Не запускаются некоторые программы — ошибка 0xc0000005 после установки обновления KB2859537

13 августа Microsoft выпустила очередную серию пакетов обновлений безопасности. Их установка неожиданно привела к серьезным неприятностям в работе Windows на очень большом количестве компьютеров.

Проявляется она в том, что после установки обновлений и перезагрузки компьютера не запускаются некоторые программы — ошибка 0xc0000005 при запуске приложения.

От пострадавших пользователей операционной системы Windows поступило много обращений с просьбой помочь справиться с возникшей проблемой.

Виной случившегося массового коллапса стала установка обновления с номером KB2859537.

Что необычного в пакете обновлений KB2859537 и почему его установка вызывает проблемы

Обновление KB2859537 знаменательно тем, что наряду с заменой большого количества системных файлов этот пакет производит еще и замену ядра операционной системы.

Если в линейке операционных систем на платформе Linux обновление ядер, можно сказать, поставлено на поток, то для Windows это событие отнюдь не рядовое. Возможно, что я ошибаюсь, но в обозримом прошлом, похоже, ничего подобного не случалось.

В техническом бюллетене MS13-063 объясняется назначение обновления KB2859537: “Уязвимости ядра Windows делают возможным несанкционированное повышение привилегий”. Там же приводится список операционных систем, на которые оно распространяется. Он достаточно обширный – начиная с Windows XP SP3 и кончая Windows 8.

В конечном счете обновление KB2859537 исправляет четыре уязвимости ядер перечисленных операционных систем Windows.

Одна из них позволяет загружать в процесс DLL в обход механизма обеспечения безопасности ASLR (Address Space Layout Randomization — рандомизация адресного пространства).

Остальные уязвимости позволяют выполнить повышение прав из-за ошибок проверки адресов ядром Windows.

Если на момент установки обновления KB2859537 в системе присутствовало модифицированное, по той или иной причине, ядро, то это и могло явиться причиной возникших неприятностей.

Проблема, которая возникает после установки обновления и последующей перезагрузке системы, выражается в невозможности запустить некоторые приложения: «Ошибка при запуске приложения (0xc0000005). Для выхода из приложения нажмите кнопку «ОК»».

Причин модификации ядра может быть несколько. В общем случае их можно разбить на две группы: намеренная модификация ядра и неожиданная. В первую группу попадают, например, системы со взломанной активацией, во вторую системы, модифицированные в результате действий вредоносного ПО.

Microsoft, естественно, при разработке обновления безопасности не ориентировалась на системы с модифицированными ядрами и не тестировала данное исправление применительно к ним. Никаких претензий к ней тут быть не может.

Однако беда заключается еще и в том, что от обновления KB2859537 пострадали некоторые совершенно легальные пользователи. Причину такого поведения Windows в этом случае объяснить сложно.

Решение проблемы обновления KB2859537

Легальным пользователям при возникновении проблем после установки пакета обновления KB2859537 имеет смысл незамедлительно обратиться в техподдержку Microsoft. Чем больше будет обращений, тем быстрее последует реакция со стороны уважаемого разработчика ПО (хотелось бы в это верить).

На сегодняшний момент времени единственным способом быстро реанимировать компьютер является отмена установки обновления. Отменить установку KB2859537 можно разными способами. Перечислим их в порядке приоритета по сложности.

Удаление обновления в GUI Windows

В Windows 7 и Windows 8: “Панель управления” –> “Программы и компоненты” –> “Просмотр установленных обновлений”.

В Windows XP: “Панель управления” –> “Установка и удаление програм”. Для доступа к установленным обновлениям устанавливаем галочку в чекбокс “Показать обновления”.

Находим KB2859537 и удаляем его.

Удаление обновления в командной строке с помощью утилиты wusa

Утилита wuse.exe предназначена для управления обновлениями из командной строки. Узнать все ее команды можно по wuse /?

Запустите командную строку от имени администратора (в Windows 8 по “Win + X”) и выполните команду:

wusa.exe /uninstall /kb:2859537

Если по какой-либо причине удалить обновление одним из перечисленных способов не получилось, используем следующий вариант.

Возврат системы к предыдущему состоянию

Воспользоваться возможностью возврата системы к некому предыдущему состоянию возможно только в том случае, если “Защита системы” не была ранее отключена, и размер места, отведенного на диске С:\ для сохранения точек возврата оказался достаточным.

Запуск: “Панель управления” –> “Восстановление”  –> “Запуск восстановления системы”,

или “Пуск” –> “Выполнить”  –> “rstrui”.

Если выбрать, как показано на рисунке, автоматически созданную системой точку восстановления “15.08.2013 … Критическое обновление”, то вместе с другими обновлениями, установленными в этот день, будет удалено и KB2859537.

В вашем случае дата может быть иной. Когда именно было установлено обновление можно посмотреть в журнале обновлений “Центра обновления Windows”.

В последствии “безопасные” обновления можно будет установить повторно, а установку KB2859537 отложить до лучших времен.

Удаление обновлений с помощью утилиты DISM

Если опять ничего не получилось, то придется использовать более сложный вариант с использованием утилиты DISM, причем из среды восстановления, так как непосредственно в сеансе Windows программа выполнять нужные нам действия откажется.

Для этого потребуется загрузочный носитель с Win PE или дистрибутивом системы. Если есть образ системы в файле ISO, то проще всего сделать загрузочную флешку описанным здесь способом.

Загружаем компьютер с загрузочного устройства, как для установки Windows, и сразу переходим в командный режим комбинацией клавиш “Shift + F10”.

Если на первом шаге установки была оставлена русская раскладка клавиатуры, переключаем ее на английскую по “Alt + Shift”.

Для того, чтобы узнать на каком диске находится загрузочный раздел Windows, набираем:

diskpart
list vol

Находим букву нужного диска (предположим, что это D:\) и выходим из утилиты:

exit

Далее переходим к работе с утилитой DISM:

DISM /Image:D:\ /Get-Packages

где D — буква раздела с системой, которая была определена на предыдущем шаге с помощью diskpart.

В результате выполнения команды на экран будет выведен список пакетов, среди которых нужно отыскать тот, который содержит в своем названии KB2859537.

Выделяем левой кнопкой мыши название нужного нам пакета и нажимаем “Enter” для того, чтобы скопировать его в буфер обмена.

Набираем команду:

DISM /Image:D:\ /Remove-Package /PackageName:

Ставим курсор в конец команды и нажимаем правую кнопку мыши для вставки содержимого буфера обмена.

Для упрощения подготовки длинной команды можно воспользоваться текстовым редактором “Блокнот”. Запустить его можно командой:

notepad

После подготовки команды ее нужно скопировать к командную строку. В результате команда должна иметь примерно такой вид:

DISM /Image:D:\ /Remove-Package /PackageName:Package_for_KB2859537~31bf3856ad364e35~x86~~6.1.1.3

Нажимаем “Enter” и удаляем пакет.

Восстановление Windows из резервной копии

Наконец, если удалить KB2859537 описанными выше способами так и не получилось, но есть резервная копия системы, то придется восстановить работоспособность Windows с ее помощью.

Не забудьте перед этим сохранить измененные с момента последнего бекапа пользовательские данные. Это можно сделать тривиальным копированием файлов или попробовать использовать для этой цели утилиту «Средство переноса данных Windows».

Если Вы пострадали в результате установки обновления KB2859537, то поделитесь своими соображениями на этот счет и расскажите как удалось исправить ситуацию.

В силу того, что на страницах блога неоднократно описывались и активно обсуждались “исправления” ядер операционной системы Windows х86 с целью увеличения доступной физической памяти до 128 ГБ, в продолжении мы рассмотрим и протестируем работу систем с такими ядрами после установки обновления KB2859537.

Подпишитесь на обновления блога по E-Mail и обязательно прочитайте продолжение статьи о KB2859537. Это очень важно!