Die Meldung »Page Fault in Nonpaged Area« zusammen mit einem Stop-Fehler unterbricht den Startvorgang. Im Microsoft-Forum hat ein Moderator nun das Problem bestätigt und auf das Update KB977165 eingegrenzt, das deinstalliert werden müsse.
Allerdings kann man das wegen des Bluescreens natürlich nicht mehr von Windows XP aus machen. Deswegen wird eine Windows-XP-CD benötigt, von der man booten muss. Nach dem Aufrufen der Recovery-Konsole gibt man folgendes ein:
CHDIR $NtUninstallKB977165$\spuninst
BATCH spuninst.txt
Danach kann man mit »exit« die Konsole verlassen und das System neu booten. Der Fehler sollte nun behoben sein. Allerdings schließt das nun entfernte Update eine kritische Sicherheitslücke. Ein Fix it bei Microsoft schützt vorübergehend, bis das Update in einer besser funktionierenden Version zur Verfügung steht.
Update 14.02.2010
Der Absturzfehler scheint nicht nur an dem Update selbst zu liegen, sondern vor allem in Verbindung mit Schadsoftware auf dem betroffenen System aufzutreten. Wie in diesem Blog zu lesen ist, scheint die Hauptursache für den Fehler eine infizierte atapi.sys im System zu sein.
Wird diese Datei durch eine unveränderte Version von der Windows-XP-CD ersetzt, bootet das System meistens wieder normal. Daher ist es sinnvoll, seinen Rechner vor der Installation des Updates KB977165 auf Schadsoftware durchsuchen zu lassen.
Es kann aber auch weiterhin andere Ursachen für das Problem geben, doch scheint die Infizierung durch Schadsoftware den Hauptgrund darzustellen.
Update 15.02.2010
Symantec ist wohl bis auf den Grund der Probleme vorgestoßen, die an einem Rootkit mit zugehöriger Backdoor namens Tidserv liegen dürften. Dieses Rootkit infiziert Dateien wie die bereits erwähnte atapi.sys und andere Low-Level-Treiber von Windows XP.
Dadurch kann es sich besonders gut im System verbergen und als Low-Level-Treiber auch vor Antiviren-Software verstecken. Das Update von Microsoft ändert virtuelle Adressen im System, die das Rootkit jedoch festkodiert enthält. Dadurch kommt es beim Aufruf der befallenen Dateien zu dem beschriebenen Bluescreen.
Auch Symantec empfiehlt, die atapi.sys, aber auch andere Dateien wie iastor.sys, idechndr.sys, ndis.sys, nvata.sys und vmscsi.sys durch Versionen von der Windows-XP-CD zu ersetzen. Eine Neu-Installation des Systems wäre aber ebenfalls empfehlenswert.
Nur angemeldete Benutzer können kommentieren und bewerten.
Dein Kommentar wurde nicht gespeichert. Dies kann folgende Ursachen haben:
1. Der Kommentar ist länger als 4000 Zeichen.
2. Du hast versucht, einen Kommentar innerhalb der 10-Sekunden-Schreibsperre zu senden.
3. Dein Kommentar wurde als Spam identifiziert. Bitte beachte unsere Richtlinien zum Erstellen von Kommentaren.
4. Du verfügst nicht über die nötigen Schreibrechte bzw. wurdest gebannt.
Bei Fragen oder Problemen nutze bitte das Kontakt-Formular.
Nur angemeldete Benutzer können kommentieren und bewerten.
Nur angemeldete Plus-Mitglieder können Plus-Inhalte kommentieren und bewerten.