Windows XP - Update sorgt für Bluescreens (Update2)

Das Update KB977165 für Windows XP kann dafür sorgen, dass Windows XP bereits beim Booten mit einem Bluescreen den Dienst verweigert.

von Georg Wieselsberger,
15.02.2010 15:09 Uhr

Die Meldung »Page Fault in Nonpaged Area« zusammen mit einem Stop-Fehler unterbricht den Startvorgang. Im Microsoft-Forum hat ein Moderator nun das Problem bestätigt und auf das Update KB977165 eingegrenzt, das deinstalliert werden müsse.

Allerdings kann man das wegen des Bluescreens natürlich nicht mehr von Windows XP aus machen. Deswegen wird eine Windows-XP-CD benötigt, von der man booten muss. Nach dem Aufrufen der Recovery-Konsole gibt man folgendes ein:

CHDIR $NtUninstallKB977165$\spuninst
BATCH spuninst.txt

Danach kann man mit »exit« die Konsole verlassen und das System neu booten. Der Fehler sollte nun behoben sein. Allerdings schließt das nun entfernte Update eine kritische Sicherheitslücke. Ein Fix it bei Microsoft schützt vorübergehend, bis das Update in einer besser funktionierenden Version zur Verfügung steht.

Update 14.02.2010

Der Absturzfehler scheint nicht nur an dem Update selbst zu liegen, sondern vor allem in Verbindung mit Schadsoftware auf dem betroffenen System aufzutreten. Wie in diesem Blog zu lesen ist, scheint die Hauptursache für den Fehler eine infizierte atapi.sys im System zu sein.

Wird diese Datei durch eine unveränderte Version von der Windows-XP-CD ersetzt, bootet das System meistens wieder normal. Daher ist es sinnvoll, seinen Rechner vor der Installation des Updates KB977165 auf Schadsoftware durchsuchen zu lassen.

Es kann aber auch weiterhin andere Ursachen für das Problem geben, doch scheint die Infizierung durch Schadsoftware den Hauptgrund darzustellen.

Update 15.02.2010

Symantec ist wohl bis auf den Grund der Probleme vorgestoßen, die an einem Rootkit mit zugehöriger Backdoor namens Tidserv liegen dürften. Dieses Rootkit infiziert Dateien wie die bereits erwähnte atapi.sys und andere Low-Level-Treiber von Windows XP.

Dadurch kann es sich besonders gut im System verbergen und als Low-Level-Treiber auch vor Antiviren-Software verstecken. Das Update von Microsoft ändert virtuelle Adressen im System, die das Rootkit jedoch festkodiert enthält. Dadurch kommt es beim Aufruf der befallenen Dateien zu dem beschriebenen Bluescreen.

Auch Symantec empfiehlt, die atapi.sys, aber auch andere Dateien wie iastor.sys, idechndr.sys, ndis.sys, nvata.sys und vmscsi.sys durch Versionen von der Windows-XP-CD zu ersetzen. Eine Neu-Installation des Systems wäre aber ebenfalls empfehlenswert.

Täglich aktuelle Hardware-News? Jetzt Newsletter bestellen!


Kommentare

Nur angemeldete Benutzer können kommentieren und bewerten.

wird geladen ...