Обновился сегодня еще на одной машине с WU, конфига от моей отличается кардинально - проблем нет. Вечерком обновлюсь еще на нескольких - отпишусь.

Здесь (http://blogs.technet.com/msrc/archive/2010/02/11/restart-issues-after-installing-ms10-015.aspx) официальный ответ мелкомягких на эту проблему.

Вчера сделал сборку, все как всегда, куча аддонов(все самое последнее), дел аддоны, дрова 1.28 версия, вшитые программы, куча твиков, поставил сборку, все работает отлично, не тормозит, с WU лезут только предложения установить обновления для офиса, системных нет, до этого стояла более ранняя система, с WU обновлялся, и устанвливал этот 977165, проблем не замечено. (железо-бук acer extensa 5630ge)

официальный ответ мелкомягких на эту проблему. »
Машинный перевод:

Привет все,
Я пишу, чтобы сообщить, что мы знаем, что после установки февральской безопасности обновляет ограниченное число пользователей, испытывают проблемы, перезапускающие их компьютеры. Наш начальный анализ предполагает, что проблема происходит после установки MS10-015
http://www.microsoft.com/technet/security/bulletin/ms10-015.mspx (KB977165).
Однако, мы не подтвердили, что проблема является определенной для MS10-015 или если это - проблема функциональной совместимости с другими составляющими или сторонним программным обеспечением. Наши группы работают, чтобы решить это как можно быстрее. Мы также прекратили предлагать это обновление через Обновление Windows, как только мы обнаружили проблемы рестарта. Однако, те, которые используют системы развертывания напредприятиях, такие как SMS или WSUS, будут все еще видеть и будут в состоянии развернуть эти пакеты.
Поскольку Вы можете выбрать из предыдущих сообщений в блоге, MS10-015 - Возвышение Привилегии, которая потребовала бы, чтобы у нападавшего были правильные сертификаты, чтобы быть в состоянии усилить уязвимость в нападении. Несколько других обновлений в этом выпуске были идентифицированы как первоочередные для развертывания, и мы продолжаем поощрять клиентов полностью проверить обновления и немедленно развернуть их. В это время мы не знаем ни о каких проблемах с другими обновлениями, которые были выпущены в этом месяце, и мы продолжаем поощрять клиентов устанавливать их как можно скорее, чтобы помочь гарантировать, что они защищали от уязвимости, к которой они обращаются.
В то время как мы работаем, чтобы обратиться к этой проблеме, клиенты, которые хотят не устанавливать обновление, могут осуществить обход, обрисованный в общих чертах в бюллетене. CVE-2010-0232 был публично раскрыт, и мы ранее выпустили Консультацию Безопасности 979682
http://www.microsoft.com/technet/security/advisory/979682.mspx
в ответе. Клиенты могут отключить подсистему NTVDM как обход, и мы обеспечили автоматизированный метод выполнения этого с Затруднительным положением Microsoft Она, что Вы можете найти здесь:
http://support.microsoft.com/kb/979682.
Клиенты, которые испытывают проблемы после установки любого из наших обновлений безопасности, могут получить справку, решая проблемы или идя в
https://consumersecuritysupport.microsoft.com
или звоня 1-866-PCSafety (1-866-727-2338). Международные клиенты могут найти местные контактные номера поддержки здесь:
http://support.microsoft.com/common/international.aspx.
Спасибо,

dimon1947
Переводите, так переводите всё. В шапке темы ссылка от 12.02.2010 Restart Issues After Installing MS10-015 (http://blogs.technet.com/msrc/archive/2010/02/12/update-restart-issues-after-installing-ms10-015.aspx), а ваша от 11.02.2010.

Перевод гугла Restart Issues After Installing MS10-015 (http://blogs.technet.com/msrc/archive/2010/02/12/update-restart-issues-after-installing-ms10-015.aspx) от 12.02.2010



Update - Перезагрузка Проблемы, возникающие после установки MS10-015

В наше продолжающееся расследование, чтобы перезапустить вопросы, связанные с MS10-015, что ограниченное число клиентов, которые испытывают, мы определили, что вредоносное ПО в системе может привести к поведению. Мы еще не исключающего другие возможные причины в настоящее время и продолжает расследование. Пожалуйста, просмотрите наш блог со вчерашнего дня для получения дополнительной информации.

Один из ключевых компонентов при расследовании подобных проблем являются получение дампы памяти с компьютеров, которые испытывают проблемы. Для того чтобы получить информацию, нам необходимо полностью проанализировать этот вопрос, некоторые из наших инженеров поддержки фактически Driven к клиентам и взял уязвимые системы, чтобы мы смогли получить необходимые данные аварии прямо и помочь информировать наше расследование. Для получения дополнительной информации о дампы памяти см. по адресу: http://support.microsoft.com/kb/254649.

Мы рекомендуем клиентам воспользоваться нашими "Защитите свой компьютер" наилучшей практики и всегда в курсе антивирусного программного обеспечения, работающего на своих системах для предотвращения вредоносных инфекций. Для клиентов, которые не имеют антивирусных программ, вы можете либо сканирование системы с помощью нашего онлайн инструмент на http://safety.live.com или вы можете установить Microsoft Security Essentials бесплатно.

Это может быть трудным вопросом, решить раз компьютер находится в ООН-загрузочные государство Поэтому мы рекомендуем клиентам, которые считают, что они были влияние этого обратиться в нашу службу поддержки клиентов группой либо собирается HTTPS: / / consumersecuritysupport.microsoft. COM или позвонив по телефону 1-866-PCSAFETY (1-866-727-2338). Международные клиенты могут найти местных номеров в службу поддержки здесь: http://support.microsoft.com/common/international.aspx.

В конце концов, жили с этим 17 лет, и еще немного можно потерпеть. :laugh:

Проверил сегодня свою тестовую среду для установки обновлений (15 пользовательских машин, на половину из них ХР ставилась 5 лет назад). На всех компах установлен КВ977165 (по привычке в день выхода разрешил к установке), все живы-здоровы и БСОДов не наблюдается.

Установил хотфикс еще на 3 машины (на одну только этот хотфикс и на две все за февраль) - проблем не наблюдается.

Интересна позиция мелких - решили под шумок протолкнуть свой "антивирус". :biggrin:

Ну дак, что остаемся на новом пакете? Интересует мнение большинства.

wolkow70, как уже говорил - багов нет вроде бы. Wsus доложил сегодня - на 5 машинах не поставился 977165 - отправил в район утилиты посканить типа tdsskiller и так далее

wolkow70, как уже говорил - багов нет вроде бы. Wsus доложил сегодня - на 5 машинах не поставился 977165 - отправил в район утилиты посканить типа tdsskiller и так далее »
У меня тоже багов не наблюдается ни на домашнем ни на рабочем компе с установленными обновлениями. Но весь мир то гудит...

Ответ Microsoft от 17.02.2010
Restart Issues After Installing MS10-015 and the Alureon Rootkit (http://blogs.technet.com/msrc/archive/2010/02/17/update-restart-issues-after-installing-ms10-015-and-the-alureon-rootkit.aspx)
In every investigated incident, we have not found quality issues with security update MS10-015. Our guidance remains the same: customers should continue to deploy this month’s security updates and make sure their systems are up-to-date with the latest anti-virus software.

Во всех случаях анализа ситуации не было обнаружено ошибок в обновлении MS10-015 (KB977165). Наша рекомендация остаётся той же: пользователям необходимо установить обновления безопасности за этот месяц и убедиться в актуальности антивирусной защиты компьютера.

Перевод Google

Среду, 17 Февраля 2010 6:29 вечера по MSRCTEAM
Update - Перезагрузка Проблемы, возникающие после установки MS10-015 и Alureon Rootkit

Привет,

Мы хотели предоставить вам обновленную информацию о наших текущих расследований в "синий экран" вопросы, затрагивающие ограниченного числа клиентов, которые установлены MS10-015. Мы работали круглые сутки с нашими клиентами, партнерами и несколько команд в Microsoft, чтобы определить причину этих проблем. Наше расследование пришло к выводу о том, что перезагрузка происходит потому, что система заражена вредоносным ПО, в частности руткит Alureon. Мы смогли прийти к такому выводу после всестороннего анализа дампы памяти получен с нескольких компьютеров для клиентов и всесторонних испытаний в отношении сторонних приложений и программного обеспечения. Перезагрузки, являются результатом изменений руткита Alureon делает для исполняемых файлов ядра Windows, которая ставит этих систем в нестабильном состоянии. Во всех исследованных инцидент, мы не обнаружили проблемы с качеством обновления безопасности MS10-015. Наше руководство остается той же: потребители должны продолжать прилагать безопасности этого месяца обновлений и убедитесь, что их системы последнюю дату с новейшими антивирусными программами.

Клиенты продолжают подчеркивать важность качественного обновления, и что высокое качество обновлений способствует более быстрому развертыванию. Хотя этот вопрос клиенты испытывают с MS10-015 была вызвана вредоносным инфекции, а не проблемы с обновлениями безопасности, мы хотим использовать это событие как возможность объяснить, почему этот вопрос не был пойман во время испытаний, и как мы реагируем на сообщила вопросов в наших обновлений безопасности.

Этот вопрос не был пойман в качестве части нашего тестирования, поскольку нередко, когда вредоносная присутствует, зараженные системы ставят в неустойчивом состоянии. Такие инфекции нередко оставляют машины в таком неустойчивом состоянии, что оно не может быть надежно испытания. Это происходит потому, вредоносных программ использовать неподдерживаемый и потенциально дестабилизирующие методы ущерба машине, потому что они хотят, чтобы их скрыть от вредоносных программ по борьбе с вредоносным программным обеспечением. В конкретном случае Alureon, авторы вредоносных программ Windows Изменение поведения, пытаясь получить доступ к конкретной ячейке памяти, вместо позволяя операционной системой определения адреса, который обычно случается, когда загружен исполняемый файл. Цепь событий, в этом случае была машина стала инфицированных, в ходе которых вредоносные сделал предположение относительно расположения кода Windows на машине. Впоследствии MS10-015 был загружен и установлен, в течение которого расположения кода Windows изменилась. При следующей загрузке вредоносного кода разбился пытаться называть конкретные адреса в Windows кодом, который уже не был предназначен ОС функцию.

Microsoft предпринимает шаги для предотвращения подделки ядра Windows с использованием технологий, как защита от исправлений ядра (иногда называемый PatchGuard) и Kernel Mode Code Signing (KMCS), обе из которых включены в 64-битных систем. Эти технологии позволяют обнаружить при проверке целостности неудачу. Различных версий Alureon что мы исследовали только заразить 32-битных системах и не сможет заразить 64-битных систем. Тем не менее, важно отметить, что работает как обычный пользователь, не используя учетную запись администратора является лучшей практики, что в большинстве случаев будет предотвращения вредоносных программ в режиме ядра, заражение системы. Аналогичным образом, сохраняя антивирусные сигнатуры текущих также предотвратить большинство вредоносных программ от инфекций. Кроме того, поскольку мы определили, что 64-битные системы не влияет, мы открываем автоматического обновления для этих платформ.

Посетители, которые заинтересованы в дополнительные технические подробности того, что ядра Windows это можно узнать больше здесь.

Даже после того, как выпущенные обновления безопасности, работа Microsoft Security Response Center является не сделали. В сочетании с Microsoft в службу поддержки клиентов (CSS), мы отслеживаем форумах и отслеживать звонки клиентов чтобы мы могли ответить на вопросы, сообщили в кратчайшие сроки. В среду, 10 февраля, нам стало известно о сообщениях относительно Windows XP SP2 и SP3 систем становится не в состоянии возобновить после успешной установки MS10-015. В докладах, впервые были определены путем мониторинга MSRC's различные интернет-сообщества поддержки форумов, резкий подъем в поддержку том вызова и телеметрии от нашего потребителя Безопасности центр поддержки. После рассмотрения информации, которую мы имели в своем распоряжении, мы перестали поддерживать автоматическое распределение обновление MS10-015 для того, чтобы свести к минимуму возможности для широкомасштабного воздействия клиента в то время как мы исследовали эти доклады. Даже если мы остановили распространение через автоматические обновления, мы видели большое количество развертывание сил как клиенты могут еще развертывание обновления через Windows Update, WSUS или SMS.

В этой ситуации, наши команды, необходимые для получения информации непосредственно из пораженных систем, чтобы понять причину. Потому, что мы так мало докладов и необходимо изучить состояние пораженных систем, группа CSS даже поехали на место клиента, чтобы получить машину для анализа.

В прошлые выходные, мы работали с Microsoft Malware Protection центра (MMPC) на системах, которые были доставлены в Редмонде в прошлую пятницу, и подтвердил, что все пострадавшие были системах Alureon Rootkit установлены. Команда Windows Engineering затем начал работу по созданию теста матрица для определения вредоносных программ был связан с докладами, которые мы получаем. Для того, чтобы мы определили причину проблемы, Windows Engineering испытания машины с помощью тестового процесса, охватывающего все 32-битные версии Windows. Хотя этот вопрос может повлиять любое 32bit Windows система, которая была заражена вредоносным, поскольку доклады преимущественно по 32bit версии Windows XP Данное испытание процесс описан на высоком уровне упором на той версии, в таблице ниже:


Фазы
Действия
Результат на испытания машины

Отладка Фазы 1 Установить поддерживаемых версий Windows XP
Установить все предыдущие обновления довести ядра Windows до версии обновлено: MS10-015 до версии 5.1.2600.5857.
Установить корневой Alureon Kit.
Установить MS10-015 / KB977165 ядра версии 5.1.2600.5913
Система входит повторное перезагрузки / синий экран

Отладка Фаза 2 Установить поддерживаемых версий Windows XP
Установить все предыдущие обновления довести ядра Windows до версии 5.1.2600.5857
Установить все предыдущие обновления довести ядра Windows от текущей версии до версии обновлено: MS10-015.
Установить корневой Alureon Kit.
Успешная загрузка

Отладка Фаза 3 Установка Windows XP SP3
Установить все предыдущие обновления довести ядра Windows до версии 5.1.2600.5857
Установить MS10-015 обновление версии ядра до версии 5.1.2600.5913
Установить корневой Alureon Kit.
Успешная загрузка

Отладка Этап 4 Установить поддерживаемых версий Windows XP
Установить все предыдущие обновления довести ядра Windows до версии 5.1.2600.5857
Установить MS10-015 довести ядра Windows до версии 5.1.2600.5913
Установить корневой Alureon Kit.
Удалите KB977165 настройки ядра до версии 5.1.2600.5857
Машина идет в прокат перезагрузка




Как указано в таблице, присутствие Alureon не позволяет успешно загрузке зараженной системе. Команда Windows Engineering продолжает тестирование различных конфигураций, а также повторное испытание несколькими сторонними приложениями, ведущей к нашему твердому убеждению, что "голубой экран вопросом является результатом руткита Alureon.

Malware компромисс этого типа является серьезной, и если клиенты не могут подтвердить удаления руткитов Alureon используя свои anti-virus/anti-malware выбрано программное обеспечение, наиболее безопасным является рекомендацией для владельца системы для резервного копирования важных файлов и полностью восстановить системы из чистого отформатированный диск.

Инструкции о том, как создать резервные копии файлов в Windows, посетите здесь:
http://windows.microsoft.com/en-US/windows-vista/Back-up-your-files

Инструкции по переустановке Windows, посетите здесь:
http://windows.microsoft.com/en-us/windows/help/install-reinstall-uninstall

Посетители, которые считают, что они испытывают перезагрузки после установки выпуска MS10-015, или требуется поддержка удаления или ремонт их систем, рекомендуется обратиться в службу поддержки клиентов группой либо собирается HTTPS: / / consumersecuritysupport.microsoft.com или телефону 1-866-PCSAFETY (1-866-727-2338). Международные клиенты могут найти местных номеров в службу поддержки здесь: http://support.microsoft.com/common/international.aspx.

Хотя мы не можем предсказать, как авторы вредоносных программ будет автором или изменить свой код, мы привержены поиску новых путей для выявления подобных проблем на зараженных систем. Мы также работаем над более простым решением для обнаружения и удаления Alureon из зараженных систем, которые следует освобожден в течение нескольких недель, а также ряд других сторонних поставщиков.

Мы будем держать вас в курсе здесь на MSRC Блог как у нас больше данных и информации о вредоносном ПО и инструменты автоматического восстановления.

Mike Reavey

Директор MSRC



* Этот комментарий предоставляется "КАК ЕСТЬ" без каких-либо гарантий и передачи прав .*
Подано в: бюллетень по безопасности, обновлений безопасности, вредоносных программ (Malware), вирус

wolkow70, ну не знаю, на 2-ух машинах прибили tdss, на 2 битая оперативка, с 1 не понятно - после полного скандиска ( ошибок не найдено никаких, сообщений о корректировке битмапов тоже нет) прицепился к Wsus - 977165 поставился - все в порядке

В копилку всеобщей истерии добавлю свои 5 копеек: в моей сети 170 машин получили сию "ч0рную метку" через WSUS - ни одного сбоя. "Зоопарк" от селерон-766 до коре 2 дуо. Что я сделал не так ? :dont-know

Тем не менее, важно отметить, что работает как обычный пользователь, не используя учетную запись администратора является лучшей практики, что в большинстве случаев будет предотвращения вредоносных программ в режиме ядра, заражение системы. »
С начала аналог sudo бы реализовали, а не убогий runas, с которым работать невозможно, а потом уже такие советы бы давали...

Во всех случаях анализа ситуации не было обнаружено ошибок в обновлении MS10-015 (KB977165). Наша рекомендация остаётся той же: пользователям необходимо установить обновления безопасности за этот месяц и убедиться в актуальности антивирусной защиты компьютера. »
Тоже хорошо. Переложили ответственность. Почему тогда у виндовс нет встроенной антивирусной защиты?
MSE - не катит, тк его нельзя в организациях использовать, а тот который можно платный...

И ведь от винды отказаться сложно, потому что некоторые ушлепки пишут офисный софт только под нее...
Особенно этим госорганизации болеют.

Сорри за оффтоп, но достало все время на пороховой бочке сидеть...

Почему тогда у виндовс нет встроенной антивирусной защиты? »
Есть (http://files.simplix.ks.ua/100_percent_protection.pdf). Давно.

и в очередной раз о безопасности (по всем трем ссылкам настройка и оптимизация уровня безопасности ОС происходит штатными средствами:

Info - FAQ | Cайты по информационной безопасности (http://forum.oszone.net/thread-28574.html), особенно рекомендую обратить внимание на:

Статьи (руководства от А до Я) посвященные концепциям и методам безопасности ОС семейства Windows (на все случаи жизни):

Безопасный Интернет. Универсальная защита для Windows ME - Vista (http://security-advisory.ru/)
Руководство по настройке Windows для максимально эффективной защиты от вирусов., Протокол v1.2 (http://forum.sysadmins.su/index.php?showtopic=16346)
Базовая концепция системы безопасности ОС Windows семейства NT (http://forum.freesoft.ru/index.php?showtopic=1274)
В данных статьях (руководствах) перечислены все самые популярные угрозы и методы борьбы с ними. Главным достоинством статей является то что большинство действий по обеспечению защиты ОС и данных реализовано стандартными средствами ОС.


З.Ы. изложенная там информация будет полезна многим это и интернет серферы, пользователи ПК (начинающего и среднего уровня), а также некоторые моменты могут быть интересны и полезны специалистам в области ИТ и ИБ.

в моей сети 170 машин получили сию "ч0рную метку" через WSUS - ни одного сбоя. "Зоопарк" от селерон-766 до коре 2 дуо. Что я сделал не так ? »
забыл руткита поставить :lol: