Перейти к содержанию
Андрей-001

Ноябрьские патчи Microsoft породили "чёрные экраны"

Recommended Posts

Андрей-001

Установка ноябрьских патчей Microsoft в ряде случаев провоцирует серьезные сбои на Windows XP и Vista. При этом с рабочего стола Windows неожиданно исчезают практически все объекты, включая панель задач. При этом остается пустой фон, уже названный "черным экраном смерти". Сначала "грешили" на вирусы, потом оказалось, что такой проблеме подвержены только компьютеры со включенной службой автоматического обновления.

Cпециалисты компании Prevx провели анализ, который показал, что сбои возникают из-за изменений в списке контроля доступа (Access Control List), которые производятся в ходе установки свежих патчей. Эти изменения приводят к тому, что определенные приложения, прежде всего антивирусные программы, начинают работать некорректно и провоцировать ошибки.

По данным Prevx, данной проблеме подвержены все версии Windows, включая Windows ХР, Vista и 7. Сотрудники Microsoft уже занялись разработкой исправления, но о сроках его выпуска пока ничего не сообщается.

Пока можно попытаться устранить проблему, следуя инструкциям Prevx. Подробнее >>>.

Zip статьи прилагается. Black_Screen.zip

Black_Screen.zip

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla
такой проблеме подвержены только компьютеры со включенной службой автоматического обновления.

имеется ввиду что служба стоит на автомате? У меня по запросу запускается, это норм?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Prevx лоханулись мягко скажем в итоге....

We've been working with Microsoft to get to the bottom of the specific black screen issues in our earlier blog. We have made some significant progress in determining specific triggers of the black screen event.

The issue appears to be related to a characteristic of the Windows Registry related to the storage of string data. In parsing the Shell value in the registry, Windows requires a null terminated "REG_SZ" string. However, if malware or indeed any other program modifies the shell entry to not include null terminating characters, the shell will no longer load properly, resulting in the infamous Black Screen with the PC showing only the My Computer folder.

SysInternals was one of the first companies to discover this characteristic of the registry a number of years ago in their utility: RegHide http://technet.microsoft.com/en-us/sysinte...s/bb897446.aspx which modifies registry entries to prevent them from being accessible within the operating system. This technique is frequently used by malware authors which is why it is recommended to first query the length of a registry value, and then read it into a buffer, forcing the null termination of strings whether or not null terminated by their content.

Having narrowed down a specific trigger for this condition we've done quite a bit of testing and re-testing on the recent Windows patches including KB976098 and KB915597 as referred to in our previous blog. Since more specifically narrowing down the cause we have been able to exonerate these patches from being a contributory factor.

We have not analyzed further whether a change occurred in the OS interpretation of this or other registry values. In any case, we believe there are significant benefits in the OS using the length of the value as recommended by the SysInternals article.

We have always strongly recommended keeping Windows and all other software up-to-date to reduce the window for exploitation by new threats. We'll keep you updated with further progress if we find anything new.

We apologize to Microsoft for any inconvenience our blog may have caused. This has been a challenging issue to identify. Users who have the black screen issue referred to can still safely use our free fix tool to restore their desktop icons and task bar.

http://www.prevx.com/blog.asp

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Razboynik
Установка ноябрьских патчей Microsoft в ряде случаев провоцирует серьезные сбои на Windows XP и Vista.

Ух, как классно! Оказывается еще и на XP, и на Vista... До этого видел такую новость про Windows 7

В Microsoft разбираются с "экраном смерти" Windows 7

"...В Microsoft попросили всех пользователей, столкнувшихся с этой проблемой, обращаться в техподдержку. Своей защиты от "экрана смерти" компания пока предложить не может..."

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Да нет никакой проблемы с патчами этими....

KB915597 - обновление для Windows Defender

KB976098 - обновление временных зон

Как эти обновы могут привести к черным экранам? Бред...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT
Да нет никакой проблемы с патчами этими...

Может не в обновлениях проблема а в самой ОС ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Может не в обновлениях проблема а в самой ОС ?

Если порыться в самой ОС можно много чего найти, но как это относится к обновлениям непонятно. Фигня короче все это. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
UIT
но как это относится к обновлениям непонятно.

Обновили одно, проблемы появились в другом:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ak_

Win XP SP3, служба автоматического обновления включена. Антивирус установлен. И никаких "черных экранов".

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

...Компания Prevx, которая первой возложила вину за эти неприятности на корпорацию Microsoft, принесла ей публичные извинения...

...Как говорит представитель разработчика, существует не менее 10 различных сценариев, каждый из которых приводит к возникновению "черного экрана"... Подробнее>>>

Чтобы там не утверждали Prevx и как бы не пытались отгородиться в самой Microsoft, проблема эта есть (наша техническая служба сама в этом убедилась). Ей подвержены как пиратские так и лицензионные копии Windows. И эта проблема очень плотно пересекается с работой Microsoft по борьбе с пиратскими копиями. Вряд ли это совпадение.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka
Microsoft опровергла информацию о том, что ноябрьские обновления безопасности стали виной сбоев компьютеров пользователей Windows и стали причиной появления черных экранов смерти.

Некоторые сообщения гласили, что одно из обновлений внесло изменения в разрешения в реестре Windows, но после изучения вопроса представители Microsoft заявили, что эти претензии безосновательны.

"Мы подтверждаем, что все эти обвинения с сообщениями об ошибке были неточными, и наше расследование показало, что ни одно из недавно выпущенных обновлений никоим образом не связано с поведением, описанным в этих сообщениях" - сообщил по электронной почте представитель Microsoft.

За последнее время служба поддержки Microsoft не зарегистрировала подобные сообщения о черных экранах смерти, написал Кристофер Бадд (Christopher Budd), специалист по безопасности Microsoft, в своем блоге.

Поскольку никто не сообщил об этой проблеме непосредственно в Microsoft, компания не может с уверенностью сказать, что стало причиной проблемы, но предыдущие проблемы с черным экраном смерти были связаны с семейством вредоносным Daonol, написал Бадд в блоге.

Собственно, причиной суматохи вокруг обновлений стала компания Prevx, которая в прошлую пятницу сообщила о проблеме, которая, по словам компании, затрагивала миллионы пользователей Windows 7, XP и Vista.

Директор Prevx утверждал, что недавние проблемы были вызваны изменениями, которые Microsoft внесла в реестр Windows через выпущенные обновления. Однако, вчера компания Prevx признала, что слова ее руководителя неправильно трактовали, а сами проблемы были вызваны ошибками не в программном обеспечении Microsoft, а в сторонних продуктах, не имеющих отношения к Microsoft. Вполне возможно, что заявления Prevx являются ничем иным, как попыткой прорекламировать собственный продукт и привлечь внимание к своей торговой марке.

http://www.crn.com

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
3TE116

KB915597.Я на всякий пожарный автомат выключил и на ручник перешёл,мало ли,лучше перестраховатьсяgrin.gif

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Я только что обновил нетбук - пока жив :ph34r:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001

Кстати, уже можно не бояться. Чёрные экраны пропали как по команде. :)

Сейчас бушует другая напасть, антивиры и IS-ки ей непочём. Вот чего надо бояться, особенно вконтактёрам социальных сетей, а их друзьям - этих самых вконтактёров со своими "начинённами" флешками.

Создать описание пока нет времени - восстановлю работу пострадавших систем, тогда напишу (в другой теме). Странно, что на сайтах вендоров написано - "эпидемий не зафиксировано". Какое-то странное у них чемоданное настроение. Очнитесь, "новогодние подарки" уже раздаются!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Zilla

Андрей-001, заинтриговали прям :D

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
заинтриговали прям

Ага, мне ещё до 5 утра как минимум заниматься реанимацией компов. Вот пока идёт лечение - я могу что-то написать. Но времени уже остаётся мало.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Андрей-001

"Новый год к нам мчится, скоро все случится...." (с) ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
senyak

Сори за оффтоп, но расскажите поподробней. Заинтриговали ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
но расскажите поподробней. Заинтриговали

Я постараюсь найти чуток времени, но дня через два, не раньше. Перечислю группу "туваришей": названия по версии Dr.Web: BackDoor.CIDos.., BackDoor.Siggen, Trojan.PWS.Gamaria, Win32.HLLW.Autoruner.8265 или вместо него Win32.Polipos, парочка трояно-руткитов TDSS и др.

И это всё почти всегда в одном флаконе на сотнях и сотнях компах, самых разных, в разных маск-халатах. Раньше они действовали совсем не так. Место наибольшего распространения - социальные и пиринговые сети. Всем известные и самые популярные. Время внедрения - прошлый четверг и до настоящего дня. Антивирусы с самыми свежими базами им непомеха. Не буду перечислять какие - похоже, что уже все.

Это из известных зловредов, другие же неопознанные, а бы даже сказал - "непризнанные", но делающие своё чёрное дело, уже разосланы по "квартирам". Скоро и их пристроят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Danilka

Андрей-001

:o и все вместе? Повезло...

Хотя это цветочки... ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
mennen
Это из известных, другие же неопознанные, а бы даже сказал - "непризнанные", но делающие своё чёрное дело, уже разосланы по "квартирам". Скоро и их пристроят.

А что, антивирусы этих "зверюшек" не ловят?..

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Андрей-001
А что, антивирусы этих "зверюшек" не ловят?..

На тот момент захват компьютеров выполнялся иным способом. Также похоже на действие троянов и руткитов TDSS.

После перезагрузки ПК мороз в его лице был им уже по барабану.

(Флешку позавчера дома потерял, там всё уже было "заготовлено" и заскриншотено. Жена куда-то переложила. Ищем, но найти не можем...).

У меня готов лучший способ спрятать/уничтожить информацию - отдать жене носитель - она положит так, что фиг найдёшь! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×