Dienstag, 9. Februar 2010
977165 (MS10-015) - Sicherheitslücke in Windows Kernel - 09.02.10 [5. Update]
Kurzbeschreibung:
Sicherheitsupdate, das eine Lücke im Windows-Kernel schließen soll, durch die ein lokal angemeldeter Benutzer höhere Benutzerrechte erlangen kann (Elevation of Privilege / Rechtsausweitung). Siehe Security Bulletin MS10-015 (englisch bzw. deutsch) sowie Sicherheitswarnung vom 21. Januar 2010.
Aktuell: Nein!
Ersetzt durch:
Sicherheitsupdate KB979683 (MS10-021)
Sicherheitsupdate, das eine Lücke im Windows-Kernel schließen soll, durch die ein lokal angemeldeter Benutzer höhere Benutzerrechte erlangen kann (Elevation of Privilege / Rechtsausweitung). Siehe Security Bulletin MS10-015 (englisch bzw. deutsch) sowie Sicherheitswarnung vom 21. Januar 2010.
Aktuell: Nein!
Ersetzt durch:
Sicherheitsupdate KB979683 (MS10-021)
Ersetzt:
Sicherheitsupdate KB971486 (MS09-058)
Ergänzt:
Sicherheitsupdate KB956572 (MS09-012)
Enthält:
ntkrnlmp.exe (5.1.2600.5913 - 09.12.2009)
ntkrnlpa.exe (5.1.2600.5913 - 09.12.2009)
ntkrpamp.exe (5.1.2600.5913 - 09.12.2009)
ntoskrnl.exe (5.1.2600.5913 - 09.12.2009)
Bekannte Probleme:
Siehe MSKB-Artikel KB977165.
[4. Update] Desweiteren kann es im Zusammenhang mit auf dem System installierter Schadsoftware (Malware), insbesondere dem Rootkit "Tdss" (auch unter dem Namen "Alureon" bekannt) nach der Installation von KB977165 zu einem BlueScreen (z.B. mit den Fehlercodes 0x0000007E bzw. 0x00000050) bzw. einem permanenten Neustart des Systems kommen. Ursache sind durch das Rootkit manipulierte Systemtreiber (insbesondere aber nicht ausschließlich der "atapi.sys", einem essenziellen Laufwerks-Treiber), die mit den Änderungen, die mit dem Kernel-Update KB977165 nicht zurecht kommen bzw. kamen. Falls es nach der Installation von KB977165 zu den oben genannten Phänomen kommt, sollte eine (kostenfreie) Anfrage beim Support von Microsoft gestartet werden - entweder telefonisch (die Nummern werden dort rechts oben angezeigt) oder online.
Sollte der Verdacht bestehen, dass (u.a.) die atapi.sys von einem Rootkit bzw. sonstiger Malware manipuliert wurde, ist grundsätzlich das vollständige Neuaufsetzen des Systems die einzig saubere Lösung. Einem kompromittierten System kann man nicht mehr vertrauen, da man nicht wissen kann, welche weiteren Manipulationen am System angerichtet wurden. Es empfiehlt sich, z.B. die atapi.sys vor der Installation von KB977165 z.B. bei Virustotal einem Scan mit mehren Virenscannern zu unterziehen. Ergeben sich hier Anhaltspunkte für eine Infektion, sollte das System von Grund auf neu aufgesetzt werden (inklusive Formatierung von der Windows-Installations-CD aus).
Wie Microsoft in einem Eintrag im MSRC-Blog am 18.02.2010 (MEZ) ausführlich erläutert, wurden nach intensiven Untersuchen bislang außer einer Infektion des Systems mit Malware keine weiteren, möglichen Ursachen oder andere Probleme im Zusammenhang mit der Installation von KB977165 festgestellt. Dennochwird wurde dieses Sicherheitsupdate seit dem 12. Februar 2010 vorläufig nicht mehr über Auto Update verteilt, falls die standardmäßig ausgewählte Konfiguration "Automatisch (empfohlen) - Empfohlene Updates automatisch herunterladen und auf dem Computer installieren" aktiviert ist. KB977165 wird aber weiterhin in allen anderen Konfigurationen von Auto Update angeboten und steht weiterhin auf der Windows Update-Seite oder im DownloadCenter zur Verfügung. [/ 4. Update]
[5. Update] Seit dem 02.03.2010 wird KB977165 auch wieder über Auto Update verteilt. Siehe hierzu auch den zugehörigen Eintrag im MSRC-Blog. Über einen Erkennungsmechnismus des Windows Update Agents, der für die Verteilung von Updates über die Windows Update-Seite als auch über Auto Update zuständig ist, soll bei Systemen, die potenziell mit Schadsoftware befallenen sind, nunmehr bei bzw. vor der Installation von KB977165 ein spezieller Fehlercode, für Windows XP-Systeme 0x8007F0F4, angezeigt werden. Die Installation von KB977165 wird in diesen Fällen abgebrochen. Dies gilt nicht, falls KB977165 über das DownloadCenter (siehe Link "Direkter Download" im Artikel) manuell heruntergeladen wurde und ausgeführt wird. Im Vorfeld lässt sich das System über ein "Fix it!"-Tool auf mögliche "Inkompatiblitäten" von KB977165 mit evtl. installierter Schadsoftware überprüfen, das Microsoft im MSKB-Artikel KB980966 und separat über das DownloadCenter (hier als "Kernel Update Compatibility Assessment Tool" in einer "abgespeckten" Version ohne Benutzeroberfläche) zur Verfügung stellt. [/5. Update]
Anmerkung:
Sollte KB977165 nach der erfolgreichen Installation durch Windows/Microsoft/AutoUpdate immer wieder erneut zur Installation angeboten wird, kann das manuelle Herunterladen dieses Updates über den obigen "direkter Download"-Link helfen. Diese Datei speichern und anschließend mit dem Parameter "/o" (o wie overwriteOEM) unter "Ausführen" im Startmenü starten, also
"[Speicherpfad]\WindowsXP-KB977165-x86-DEU.exe" /o
wobei "[Speicherpfad]" durch den Laufwerksbuchstaben und Ordner ersetzt werden muss, in den die EXE-Datei gespeichert wurde. Bitte das Leerzeichen nach dem letzten Anführungszeichen und vor dem Parameter beachten! Siehe auch MSKB-Artikel KB262841 und dort im Abschnitt "Befehlszeilenoptionen für das Programm 'Update.exe'".
Sicherheitsupdate KB971486 (MS09-058)
Ergänzt:
Sicherheitsupdate KB956572 (MS09-012)
Enthält:
ntkrnlmp.exe (5.1.2600.5913 - 09.12.2009)
ntkrnlpa.exe (5.1.2600.5913 - 09.12.2009)
ntkrpamp.exe (5.1.2600.5913 - 09.12.2009)
ntoskrnl.exe (5.1.2600.5913 - 09.12.2009)
Bekannte Probleme:
Siehe MSKB-Artikel KB977165.
[4. Update] Desweiteren kann es im Zusammenhang mit auf dem System installierter Schadsoftware (Malware), insbesondere dem Rootkit "Tdss" (auch unter dem Namen "Alureon" bekannt) nach der Installation von KB977165 zu einem BlueScreen (z.B. mit den Fehlercodes 0x0000007E bzw. 0x00000050) bzw. einem permanenten Neustart des Systems kommen. Ursache sind durch das Rootkit manipulierte Systemtreiber (insbesondere aber nicht ausschließlich der "atapi.sys", einem essenziellen Laufwerks-Treiber), die mit den Änderungen, die mit dem Kernel-Update KB977165 nicht zurecht kommen bzw. kamen. Falls es nach der Installation von KB977165 zu den oben genannten Phänomen kommt, sollte eine (kostenfreie) Anfrage beim Support von Microsoft gestartet werden - entweder telefonisch (die Nummern werden dort rechts oben angezeigt) oder online.
Sollte der Verdacht bestehen, dass (u.a.) die atapi.sys von einem Rootkit bzw. sonstiger Malware manipuliert wurde, ist grundsätzlich das vollständige Neuaufsetzen des Systems die einzig saubere Lösung. Einem kompromittierten System kann man nicht mehr vertrauen, da man nicht wissen kann, welche weiteren Manipulationen am System angerichtet wurden. Es empfiehlt sich, z.B. die atapi.sys vor der Installation von KB977165 z.B. bei Virustotal einem Scan mit mehren Virenscannern zu unterziehen. Ergeben sich hier Anhaltspunkte für eine Infektion, sollte das System von Grund auf neu aufgesetzt werden (inklusive Formatierung von der Windows-Installations-CD aus).
Wie Microsoft in einem Eintrag im MSRC-Blog am 18.02.2010 (MEZ) ausführlich erläutert, wurden nach intensiven Untersuchen bislang außer einer Infektion des Systems mit Malware keine weiteren, möglichen Ursachen oder andere Probleme im Zusammenhang mit der Installation von KB977165 festgestellt. Dennoch
[5. Update] Seit dem 02.03.2010 wird KB977165 auch wieder über Auto Update verteilt. Siehe hierzu auch den zugehörigen Eintrag im MSRC-Blog. Über einen Erkennungsmechnismus des Windows Update Agents, der für die Verteilung von Updates über die Windows Update-Seite als auch über Auto Update zuständig ist, soll bei Systemen, die potenziell mit Schadsoftware befallenen sind, nunmehr bei bzw. vor der Installation von KB977165 ein spezieller Fehlercode, für Windows XP-Systeme 0x8007F0F4, angezeigt werden. Die Installation von KB977165 wird in diesen Fällen abgebrochen. Dies gilt nicht, falls KB977165 über das DownloadCenter (siehe Link "Direkter Download" im Artikel) manuell heruntergeladen wurde und ausgeführt wird. Im Vorfeld lässt sich das System über ein "Fix it!"-Tool auf mögliche "Inkompatiblitäten" von KB977165 mit evtl. installierter Schadsoftware überprüfen, das Microsoft im MSKB-Artikel KB980966 und separat über das DownloadCenter (hier als "Kernel Update Compatibility Assessment Tool" in einer "abgespeckten" Version ohne Benutzeroberfläche) zur Verfügung stellt. [/5. Update]
Anmerkung:
Sollte KB977165 nach der erfolgreichen Installation durch Windows/Microsoft/AutoUpdate immer wieder erneut zur Installation angeboten wird, kann das manuelle Herunterladen dieses Updates über den obigen "direkter Download"-Link helfen. Diese Datei speichern und anschließend mit dem Parameter "/o" (o wie overwriteOEM) unter "Ausführen" im Startmenü starten, also
"[Speicherpfad]\WindowsXP-KB977165-x86-DEU.exe" /o
wobei "[Speicherpfad]" durch den Laufwerksbuchstaben und Ordner ersetzt werden muss, in den die EXE-Datei gespeichert wurde. Bitte das Leerzeichen nach dem letzten Anführungszeichen und vor dem Parameter beachten! Siehe auch MSKB-Artikel KB262841 und dort im Abschnitt "Befehlszeilenoptionen für das Programm 'Update.exe'".
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Müßte damit nicht der Eintrag "Aktuell ja/nein"
beim Eintrag KB971486 auf "NEIN" gesetzt werden?
mfg
Roger
beim Eintrag KB971486 auf "NEIN" gesetzt werden?
mfg
Roger
#1
am
10.02.2010 15:03
Moin Roger,
ja müsste und jetzt auch. Danke.
In der "Alte Updates"-Kategorie war er eh.
Bye,
Freudi
ja müsste und jetzt auch. Danke.
In der "Alte Updates"-Kategorie war er eh.
Bye,
Freudi
Zu möglichen Problemen siehe auch Kommentare zum Artikel zu KB977165 unter Windows 7 ab http://patch-info.de/artikel/2010/02/09/775#c4353
Bye,
Freudi
Bye,
Freudi
Ein [3. Update] im Abschnitt "Bekannte Probleme" mit Hinweisen zur Klarstellung zum Umgang mit infizierten Systemen hinzugefügt.
Mit dem [4. Update] den Absatz "Bekannte Probleme" den aktuellen Erkenntnissen angepasst und umgeschrieben.
[5. Update] eingefügt:
KB977165 wird wieder über Auto Update an alle System verteilt, gibt aber bei potenziell befallenen Systemen einen speziellen Fehlercode beim Installationsversuch zurück. Zusätzlich gibt es ein "Kernel Update Compatibility Assessment Tool", mit dem im Vorfeld geprüft werden kann, ob das System möglicherweise befallen ist.
KB977165 wird wieder über Auto Update an alle System verteilt, gibt aber bei potenziell befallenen Systemen einen speziellen Fehlercode beim Installationsversuch zurück. Zusätzlich gibt es ein "Kernel Update Compatibility Assessment Tool", mit dem im Vorfeld geprüft werden kann, ob das System möglicherweise befallen ist.
Moin Freudi
KB977165 ist nicht mehr aktuell, da es von WU entfernt wurde: http://tinyurl.com/yljxbu7
Gruß
Tiggz
KB977165 ist nicht mehr aktuell, da es von WU entfernt wurde: http://tinyurl.com/yljxbu7
Gruß
Tiggz
#4
am
12.02.2010 09:16
Moin, schon mal den Artikel gelesen, bevor Du geantwortet hast? Insbesondere das [Update] könnte Dich interessieren 
Bye,
Freudi
Bye,
Freudi
Damn, Sorry. Wer lesen kann...
Gruß
Tiggz
Gruß
Tiggz
#4.1.1
am
12.02.2010 09:26
Hallo Freudi,
kann es sein, dass da ein Zahlendreher drin ist?
Bei "Bis zum Ende dieser Untersuchung wird KB977615 nicht mehr über Auto Update verteilt," und nochmal beim 2. Update 977615 statt 977165?
Viele Grüße
Hella
kann es sein, dass da ein Zahlendreher drin ist?
Bei "Bis zum Ende dieser Untersuchung wird KB977615 nicht mehr über Auto Update verteilt," und nochmal beim 2. Update 977615 statt 977165?
Viele Grüße
Hella
#5
am
13.02.2010 01:31
Hallo Freudi,
hab gesehen, dass Du es geändert hast. Aber in Deinen nachträglichen Antworten hat der Zahlendreher wieder zugeschlagen
. Aber man weiss ja, was gemeint ist.
Viele Grüße
Hella
hab gesehen, dass Du es geändert hast. Aber in Deinen nachträglichen Antworten hat der Zahlendreher wieder zugeschlagen
. Aber man weiss ja, was gemeint ist.Viele Grüße
Hella
#5.1.1
am
13.02.2010 18:53
Moin Hella,
ich weß nicht, was Du meinst unschuldigguck
Bye,
Freu"mit dem großen Besen korrigiert - Danke und seufz"di
ich weß nicht, was Du meinst unschuldigguck
Bye,
Freu"mit dem großen Besen korrigiert - Danke und seufz"di
Hi,
ich habe das Update auf meinem XP Rechner erstmal nicht installiert. Die restlichen Updates vom Patchday sind erfolgreich installiert.
Was macht man denn jetzt am besten wegen der verbleibenden Lücke? An dieses Ersatz-Tool traue ich mich nicht so recht ran. Ist man jetzt richtig gefährdet wenn man das Update nicht hat?
Dankeschön!
ich habe das Update auf meinem XP Rechner erstmal nicht installiert. Die restlichen Updates vom Patchday sind erfolgreich installiert.
Was macht man denn jetzt am besten wegen der verbleibenden Lücke? An dieses Ersatz-Tool traue ich mich nicht so recht ran. Ist man jetzt richtig gefährdet wenn man das Update nicht hat?
Dankeschön!
#6
am
13.02.2010 10:42
Moin Annika,
eine Beschreibung der mit KB977165 geschlossenen Sicherheitslücken findest Du im zugehörigen Security Bulletin MS10-015 beschreiben, das im Artikel verlinkt ist.
Darunter ist auch die in http://patch-info.de/artikel/2010/01/21/763 beschriebene Sicherheistlücke (siehe auch Link im Artikel zur "Sicherheitswarnung"). Höchst dramatisch sind die mit KB977165 geschlossenen Sicherheitslücken nach derzeitigem Stand eher nicht. Das gilt im Besonderen, wenn entweder niemand anders physischen Zugriff auf den Rechner hat oder falls doch, mit eingeschränkten Benutzerrechten gearbeitet wird.
Im Regelfall treten keine Probleme auf Windows XP-Systemen nach der Installation von KB977165 auf, auch wenn die veröffentlichte Meinung etwas anderes suggeriert. Betroffen von evtl. Problemen sind nach derzeitigen Erkenntnissen überwiegend wenn nicht ausschließlich Systeme, auf denen sich Schadsoftware unbemerkt breit gemacht hat.
Kannst Du mal eben nachschauen, welche Versionsnummer die "atapi.sys" auf Deinem Rechner aufweist? Zum wie und wo, siehe Artikel.
Bye,
Freudi
eine Beschreibung der mit KB977165 geschlossenen Sicherheitslücken findest Du im zugehörigen Security Bulletin MS10-015 beschreiben, das im Artikel verlinkt ist.
Darunter ist auch die in http://patch-info.de/artikel/2010/01/21/763 beschriebene Sicherheistlücke (siehe auch Link im Artikel zur "Sicherheitswarnung"). Höchst dramatisch sind die mit KB977165 geschlossenen Sicherheitslücken nach derzeitigem Stand eher nicht. Das gilt im Besonderen, wenn entweder niemand anders physischen Zugriff auf den Rechner hat oder falls doch, mit eingeschränkten Benutzerrechten gearbeitet wird.
Im Regelfall treten keine Probleme auf Windows XP-Systemen nach der Installation von KB977165 auf, auch wenn die veröffentlichte Meinung etwas anderes suggeriert. Betroffen von evtl. Problemen sind nach derzeitigen Erkenntnissen überwiegend wenn nicht ausschließlich Systeme, auf denen sich Schadsoftware unbemerkt breit gemacht hat.
Kannst Du mal eben nachschauen, welche Versionsnummer die "atapi.sys" auf Deinem Rechner aufweist? Zum wie und wo, siehe Artikel.
Bye,
Freudi
Hi Freudi,
danke für deine Antwort.
Diese Datei hat bei mir folgende Eigenschaften: IDE/Atapi Port Driver, Firma: Microsoft Coroporation, Dateiversion: 5.1.2600.5512, Größe: 94,2 KB.
Das Update wird ja inzwischen nicht mehr über die automatischen Updates verteilt.
Was sollte ich jetzt am besten machen: warten, bis eine neue Version rauskommt oder das Update wieder freigegeben wird, oder selbst von der MS Seite installieren (das habe ich allerdings noch nie gemacht)? Ich bin etwas ratlos.
Es ist übrigens mein eigener Laptop, an dem nur ich arbeite.
Danke für deine Mühe,
Annika
danke für deine Antwort.
Diese Datei hat bei mir folgende Eigenschaften: IDE/Atapi Port Driver, Firma: Microsoft Coroporation, Dateiversion: 5.1.2600.5512, Größe: 94,2 KB.
Das Update wird ja inzwischen nicht mehr über die automatischen Updates verteilt.
Was sollte ich jetzt am besten machen: warten, bis eine neue Version rauskommt oder das Update wieder freigegeben wird, oder selbst von der MS Seite installieren (das habe ich allerdings noch nie gemacht)? Ich bin etwas ratlos.
Es ist übrigens mein eigener Laptop, an dem nur ich arbeite.
Danke für deine Mühe,
Annika
#6.1.1
am
13.02.2010 13:44
Moin Annika,
die Entschiedung kann ich Dir nicht abnehmen.
Wenn Du als einziger Windows-Benutzer eingerichtet bist, ist die von den Lücken, die mit dem Update geschlossen wurden, ausgehende "Gefahr" nach derzeitgem Kenntnisstand relativ gering.
Andererseits könntest Du ein Image des Systemlaufwerks (mit einem Imagein-Programm) anlegen, dieses auf eine möglichst bootfähige DVD brennen und anschließend der Installation von KB977165 in jedem Fall gelassen entgegen sehen. Ein Image anzulegen ist eh keine schlechte Idee.
Bye,
Freudi
die Entschiedung kann ich Dir nicht abnehmen.
Wenn Du als einziger Windows-Benutzer eingerichtet bist, ist die von den Lücken, die mit dem Update geschlossen wurden, ausgehende "Gefahr" nach derzeitgem Kenntnisstand relativ gering.
Andererseits könntest Du ein Image des Systemlaufwerks (mit einem Imagein-Programm) anlegen, dieses auf eine möglichst bootfähige DVD brennen und anschließend der Installation von KB977165 in jedem Fall gelassen entgegen sehen. Ein Image anzulegen ist eh keine schlechte Idee.
Bye,
Freudi
Hallo,
Auf zwei getesteten Rechnern gab es nach dem Neustart nach den Updates bis jetzt keine Probleme. Im Systemverzeichnis ist auch ein Ordner $NtUninstallKB977165$ vorhanden. Also ging ich bis jetzt davon aus, dass KB977165 installiert wurde. Allerdings bekam ich eben nicht wie alle anderen einen Blue Screen nach dem Neustart. Kann es sein, dass KB977185 doch nicht installiert wurde, obwohl der entsprechende Uninstall-Ordner angelegt wurde? Welche Möglichkeiten gibt es sonst noch, um nachzuprüfen, ob KB977165 installiert wurde?
Vielen Dank für alle Hinweise im voraus und beste Grüße
Gerd
Auf zwei getesteten Rechnern gab es nach dem Neustart nach den Updates bis jetzt keine Probleme. Im Systemverzeichnis ist auch ein Ordner $NtUninstallKB977165$ vorhanden. Also ging ich bis jetzt davon aus, dass KB977165 installiert wurde. Allerdings bekam ich eben nicht wie alle anderen einen Blue Screen nach dem Neustart. Kann es sein, dass KB977185 doch nicht installiert wurde, obwohl der entsprechende Uninstall-Ordner angelegt wurde? Welche Möglichkeiten gibt es sonst noch, um nachzuprüfen, ob KB977165 installiert wurde?
Vielen Dank für alle Hinweise im voraus und beste Grüße
Gerd
#6.1.2
am
13.02.2010 14:48
Moin Gerd,
wie kommst Du darauf, dass "alle anderen einen BlueScreen" nach der Installation von KB977165 und dem anschließend fälligen Neustart von Windows präsentiert bekämen? Das ist mitnichten der Fall!
Schau doch in der Systemsteuerun unter "Software" nach, ob dort nach dem Aktivieren der Option "Updates anzeigen" KB977165 gelistet wird. Falls ja, ist das Update installiert und Dein System nicht von möglichen Problemen betroffen.
Bye,
Freudi
wie kommst Du darauf, dass "alle anderen einen BlueScreen" nach der Installation von KB977165 und dem anschließend fälligen Neustart von Windows präsentiert bekämen? Das ist mitnichten der Fall!
Schau doch in der Systemsteuerun unter "Software" nach, ob dort nach dem Aktivieren der Option "Updates anzeigen" KB977165 gelistet wird. Falls ja, ist das Update installiert und Dein System nicht von möglichen Problemen betroffen.
Bye,
Freudi
> wie kommst Du darauf, dass "alle anderen einen BlueScreen" nach der Installation von KB977165
> und dem anschließend fälligen Neustart von Windows präsentiert bekämen?
Das ließen die im Netz zu findenden Schlagzeilen vermuten - kleine Auswahl:
Sicherheits-Update von Microsoft führt zu Bluescreen (heise online)
Bluescreen: Windows-Patch legt XP lahm (CHIP online)
Microsoft Update KB977165 triggering widespread BSOD (PC Perspective und Blog von Patrick W. Barnes)
Da bekommt man doch erst mal einen Schreck, wenn man diese Schlagzeilen sieht - und zunächst entsteht der Eindruck, dass dieses Update grundsätzlich zum Blue Screen führt.
Ich habe allerdings erst davon gelesen, nachdem ich den Patch installiert hatte, und glaubte deshalb zunächst an einen Fehler auf meinen Rechnern, weil der BSOD bei mir eben nicht auftrat.
Beste Grüße
Gerd
> und dem anschließend fälligen Neustart von Windows präsentiert bekämen?
Das ließen die im Netz zu findenden Schlagzeilen vermuten - kleine Auswahl:
Sicherheits-Update von Microsoft führt zu Bluescreen (heise online)
Bluescreen: Windows-Patch legt XP lahm (CHIP online)
Microsoft Update KB977165 triggering widespread BSOD (PC Perspective und Blog von Patrick W. Barnes)
Da bekommt man doch erst mal einen Schreck, wenn man diese Schlagzeilen sieht - und zunächst entsteht der Eindruck, dass dieses Update grundsätzlich zum Blue Screen führt.
Ich habe allerdings erst davon gelesen, nachdem ich den Patch installiert hatte, und glaubte deshalb zunächst an einen Fehler auf meinen Rechnern, weil der BSOD bei mir eben nicht auftrat.
Beste Grüße
Gerd
#6.1.2.1.1
am
15.02.2010 11:42
Moin Gerd,
ja, der sich immer weiter breitmachende "Schlagzeilenjournalismus" kann zur Verunsicherung beitragen. Manchmal könnte man meinen, dies sei die vornehmlich Aufgabe. Solche Sites stellen sich auch gerne anschließend als Retter in der Not dar, wenn denn nach einer weiteren Artikelserie auf den werbefinanzierten Seiten herauskommt, was wirklich los war/ist.
Fast fühle ich mich genötigt, dafür um Entschuldigung zu bitten, dass ich diesem Trend nicht folge...
Bye,
Freudi
ja, der sich immer weiter breitmachende "Schlagzeilenjournalismus" kann zur Verunsicherung beitragen. Manchmal könnte man meinen, dies sei die vornehmlich Aufgabe. Solche Sites stellen sich auch gerne anschließend als Retter in der Not dar, wenn denn nach einer weiteren Artikelserie auf den werbefinanzierten Seiten herauskommt, was wirklich los war/ist.
Fast fühle ich mich genötigt, dafür um Entschuldigung zu bitten, dass ich diesem Trend nicht folge...
Bye,
Freudi
Soweit ich erfahren habe ist der Bluescreen nur auf deren Computern zu erwarten, die während der Installation den Patches befallen sind von Malware. Aber ich habe auf 2 Computern keinerlei Probleme mit diesem Patch, von daher voll auf zufrieden.
LG Screamdad
LG Screamdad
#7
am
14.02.2010 16:52
Moin,
ich finds wirklich gut, dass Du den Artikel vor dem Kommentieren gelesen hast
Bye,
Freudi
ich finds wirklich gut, dass Du den Artikel vor dem Kommentieren gelesen hast
Bye,
Freudi
Aber sicher.....
#7.1.1
am
14.02.2010 17:19
ich find es fein von microsoft, echt, ich hab mir grad 2 notebooks mit diesem feinen update geschossen!
es geht garnichts mehr, die festplatten sind absolut tot!!!
weder original-cd, noch recovery-cd werden noch angenommen, es geht nyx mehr.
danke mircrosoft, da werd ich mir sicherlich leicht tun bei der auswahl des nächsten betriebssystems
es geht garnichts mehr, die festplatten sind absolut tot!!!
weder original-cd, noch recovery-cd werden noch angenommen, es geht nyx mehr.
danke mircrosoft, da werd ich mir sicherlich leicht tun bei der auswahl des nächsten betriebssystems
#8
am
15.02.2010 17:11
Moin Herwig,
Du hast den Artikel, den Du kommentierst, wirklich vorher gelesen?
Nach derzeitigen Erkenntnissen ist zumindest für die meisten Probleme, welche durch die Installation von KB977615 ausgelöst werden können die Infektion des Systems mit einer Schadsoftware ursächlich (einen Link zur Beschribung des mutmaßlich ursächlichen Rootkits findet sich im Artikel), also nicht das Update selbst.
Dass in Deinem Fall auch das "gewöhnliche" Booten von CD/DVD nicht möglich scheint, also ohne dass Windows überhaupt geladen ist, wird eine andere bzw. weitere Ursache haben. Die BIOS-Einstellungen hast Du sicherlich ebenso geprüft wie verfiziert, dass auch das Starten von z.B. einer Knoppix-Live-CD/DVD nicht mehr möglich ist, oder?
Bye,
Freudi
Du hast den Artikel, den Du kommentierst, wirklich vorher gelesen?
Nach derzeitigen Erkenntnissen ist zumindest für die meisten Probleme, welche durch die Installation von KB977615 ausgelöst werden können die Infektion des Systems mit einer Schadsoftware ursächlich (einen Link zur Beschribung des mutmaßlich ursächlichen Rootkits findet sich im Artikel), also nicht das Update selbst.
Dass in Deinem Fall auch das "gewöhnliche" Booten von CD/DVD nicht möglich scheint, also ohne dass Windows überhaupt geladen ist, wird eine andere bzw. weitere Ursache haben. Die BIOS-Einstellungen hast Du sicherlich ebenso geprüft wie verfiziert, dass auch das Starten von z.B. einer Knoppix-Live-CD/DVD nicht mehr möglich ist, oder?
Bye,
Freudi
ich will nicht den artikel kommentieren, ich will hilfe - bitte!
im BIOS findet sich nicht einmal mehr die HDD, es handelt sich um ein ACER und ein HP-Notebook, die bis zum update einwandfrei funktioniert haben.
das wäre dann schon ein komischer zufall, wenn das nyx mit dem update zu tun hat, oder?
knoppix-live-cd/dvd müsste ich doch schon im vorhinein erstellt haben, die nützt mir jetzt nichts mehr, oder?
im BIOS findet sich nicht einmal mehr die HDD, es handelt sich um ein ACER und ein HP-Notebook, die bis zum update einwandfrei funktioniert haben.
das wäre dann schon ein komischer zufall, wenn das nyx mit dem update zu tun hat, oder?
knoppix-live-cd/dvd müsste ich doch schon im vorhinein erstellt haben, die nützt mir jetzt nichts mehr, oder?
#8.1.1
am
15.02.2010 17:31
Lies den Artikel! Dies hier ist nicht der Support von Microsoft.
Wenn im BIOS keine Festplatte erkannt wird, liegt ein Hardware-Defekt nahe. Hervorgerufen durch ein Windows Update wurde der sicherlich nicht.
Da Du ja wohl mit einem anderen Rechner sehr wohl online bist, könntest Du Dir von diesem auch eine Knoppix-Live-CD/DVD herunterladen, brennen und anschließend auf den betroffenen Rechnern testen - wobei es sicher kein Nachteil wäre, im BIOS dieser Rechner sicher zu stellen, dass auch von CD/DVD gebootet werden kann
Bye,
Freudi
P.S.: Es wäre möglicherweise interessant zu wissen, ob es sich um SATA oder IDE-Festplatten handelt und welcher Betriebsmodus für diese im BIOS eingestellt sind. Auch die Option "Plug & Play" bzw. "PnP" im BIOS könnte eine Rolle spielen. Ist diese auf "Use OS settings" oder dergleichen eingestellt, könnte dies mglw das Rootkit zu laden versuchen und damit das Booten von CD evtl scheitern.
Wenn im BIOS keine Festplatte erkannt wird, liegt ein Hardware-Defekt nahe. Hervorgerufen durch ein Windows Update wurde der sicherlich nicht.
Da Du ja wohl mit einem anderen Rechner sehr wohl online bist, könntest Du Dir von diesem auch eine Knoppix-Live-CD/DVD herunterladen, brennen und anschließend auf den betroffenen Rechnern testen - wobei es sicher kein Nachteil wäre, im BIOS dieser Rechner sicher zu stellen, dass auch von CD/DVD gebootet werden kann
Bye,
Freudi
P.S.: Es wäre möglicherweise interessant zu wissen, ob es sich um SATA oder IDE-Festplatten handelt und welcher Betriebsmodus für diese im BIOS eingestellt sind. Auch die Option "Plug & Play" bzw. "PnP" im BIOS könnte eine Rolle spielen. Ist diese auf "Use OS settings" oder dergleichen eingestellt, könnte dies mglw das Rootkit zu laden versuchen und damit das Booten von CD evtl scheitern.
hallo freudi
der ms-support ist wie ein dschungel ohne aussicht auf einen weg.
aber was anderes:
ich hab die festplatte ausgebaut (IDE) und via usb an meinen laptop angeschlossen (der wo w7 hat) und dort hab ich nun auch zugriff auf die platte. nun zu meiner frage:
was muss ich wo löschen, damit die platte wieder erkannt wird?
lg
herwig
der ms-support ist wie ein dschungel ohne aussicht auf einen weg.
aber was anderes:
ich hab die festplatte ausgebaut (IDE) und via usb an meinen laptop angeschlossen (der wo w7 hat) und dort hab ich nun auch zugriff auf die platte. nun zu meiner frage:
was muss ich wo löschen, damit die platte wieder erkannt wird?
lg
herwig
#8.1.1.1.1
am
15.02.2010 18:49
Sorry Herwig,
aber wenn Du den Artikel und meine Antworten nicht liest, kann ich Dir nicht helfen.
Bye,
Freu"Stichwort ggf.: atapi.sys"di
aber wenn Du den Artikel und meine Antworten nicht liest, kann ich Dir nicht helfen.
Bye,
Freu"Stichwort ggf.: atapi.sys"di
Ich sah noch wie Sicherheitsupdates installiert wurden, dann liess sich mein Notebook mit 40 GB Samsung IDE HDD nicht mehr booten. Booten von DVD/CD ja, solange HDD steckt, aber HDD nicht erkannt, auch nicht von der Datenträgerverwaltung. LED blinkt 1 x kurz 6 x lang, nachdem Startgeräusche erstorben. HDD auch als USB Disk nicht ansprechbar. Neue HDD gekauft und OS neu aufgesetzt.
#9
am
17.02.2010 00:55
Moin Ulrich,
sorry für die Verspätung!
Als Ursache kommt, natürlich neben einem Hardwaredefekt der Festplatte selbst, evlt. auch eine BIOS-Einstellung in Betracht: Sollte im BIOS "Plug & Play" bzw. "PnP" aktiviert sein und dies zusätzlich so konfiguriert sein, dass die Treiber des Betriebssystems verwendet werden ("Use OS Settings" osä), könnte ein auf dem System installiertes Rootkit (siehe Artikeltext) auch die Erkennung der Festplatte im BIOS -hm- "beeinflussen".
Bye,
Freudi
sorry für die Verspätung!
Als Ursache kommt, natürlich neben einem Hardwaredefekt der Festplatte selbst, evlt. auch eine BIOS-Einstellung in Betracht: Sollte im BIOS "Plug & Play" bzw. "PnP" aktiviert sein und dies zusätzlich so konfiguriert sein, dass die Treiber des Betriebssystems verwendet werden ("Use OS Settings" osä), könnte ein auf dem System installiertes Rootkit (siehe Artikeltext) auch die Erkennung der Festplatte im BIOS -hm- "beeinflussen".
Bye,
Freudi
Hallo,
was ich leider immer noch nicht verstehe: es gibt also auch noch andere Ursachen außer einer Rootkit-Infektion, aber darüber ist noch gar nichts gesagt/geforscht worden?
Mir ist klar, dass in manchen Fällen die Infektion Ursache war. Aber über die sonstigen möglichen Ursachen kein weiteres Wort...
Das finde ich komisch.
was ich leider immer noch nicht verstehe: es gibt also auch noch andere Ursachen außer einer Rootkit-Infektion, aber darüber ist noch gar nichts gesagt/geforscht worden?
Mir ist klar, dass in manchen Fällen die Infektion Ursache war. Aber über die sonstigen möglichen Ursachen kein weiteres Wort...
Das finde ich komisch.
#10
am
23.02.2010 19:34
Moin Andy,
in allen Fällen, die Microsoft bislang bekannt geworden sind, war ein Rootkit die Ursache. Dennoch untersucht Microsoft noch immer und intensiv, ob möglicherweise auch andere Ursachen infrage kommen. Vorsorglich sozusagen.
Bye,
Freudi
in allen Fällen, die Microsoft bislang bekannt geworden sind, war ein Rootkit die Ursache. Dennoch untersucht Microsoft noch immer und intensiv, ob möglicherweise auch andere Ursachen infrage kommen. Vorsorglich sozusagen.
Bye,
Freudi
Hallo Freudi,
ich habe noch einen kleinen Fehler gefunden:
"...nach intensiven Untersuchen bislang außer einer Infektion des Systems mit Malware weiteren, möglichen Ursachen..."
nach Malware müsste doch "keine" kommen oder.
Gruß
HS
ich habe noch einen kleinen Fehler gefunden:
"...nach intensiven Untersuchen bislang außer einer Infektion des Systems mit Malware weiteren, möglichen Ursachen..."
nach Malware müsste doch "keine" kommen oder.
Gruß
HS
#11
am
24.02.2010 02:06
Moin HS,
mal wieder Danke!
Korriiert,
Freu"Was doch so ein unsauber geöffneter Tag im Sourcecode ausmachen kann grummel "di
mal wieder Danke!
Korriiert,
Freu"Was doch so ein unsauber geöffneter Tag im Sourcecode ausmachen kann grummel "di
[Repost eines Kommentars, der ursprünglich unter KB977165 für Windows 7 gepostet wurde - Seufz, Freudi]
Hallo,
ich habe bei meinem XP-Rechner diese auto-update-Funktion deaktiviert und so eingestellt, dass mir Windoofs immer nur meldet, wenn Updates verfügbar sind. Da war jetzt auch dieses bedenkliche Update KB977165 mit dabei. Nun hatte ich diverse Warnungen in PC-Zeitschriften mitgekriegt und war vorsichtig. Habe also erst mal dieses Update ausgespart beim Herunterladen und Installieren. ABER jetzt habe ich (wie oben vorgeschlagen) einen Scan bei Virus Total für meine Datei "atapi.sys" gemacht. Alle dort benutzten Virenscanner haben Entwarnung gegeben, bis auf einen (esafe), der mir meldete (in roten Lettern): "Win32.rottkit". Meine Frage: (ich habe irgendwo mal gelesen, rootkit ist nicht gleich rootkit und nicht von vorn herein bedenklich usw.): Muss ich jetzt mit dem MS-Update KB977165 bei dieser rootkit-Meldung vorsichtig sein oder kann ich das Update runterladen. Weil: in Euren Artikeln steht immer drin "vor allem, aber nicht nur ..." oder so ähnlich. D.h. also, dass nicht nur diese eine Datei namens atapi.sys von Interesse sein könnte usw.... - Vielen lieben Dank für die Hilfe. - Gruß Ronny
Hallo,
ich habe bei meinem XP-Rechner diese auto-update-Funktion deaktiviert und so eingestellt, dass mir Windoofs immer nur meldet, wenn Updates verfügbar sind. Da war jetzt auch dieses bedenkliche Update KB977165 mit dabei. Nun hatte ich diverse Warnungen in PC-Zeitschriften mitgekriegt und war vorsichtig. Habe also erst mal dieses Update ausgespart beim Herunterladen und Installieren. ABER jetzt habe ich (wie oben vorgeschlagen) einen Scan bei Virus Total für meine Datei "atapi.sys" gemacht. Alle dort benutzten Virenscanner haben Entwarnung gegeben, bis auf einen (esafe), der mir meldete (in roten Lettern): "Win32.rottkit". Meine Frage: (ich habe irgendwo mal gelesen, rootkit ist nicht gleich rootkit und nicht von vorn herein bedenklich usw.): Muss ich jetzt mit dem MS-Update KB977165 bei dieser rootkit-Meldung vorsichtig sein oder kann ich das Update runterladen. Weil: in Euren Artikeln steht immer drin "vor allem, aber nicht nur ..." oder so ähnlich. D.h. also, dass nicht nur diese eine Datei namens atapi.sys von Interesse sein könnte usw.... - Vielen lieben Dank für die Hilfe. - Gruß Ronny
#12
am
26.02.2010 04:33
Moin Ronny,
nochmal zum Mitmeißeln:
KB977165 ist nicht und war nie "bedenklich". Das einzige, was "bedenklich" war und ist, ein Rootkit unbemerkt installiert zu haben und damit die Kontrolle über das System mehr oder minder weitgehend zu verlieren. Eine Definition von "Rootkit" findest Du z.B. unter http://de.wikipedia.org/wiki/Rootkit
Eines dieser schädlichen(!) Rootkits ist im Artikel zu KB977165 namentlich erwähnt. Dieses Rookit stolpert(e) in manchen Versionen über die mit KB977165 einhergehenden Veränderungen. Bislang ist keine weitere Ursache bekannt, welche nach der Installation von KB977165 zu BlueScreens führen würde.
Der "Scan" bzw. das Ergebnis des Scans der atapi.sys auf Virustotal sieht in meinen Augen okay aus. Es gibt immer mal wieder sogenannte False Positives, also fälschlicherweise als schadhaft erkannte Dateien, die in Ordnung sind. Davon ist auszugehen, wenn nur ein "Virenscanner" einen Schädling meldet, an die zwanzig anderen "Virenscanner" aber nicht.
Um im Notfall ein funktionsfähiges System zu haben, schadet es nicht, vorher ein Image der Partition anzulegen und auf CD/DVD zu brennen. Danach kannst und solltest Du in jedem Fall KB977165 installieren (lassen).
Bye,
Freudi
P.S.: Es ist weder notwendig, noch von mir gewünscht, den gleichlautenden Kommentar noch einmal per E-Mail zu senden. Ich werde automatisch informiert, sobald ein neuer Kommentar eingeht. Wenn ich nicht "sofort" antworte, liegt das "möglicherweise" daran, dass ich diese kleine Website in meiner Freizeit betreibe. Danke für Dein Verständnis!
nochmal zum Mitmeißeln:
KB977165 ist nicht und war nie "bedenklich". Das einzige, was "bedenklich" war und ist, ein Rootkit unbemerkt installiert zu haben und damit die Kontrolle über das System mehr oder minder weitgehend zu verlieren. Eine Definition von "Rootkit" findest Du z.B. unter http://de.wikipedia.org/wiki/Rootkit
Eines dieser schädlichen(!) Rootkits ist im Artikel zu KB977165 namentlich erwähnt. Dieses Rookit stolpert(e) in manchen Versionen über die mit KB977165 einhergehenden Veränderungen. Bislang ist keine weitere Ursache bekannt, welche nach der Installation von KB977165 zu BlueScreens führen würde.
Der "Scan" bzw. das Ergebnis des Scans der atapi.sys auf Virustotal sieht in meinen Augen okay aus. Es gibt immer mal wieder sogenannte False Positives, also fälschlicherweise als schadhaft erkannte Dateien, die in Ordnung sind. Davon ist auszugehen, wenn nur ein "Virenscanner" einen Schädling meldet, an die zwanzig anderen "Virenscanner" aber nicht.
Um im Notfall ein funktionsfähiges System zu haben, schadet es nicht, vorher ein Image der Partition anzulegen und auf CD/DVD zu brennen. Danach kannst und solltest Du in jedem Fall KB977165 installieren (lassen).
Bye,
Freudi
P.S.: Es ist weder notwendig, noch von mir gewünscht, den gleichlautenden Kommentar noch einmal per E-Mail zu senden. Ich werde automatisch informiert, sobald ein neuer Kommentar eingeht. Wenn ich nicht "sofort" antworte, liegt das "möglicherweise" daran, dass ich diese kleine Website in meiner Freizeit betreibe. Danke für Dein Verständnis!
Die Kommentarfunktion wurde vom Besitzer dieses Blogs in diesem Eintrag deaktiviert.
Kurzbeschreibung: Sicherheitsupdate, das eine Lücke im Windows Kernel schließen soll, durch die ein lokal angemeldeter Benutzer höhere Benutzerrechte (bis hinauf zu Systemrechten) erlangen [...]
Aufgenommen: 09.02.2010 19:37
Microsoft warnt im Security Advisory 979682 (deutschsprachig) vor einer jetzt veröffentlichten Sicherheitslücke im Windows-Kernel von 32-bit (x86) Versionen von Windows, über die sich ein [...]
Aufgenommen: 09.02.2010 20:28
Kurzbeschreibung: Sicherheitsupdate, das eine Lücke im Kernel von Windows XP schließen soll, urch die ein lokal angemeldeter Benutzer höhere Benutzerrechte erlangen kann (Elevation of [...]
Aufgenommen: 15.04.2010 12:39