Help and Support

Artikel-id: 894278 - Seneste redigering: 28. september 2006 - Redigering: 3.1

Computeren genstarter muligvis automatisk, eller der vises en meddelelse om en "alvorlig fejl" eller en stop-fejl i Windows Server 2003, Windows XP eller Windows 2000

Få vist de produkter, som denne artikel refererer til.

På denne side

Udvid alle | Skjul alle

Sammenfatning

I artiklen beskrives forskellige problemer, du kan opleve, hvis computeren kører den trojanske rootkit spyware Spyware.Service.MiscrosoftUpdate. Du kan fjerne denne trojanske virus ved at finde frem til de filer, der er årsag til problemerne, og derefter omdøbe filerne.

Så snart den skjulte driver er blevet omdøbt, kan brugertilstandskomponenterne (spywaren) Msupd*.exe og Reloadmedude.exe renses ved hjælp af bestemte antivirus- eller anti-spyware-programmer. Den skjulte driver kan have navnet "gbqxhia.sys", "upzvlbvv.sys", "jsbmefvk.sys" eller et andet vilkårligt filnavn, som udelukkende indeholder små bogstaver.

I afsnittet "Yderligere oplysninger" er angivet et antal anti-spyware-programmer, som er i stand til at registrere denne virus.
Tilbage til toppen

Symptomer

Du kan komme ud for et eller flere af følgende symptomer:
  • Computeren genstarter automatisk.
  • Når du har logget på, vises følgende fejlmeddelelse:
    Microsoft Windows
    Systemet er genoprettet efter en alvorlig fejl. Der er oprettet en logfil med denne fejl. Du bedes underrette Microsoft om dette problem. Vi har oprettet en fejlrapport, som du kan sende til os som et bidrag til forbedring af Microsoft Windows. Vi behandler denne rapport fortroligt og anonymt. Klik her for at se, hvilke data denne fejlrapport indeholder.
    Hvis fejlmeddelelsen bliver ved med at være på skærmen, og hvis du vil se de oplysninger, som fejlrapporten indeholder, skal du klikke på hyperlinket "klik her" nederst i meddelelsesboksen. Hvis du klikker på linket, vises der muligvis nogle fejlsignaturoplysninger, der ligner følgende fejlsignaturoplysninger:
    BCCode : 00000050 BCP1 : 0xeb7ff002 BCP2 : 0x00000000 BCP3 : 0x8054af32 BCP4 : 0x00000001 OSVer : 5_1_2600 SP : 0_0 Product : 256_1
  • Du får vist følgende stop-fejlmeddelelse:
    Der er fundet en fejl, og Windows er blevet lukket ned for at forhindre beskadigelse af computeren. Tekniske oplysninger: *** STOP: 0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237
  • Systemlogfilen registrerer en hændelse, der minder om følgende:

    Date: date
    Source: System Error
    Time: time
    Category: (102)
    Type: Error
    Event ID: 1003
    User: N/A
    Computer: computer
    Description: Error code 00000050, parameter1 0xeb7ff002, parameter2 0x00000000, parameter3 0x8054af32, parameter4 0x00000001. For more information, see Help and Support Center at http://support.microsoft.com. Data: 0000: 53 79 73 74 65 6d 20 45 System E 0008: 72 72 6f 72 20 20 45 72 rror Er 0010: 72 6f 72 20 63 6f 64 65 ror code 0018: 20 30 30 30 30 30 30 35 00000MN 0020: 30 20 20 50 61 72 61 6d 0 Param 0028: 65 74 65 72 73 20 66 66 eters ff 0030: 66 66 66 66 64 31 2c

Tilbage til toppen

Bemærk!

Symptomerne på en stopfejl varierer, afhængigt af computersystemets fejlindstillinger. Yderligere oplysninger om, hvordan du konfigurerer indstillinger ved systemfejl, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
307973  (http://support.microsoft.com/kb/307973/ ) Sådan konfigureres indstillingerne for systemfejl og gendannelse i Windows
De fire parametre, der er indeholdt i fejlsignaturoplysningerne (BCPn), og som er angivet i parentes i afsnittet tekniske oplysninger i stop-fejlen, varierer, afhængigt af computerens konfiguration.

Ikke alle fejlmeddelelser af typen "Stop 0x00000050" skyldes det problem, der er beskrevet i afsnittet "Årsag".
Tilbage til toppen

Årsag

Denne fejlmeddelelse forårsages af en driver på kerneniveau, der installeres af følgende kendte rootkit spyware-programmer:
  • Msupd5.exe
  • Reloadmedude.exe
Tilbage til toppen

Løsning

Du kan løse dette problem ved at bruge en eller flere af følgende metoder: Metoderne er angivet i prioriteret rækkefølge.
Tilbage til toppen

Metode 1: Omdøb den skadelige driver ved hjælp af Internet Explorer

  1. Åbn Internet Explorer.
  2. Skriv %windir%\system32\drivers i feltet Adresse i Internet Explorer, og tryk derefter på ENTER.
  3. Find frem til .sys-filen med det vilkårlige navn, højreklik på filen, og vælg derefter Omdøb.
  4. Omdøb filen ved at skrive malware.old, og tryk derefter på ENTER.
  5. Skriv %windir%\system32\drivers i feltet Adresse i Internet Explorer, og tryk derefter på ENTER.
  6. Find og omdøb følgende filer, hvis de findes:
    • Msupd5.exe Omdøb denne fil til Msupd5.old.
    • Msupd4.exe. Omdøb denne fil til Msupd4.old.
    • Msupd.exe. Omdøb denne fil til Msupd.old.
    • Reloadmedude.exe Omdøb denne fil til Reloadmedude.old.
  7. Luk Internet Explorer.
  8. Genstart computeren.
  9. Kontroller, at dit antivirus- eller antispywareprogram opdateres med de nyeste signaturer, og udfør derefter et komplet systemscan.
Tilbage til toppen

Metode 2: Omdøb den skadelige driver i fejlsikret tilstand ved hjælp af Denne computer

  1. Start computeren i fejlsikret tilstand. Det kan du gøre ved at følge disse trin:
    1. Genstart computeren.
    2. Når computeren starter, skal du trykke flere gange på tasten F8 (en gang pr. sekund). Dermed vises Avancerede startindstillinger for Microsoft Windows.
    3. Brug piletasterne OP og NED til at markere Fejlsikret tilstand, og tryk derefter på ENTER.
  2. Åbn Internet Explorer
  3. Skriv %windir%\system32\drivers i feltet Adresse i Internet Explorer, og tryk derefter på ENTER.
  4. Aktiver visning af skjulte filer. Det kan du gøre ved at følge disse trin:
    1. Klik på Start, og klik derefter på Denne computer.
    2. Klik på Mappeindstillinger i menuen Funktioner.
    3. Klik på fanen Vis, fjern markeringen i afkrydsningsfeltet Skjul beskyttede operativsystemfiler (anbefales), og klik derefter på Ja, når der vises en advarselsmeddelelse, der angiver, at du har valgt at få vist skjulte operativsystemfiler.
    4. Klik på Vis skjulte filer og mapper under Skjulte filer og mapper.
    5. Fjern markeringen i afkrydsningsfeltet Skjul filtypenavne for kendte filtyper.
    6. Klik på Anvend på alle mapper i området Mappevisninger, og klik derefter på OK.
  5. Find den mappe, der har navnet C:\%windir%\System32\Drivers.
  6. Find alle .sys-filer, der har følgende egenskaber:
    1. Et tilfældigt genereret filnavn, der består af op til otte bogstaver, skrevet med småt, f.eks. "gbqxmhia.sys", "upzvlbvv.sys" eller "jsbmefvk.sys"
    2. Datoen 11. januar 2005
    3. Filstørrelse på 14 KB (13.824 byte)
    4. Angivelse af et skjult attribut

      Bemærk! I kolonnen Attributter i Windows Explorer er betegnelsen "HA" vist ud for en fil, der indeholder en skjult attribut. Yderligere oplysninger om, hvordan du kan få vist kolonnen Attributter, er angivet i trin 5a og 5b i den fremgangsmåde, der er beskrevet i afsnittet "Yderligere oplysninger".
    5. Filen indeholder ingen oplysninger om version, produktnavn eller producent.
  7. Højreklik på hver enkelt af de filer, du finder frem til, og vælg derefter Omdøb.
  8. Omdøb den første fil ved at skrive malware1.old, og tryk derefter på ENTER.

    Bemærk! Omdøb fil nummer to ved at skrive malware2.old, omdøb fil nummer tre ved at skrive malware3.old osv.
  9. Find mappen %windir%\System32.
  10. Omdøb følgende filer, hvis de findes:
    • Msupd5.exe Omdøb denne fil til msupd5.old.
    • Msupd4.exe. Omdøb denne fil til Msupd4.old.
    • Msupd.exe. Omdøb denne fil til Msupd.old.
    • Reloadmedude.exe. Omdøb denne fil til Reloadmedude.old.
  11. Genstart computeren.
  12. Kontroller, at dit antivirus- eller antispywareprogram opdateres med de nyeste signaturer, og udfør derefter et komplet systemscan.
Tilbage til toppen

Metode 3: Omdøb den skadelige driver i fejlsikret tilstand ved hjælp kommandoprompten

  1. Start computeren i fejlsikret tilstand. Det kan du gøre ved at følge disse trin:
    1. Genstart computeren.
    2. Når computeren starter, skal du trykke flere gange på tasten F8 (en gang pr. sekund). Dermed vises Avancerede startindstillinger for Microsoft Windows.
    3. Brug piletasterne OP og NED til at markere Fejlsikret tilstand med kommandoprompt, og tryk derefter på ENTER.
  2. Klik på Start, klik på Kør, skriv cmd i feltet Åbn, og klik derefter på OK.
  3. Skriv CD %windir%\system32\drivers ud for kommandoprompten, og tryk derefter på ENTER.
  4. Skriv Dir /ah, og tryk derefter på ENTER.
  5. Du får vist en tekst, der kan se ud som følgende: .sys-filnavnet genereres tilfældigt.
    Biblioteket C:\WINDOWS\system32\drivers

01/11/2005  09:18 AM               13,824 gbqxmhia.sys
               1 File(s)            13,824 bytes
               0 Dir(s)     961,425,408 bytes free
  6. Skriv Attrib ?s ?h VilkårligtFilnavn, og tryk derefter på ENTER. Dermed fjernes systemattributter og skjulte attributter fra filen.

    Bemærk! Pladsholderen VilkårligtFilnavn udgør navnet på den .sys-fil, der vises, når du har udført trin 5. I det filnavn, der er angivet i trin 5, skal du f.eks. skrive Attrib ?s ?h gbqxmhia.sys.
  7. Skriv Ren VilkårligtFilnavn malware.old, og tryk derefter på ENTER. Dermed omdøbes filen med det vilkårlige navn.
  8. Skriv CD, og tryk derefter på ENTER. Dermed ændres kommandolinjen til mappen %windir%\System32.
  9. Indtast følgende kommandoer én ad gangen, og tryk på ENTER efter hver linje:
    Ren msupd5.exe msupd5.old
    Ren msupd4.exe msupd4.old
    Ren msupd.exe msupd.old
    Ren reloadmedude.exe reloadmedude.old
    Bemærk! Hvis følgende fejlmeddelelse vises, kan du uden videre ignorere den, fordi den angiver, at filen ikke eksisterer:
    Systemet kan ikke finde den angivne fil.
  10. Indtast Exit, og tryk derefter på ENTER.
  11. Genstart computeren.
  12. Kontroller, at dit antivirus- eller antispywareprogram opdateres med de nyeste signaturer, og udfør derefter et komplet systemscan.
Tilbage til toppen

Yderligere Information

Du kan undersøge, om din computer er inficeret med denne spyware ved at følge disse trin:
  1. Start Internet Explorer.
  2. Skriv %windir%\system32\drivers i feltet Adresse i Internet Explorer, og tryk derefter på ENTER.
  3. Rediger, hvordan skjulte filer og beskyttede operativsystemfiler vises i Windows. Det kan du gøre ved at følge disse trin:
    1. Klik på Mappeindstillinger i menuen Funktioner.
    2. Klik på fanen Vis, fjern markeringen i afkrydsningsfeltet Skjul beskyttede operativsystemfiler (anbefales), og klik derefter på Ja, når der vises en advarselsmeddelelse, der angiver, at du har valgt at få vist skjulte operativsystemfiler.
    3. Klik på Vis skjulte filer og mapper under Skjulte filer og mapper.
    4. Fjern markeringen i afkrydsningsfeltet Skjul filtypenavne for kendte filtyper.
    5. Marker afkrydsningsfeltet Vis indholdet af systemmapper, og klik derefter på OK.
    6. Klik på Detaljer i menuen Vis.
  4. Opdater visningen af drivermappen ved at trykke på F5.
  5. Find alle de systemfiler (filer med filtypenavnet .sys), som har angivet skjulte attributter, og som ikke indeholder oplysninger om produktnavn, virksomhed og filversion.

    Bemærk! I kolonnen Attributter i Windows Explorer er betegnelsen "HA" vist ud for de filer, der har skjulte attributter angivet. Trin 5a og 5b indeholder oplysninger om, hvordan du får vist kolonnen Attributter.

    Det kan du gøre ved at benytte nedenstående fremgangsmåde.

    Bemærk! Spyware-filen har tilsyneladende et tilfældigt genereret filnavn, der består af otte bogstaver, der er skrevet med småt.
    1. Rediger den måde, hvorpå Windows Stifinder viser detaljer om filerne i mappen. Det kan du gøre ved at følge disse trin:
      1. Klik på Vælg detaljer i menuen Vis.
      2. Marker afkrydsningsfeltet Attributter.
      3. Marker afkrydsningsfeltet Produktnavn.
      4. Marker afkrydsningsfeltet Virksomhed.
      5. Marker afkrydsningsfeltet Filversion.
    2. Klik på kolonneoverskriften Attributter for at få listen sorteret i henhold til attributter. Filerne i drivermappen indeholder typisk kun arkiveringsattributten (A). Kig efter eventuelle filer, som også indeholder den skjulte attribut (HA).
      Følgende liste indeholder eksempler på navne på spyware-filer, der er kendt for at kunne forårsage dette problem:
      • gbqxmhia.sys
      • upzvlbvv.sys
      • jsbmefvk.sys
      Når du har fundet en fil, du har mistanke om, kan være en spyware-fil, skal du undersøge filens egenskaber ved hjælp af dialogboksen Egenskaber. Højreklik på filen, klik på Egenskaber, og kig efter følgende oplysninger:
      • Under fanen Generelt:
        • Ændret: 11. januar 2005
        • Størrelse: 14 KB (13.824 bytes)
        • En markering i afkrydsningsfeltet Skjult
      • Under fanen Version:
        • Manglende filversion
        • Manglende beskrivelse
        • Manglende copyright
        • Manglende virksomhedsnavn
        • Manglende produktnavn
    Hvis en fil har skjulte attributter angivet og samtidig mangler oplysninger om produktnavn, virksomhed og filversion, er computeren inficeret med spyware.
  6. Luk dialogboksen Egenskaber ved at klikke på OK, og løs derefter problemet ved at følge trinene i en af de metoder, der er beskrevet i afsnittet "Løsning".
  7. Skriv %windir%\system32 i feltet Adresse i Internet Explorer, og tryk derefter på ENTER.
  8. Kig efter programfiler (filer med filbetegnelsen .exe i filnavnet), som har navne, der minder om følgende:
    • Msupd.exe.
    • Msupd*.exe

      Bemærk! Pladsholderen * udgør et et-cifret tal
    • Reloadmedude.exe
    Disse filer har en tilfældig dato og en størrelse på 60 KB (61.440 byte).
    Kendte navne på spyware-filer omfatter følgende filnavne:
    • Msupd.exe.
    • Msupd4.exe.
    • Msupd5.exe
    • Reloadmedude.exe
  9. Hvis en eller flere af disse filer findes på computeren, er computeren inficeret med spyware. Du kan løse problemet ved at følge en af de metoder, der er beskrevet i afsnittet "Løsning".
Tilbage til toppen

Sikkerhedsprodukter, der kan registrere denne spyware

Der findes adskillige sikkerhedsprodukter, der er i stand til at registrere denne spyware. Eksempler på disse produkter og rapporterede spyware-navne omfatter følgende:
Skjul tabellenUdvid tabellen
ProduktRapporteret spyware-navn
Microsoft AntiSpyware Spyware.Service.MiscrosoftUpdate (Trojan)
Computer AssociatesWin32/Benuti.61440!Downloader!Dr
Doctor Web DrWebCL Trojan.Medude
F-Secure Trojan.Win32.Agent.aw
Kaspersky Lab AVPDOS32Trojan.Win32.Agent.aw
McAfeeDownloader-va
Panda Trj/Agent.FO og Adware/Apropos
Trend Micro VScanTROJ_LODMEDUD.A
Symantec Trojan.Lodmeduod
Tilbage til toppen

Referencer

Yderligere oplysninger om produktet Microsoft AntiSpyware finder du ved at klikke på følgende artikelnumre for at få vist artiklerne i Microsoft Knowledge Base:
892279  (http://support.microsoft.com/kb/892279/ ) Sådan får du Microsoft Windows AntiSpyware (Beta).
892340  (http://support.microsoft.com/kb/892340/ ) Microsoft Windows AntiSpyware (Beta) identificerer et program som en spywaretrussel

Yderligere oplysninger om leverandører af antivirusprogrammer finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:
49500  (http://support.microsoft.com/kb/49500/ ) Liste over leverandører af antivirusprogrammer
Tilbage til toppen
Oplysningerne i denne artikel gælder:
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Tablet PC Edition 2005
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional 64-Bit Edition (Itanium)
  • Microsoft Windows XP for Itanium-based Systems Version 2003
  • Microsoft Windows XP Media Center Edition 2004
  • Microsoft Windows XP Media Center Edition 2005
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
Tilbage til toppen
Nøgleord: 
kbtshoot kbsecurity kbprb kbsecantivirus KB894278
Tilbage til toppen

Get Help Now

Contact a support professional by E-mail, Online, or Phone

Oversættelser af artikler