HARD CORE SECURITY LAB

Z dotychczasowych obserwacji wynika, że problemy (Niebieski Ekran Śmierci, brak możliwości uruchomienia systemu) po zainstalowaniu poprawki MS10-015 (KB977165) pojawiają się w przypadku, gdy system Windows jest zainfekowany rootkitem znanym między innymi jako Rootkit.TDSS, Win32/Alureon.A oraz Rootkit-Pakes.U. Oto wynik skanowania zainfekowanego pliku %System32\drivers\atapi.sys pochodzącego z systemu, który nie uruchomił się poprawnie po zastosowaniu wspomnianej łatki. W związku z tym, że rootkit ten stanowi jeden z najczęściej spotykanych złośliwych programów w systemach Windows, tłumaczy to szeroką skalę zaobserwowanego problemu.

Okazuje się więc, że jeśli nasz system Windows odmówił posłuszeństwa po instalacji ostatnich poprawek, prawdopodobnie zastąpienie wspomnianego pliku jego prawidłową wersją przywróci normalną pracę systemu. W celu przywrócenia prawidłowej wersji pliku %System32\drivers\atapi.sys należy uruchomić komputer z oryginalnego nośnika instalacyjnego, uruchomić konsolę odzyskiwania dla wybranej instalacji systemu Windows XP (prawdopodobnie potrzebne będzie hasło administratora) oraz wykonać następujące kroki:

• wykonać polecenie cd system32\drivers
• wykonać polecenie ren atapi.sys atapi.old
• wykonać polecenie expand D:\i386\atapi.sy_ (gdzie D: należy zastąpić literą odpowiadającą napędowi CD/DVD zawierającemu oryginalny nośnik instalacyjny)
• po restarcie system powinien się prawidłowo uruchomić, należy jednak dokładnie przeskanować go pod kątem obecności wszelkich szkodników.