Антивирус Касперского и KB2823324

MS выпустил обновление kb2823324, после установки которого на компьютеры, где установлены антивирусы Касперского KAV6 и KES8, начинаются следующие чудеса:
при загрузке ОС стартует chkdsk, который проверяет и правит системный раздел, после чего следует перезагрузка с нормальной загрузкой ОС. При следующей перезагрузке ОС все повторяется снова (т.е. в процессе работы ОС с системным разделом что-то происходит, и он помечается, как «грязный»).
KL судорожно выпустила патчик и предлагает его всем желающим на тестирование. Патчик помагает. Однако недавно, MS выпустила бюллетень безопасности и статью kb, в которых призывает удалить обновление kb2823324, т.к. оно приводит к сбоям.

Microsoft is investigating behavior where systems may not recover from a restart, or applications cannot load, after security update 2823324 is applied. We recommend that customers uninstall this update. As an added precaution, Microsoft has removed the download links to the 2823324 update while we investigate.

support.microsoft.com/kb/2839011/en-us

V2.0 (April 11, 2013): Added links to Microsoft Knowledge Base Article 2823324 and Microsoft Knowledge Base Article 2839011 under Known Issues. Removed Download Center links for Microsoft security update 2823324. Microsoft recommends that customers uninstall this update. See the Update FAQ for details.

technet.microsoft.com/en-us/security/bulletin/ms13-036

Ну, раз MS рекомендует, так последуем этим рекомендациям…

Понятное дело, что первое, что необходимо сделать, это отозвать проблемное обновление на WSUS, если вы его используете, ну и во вторую очередь необходимо удалить обновление на тех компьютерах, на которых оно уже успело установиться.

Для того, чтобы удалить проблемное обновление на всех компьютерах домена, я набросал небольшой скрипт

#Получаем перечень компьютеров с ОС vista, windows 7, windows 2008|2008 r2
$Comps=@(Get-QADComputer -OSName "*vista*","*windows 7*","*server 2008*")
#Запрашиваем реквизиты доступа, с которыми будет производиться опрос удаленных компьютеров и удаление обновления
$Cred= Get-Credential "domain\ws_administrator"
#команда, при помощи которой будет удаляться обновление
$Command={Start-Process wusa.exe  "/uninstall /kb:2823324 /quiet /norestart" -Wait -PassThru}
#Инициализируем массив, который будет содержать перечень компьютеров, подлежащих обрботке (удалению проблемной заплатки)
$CompsToProcess=@()
#для всех компьютеров с  ОС  vista, windows 7, windows 2008|2008 r2...
$Comps|%{
    #проверяем доступность компьютера в настоящий момент
    if (Test-Connection $_.Name -Count 1 -Quiet) {
        Write-Host "Ищем проблемную заплатку на $($_.Name)"
        if (Get-HotFix -ComputerName $_.Name -Id "KB2823324" -Credential $Cred -ErrorAction SilentlyContinue) {
            $CompsToProcess+=$_.Name
        }
    }
}
#Если список компьютеров содержащих проблемную заплатку не пуст, то выполним для них команду по удалению оной заплатки
if ($CompsToProcess) {
    Invoke-Command -ComputerName $CompsToProcess -Credential $Cred -ErrorAction SilentlyContinue -ScriptBlock $Command #-AsJob
}

Скрипт простой, комментировать в нем особо нечего. Будут вопросы – задавайте.

7 Comments

  1. Скрипт работает в части нахождения компов, а команда Invoke-Command -ComputerName $CompsToProcess -Credential $Cred -ErrorAction SilentlyContinue -ScriptBlock $Command чет не отрабатывает?

    • Удаленный компьютер должен быть настроен соответствующим образом для того, чтобы принимать подключения с использованием Windows PowerShell Remoting.
      Можно в ручную дать команду Enable-PSRemoting, а можно настроить при помощи групповых политик: http://goo.gl/NZhmI

  2. SHS!
    А для тех кто на бронетехнике, можешь пояснить конкретно, что делать, пошагово?
    P.S. – Восстановление системы с помощью Wind’ы – не получается – “обнаружено повреждение файловой системы”, с помощью Your Uninst – тоже, удалить обновление через панель управления тоже нельзя, так как не видится это обновление. Но каждый раз при запуске компьютера запускается scandisk. Досадно признавать себя чайником, но не понимаю, что делать.

  3. Pingback: Антивирус Касперского и KB2823324 at PowerTips and Other

Leave a Reply

Your email address will not be published. Required fields are marked *

Notify me of followup comments via e-mail. You can also subscribe without commenting.