливого преимущества в игре. Античит доступен только для Windows 8.1 и 10 только в 64-битной версии. Платформа не поддерживает античит для Linux и Mac.
Если на вашем компьютере было запрещенное ПО, то бан снят не будет, даже если вы по ошибке забыли его выключить или оно было установлено на вашем компьютере кем-то другим. Если вы уверены, что на вашем компьютере никогда не было запрещенного программного обеспечения, то есть смысл обратиться в поддержку, создав тикет о своей ситуации.
You need to have the Anti-cheat client running to connect ( Для подключения должен быть запущен клиент анти-чит )
AutoHotkey is forbidden, please close it and restart FACEIT AC ( AutoHotkey запрещен, закройте его и перезапустите античит )
AutoHotkey не совместим с клиентом. Вам нужно закрыть AutoHotkey и программы, которые могли быть им скомпилированы, например:
Затем перезапустить клиент.
The service cannot be started ( Служба не может быть запущена )
Пользователь отключит античит. Нужно вручную в службах Windows и вернуть службу FACEIT.
The driver or UNC share you selected does not exist ( Выбранный вами драйвер или общий ресурс UNC не существует )
Возможно вы удалили античит не через установку/удалением программ, а просто файловым менеджером и заново установили. Возможно удалены отдельные файлы папки клиента. Нужно удалить раздел реестра: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\<086D343F-8E78-4AFC-81AC-D6D414AFD8AC>_is1
Service has been stopped ( Сервис остановлен )
Если у вас возникла эта проблема, выключите режим отладки системы, выполнив следующие действия:
Это должно позволить клиенту запускаться без сбоев.
Forbidden driver ( Запрещенный драйвер)
Клиент анти-чит блокирует работу некоторых драйверов и систем мониторинга/управления оборудованием. Такое ПО может быть уязвимым с точки зрения безопасности, поэтому рекомендуется удалить его. Иногда помогает обновление драйверов или подобного ПО. После этой ошибки и блокировки драйвера, можно попробовать перезагрузить компьютер, э то заблокирует драйвер и возможно позволит вам запустить Anti-Cheat.
Failed to load the launcher DLL (не удалось загрузить библиотеку DLL)
Эта ошибка происходит из-за некорректных обновлений Windows, которые повреждают некоторые ключи реестра. Для исправления,выполните следующие действия:
You need to have Kernel Patch Protection enabled to launch FACEIT AC ( Для запуска FACEIT AC необходимо включить защиту ядра от исправлений )
Error verifying digital signature. Make sure your system’s root certificates are up to date ( Ошибка проверки цифровой подписи. Убедитесь, что корневые сертификаты вашей системы актуальны )
Корневые сертификатывашей ОС повреждены или устарели. Исправить ситуацию может загрузка необходимых обновлений с официального сайта microsoft.
You need to enable the NX/Execute Disable bit in your computer BIOS (Вам нужно включить бит NX / Execute Disable в BIOS вашего компьютера)
Перезагрузите компьютер, чтобы войти в меню настройки BIOS (нажмите F2 или DEL), найдите параметр «NX Bit», «Execute Disable bit» или «XD bit» и проверьте включен ли он.
Warning: your system hasn’t been patched against critical Windows security vulnerabilities ( Предупреждение: ваша система не защищена от критических уязвимостей безопасности Windows )
Скорее всего вы используете старую версию Windows 7 и нужно установить все последние обновления безопасности. Для установки обновлений подойдет только оригинальная ОС. Вот обновления для различных версий Windows :
FACEIT Anti-cheat клиент полностью совместим с последней версией OBS. Если вы испытываете трудности в работе с захватом экрана OBS убедитесь, что используете последнюю версию. OBS может работать с разными настройками захвата, например захват окна, захват изображения и захват игры. Чтобы он работал с нашим Античитом, убедитесь, что выбран захват игры.
Проблемы ноутбуков с двумя видеокартами
Иногда при использовании античита на ноутбуках с дискретным видеоадаптером, игра может запускаться не на той видеокарте (интегрированной). Чтобы решить проблему нужно принудительное включение нужной видаекарты ( Nvidia / AMD вместо графического процессора Intel ) через панель управлением дискретной видеокартой.
Падение FPS, лаги и заикания при использовании мыши и / или клавиатуры
Синий экран с указанием FACEIT.sys
Сбои системы могут иметь несколько причин, в том числе:
Failed to check for updates ( Не удалось проверить наличие обновлений )
Если у вас строгие настройки брандмауэра, убедитесь, что порт 6789 открыт для TCP. Также рекомендуется убедиться, что если у вас есть антивирус, что клиенту предоставлено исключение, чтобы он мог правильно работать в вашей системе.
FACEIT Anti-cheat защищает игру и блокирует некоторые файлы, которые рассматриваются как подозрительные при попытке загрузки в игру. Если игра работает правильно, то вы можете просто проигнорировать это сообщение. Если это не позволяет запустить игру, то некоторые из файлов Windows или файлы видеодрайвера могут быть изменены и / или повреждены. Пожалуйста, попробуйте следующие решения:
Клиент падает через несколько секунд после запуска или клиент не запускается
Это должно позволить клиенту запускаться без сбоев.
Если у вас возникнут дополнительные вопросы по работе анти-чит клиента, рекомендуется обращаться в поддержку за квалифицированной помощью специалистов.
Устранение неполадок BSOD с Stornvme.sys : практическое руководство
Последнее обновление: 07/01/2021[Требуемое время для чтения: 3,5 мин.]
Разработка Microsoft® Windows® Operating System компанией Microsoft послужила толчком для создания последней версии файла stornvme.sys. Он также известен как файл Microsoft NVM Express Storport Miniport Driver (расширение SYS), который классифицируется как файл Win64 EXE (Драйвер).
Файл stornvme.sys впервые был создан 10/18/2013 в ОС Windows 8.1 для Windows 8.1. 07/04/2011 вышла версия 10.0.16299.461 (WinBuild.160101.0800) для Microsoft Office Access 2010 14. Файл stornvme.sys включен в версии ОС Windows 10 и Windows 8.1.
В этой статье обсуждаются подробные сведения о файлах, порядок устранения неполадок с файлом SYS при проблемах с stornvme.sys, а также полный набор бесплатных загрузок для каждой версии файла, которая была зарегистрирована нашей командой.
Рекомендуемая загрузка: исправить ошибки реестра в WinThruster, связанные с stornvme.sys и (или) Microsoft Office Access 2010.
Совместимость с Windows 10, 8, 7, Vista, XP и 2000
✻ Фрагменты данных файлов предоставлены участником Exiftool (Phil Harvey) и распространяются под лицензией Perl Artistic.
Что такое сообщения об ошибках stornvme.sys?
Stornvme.sys — ошибки «синего экрана» (BSOD)
Существует ряд причин, по которым вы можете столкнуться с проблемами с stornvme.sys. Большинство проблем с файлами SYS связаны с ошибками «синего экрана» (BSOD). Эти типы ошибок stornvme.sys могут быть вызваны аппаратными проблемами, устаревшей прошивкой, поврежденными драйверами или другими проблемами, связанными с программным обеспечением (например, обновление Microsoft Office Access 2010). В число этих ошибок входят:
Обнаружена проблема, в результате которой ОС Windows завершила работу, чтобы предотвратить повреждение компьютера. По всей видимости, причиной проблемы стал следующий файл: stornvme.sys.
🙁 На вашем ПК возникла проблема, которую не удалось устранить, и его необходимо перезагрузить. Сведения об ошибке можно найти в Интернете: [BSOD] (stornvme.sys).
STOP 0x00000050: PAGE FAULT IN A NONPAGED AREA (stornvme.sys) STOP 0x0000000A: IRQL NOT LESS EQUAL (stornvme.sys) STOP 0x0000001E: KMODE EXCEPTION NOT HANDLED (stornvme.sys) STOP 0x0000007E: SYSTEM THREAD EXCEPTION NOT HANDLED (stornvme.sys) STOP 0x0000003B: SYSTEM SERVICE EXCEPTION (stornvme.sys) STOP 0×0000007A: KERNEL DATA INPAGE (stornvme.sys)
Крайне важно устранять ошибки «синего экрана»
В большинстве случаев ошибки BSOD stornvme.sys возникают после установки нового оборудования, программного обеспечения (Microsoft Office Access 2010) или выполнения неудачного обновления Windows. В остальных случаях к ошибке «синего экрана» stornvme.sys может привести повреждение программного обеспечения, вызванное заражением вредоносным программным обеспечением. Таким образом, крайне важно, чтобы антивирус постоянно поддерживался в актуальном состоянии и регулярно проводил сканирование системы.
СОВЕТ ОТ СПЕЦИАЛИСТА: Как показывает опыт, целесообразно всегда создавать резервную копию системы Windows и (или) точку восстановления системы, прежде чем вносить какие-либо изменения в аппаратное или программное обеспечение на компьютере. Таким образом, в случае неблагоприятного поворота событий и возникновения связанной с файлом stornvme.sys ошибки «синего экрана» после недавних изменений можно восстановить систему в предыдущее состояние.
Как исправить ошибки stornvme.sys — 3-шаговое руководство (время выполнения:
Если вы столкнулись с одним из вышеуказанных сообщений об ошибке, выполните следующие действия по устранению неполадок, чтобы решить проблему stornvme.sys. Эти шаги по устранению неполадок перечислены в рекомендуемом порядке выполнения.
Шаг 1. Восстановите компьютер до последней точки восстановления, «моментального снимка» или образа резервной копии, которые предшествуют появлению ошибки.
Чтобы начать восстановление системы (Windows XP, Vista, 7, 8 и 10):
Если на этапе 1 не удается устранить ошибку stornvme.sys, перейдите к шагу 2 ниже.
Шаг 2. Если вы недавно установили приложение Microsoft Office Access 2010 (или схожее программное обеспечение), удалите его, затем попробуйте переустановить Microsoft Office Access 2010.
Чтобы удалить программное обеспечение Microsoft Office Access 2010, выполните следующие инструкции (Windows XP, Vista, 7, 8 и 10):
После полного удаления приложения следует перезагрузить ПК и заново установить Microsoft Office Access 2010.
Если на этапе 2 также не удается устранить ошибку stornvme.sys, перейдите к шагу 3 ниже.
Microsoft Office Access 2010 14
Шаг 3. Выполните обновление Windows.
Когда первые два шага не устранили проблему, целесообразно запустить Центр обновления Windows. Во многих случаях возникновение сообщений об ошибках stornvme.sys может быть вызвано устаревшей операционной системой Windows. Чтобы запустить Центр обновления Windows, выполните следующие простые шаги:
Если Центр обновления Windows не смог устранить сообщение об ошибке stornvme.sys, перейдите к следующему шагу. Обратите внимание, что этот последний шаг рекомендуется только для продвинутых пользователей ПК.
Если эти шаги не принесут результата: скачайте и замените файл stornvme.sys (внимание: для опытных пользователей)
Если этот последний шаг оказался безрезультативным и ошибка по-прежнему не устранена, единственно возможным вариантом остается выполнение чистой установки Windows 10.
Glupteba – скрытая угроза: как мы нашли вредонос, который больше двух лет прятался в инфраструктуре заказчика
2020 год для Solar JSOC CERT оказался непростым, но и 2021-й не отстает, постоянно подкидывая нам интересные кейсы. В этом посте мы расскажем, как обнаружили вредонос (даже целую сеть вредоносов) по, казалось бы, несвойственной ему активности. Он незаметно «жил» в инфраструктуре больше двух лет, втихаря обновлялся и без препятствий собирал ценные данные в инфраструктуре жертвы.
С чего все началось
В начале года одна компания пришла к нам с вполне конкретной проблемой: в инфраструктуре на сетевом оборудовании были обнаружены попытки сканирования портов, характерных для оборудования Mikrotik, а также брутфорса серверов по протоколу SSH. Сначала мы решили, что был скомпрометирован сервер из внешнего периметра. Уж очень замеченная активность была похожа на работу какого-нибудь бота, которого злоумышленники обычно закидывают на уязвимые серверы в автоматическом режиме. Привет, Mirai, Kaji, Hajime и компания!
Но, как оказалось, источниками подозрительной активности были хосты под управлением Windows, к тому же вполне рядовые. Образ одного из таких хостов и был передан на анализ экспертам Solar JSOC CERT.
Первоначальный анализ скомпрометированной системы
При анализе сразу же бросилось в глаза большое число (более 83!) неподписанных исполняемых файлов в директории %TEMP%\csrss (о них подробно расскажем ниже):
Также в %TEMP%\csrss\smb был найден архив deps.zip (470CF2EA0F43696D2AF3E8F79D8A2AA5D315C31FC201B7D014C6EADD813C8836) и его содержимое:
Данные файлы являются ничем иным, как исполняемыми файлами, которые используются для эксплуатации уязвимости EternalBlue (CVE-2017-0144). Там же были найдены файлы, относящиеся к DoublePulsar. В целом содержимое этой папки можно назвать результатом деятельности группировки The Shadow Brokers в далеком 2017-м.
Помимо этих файлов, мы нашли определенно подозрительные задачи:
Первая задача просто запускает исполняемый файл C:\Windows\RSS\csrss.exe при входе в систему. Вторая с использованием легитимной программы certutil.exe и переданного параметра urlcache загружает с ресурса hxxps://fotamene[.]com/app/app.exe исполняемый файл, сохраняет его в расположение %TEMP%\csrss\scheduled.exe, после чего обеспечивает его запуск. Обратите внимание, что в созданной задаче применяется техника Living-off-the-Land (https://github.com/api0cradle/LOLBAS) с использованием certutil.exe.
Также файл (C:\Windows\RSS\csrss.exe) был прописан в автозапуске в реестре (HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run) под именем «BillowingBreeze».
Таким образом, если собрать все данные в кучу (и немного погуглить), то приходит только один вывод: в инфраструктуре компании вовсю развернулось ВПО семейства Glupteba. Его основной модуль – C:\Windows\RSS\csrss.exe.
Анализ основного модуля Glupteba
Итак, мы опознали Glupteba. Это модульное ВПО, написанное на языке Go. Для защиты своих файлов от обнаружения оно использует множество разных техник. Сейчас расскажем вам интересные моменты анализа, а также покажем их корреляцию с артефактами на системе.
Граф основной функции, построенный в IDA, пугает!
Условно весь процесс работы ВПО Glupteba можно разделить на две фазы:
Первая фаза работы ВПО
Первое, что происходит после запуска исполняемого файла, – проверка окружения на соответствие следующим параметрам:
Далее происходит инициализация конфигурации ВПО. Первым делом проверяется наличие конфигурации «старого образца»: HKCU\Software\Microsoft\TestApp (возможно, до этого момента ВПО находилось в стадии тестирования, но теперь все серьезно). При обнаружении конфигурация переписывается в новое расположение: HKCU\Software\Microsoft\ И при необходимости обновляется.
Если же старая конфигурация отсутствует, то она просто пишется по указанному выше расположению. То есть мы увидели «эволюцию» версий ВПО. Это видно и на анализируемой системе. Слева – конфигурация из старого местоположения, справа – из нового (в данном случае – HKCU\Software\Microsoft\eadd010f):
Видно, что значения UUID (используется для идентификации зараженного хоста на стороне злоумышленника) одинаковы, как и дата первой установки (FirstInstallDate). Переводим в более удобный формат и узнаем, что заражение произошло… барабанная дробь. 2 ноября 2018 года! Подтверждается это также и временными метками MFT файлов в директории %TEMP%\csrss: они расположены между 2 ноября 2018 года и моментом обращения к нам заказчика (январь 2021 года).
Файл C:\Windows\RSS\csrss.exe также был создан 2 ноября 2018 года, а изменен 29 сентября 2020 года. Ветка реестра же последний раз была изменена 14 января 2021 года (дата снятия образа), что говорит об активной работе.
Основные значения конфигурации:
Далее производится проверка и повышение привилегий (в случае необходимости) вплоть до SYSTEM:
1) Обход UAC (HKCU\Software\Classes\ms-settings\shell\open\command:fodhelper или HKCU\Software\Classes\mscfile\shell\open\command:CompMgmtLauncher):
2) Получение токена SYSTEM через Trusted Installer и перезапуск себя с полученным токеном.
Стоит отметить, что без достаточных привилегий ВПО просто завершает свою работу, но при этом физически остается в инфраструктуре.
Следующий этап – проверка окружения на предмет виртуализации:
Вторая фаза работы ВПО
Она состоит из нескольких этапов:
Производится отправка некоторой информации на C2 (установленное ПО, браузер по умолчанию):
Создаются ранее упомянутые задачи:
Установка руткитов, обеспечивающих скрытную работу ВПО
На этом же этапе (если операционная система определена как Windows 7) устанавливается сертификат:
Установка службы WinDefender
Производится проверка наличия службы WinDefender и исполняемого файла C:\Windows\windefender.exe. Если отсутствуют – с CDN загружается и запускается указанный исполняемый файл. Назначение – работа в формате службы, постоянная проверка статуса работы основного модуля, загрузка и перезапуск в случае необходимости.
Запуск потоков, следящих за основными функциями
На данном этапе запускаются потоки:
Далее в бесконечном цикле производится отправка информации из конфигурации на сервер управления и получение ответа. Пример нагрузки, отправляемой на сервер:
Ответ расшифровывается, получается команда вместе с аргументами, производится ее исполнение. Список команд под
Передаваемая информация, как и получаемая, шифруется AES256GCM с постоянным ключом и кодируется Base64.
Отдельного внимания заслуживает алгоритм смены серверов управления.
Интересный факт: каждый раз, когда производится poll (запрос к серверу управления для получения команды), значение PC в конфигурации увеличивается на 1. Для данного кейса значение PC равно 119643. Значит, команды были получены почти 120 тысяч раз за все время работы Glupteba.
Пример аргументов команды run-v3, полученной от сервера управления:
Дополнительные модули
Как уже говорилось выше, в директории %TEMP%\csrss было обнаружено множество различных исполняемых файлов, которые являются дополнительными модулями вредоноса. Интересно то, что многие из них являются различными версиями одних и тех же модулей, создаваемых в разное время с момента первичного заражения. При желании можно отследить историю появления новых версий каждого модуля.
Дальнейшее развитие
После первичного обнаружения ВПО и определения его индикаторов компрометации наша команда проверила обращения к ним из инфраструктуры заказчика. Таким образом, было обнаружено множество других серверов, зараженных после 2 ноября 2018 года.
Какие выводы?
Исходя из вышесказанного, основные цели Glupteba:
И главное: как показывает практика, вредоносная активность далеко не всегда является тем, чем кажется на первый взгляд.
Авторы: Владислав Лашкин, младший инженер технического расследования группы расследования инцидентов Solar JSOC CERT Иван Сюхин, инженер технического расследования отдела расследования инцидентов Solar JSOC CERT
