Kaspersky
Question

После обновления KART 15.03.21 нарушилась работа Windows


Использую KART на Windows Server 2016(RDP сервер). 1 год KART работал и обновлялся без проблем. Функции свои выполнял. Проверено. 15.03.21 пришло очередное обновление KART. Попросило перезагрузки. После перезагрузки многие функции Windows и программы перестали работать. Перед перезагрузкой и после нее делал проверку KVRT-все чисто. Обновления Windows ставятся регулярно. В журнале событий Безопасность появились сообщения Аудит отказа с кодом 5038. Много. Насколько я понял, контроль целостности Windows блокирует обращения ко многим системным файлам. Переустанавливал KART-не помогло. sfc /scannow не помогло.


15 replies

Userlevel 2

Здравствуйте, Александр.

 

Прошу прощения за поздний ответ. В предыдущем обновлении продукта была проблема со значением реестра UpperFilters и она была устранена в текущей версии. Попробуйте создать ключ в реестре:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71a27cdd-812a-11d0-bec7-08002be2092f}]

"UpperFilters"=REG_MULTI_SZ:“volsnap”

 

И после этого перезагрузите компьютер.

 

Спасибо.

Василий, спасибо за ответ. Такой ключик уже имеется в реестре. Имеет значение klbackupdisk. Картинку прилагаю. Что мне делать?

 

После неккоректного обновления 15.03 я установил старую версию KART. 3.0.1.3039. Так и работает пока. Многив возможносит Windows блокированы (5038 ошибки в событиях). UAC вынужденно отключен.Нужно ли перед изменением в реестре и перезагрузкой установить последнюю версию KART? Обновиться KART не предлагает из за ошибок 5038 видимо. То есть мне нужно делать следующие шаги: Обновлять KART. Возможно Менять ключ. И перезагружать. В каком порядке их делать? К серверу нет физичекского доступа. Поэтому ошибки не допустимы.

Userlevel 2

Здравствуйте, Александр.

Предлагаю сделать следующее:

  1. В приведенный ключик реестра добавить значение volsnap:

    В UpperFilters будет два значения klbackupdisk и volsnap
  2. Перезагрузить компьютер и посмотреть уйдут ли ошибки

Спасибо.

 

Попробовал Вашу рекомендацию на учебном компьютере. Установил KART. Посмотрел ключ реестра, там было значение volsnap. Добавил туда klbackupdisk. Как на Вашей картинке. И перезагрузил. Учебный компьютер перестал загружаться. Уходит в консоль восстановления (UNACCESIBLE BOOT DEVICE). После ручных манипуляций с консолью восстановления загрузку windows удалось восстановить. Для рабочего сервера такой вариант не подойдет. К нему сейчас нет физического доступа. Только удаленный. Что посоветуете?

Userlevel 2

Здравствуйте, Александр!

Не нужно было на учебном компьютере добавлять klbackupdisk в этот параметр. Поведение ожидаемое. Начиная с версии 5.0.0.3660 этого значения не должно там быть.

Посмотреть версию продукта можно здесь (Menu → Get Support):

 

У вас на сервере, вероятно, установлена версия 5.0.0.3409 (или меньше) и поэтому значение klbackupdisk у параметра UpperFilters есть. 

Дополнительно хотел бы попросить вас посмотреть и написать размер папки  “%windir%\System32\CatRoot” и кол-во файлов в ней на сервере с ошибками.

Спасибо.

Василий, добрый день, на рабочем сервере(где ошибки) сейчас стоит версия 5.0.0.3039(а). 15.03 она обновилась и после затребованнойперезагрузки все и случилось. Обновленную версию я удалил и вернул 3039. Не помогло, конечно. Сейчас 3039 и стоит.

В папке Catroot лежат всего 2 папки, и в одной из них 1 файл размером 21К. Есть еще там папка catroot2, там две папки и 10 файлов, из них 4 по 2М, остальные маленькие. Эксперименты на пустом компьютере я делал с версией  5.0.0.3660(h)

Userlevel 2

Здравствуйте, Александр

Размер папки Catroot некорректный и из-за этого ошибки в системе. Надо проделать следующие действия:

  1. Удалить KART с компьютера 
  2. Скопировать все файлы “*.cat” из папки “%windir%\servicing\Packages\” в папку “%windir%\System32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\” .
  3. У параметра реестра UpperFilters расположенного по пути:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{71a27cdd-812a-11d0-bec7-08002be2092f}
    должно быть в значении только volsnap. Если этого параметра (UpperFilters) нет, то его надо создать (тип Multi-String Value) и добавить только значение volsnap. Если в значениях осталось klbackupdisk то удалить это значение. В общем должно быть так:
     

     

  4. Перезагрузить компьютер. После этого 5038 ошибки в событиях должны пропасть и большинство функций Windows заработать.
  5. Скачать последнюю версию продукта с сайта:
    Free Ransomware Protection | Kaspersky Anti-Ransomware Tool
    и установить ее на сервер.

Спасибо.

Спасибо. Папка Catroot/{F750… у меня сейчас содержит только один файл oem19.cat. Следует ли его удалить перед копированием *.cat из …/packages?

Userlevel 2

Можно не удалять.

Спасибо. Сделал по Вашим рекомендациям. Почти все заработало как должно. Осталась однапроблема. После 15.03 перестали устанавливаться ежемесячные обновления Windows Server (cumulative updates от 04 2021 и 05 2021). При этом обновления Защитника Windows, а также обновления MS Office устанавливаются как и раньше. Кэш windows update чистил не помогает. Возможно, что то посоветуете?

Userlevel 2

Здравствуйте, Александр!

 

Напишите, пожалуйста, размер и кол-во файлов в папке %SystemRoot%\System32\DriverStore.

 

Спасибо.

53,4mb 985 файлов 38 папок

Userlevel 2

Здравствуйте, Александр.

Этот размер и кол-во файлов не соотвествует корректному состоянию - должно быть больше 400 Mb и около 2000 файлов в 700 папках (это на моем тестовом сервере). Можно найти машину “донора” - та же версия ОС и аналогичное железо и скопировать оттуда недостающие файлы и папки.

Но, имхо, это не должно влиять на обновления… А если обновления скопировать с сайта microsoft и запустить установку вручную - они установятся?

 

Спасибо. 

Добрый вечер,Василий, обновления вручную также не  ставятся. Тут интересный случай. Некоторые обновления Windows ставятся. Проблема с ежемесячными обновлениями только. Насчет размера папки я тоже увидел разницу. Что касается донора, то второго такого сервера нет. У меня есть виртуальная машина VirtualBox с таким же server 2016(evaluation). На ней я софт пробую перед установкой на рабочий сервер. Там все хорошо. В том числе и KART. Там 1.66гб и 2920 файлов в DriverStore. Но железо виртуальное конечно. Знать бы что копировать. Да и боязно. К рабочему серверу есть только удаленный доступ.

Reply