Possibile riavvio automatico del computer o visualizzazione di un messaggio di "errore grave" o di un messaggio di errore irreversibile in Windows Server 2003, Windows XP o Windows 2000

Traduzione articoli Traduzione articoli
Identificativo articolo: 894278 - Visualizza i prodotti a cui si riferisce l?articolo.
Espandi tutto | Chiudi tutto

In questa pagina

Sommario

In questo articolo vengono descritti alcuni sintomi che possono verificarsi se nel computer in uso Ŕ in esecuzione lo spyware rootkit Spyware.Service.MiscrosoftUpdate (Trojan). Per rimuovere il virus Trojan horse Ŕ necessario identificare i file che causano il problema e quindi rinominarli.

I componenti spyware in modalitÓ utente Msupd*.exe e Reloadmedude.exe possono essere rimossi da alcuni programmi antivirus o antispyware non appena viene rinominato il driver nascosto. Il nome file del driver nascosto pu˛ essere "gbqxhia.sys", "upzvlbvv.sys", "jsbmefvk.sys" o qualsiasi altro nome di file casuale contenente solo lettere minuscole.

Nella sezione "Informazioni" sono elencati alcuni programmi antispyware in grado di rilevare questo virus.

Sintomi

╚ possibile che si verifichi uno o pi¨ dei seguenti sintomi:
  • Il computer viene riavviato automaticamente.
  • Dopo avere effettuato l'accesso, Ŕ possibile che venga visualizzato un messaggio di errore analogo al seguente:
    Microsoft Windows
    Il sistema Ŕ stato ripristinato in seguito a un errore grave. ╚ stato creato un registro relativo all'errore. Segnalare il problema a Microsoft. ╚ stata creata una segnalazione errori che Ŕ possibile inviare in modo da consentire la risoluzione del problema di Microsoft Windows. Il contenuto della segnalazione sarÓ riservato e anonimo. Per visualizzare i dati contenuti nella segnalazione errori, fare clic qui.
    Se il messaggio di errore continua ad essere visualizzato, fare clic sul collegamento nella parte inferiore del messaggio se si desidera verificare i dati contenuti nella segnalazione errori. In tal caso, verranno visualizzate informazioni sull'identificativo dell'errore analoghe alle seguenti:
    BCCode : 00000050 BCP1 : 0xeb7ff002 BCP2 : 0x00000000 BCP3 : 0x8054af32 BCP4 : 0x00000001 OSVer : 5_1_2600 SP : 0_0 Prodotto : 256_1
  • Viene visualizzato un messaggio di errore irreversibile analogo al seguente:
    Si Ŕ verificato un problema e Windows Ŕ stato arrestato per impedire danni al computer. Informazioni tecniche: *** STOP: 0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237
  • Nel registro eventi di sistema viene registrato un evento analogo al seguente:

    Data: data
    Origine: Errore di sistema
    Ora: ora
    Categoria: (102)
    Tipo: Errore
    ID evento: 1003
    Utente: N/D
    Computer: computer
    Descrizione: Codice errore 00000050, parametro1 0xeb7ff002, parametro2 0x00000000, parametro3 0x8054af32, parametro4 0x00000001. Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico all'indirizzo http://support.microsoft.com. Dati: 0000: 53 79 73 74 65 6d 20 45 System E 0008: 72 72 6f 72 20 20 45 72 Errore 0010: 72 6f 72 20 63 6f 64 65 Codice errore 0018: 20 30 30 30 30 30 30 35 00000MN 0020: 30 20 20 50 61 72 61 6d 0 Parametri 0028: 65 74 65 72 73 20 66 66 ff 0030: 66 66 66 66 64 31 2c

Note

I sintomi di un errore irreversibile variano in base alle opzioni relative alle operazioni da eseguire in caso di errori di sistema. Per ulteriori informazioni sulla configurazione delle opzioni relative alle operazioni da eseguire in caso di errori di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
307973 HOW TO: Configurare tecniche di ripristino in Windows XP
I quattro parametri inclusi nelle informazioni sull'identificativo dell'errore (BCPn) e riportate tra parentesi nelle informazioni tecniche sull'errore irreversibile possono variare in base alla configurazione del computer.

Non tutti gli errori di tipo STOP 0x00000050 sono causati dal problema descritto nella sezione "Cause".

Cause

Questo messaggio di errore Ŕ causato da un driver del kernel installato da noti programmi spyware rootkit elencati di seguito:
  • Msupd5.exe
  • Reloadmedude.exe

Risoluzione

Per risolvere questo problema, utilizzare uno o pi¨ metodi descritti di seguito elencati nell'ordine preferenziale.

Metodo 1: Rinominare il driver dannoso utilizzando Internet Explorer

  1. Aprire Internet Explorer.
  2. Nella casella Indirizzo digitare %windir%\system32\drivers e premere INVIO.
  3. Individuare il file sys con nome casuale, fare clic con il pulsante destro del mouse sul file, quindi scegliere Rinomina.
  4. Digitare malware.old per rinominare il file, quindi premere INVIO.
  5. Nella casella Indirizzo digitare \WINDOWS\system32, quindi premere INVIO.
  6. Individuare e rinominare i file riportati di seguito, se presenti:
    • Msupd5.exe. Rinominarlo in Msupd5.old.
    • Msupd4.exe. Rinominarlo in Msupd4.old.
    • Msupd.exe. Rinominarlo in Msupd.old.
    • Reloadmedude.exe. Rinominarlo in Reloadmedude.old.
  7. Chiudere Internet Explorer.
  8. Riavviare il computer.
  9. Assicurarsi che il software antivirus o antispyware sia aggiornato con le firme pi¨ recenti, quindi eseguire una scansione completa del sistema.

Metodo 2: In modalitÓ provvisoria rinominare il driver dannoso utilizzando Risorse del computer

  1. Avviare il computer in modalitÓ provvisoria. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Riavviare il computer.
    2. All'avvio del computer premere ripetutamente F8 (una volta al secondo). Verranno visualizzate le opzioni avanzate del menu di avvio di Microsoft Windows.
    3. Utilizzare freccia SU e freccia GI┘ per selezionare ModalitÓ provvisoria, quindi premere INVIO.
  2. Aprire Internet Explorer.
  3. Nella casella Indirizzo digitare C:\%windir%\system32\drivers e premere INVIO.
  4. Attivare la visualizzazione dei file nascosti. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Fare clic sul pulsante Start, quindi scegliere Risorse del computer.
    2. Scegliere Opzioni cartella dal menu Strumenti.
    3. Nella scheda Visualizzazione deselezionare la casella di controllo Nascondi i file protetti di sistema (consigliato) quindi scegliere quando viene visualizzato un messaggio di avviso nel quale Ŕ indicato che Ŕ stato scelto di visualizzare file protetti del sistema operativo.
    4. In Cartelle e file nascosti selezionare Visualizza cartelle e file nascosti.
    5. Deselezionare la casella di controllo Nascondi le estensioni per i tipi di file conosciuti.
    6. Nell'area Visualizzazione cartelle fare clic su Applica a tutte le cartelle, quindi scegliere OK.
  5. Individuare la cartella denominata C:\%windir%\System32\Drivers.
  6. Individuare qualsiasi file sys con le seguenti caratteristiche:
    1. Nome di file generato casualmente composto da un massimo di otto lettere minuscole, ad esempio "gbqxmhia.sys", "upzvlbvv.sys", o "jsbmefvk.sys"
    2. Data 11 gennaio 2005
    3. Dimensioni 14 KB (13.824 byte)
    4. Attributo nascosto impostato

      Nota Per i file con l'attributo nascosto impostato viene visualizzato "HA" nella colonna Attributi in Esplora risorse. Per istruzioni sulla visualizzazione della colonna Attributi, vedere i passaggi 5a e 5b della procedura descritta nella sezione "Informazioni".
    5. Nessuna informazione su versione, nome del prodotto o produttore.
  7. Fare clic con il pulsante destro del mouse su ogni file individuato, quindi scegliere Rinomina.
  8. Digitare malware1.old per rinominare il primo file, quindi premere INVIO.

    Nota Digitare malware2.old per rinominare il secondo file, quindi malware3.old per rinominare il terzo file e cosý via.
  9. Individuare la cartella %windir%\System32.
  10. Rinominare i seguenti file, se presenti:
    • Msupd5.exe. Rinominarlo in msupd5.old.
    • Msupd4.exe. Rinominarlo in Msupd4.old.
    • Msupd.exe. Rinominarlo in Msupd.old.
    • Reloadmedude.exe. Rinominarlo in Reloadmedude.old.
  11. Riavviare il computer.
  12. Assicurarsi che il software antivirus o antispyware sia aggiornato con le firme pi¨ recenti, quindi eseguire una scansione completa del sistema.

Metodo 3: In modalitÓ provvisoria rinominare il driver dannoso utilizzando il prompt dei comandi

  1. Avviare il computer in modalitÓ provvisoria. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Riavviare il computer.
    2. All'avvio del computer premere ripetutamente F8 (una volta al secondo). Verranno visualizzate le opzioni avanzate del menu di avvio di Microsoft Windows.
    3. Utilizzare freccia SU e freccia GI¨ per selezionare ModalitÓ provvisoria con prompt dei comandi, quindi premere INVIO.
  2. Fare clic sul pulsante Start, scegliere Esegui, digitare cmd nella casella Apri, quindi scegliere OK.
  3. Al prompt dei comandi digitare CD %windir%\system32\drivers, quindi premere INVIO.
  4. Digitare Dir /ah, quindi premere INVIO.
  5. VerrÓ visualizzato testo analogo al seguente. Il nome del file sys verrÓ generato casualmente.
    Directory of C:\WINDOWS\system32\drivers
    
    01/11/2005  09:18 AM               13,824 gbqxmhia.sys
                   1 File(s)            13,824 bytes
                   0 Dir(s)     961,425,408 bytes free
    
  6. Digitare Attrib ?s ?h NomefileCasuale e premere INVIO. Con questa operazione vengono rimossi gli attributi nascosti e di sistema dal file.

    Nota Il segnaposto NomefileCasuale rappresenta il nome del file sys visualizzato dopo l'esecuzione del passaggio 5. Ad esempio, per il nome del file specificato nell'esempio del passaggio 5 digitare Attrib ?s ?h gbqxmhia.sys.
  7. Digitare Ren NomefileCasuale malware.old e premere INVIO. Con questa operazione viene rinominato il file con un nome casuale.
  8. Digitare CD e premere INVIO. La riga di comando passa alla cartella %windir%\System32.
  9. Digitare i comandi riportati di seguito uno alla volta e premere INVIO dopo ogni comando:
    Ren msupd5.exe msupd5.old
    Ren msupd4.exe msupd4.old
    Ren msupd.exe msupd.old
    Ren reloadmedude.exe reloadmedude.old
    Nota Se viene visualizzato il seguente messaggio di errore, Ŕ possibile ignorarlo poichÚ significa che il file di destinazione non esiste:
    Impossibile trovare il file specificato.
  10. Digitare Exit e premere INVIO.
  11. Riavviare il computer.
  12. Assicurarsi che il software antivirus o antispyware sia aggiornato con le firme pi¨ recenti, quindi eseguire una scansione completa del sistema.

Informazioni

Per verificare se nel computer Ŕ presente questo spyware, attenersi alla seguente procedura:
  1. Avviare Internet Explorer.
  2. Nella casella Indirizzo di Internet Explorer digitare %windir%\system32\drivers e premere INVIO.
  3. Modificare la modalitÓ di visualizzazione dei file nascosti e dei file protetti di sistema. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Scegliere Opzioni cartella dal menu Strumenti.
    2. Nella scheda Visualizzazione deselezionare la casella di controllo Nascondi i file protetti di sistema (consigliato) quindi scegliere quando viene visualizzato un messaggio di avviso nel quale Ŕ indicato che Ŕ stato scelto di visualizzare file protetti del sistema operativo.
    3. In Cartelle e file nascosti selezionare Visualizza cartelle e file nascosti.
    4. Deselezionare la casella di controllo Nascondi le estensioni per i tipi di file conosciuti.
    5. Selezionare la casella di controllo Visualizza il contenuto delle cartelle di sistema, quindi scegliere OK.
    6. Scegliere Dettagli dal menu Visualizza.
  4. Premere F5 per aggiornare la visualizzazione della cartella Drivers.
  5. Individuare qualsiasi file di sistema, ovvero i file con estensione sys, con l'attributo nascosto impostato e senza informazioni su nome del prodotto, produttore e versione.

    Nota Per i file con l'attributo nascosto impostato viene visualizzato "HA" nella colonna Attributi in Esplora risorse. Per istruzioni sulla visualizzazione della colonna Attributi vedere i passaggi 5a e 5b.

    Per effettuare questa operazione, attenersi alla seguente procedura.

    Nota Il file spyware potrebbe avere un nome di file generato casualmente composto da un massimo di otto lettere minuscole.
    1. Modificare la modalitÓ di visualizzazione dei dettagli dei file nella cartella in Esplora risorse. Per effettuare questa operazione, attenersi alla seguente procedura:
      1. Scegliere Scelta dettagli dal menu Visualizza.
      2. Selezionare la casella di controllo Attributi.
      3. Selezionare la casella di controllo Nome prodotto.
      4. Selezionare la casella di controllo Nome societÓ.
      5. Selezionare la casella di controllo Versione file.
    2. Fare clic sull'intestazione della colonna Attributi per ordinare l'elenco di file per attributi. I file nella cartella Drivers contengono in genere solo l'attributo di archivio (A). Cercare eventuali file contenenti anche l'attributo nascosto (HA).
      Di seguito sono elencati esempi di nomi di file spyware noti per essere la causa di questo problema:
      • gbqxmhia.sys
      • upzvlbvv.sys
      • jsbmefvk.sys
      Dopo avere individuato un file sospetto, verificarne le proprietÓ utilizzando la finestra di dialogo ProprietÓ. Fare clic con il pulsante destro del mouse sul file, scegliere ProprietÓ e cercare le seguenti informazioni:
      • Nella scheda Generale:
        • Ultima modifica: 11 gennaio 2005
        • Dimensioni: 14 KB (13.824 byte)
        • Un segno di spunta nella casella Nascosto
      • Nella scheda Versione:
        • Nessuna informazione sulla versione
        • Nessuna descrizione
        • Nessuna informazione di copyright
        • Nessun nome di societÓ
        • Nessun nome di prodotto
    Se per un file Ŕ impostato l'attributo nascosto e non sono presenti dettagli relativi a nome del prodotto, produttore e versione, significa che nel computer Ŕ presente uno spyware.
  6. Scegliere OK per chiudere la finestra di dialogo ProprietÓ, quindi attenersi alla procedura riportata in uno dei metodi descritti nella sezione "Risoluzione" per risolvere il problema.
  7. Nella casella Indirizzo di Internet Explorer digitare %windir%\system32 e premere INVIO.
  8. Cercare i file di applicazione, ovvero i file con estensione exe, con nomi analoghi ai seguenti:
    • Msupd.exe
    • Msupd*.exe

      Note Il segnaposto * rappresenta un numero di una sola cifra
    • Reloadmedude.exe
    Questi file presenteranno una data casuale e dimensioni di 60 KB (61.440 byte).
    Di seguito sono elencati alcuni nomi noti di file spyware:
    • Msupd.exe
    • Msupd4.exe
    • Msupd5.exe
    • Reloadmedude.exe
  9. Se sono presenti uno o pi¨ di questi file, significa che il computer Ŕ stato infettato da uno spyware. Per risolvere il problema, attenersi alla procedura riportata in uno dei metodi descritti nella sezione "Risoluzione".

Prodotti di protezione in grado di rilevare questo spyware

Sono disponibili diversi prodotti di protezione per il rilevamento di questo spyware. Di seguito sono riportati alcuni esempi di prodotti e i nomi di spyware indicati:
Riduci questa tabellaEspandi questa tabella
ProdottoNome spyware indicato
Microsoft AntiSpyware Spyware.Service.MiscrosoftUpdate (Trojan)
Computer AssociatesWin32/Benuti.61440!Downloader!Dr
Doctor Web DrWebCL Trojan.Medude
F-Secure Trojan.Win32.Agent.aw
Kaspersky Lab AVPDOS32Trojan.Win32.Agent.aw
McAfeeDownloader-va
Panda Trj/Agent.FO and Adware/Apropos
Trend Micro VScanTROJ_LODMEDUD.A
Symantec Trojan.Lodmeduod

Riferimenti

Per ulteriori informazioni su Microsoft AntiSpyware, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
892279 Informazioni su come ottenere Microsoft Windows AntiSpyware (Beta)
892340 Identificazione di un programma come minaccia spyware da parte di Microsoft Windows AntiSpyware (Beta)

Per ulteriori informazioni sui fornitori di prodotti antivirus, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
49500 Elenco di fornitori di software antivirus

ProprietÓ

Identificativo articolo: 894278 - Ultima modifica: lunedý 10 giugno 2013 - Revisione: 4.1
Le informazioni in questo articolo si applicano a:
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition 2005 Update Rollup 2
  • Microsoft Windows XP Media Center Edition 2004
  • Microsoft Windows XP Media Center Edition 2005
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
Chiavi:á
kbsecurity kbsecantivirus kbtshoot kbprb KB894278
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com