13 августа 2013 года Microsoft выпустила обновление KB2859537, и форумы запестрели мольбами о помощи – у людей перестали запускаться программы. Сериал продолжился в сентябре и октябре…
Из этой экспресс-записи вы узнаете, как исправить проблему, почему она возникла и как избежать подобных ужасов в будущем.
[+] Сегодня в программе
- Назначение обновлений KB2859537 и KB2872339
- Почему возникла проблема и в чем она заключается
- Как исправить проблему
- Удаление обновлений из командной строки
- Откат к точке восстановления системы
- Удаление обновлений из среды восстановления с помощью DISM
- Как не допустить возникновения проблемы в будущем
- А вы пострадали от обновления KB2859537?
Назначение обновлений
Обновление KB2859537 было призвано исправить четыре уязвимости в ядре Windows, позволяющие несанкционированное повышение прав. Первая уязвимость позволяла загрузить DLL в процесс, обходя механизм защиты ASLR, призванный снизить риск эксплуатации уязвимостей.
Три остальные уязвимости связаны с ошибками в проверке адресов ядром Windows, что приводит к повреждению памяти и позволяет запустить произвольный код в режиме ядра. После этого повышение прав уже не проблема. Технические подробности доступны в бюллетене безопасности MS13-063.
Почему возникла проблема и в чем она заключается
KB2859537 заменяет массу системных файлов, в том числе файлов ядра (полный список есть в статье базы знаний). Если оригинальное ядро было модифицировано, его замена может привести к проблемам.
Upd. 12-Sep-13. Обновление KB2872339, вышедшее в сентябре, заменяет KB2859537, т.е. содержит более новые версии файлов ядра. Его установка может привести к точно таким же проблемам.
Upd. 09-Oct-13. Обновление KB2882822, вышедшее в октябре, добавляет поддержку интерфейса ITraceRelogger. Поскольку оно заменяет файлы ядра, его установка может привести к точно таким же проблемам.
У такой модификации есть две наиболее вероятные причины.
Вредоносные программы. Это не первый случай, когда обновление ядра выявляет наличие проблем в системе – так, 3.5 года назад случайно обнаружился руткит Alureon.
Нелегальная активация. Этот момент отлично разобрал участник конференции OSZone simplix, который не понаслышке знаком со сборками Windows, а также является автором полезной программы AntiSMS для лечения вирусов и троянов.
Позволю себе процитировать его пост в форуме, выделив жирным то, в чем заключается проблема.
Проблема возникает из-за того, что во взломанных системах используется старая версия ntoskrnl.exe, которую патчер (или сборка) переименовывают в xNtKrnl.exe и прописывают в поле kernel через bcdedit. Это нужно для того, чтобы система работала с драйвером, эмулирующим SLIC-таблицу. Старая версия ядра не совместима с новыми файлами подсистемы Wow64, из-за этого в 64-битной системе 32-битные программы перестают запускаться.
Вины Microsoft здесь нет, они просто не тестировали обновления на ломаных сборках. К слову, если пропатчить новую версию ядра, то система будет работать как положено — это означает, что обновление не нацелено на борьбу с пиратскими системами, просто так сложились звёзды.
Кстати, simplix ранее предупреждал читателей блога о возможных проблемах г-сборок, в которых заменяются ресурсы.
Возможны и другие причины — Microsoft в настоящее время исследует их.
Как исправить проблему
Если у вас есть основания полагать, что применение обновления на вашей системе может создать проблему, логично не устанавливать обновление. Правда, при этом вы останетесь с незакрытой уязвимостью ядра.
Оба метода исправления сводятся к откату изменений.
Удаление обновлений KB2882822, либо KB2859537 или KB2872339 из командной строки
В командной строке, запущенной с правами администратора, выполните:
wusa.exe /uninstall /kb:2882822
или
wusa.exe /uninstall /kb:2872339
или
wusa.exe /uninstall /kb:2859537
Утилита wusa.exe предназначена для установки и удаления обновлений Windows. Запустите ее с ключом /?, чтобы узнать больше.
Откат к точке восстановления системы
Запустите восстановление системы и откатитесь к точке до возникновения проблемы. Если не получается или система не загружается, войдите в среду восстановления Windows 7 или Windows 8 и выполните восстановление системы оттуда. И да, эта ситуацию действительно спасает откат.
Удаление обновлений KB2882822, либо KB2859537 или KB2872339 из среды восстановления с помощью DISM
Этот более сложный вариант имеет смысл применять только в том случае, если первыми двумя способами удалить обновление не удалось.
- Загрузитесь в среду восстановления Windows 7 или Windows 8.
- Запустите командную строку и определите букву диска, на котором установлена Windows.
- В командной строке выполните:
DISM /Image:D:\ /Get-Packages
где D — буква диска с системой, которую вы определили на предыдущем шаге.
- В результатах команды найдите пакет, содержащий в названии KB2882822, либо KB2859537 или KB2872339. На рисунке имя пакета показано исключительно для примера.
Увеличить рисунок - Выделите имя пакета левой кнопкой мыши и нажмите правую кнопку мыши, чтобы скопировать его в буфер обмена.
- В командной строке наберите:
DISM /Image:D:\ /Remove-Package /PackageName:
и нажмите правую кнопку мыши, чтобы вставить имя пакета. Должна получиться примерно такая команда:
DISM /Image:D:\ /Remove-Package /PackageName:Package_for_KB2859537~31bf3856ad364e35~x86~~6.1.1.3
- Нажмите Enter, чтобы выполнить команду и удалить пакет.
Примечание. В случае успешного удаления, обновление исчезнет из списка установленных обновлений в панели управления. Однако в журнале установленных обновлений оно будет присутствовать, поскольку установка производилась.
Как не допустить возникновения проблемы в будущем
Поняв причину неурядиц, нетрудно догадаться, как их избежать.
Обеспечьте защиту от вирусов
Буквально на этой неделе я открыл в блоге обсуждение на тему того, можно ли работать в Windows без антивируса!
Избегайте г-сборок и активаторов
Надеюсь, вы оцените точность формулировки :) Обязательная ссылка: Super Mega Zver Black eXtreme Piter Pen 20xx Edition.
Обратитесь в техническую поддержку
Владельцы лицензионных систем, столкнувшиеся с проблемой, просто обязаны обратиться в техподдержку, чтобы Microsoft осознала наличие и масштаб проблемы. Обладателям ПК с предустановленной Windows следует обращаться в поддержку производителя устройства, который в свою очередь донесет информацию до сведения Microsoft.
Всем, кто приобрел Windows отдельно, Microsoft оказывает бесплатную техподдержку при проблемах после установки обновлений. Вы можете обратиться в компанию с 8 утра до 8 вечера в будни и с 10 утра до 7 вечера в субботу по бесплатному номеру:
- Россия: 8 (800) 200-8001
- Украина: 0 (800) 308-800
- Беларусь: 8 (820) 0071-0003
Вы также можете обратиться за бесплатной поддержкой по электронной почте. Перейдите на эту страницу, а затем последовательно выберите операционную систему, издание и раздел поддержки:
После этого вы увидите варианты поддержки, одним из которых является отправка письма посредством формы на сайте.
А вы пострадали от обновления KB2859537 или KB2872339?
Напишите в комментариях, столкнулись ли вы с проблемой и в чем она заключалась..
Upd. В первом опросе менее чем за двое суток проголосовало около 2500 человек, и примерно у 70% из них возникли проблемы после установки обновления. Конечно, они сдвинуты в сторону пострадавших, т.к. именно эти люди приходят в блог из поисковых систем и других ресурсов за решением проблемы.
Новый опрос призван выявить связь между наличием проблемы с запуском программ и лицензионностью системы. Если у вас с запуском программ все в порядке, но возникла другая проблема, опишите ее в комментариях.
Внимание! Если вы голосуете за первый пункт, выполните в командной строке, запущенной от имени администратора:
bcdedit >> "%userprofile%\desktop\bcdedit.txt"
и вставьте в комментарий содержмое файла на рабочем столе.
Результаты голосования утеряны в связи с прекращением работы веб-сервиса опросов.
Попробую, но вроде тот человек уже перешел на пиратку в которой эта ошибка не проявляется.
Vadim Sterkin,
Поставил пиратку, оригинал, ничего не тронуто только активация на автомате.
дак вот, эксперимента ради пропустил эти обновления…
KB2859537 — 13.08.2013
KB2868116 — 13.09.2013
KB2872339 — 10.09.2013
кроме этого КВ971033
Проблем пока нет, всё работает отлично.
Странно, что человек с сайта safezone, специализирующемся на безопасности, продолжает пропускать обновления безопасности и радоваться жизни.
Vadim Sterkin,
Владимир, ничего странного, эксперименты нужны всегда..тем более что машинки ПК для этого есть ))
P.S. подробности обьяснять не буду, так всё ясно.
Я — Вадим. А так, действительно, при использовании печально известного метода активации все ясно уже пару месяцев как. И непонятно, зачем вы продолжаете экспериментировать с обновлениями.
Vadim Sterkin,
Извиняюсь Вадим.
Как зачем, для практики и личного опыта.
яж говорю пк для подобных исследований имеются.
А как иначе, если человек не имеет собственный опыт и мнение по какой либо проблеме.
Вот к примеру вы, от куда черпайте эти знания, просто из инета инфа, или же практика помогает в решении проблем и поиска их?
Как создаются записи этого блога
Vadim Sterkin,
Спасибо за ответ.
Vadim Sterkin,
Вадим, если более подробно то тестирую сборки от […]
Вот только не надо тут г-сборки рекламировать, плиз.
Vadim Sterkin,
С чего вы решили что я рекламирую, просто указал автора.
установил все обновления, перезагрузил и у меня ОС перестала загружаться. Удалил по последнему методу обновления KB2872339 и KB2882822. все работает) спасибо)
Значит у тебя г-сборка))
Не соглашусь с тем что проблема возникает из-за нелегальной копии или из-за вредоносных програм.
Сталкивался часто с этой проблемой как на, так и вне работы. Учитывая что на всех компах и лэптопах стоят нелегальные копии, не все они страдают от этого апдейта. Зато все те которые страдают, у них одно общее — они старые, т.е. купленные или собранные до 2009-2010 годов. Но есть у меня Dell D630, купленный в 2007, но он не страдает от этих апдейтов, хотя на нём та же копия Винды как и на всех остальных.
Я и не прошу вас соглашаться. Но я таки прошу выполнить инструкции красным жирным шрифтом в статье на машинах, где возникает проблема с легальной ОС. Результаты направляйте через форму обратной связи.
Вы также можете это сделать на тех, где не возникает проблемы с нелегальными ОС — тогда вы увидите, что в них просто не используется метод обхода легальной активации, который взял на вооружение в своих сборках один товарищ.
К стати подтверждаю этот факт, экспериментирую в данное время с подобными обновлениями на пиратке, проблем нет пока никаких.
P.S. на ПК установлены разнообразные проги, все запускаются, конфликтов нет.
В этом то и суть, сборка сборке, разница!
Нет никакой разницы, это вам кажется просто. И достаточно уже пиара сборок тут, спасибо.
у меня win7 x64 sp1 лицензия,после обновлений KB2859537,KB2882822,KB2872339 выскакивала ошибка 0xc0000005 не запускались программы,удалил из win+r….
Еще один любопытный побочный эффект нелегального метода активации в сборках m0nkrus всплыл из-за невероятно жестокого бага Яндекс.Диск. Процитирую ru-board:
Windows 7 SP1 нелицензионная сборка 2009 г. Указанные Обновления сработали — все ПО х32 и часть х64 не запускается. Не выполняется откат до точки, когда этих обновлений не было. Чистил вручную, тк команда wusa не срабатывала. У меня, вероятно, иная версия DIMS, тк аргумента Get-Packages в ней нет, да и синтаксис немного другой. В общем, поудалял ручками все указанные обновления, но не помогло. Почистил папки и реестр — теперь ПК не загружается даже в безопасном режиме. Придется переустанавливать ОС, тк резервной копии не сделал. Впредь урок — иметь резервную копию и ставить сборки на текущую дату, чтобы не распухала папка Windows. Обсуждения интересные, но желательно побольше описания приемов исправления наших казусов, тк иногда они рассчитаны на уверенных пользователей.
После вечернего обновления 7ка снова лежит. Как апдейт снова сносить ?
Сносить надо г-сборку
Vadim Sterkin,
Вадим, по вашим выводам у вех (г-сборки)))
Я таких выводов не озвучивал. Но пока здесь еще ни один человек не представил информации, позволяющей сделать вывод, что именно эта проблема возникает на оригинальном дистрибутиве с легальной активацией. Продолжайте тестировать свои г-сборки…
Подскажите пожалуйста. Винда стоит пиратская. Обновления KB2882822, KB2859537,KB2872339 я внёс в скрытые. Устанавливаю остальные обновы, но всё равно таже ошибка. Может есть ещё какие нибудь обновы кроме этих трёх и их тоже нельзя ставить?
винду меняй!!!
Добавить нечего.