13 августа 2013 года Microsoft выпустила обновление KB2859537, и форумы запестрели мольбами о помощи – у людей перестали запускаться программы. Сериал продолжился в сентябре и октябре…
Из этой экспресс-записи вы узнаете, как исправить проблему, почему она возникла и как избежать подобных ужасов в будущем.
[+] Сегодня в программе
- Назначение обновлений KB2859537 и KB2872339
- Почему возникла проблема и в чем она заключается
- Как исправить проблему
- Удаление обновлений из командной строки
- Откат к точке восстановления системы
- Удаление обновлений из среды восстановления с помощью DISM
- Как не допустить возникновения проблемы в будущем
- А вы пострадали от обновления KB2859537?
Назначение обновлений
Обновление KB2859537 было призвано исправить четыре уязвимости в ядре Windows, позволяющие несанкционированное повышение прав. Первая уязвимость позволяла загрузить DLL в процесс, обходя механизм защиты ASLR, призванный снизить риск эксплуатации уязвимостей.
Три остальные уязвимости связаны с ошибками в проверке адресов ядром Windows, что приводит к повреждению памяти и позволяет запустить произвольный код в режиме ядра. После этого повышение прав уже не проблема. Технические подробности доступны в бюллетене безопасности MS13-063.
Почему возникла проблема и в чем она заключается
KB2859537 заменяет массу системных файлов, в том числе файлов ядра (полный список есть в статье базы знаний). Если оригинальное ядро было модифицировано, его замена может привести к проблемам.
Upd. 12-Sep-13. Обновление KB2872339, вышедшее в сентябре, заменяет KB2859537, т.е. содержит более новые версии файлов ядра. Его установка может привести к точно таким же проблемам.
Upd. 09-Oct-13. Обновление KB2882822, вышедшее в октябре, добавляет поддержку интерфейса ITraceRelogger. Поскольку оно заменяет файлы ядра, его установка может привести к точно таким же проблемам.
У такой модификации есть две наиболее вероятные причины.
Вредоносные программы. Это не первый случай, когда обновление ядра выявляет наличие проблем в системе – так, 3.5 года назад случайно обнаружился руткит Alureon.
Нелегальная активация. Этот момент отлично разобрал участник конференции OSZone simplix, который не понаслышке знаком со сборками Windows, а также является автором полезной программы AntiSMS для лечения вирусов и троянов.
Позволю себе процитировать его пост в форуме, выделив жирным то, в чем заключается проблема.
Проблема возникает из-за того, что во взломанных системах используется старая версия ntoskrnl.exe, которую патчер (или сборка) переименовывают в xNtKrnl.exe и прописывают в поле kernel через bcdedit. Это нужно для того, чтобы система работала с драйвером, эмулирующим SLIC-таблицу. Старая версия ядра не совместима с новыми файлами подсистемы Wow64, из-за этого в 64-битной системе 32-битные программы перестают запускаться.
Вины Microsoft здесь нет, они просто не тестировали обновления на ломаных сборках. К слову, если пропатчить новую версию ядра, то система будет работать как положено — это означает, что обновление не нацелено на борьбу с пиратскими системами, просто так сложились звёзды.
Кстати, simplix ранее предупреждал читателей блога о возможных проблемах г-сборок, в которых заменяются ресурсы.
Возможны и другие причины — Microsoft в настоящее время исследует их.
Как исправить проблему
Если у вас есть основания полагать, что применение обновления на вашей системе может создать проблему, логично не устанавливать обновление. Правда, при этом вы останетесь с незакрытой уязвимостью ядра.
Оба метода исправления сводятся к откату изменений.
Удаление обновлений KB2882822, либо KB2859537 или KB2872339 из командной строки
В командной строке, запущенной с правами администратора, выполните:
wusa.exe /uninstall /kb:2882822
или
wusa.exe /uninstall /kb:2872339
или
wusa.exe /uninstall /kb:2859537
Утилита wusa.exe предназначена для установки и удаления обновлений Windows. Запустите ее с ключом /?, чтобы узнать больше.
Откат к точке восстановления системы
Запустите восстановление системы и откатитесь к точке до возникновения проблемы. Если не получается или система не загружается, войдите в среду восстановления Windows 7 или Windows 8 и выполните восстановление системы оттуда. И да, эта ситуацию действительно спасает откат.
Удаление обновлений KB2882822, либо KB2859537 или KB2872339 из среды восстановления с помощью DISM
Этот более сложный вариант имеет смысл применять только в том случае, если первыми двумя способами удалить обновление не удалось.
- Загрузитесь в среду восстановления Windows 7 или Windows 8.
- Запустите командную строку и определите букву диска, на котором установлена Windows.
- В командной строке выполните:
DISM /Image:D:\ /Get-Packages
где D — буква диска с системой, которую вы определили на предыдущем шаге.
- В результатах команды найдите пакет, содержащий в названии KB2882822, либо KB2859537 или KB2872339. На рисунке имя пакета показано исключительно для примера.
Увеличить рисунок - Выделите имя пакета левой кнопкой мыши и нажмите правую кнопку мыши, чтобы скопировать его в буфер обмена.
- В командной строке наберите:
DISM /Image:D:\ /Remove-Package /PackageName:
и нажмите правую кнопку мыши, чтобы вставить имя пакета. Должна получиться примерно такая команда:
DISM /Image:D:\ /Remove-Package /PackageName:Package_for_KB2859537~31bf3856ad364e35~x86~~6.1.1.3
- Нажмите Enter, чтобы выполнить команду и удалить пакет.
Примечание. В случае успешного удаления, обновление исчезнет из списка установленных обновлений в панели управления. Однако в журнале установленных обновлений оно будет присутствовать, поскольку установка производилась.
Как не допустить возникновения проблемы в будущем
Поняв причину неурядиц, нетрудно догадаться, как их избежать.
Обеспечьте защиту от вирусов
Буквально на этой неделе я открыл в блоге обсуждение на тему того, можно ли работать в Windows без антивируса!
Избегайте г-сборок и активаторов
Надеюсь, вы оцените точность формулировки :) Обязательная ссылка: Super Mega Zver Black eXtreme Piter Pen 20xx Edition.
Обратитесь в техническую поддержку
Владельцы лицензионных систем, столкнувшиеся с проблемой, просто обязаны обратиться в техподдержку, чтобы Microsoft осознала наличие и масштаб проблемы. Обладателям ПК с предустановленной Windows следует обращаться в поддержку производителя устройства, который в свою очередь донесет информацию до сведения Microsoft.
Всем, кто приобрел Windows отдельно, Microsoft оказывает бесплатную техподдержку при проблемах после установки обновлений. Вы можете обратиться в компанию с 8 утра до 8 вечера в будни и с 10 утра до 7 вечера в субботу по бесплатному номеру:
- Россия: 8 (800) 200-8001
- Украина: 0 (800) 308-800
- Беларусь: 8 (820) 0071-0003
Вы также можете обратиться за бесплатной поддержкой по электронной почте. Перейдите на эту страницу, а затем последовательно выберите операционную систему, издание и раздел поддержки:
После этого вы увидите варианты поддержки, одним из которых является отправка письма посредством формы на сайте.
А вы пострадали от обновления KB2859537 или KB2872339?
Напишите в комментариях, столкнулись ли вы с проблемой и в чем она заключалась..
Upd. В первом опросе менее чем за двое суток проголосовало около 2500 человек, и примерно у 70% из них возникли проблемы после установки обновления. Конечно, они сдвинуты в сторону пострадавших, т.к. именно эти люди приходят в блог из поисковых систем и других ресурсов за решением проблемы.
Новый опрос призван выявить связь между наличием проблемы с запуском программ и лицензионностью системы. Если у вас с запуском программ все в порядке, но возникла другая проблема, опишите ее в комментариях.
Внимание! Если вы голосуете за первый пункт, выполните в командной строке, запущенной от имени администратора:
bcdedit >> "%userprofile%\desktop\bcdedit.txt"
и вставьте в комментарий содержмое файла на рабочем столе.
Результаты голосования утеряны в связи с прекращением работы веб-сервиса опросов.
Поскольку для 64-битной Windows 8 (на десктопе) KB2859537 не применялось, то тут у меня, естественно, подобных проблем и быть не могло. А вот в ноутбуке у меня 64-битная Windows 7 — сюда это обновление через WU пришло, установилось, но никаких проблем не вызвало.
Обе системы легальные (8-ка куплена, а 7-ка предустановлена) и вирусов скорее всего не содержат (в десктопе — Norton Internet Security, в ноутбуке — Avast Internet Security).
Спасибо, Вадим, за статью. Думаю, что тем, кто в отличие от меня столкнулся с описанной проблемой, она будет полезной.
Юрий, мне кажется, что столкнувшиеся с проблемой легко найдут решение и без меня — они уже на каждом углу висят. Я, скорее, хотел обратить внимание на возможные причины проблемы и профилактику.
просто не устанавливаю никаких обновлений, зачем? Ещё ни разу за всё время пользования компьютером система не летела из-за дырок и уязвимостей, обычно всё происходило по моей или не моей оплошности.
Почему важно обновлять систему и установленные программы
Так вы можете и не знать, что у вас уязвимость проэксплуатирована, а ваша система является частью ботнета :)
Здравствуйте,Вадим!
Форумы запестрели сообщениями о проблемах не только с пиратскими сборками.Лицензионные копии,активированные оплаченными ключами,тоже вылетают с аналогичной ошибкой.
Ваш комментарий сформулирован так, будто я заявил о проблемах только в пиратских сборках :) Причина — изменение ключевых системных файлов, что может произойти на любой системе, в том числе и без ведома пользователя.
Каюсь,win7 левая. Но все пк,кроме нынешнего Lenovo Thinkpad x220i были уже с ОС,хранившейся на харде в закрытом разделе,а леновка шел «голый». Откатился от этого обновления,ну его
Доброго утра! У меня установлена Win7 64 bit (не лицензия). Установил ее неделю как, в связи с апгрейдом железа. Программ пока еще чуть (антивирус, аудио\видео проигрыватели, браузер, архиватор, ТС). Проверил логи обновлений — сабж установлен 14.08. Никаких проблем пока что не было, но может просто программы «не те» стоят. Подскажите, на какой программе можно наверняка проверить, есть ошибка или нет?
Александр, у вас все ок.
Здравствуйте Вадим!
Я в ваших статьях действительно нахожу массу всего полезного и поучительного! (прим. автора знаю вас еще с OSZone.net). В вас мне нравиться нестандартное мышление и, то что вы придаете большое значение нюансам. Вы даете мне вдохновение поднять свой уровень знаний, явно указывая в какую сторону плыть. Я сам привык до конца искать ответы на решения возникающих вопросов в форумах и блогах. Благо их много и все они разрешимы. Вот только времени очень мало, а мой уровень знаний опытного пользователя не дает мне решить все самому.
Дай бог вам сил и здоровья не останавливаться на достигнутом!
P.S. Мой девиз: Семь раз отмерь, один раз отрежь!
Спасибо за добрые слова, Дмитрий! А по теме что скажете? :)
На двух компах проблем нет. На одном лицушная Ultimste 64 bit, на другом она же, но активированная Win 7 Loader by [удалено]. Всё работает.
Vadim Sterkin,
А собственно по теме мне добавить нечего, так как все изложено верно. Не пользоваться неизвестными сборками и активаторами. Покупать лицензию. Лично у меня все установилось без проблем на Windows 7 Ultimate x86 OEM, активированной через биос. Только была загвоздка с установкой обновления KB2834140 v2 от 12.08.13. Просто удалил предыдущее такое же, и после этого Центр обновления предложил его к загрузке и установке. А так в целом все нормально за 2 года использования ОС без переустановки.
Ваш сайт, как всегда, очень полезный и ценный. Огромное спасибо за информацию.
Денис, я рад, что вы находите информацию в моем блоге полезной :)
Дома стационарный РС и ноутбук, на обоих легальная Windows 7 x64 (Home Premium и Home Basic соответственно), обновления установлены, проблем нет.
На работе WSUS, легальные Windows 7 x86/x64, обновление установлено, проблем нет.
Но позвонил знакомый, который использует пиратскую сборку (какую именно, не уточнял), — так у его компьютера «сыпались» ошибки 0хс0000005, в итоге систему пришлось переустанавливать и скрывать «проблемное» обновление.
Матвей, спасибо за инфо. Я все-таки считаю, что при наличии точек, восстановиться не проблема, в т.ч. из RE.
Ну вот, ради этого обновления придётся перезагрузить ПК(( А ведь уже два месяца без перезагрузок работает!
Виталий, так в июле тоже были уязвимости, в т.ч. критические. Они разве не требовали перезагрузки?
Восстановиться, конечно, не проблема. Но тот знакомый из тех, кто сразу все переустановливает начисто, не разбираясь. :)
Начитавшись страшилок, временно (до выходных) не стал устанавливать обновлений на рабочем ноутбуке т.к. вне зависимости кто виноват, не улыбается перспектива остатся в середине рабочей недели без рабочего инструмента. На домашнем все работает нормально. На обоих win8 х64 лицензия.
Я не всегда их ставлю, каюсь)) EMET их может закрыть, я думаю.
ОС win7x64 Ultimate. Оригинальная сборка от MSDN но активирована левым активатором(качественно сделанным:-). Обновление стоит, проблем не возникло. Но вообще с обновлениями проблемы иногда возникали. Думаю это рабочий момент: На то чтобы протестировать на всем разнообразии железа нужно время, а заплатки стараются выпустить побыстрее. У компании просто нет времени на длительное тестирование.
Ответил да.
Можно считать что пострадал от шквала вопросов 0xc0000005 на http://answers.microsoft.com/ru-ru/
А если я использую AeroGlass for Windows 8 (от BigMuscle), могу ли я безболезненно установить это обновление?
Слава, вам нужно узнать, какие файлы изменяет программа и сопоставить их со списком файлов, изменяемых обновлением (см. статью KB). Если ничего не пересекается, все будет ок.
В любом случае, можно проверить установкой обновления (при условии, что у вас включена защита системы и есть установочный диск или диск восстановления). Так или иначе, я бы не стал сидеть с уязвимой системой ради AeroGlass.
Спасибо, узнал причину почему вчера у друга сдохла 7рка (этого варианта не хватает в опросе).
Вадим, это — самый последний вариант, если голосовать от имени друга :)
Пострадали те, у кого были именно пиратские версии ОС. Остальные думаю считанные единицы.
Влад, учитывая распространенность г-сборок и всяких активаторов, многие пострадавшие, наверное, являются владельцами пиратских ОС. Но, если вы читали внимательно, легальность ОС не гарантирует отсутствия проблемы в данном случае.
вчера было два звонка от знакомых про проблемы с запуском программ.
а т.к. не могли запустить ни скайп, ни тимвьювер — пришлось по телефону объяснять что сделать )) самое сложно было объяснить что такое бэкслэш и как его найти на кливиатуре )
ps: теперь ещё надо будет им посоветовать провериться на вирусы или не пользоваться ломанной виндой.
pps: спасибо за статью. не знал, что проблема именно в активации или вирусах.
Ну на работе слава богу обошлось.
У знакомого появилась эта проблема, я посоветовал удалить это обновление, вроде все стало в порядке. У меня это обновление установлено, без проблем.
Поскольку отключены коментарии в статье про Г.С., напишу здесь. simplix хоть и эксперт в г.с., но в последних выпусках у WMP9-11 не работал свёрнутый режим по причине отсутствия строки «Проигрыватель Windows Media» в меню «Панели инструментов»
Да-да, мой блог — это просто лучшее место для жалоб на сборки :) Сделайте свою, поставьте себе, и жаловаться будет не на кого.
Как всегда убеждаюсь в гениальности твоего мозга, коллега! Прочитал сегодня парочку твоих статей об оформлении и Г-сборках, аж душа поёт от правильности всего сказанного. Сам же ещё с давних пор перешёл на лицензионные ОС (спасибо моему университету и MSDN AA) и ПО (за это спасибо моему чувству жидяры и умением вынюхать скидочки).
Но ум мой беспокоят такие вот комментаторы, как Андрей со своим Линуксом. Линуксоиды, в большинстве, проклинают Виндоус именно пиратский, считая, что раз ОН тупой, то и все остальные версии тоже. Это большое заблуждение, ибо же много профессионалов работают в этой среде с удовольствием и наслаждением, без угроз, вирусов и лишнего срача на форумах Убунту о том, «как же я люблю Линукс».
По топику — вот моя Восьмёрка х86 просится перезагрузить её для установки обновлений, а на ноуте х64 и всё в порядке.
Вадим,
1. Вы мне бесстыдно льстите :) Упомянутые вами статьи не содержат тайного знания или особых технических тонкостей.
2. Лучший способ избежать холивара — не комментировать посты троллей.
3. х86 не подвержена проблеме.
Если бы Мелкософт не выпустил этих обновлений, многие и не знали бы, что у них система уязвима… И жили бы спокойно с нормально работающей осью…
Вспомните выход Windows Vista, она сама является ботнетом. Да любая Windows — это самый дорогой, продаваемый, популярный ботнет в мире….
Сколько всякой инфы винда отправляет мелкомягким? Как правило пользователь об этом не знает…
Недаром ведь есть великое множество защитного ПО, потому как Windows и есть одна большая «дырка»
И еще — если у человека прямые руки, то никакой уязвимости не будет даже без обновлений!
ЗЫ: За статью спасибо, очень полезная!
Незнание об уязвимостях никак не спасает от их эксплуатации. Да и иногда полезно знать, к чему приводит изменение ядра, чтобы жизнь малиной не казалась.
Это не имеет отношения к теме, но контр-аргументы я доставлял давно: Почему Microsoft вас не слушает, и можно ли что-нибудь сделать с этим
Типичный аргумент на уровне детского сада. Извините, но у меня в блоге эти унылые штампы не катят.
Опасное заблуждение. Вдумчивое чтение моего блога может от него излечить.
Vadim Sterkin,
Это не лесть, а комплимент, честно! Ничуть не пожалел времени на статьи и комменты. И хотя естественно знаний новых особо не возьмёшь, это ведь всего-навсего ревью, всё равно приятно, когда твоё мнение совпадает с профессионалами из мира IT.
Вадим, поскольку вы не оценили моего тонкого намека не разводить флейм и холивар, я удалил ваш крик души (но я его прочел, и мне доставили ваши параллели :)
Обратились два человека с такой проблемой. С остальными тишина пока )
Windows 7 x64, лицензия, антивирус KIS 2013, лицензия, никаких проблем после установки обновления не возникло.
EMET хоть и может прикрыть некоторые дырки, но не факт.
Никаких проблем не возникло , Windows 7 x64 SP1 ( не оригинальная ) , a вот у сестры не загружались программы , пришлось откатиться , причины не понял и только придя домой прочитал Вашу статью . Загрузил обновления у себя без проблем . Спасибо за статью .
У меня без проблем обновились 14.08 стационарный Win7x64 Pro и ноут Win7x32 HP (обе лицензии) всё работает,претензий нет. БИОС не УЕФИ Четверо коллег по работе пострадали(не лицензия) вылечилось удалением обновления
Vadim Sterkin,
Оценил, но как раз и написал, чтобы ты его прочёл. Смешно же! )))
Здравствуйте, не помог, не один из способов удалить это обновление, у меня по прежнему не запускаются приложения. Что делать, какой ещё способ есть, это устранить?
Иван, из вашего сообщения непонятно, что конкретно помешало вам удалить обновление. Эта запись должна навести на мысль, почему мне нечего предложить вам на данном этапе, кроме переустановки системы.
Не вызвало проблем. Лицензионная Windows 7 x64.
Vadim Sterkin,
Спорить не буду, может и детский сад. НО все-же….
Удовлетворительная работа Windows, имхо, появилась только с виходом семерки.
Сам работаю в Windows и с Windows, переходить на другую систему не собираюсь… Привычка.
Безусловно, «дырки» нужно закрывать….
При этом, мелкомягким не мешалобы предупредить пользователя (желательно большим сообщением на экране) о возможных проблемах и методах их устранения.
А с другой стороны — доп. заработок айтишникам.
Так что все имеет две стороны медали…
По теме:
Проблема проявилась вчера на ноуте сына. Поначалу у меня был ступор, так как сын работает под ограниченной учеткой и установить самостоятельно никакой софт не мог.
Помогло:
Откат системы до более раннего состояния (благо создаются точки восстановления перед критическим обновлением)
Имение настроек автоматического обновления на: «Искать обновления, но решение о загрузке и установке принимается мной»
Прочитав Вашу статью, теперь знаю что к чему и как с ним бороться.
У меня не работает ни черта. Открыл командную строку, удалил как написано. Перезапустил комп и ничего не изменилось.
А не, вру, после перезапуска идет долгая настройка видовс, потом комп говорит мне, что не смог установить обновления и все становится как прежде
Итого:
1. Откат системы не помогает
2. Удаление через командную строку не помогает
3. Удаление через центр обновлений виндовс невозможно
4. Переустановка винды ничем не поможет судя по всему
Это такой способ отвадить людей от компьютера? Или что?
Как это исправить черт побери
Виталий, у вас есть еще варианты:
1. Попробуйте переустановить Windows, сохранив настройки и установленные программы.
2. Из среды восстановления сохраните данные и сделайте чистую установку.
Всё-таки автоматическое обновление расслабляет. Вот установилось что-то и система продолжает работать, то даже и не поинтересуешься, что — некогда — есть более важные дела. Как у меня например. Даже сначала и не понял из-за чего кипиш. Кстати на Windows 8.1 Preview оказывается этого обновления не было. По крайней мере за 14.08 и 16.08 ничего такого нет. В этой версии исправлены уже данные уязвимости?
Александр, исправление требуется только для Windows 8 x86.
Вадим, спасибо!
А я ломал голову, у знакомого на ноте эта беда произошла.
Говорит с магазина и ключ приклеен, систему не разу не переустанавливал (7х32 бит).
Думал вирус. а оказалось обновление. Заработала!!!
Гарантия годовая была, месяц назад кончилась, но собрался на «разборки» идти.