Ноябрьские патчи Microsoft породили "чёрные экраны"

[Андрей-001 1099]

Установка ноябрьских патчей Microsoft в ряде случаев провоцирует серьезные сбои на Windows XP и Vista. При этом с рабочего стола Windows неожиданно исчезают практически все объекты, включая панель задач. При этом остается пустой фон, уже названный "черным экраном смерти". Сначала "грешили" на вирусы, потом оказалось, что такой проблеме подвержены только компьютеры со включенной службой автоматического обновления.

Cпециалисты компании Prevx провели анализ, который показал, что сбои возникают из-за изменений в списке контроля доступа (Access Control List), которые производятся в ходе установки свежих патчей. Эти изменения приводят к тому, что определенные приложения, прежде всего антивирусные программы, начинают работать некорректно и провоцировать ошибки.

По данным Prevx, данной проблеме подвержены все версии Windows, включая Windows ХР, Vista и 7. Сотрудники Microsoft уже занялись разработкой исправления, но о сроках его выпуска пока ничего не сообщается.

Пока можно попытаться устранить проблему, следуя инструкциям Prevx. Подробнее >>>.

Zip статьи прилагается. Black_Screen.zip

Black_Screen.zip

[Zilla 340]

такой проблеме подвержены только компьютеры со включенной службой автоматического обновления.

имеется ввиду что служба стоит на автомате? У меня по запросу запускается, это норм?

[Danilka 678]

Prevx лоханулись мягко скажем в итоге....

We've been working with Microsoft to get to the bottom of the specific black screen issues in our earlier blog. We have made some significant progress in determining specific triggers of the black screen event.

The issue appears to be related to a characteristic of the Windows Registry related to the storage of string data. In parsing the Shell value in the registry, Windows requires a null terminated "REG_SZ" string. However, if malware or indeed any other program modifies the shell entry to not include null terminating characters, the shell will no longer load properly, resulting in the infamous Black Screen with the PC showing only the My Computer folder.

SysInternals was one of the first companies to discover this characteristic of the registry a number of years ago in their utility: RegHide http://technet.microsoft.com/en-us/sysinte...s/bb897446.aspx which modifies registry entries to prevent them from being accessible within the operating system. This technique is frequently used by malware authors which is why it is recommended to first query the length of a registry value, and then read it into a buffer, forcing the null termination of strings whether or not null terminated by their content.

Having narrowed down a specific trigger for this condition we've done quite a bit of testing and re-testing on the recent Windows patches including KB976098 and KB915597 as referred to in our previous blog. Since more specifically narrowing down the cause we have been able to exonerate these patches from being a contributory factor.

We have not analyzed further whether a change occurred in the OS interpretation of this or other registry values. In any case, we believe there are significant benefits in the OS using the length of the value as recommended by the SysInternals article.

We have always strongly recommended keeping Windows and all other software up-to-date to reduce the window for exploitation by new threats. We'll keep you updated with further progress if we find anything new.

We apologize to Microsoft for any inconvenience our blog may have caused. This has been a challenging issue to identify. Users who have the black screen issue referred to can still safely use our free fix tool to restore their desktop icons and task bar.

http://www.prevx.com/blog.asp

[Razboynik 105]

Установка ноябрьских патчей Microsoft в ряде случаев провоцирует серьезные сбои на Windows XP и Vista.

Ух, как классно! Оказывается еще и на XP, и на Vista... До этого видел такую новость про Windows 7

В Microsoft разбираются с "экраном смерти" Windows 7

"...В Microsoft попросили всех пользователей, столкнувшихся с этой проблемой, обращаться в техподдержку. Своей защиты от "экрана смерти" компания пока предложить не может..."

[Danilka 678]

Да нет никакой проблемы с патчами этими....

KB915597 - обновление для Windows Defender

KB976098 - обновление временных зон

Как эти обновы могут привести к черным экранам? Бред...

[UIT 103]

Да нет никакой проблемы с патчами этими...

Может не в обновлениях проблема а в самой ОС ?

[Danilka 678]

Может не в обновлениях проблема а в самой ОС ?

Если порыться в самой ОС можно много чего найти, но как это относится к обновлениям непонятно. Фигня короче все это.

[UIT 103]

но как это относится к обновлениям непонятно.

Обновили одно, проблемы появились в другом

[ak_ 395]

Win XP SP3, служба автоматического обновления включена. Антивирус установлен. И никаких "черных экранов".

[Андрей-001 1099]

...Компания Prevx, которая первой возложила вину за эти неприятности на корпорацию Microsoft, принесла ей публичные извинения...

...Как говорит представитель разработчика, существует не менее 10 различных сценариев, каждый из которых приводит к возникновению "черного экрана"... Подробнее>>>

Чтобы там не утверждали Prevx и как бы не пытались отгородиться в самой Microsoft, проблема эта есть (наша техническая служба сама в этом убедилась). Ей подвержены как пиратские так и лицензионные копии Windows. И эта проблема очень плотно пересекается с работой Microsoft по борьбе с пиратскими копиями. Вряд ли это совпадение.

[Danilka 678]

Microsoft опровергла информацию о том, что ноябрьские обновления безопасности стали виной сбоев компьютеров пользователей Windows и стали причиной появления черных экранов смерти.

Некоторые сообщения гласили, что одно из обновлений внесло изменения в разрешения в реестре Windows, но после изучения вопроса представители Microsoft заявили, что эти претензии безосновательны.

"Мы подтверждаем, что все эти обвинения с сообщениями об ошибке были неточными, и наше расследование показало, что ни одно из недавно выпущенных обновлений никоим образом не связано с поведением, описанным в этих сообщениях" - сообщил по электронной почте представитель Microsoft.

За последнее время служба поддержки Microsoft не зарегистрировала подобные сообщения о черных экранах смерти, написал Кристофер Бадд (Christopher Budd), специалист по безопасности Microsoft, в своем блоге.

Поскольку никто не сообщил об этой проблеме непосредственно в Microsoft, компания не может с уверенностью сказать, что стало причиной проблемы, но предыдущие проблемы с черным экраном смерти были связаны с семейством вредоносным Daonol, написал Бадд в блоге.

Собственно, причиной суматохи вокруг обновлений стала компания Prevx, которая в прошлую пятницу сообщила о проблеме, которая, по словам компании, затрагивала миллионы пользователей Windows 7, XP и Vista.

Директор Prevx утверждал, что недавние проблемы были вызваны изменениями, которые Microsoft внесла в реестр Windows через выпущенные обновления. Однако, вчера компания Prevx признала, что слова ее руководителя неправильно трактовали, а сами проблемы были вызваны ошибками не в программном обеспечении Microsoft, а в сторонних продуктах, не имеющих отношения к Microsoft. Вполне возможно, что заявления Prevx являются ничем иным, как попыткой прорекламировать собственный продукт и привлечь внимание к своей торговой марке.

http://www.crn.com

[3TE116 45]

KB915597.Я на всякий пожарный автомат выключил и на ручник перешёл,мало ли,лучше перестраховаться

[senyak 330]

Я только что обновил нетбук - пока жив

[Андрей-001 1099]

Кстати, уже можно не бояться. Чёрные экраны пропали как по команде.

Сейчас бушует другая напасть, антивиры и IS-ки ей непочём. Вот чего надо бояться, особенно вконтактёрам социальных сетей, а их друзьям - этих самых вконтактёров со своими "начинённами" флешками.

Создать описание пока нет времени - восстановлю работу пострадавших систем, тогда напишу (в другой теме). Странно, что на сайтах вендоров написано - "эпидемий не зафиксировано". Какое-то странное у них чемоданное настроение. Очнитесь, "новогодние подарки" уже раздаются!

[Zilla 340]

Андрей-001, заинтриговали прям

[Андрей-001 1099]

заинтриговали прям

Ага, мне ещё до 5 утра как минимум заниматься реанимацией компов. Вот пока идёт лечение - я могу что-то написать. Но времени уже остаётся мало.

[Danilka 678]

Андрей-001

"Новый год к нам мчится, скоро все случится...." (с)

[senyak 330]

Сори за оффтоп, но расскажите поподробней. Заинтриговали

[Андрей-001 1099]

но расскажите поподробней. Заинтриговали

Я постараюсь найти чуток времени, но дня через два, не раньше. Перечислю группу "туваришей": названия по версии Dr.Web: BackDoor.CIDos.., BackDoor.Siggen, Trojan.PWS.Gamaria, Win32.HLLW.Autoruner.8265 или вместо него Win32.Polipos, парочка трояно-руткитов TDSS и др.

И это всё почти всегда в одном флаконе на сотнях и сотнях компах, самых разных, в разных маск-халатах. Раньше они действовали совсем не так. Место наибольшего распространения - социальные и пиринговые сети. Всем известные и самые популярные. Время внедрения - прошлый четверг и до настоящего дня. Антивирусы с самыми свежими базами им непомеха. Не буду перечислять какие - похоже, что уже все.

Это из известных зловредов, другие же неопознанные, а бы даже сказал - "непризнанные", но делающие своё чёрное дело, уже разосланы по "квартирам". Скоро и их пристроят.

[Danilka 678]

Андрей-001

и все вместе? Повезло...

Хотя это цветочки...

[mennen 100]

Это из известных, другие же неопознанные, а бы даже сказал - "непризнанные", но делающие своё чёрное дело, уже разосланы по "квартирам". Скоро и их пристроят.

А что, антивирусы этих "зверюшек" не ловят?..

[Андрей-001 1099]

А что, антивирусы этих "зверюшек" не ловят?..

На тот момент захват компьютеров выполнялся иным способом. Также похоже на действие троянов и руткитов TDSS.

После перезагрузки ПК мороз в его лице был им уже по барабану.

(Флешку позавчера дома потерял, там всё уже было "заготовлено" и заскриншотено. Жена куда-то переложила. Ищем, но найти не можем...).

У меня готов лучший способ спрятать/уничтожить информацию - отдать жене носитель - она положит так, что фиг найдёшь!