Komputer automatycznie uruchamia się ponownie, jest wyświetlany komunikat o poważnym błędzie bądź jest wyświetlany komunikat o błędzie zatrzymania w systemie Windows Server 2003, Windows XP lub Windows 2000

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 894278 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Na tej stronie

Streszczenie

W tym artykule opisano kilka symptomów wskazujących, że na komputerze jest uruchomione oprogramowanie inwigilujące sterowniki jądra o nazwie Spyware.Service.MiscrosoftUpdate (Trojan). Aby usunąć ten wirus typu koń trojański, należy zidentyfikować pliki powodujące ten problem, a następnie zmienić ich nazwy.

Składniki trybu użytkownika (oprogramowanie inwigilujące), pliki Msupd*.exe i Reloadmedude.exe, można wyczyścić za pomocą niektórych programów antywirusowych lub programów usuwających oprogramowanie inwigilujące, gdy tylko zostanie zmieniona nazwa ukrytego sterownika. Ukryty sterownik może mieć nazwę gbqxhia.sys, upzvlbvv.sys, jsbmefvk.sys lub podobną, utworzoną losowo nazwę pliku, która zawiera wyłącznie małe litery.

Kilka programów usuwających oprogramowanie inwigilujące, które mogą wykryć tego wirusa, przedstawiono w sekcji „Więcej informacji”.

Symptomy

Może wystąpić jeden lub kilka z następujących symptomów:
  • Komputer automatycznie uruchamia się ponownie.
  • Po zalogowaniu pojawia się następujący komunikat o błędzie:
    Microsoft Windows
    System odzyskał sprawność działania po poważnym błędzie. Utworzono dziennik tego błędu. Przekaż informacje o tym problemie firmie Microsoft. Został utworzony raport o błędach, który możesz wysłać, aby pomóc w ulepszeniu systemu Microsoft Windows. Raport ten będzie traktowany jako poufny i anonimowy. Aby zobaczyć, co zawiera ten raport o błędach, kliknij tutaj.
    Jeżeli ten komunikat o błędzie jest nadal wyświetlany i chcesz obejrzeć dane, które znajdują się w raporcie o błędzie, kliknij łącze „kliknij tutaj” u dołu okna komunikatu. Po kliknięciu tego łącza zostaną wyświetlone informacje dotyczące sygnatury błędu podobne do następujących:
    BCCode : 00000050 BCP1 : 0xeb7ff002 BCP2 : 0x00000000 BCP3 : 0x8054af32 BCP4 : 0x00000001 OSVer : 5_1_2600 SP : 0_0 Product : 256_1
  • Pojawia się następujący komunikat o błędzie zatrzymania:
    Pojawił się problem i system Windows został zamknięty, aby zapobiec uszkodzeniu komputera. Informacje techniczne: *** STOP: 0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237
  • W dzienniku zdarzeń jest rejestrowana informacja o zdarzeniu podobna do następującej:

    Data: data
    Źródło: Błąd systemu
    Godzina: godzina
    Kategoria: (102)
    Typ: Błąd
    Identyfikator zdarzenia: 1003
    Użytkownik: Brak
    Komputer: komputer
    Opis: Kod błędu 00000050, parametr1 0xeb7ff002, parametr2 0x00000000, parametr3 0x8054af32, parametr4 0x00000001. Aby uzyskać więcej informacji, skorzystaj z Centrum pomocy i obsługi technicznej w witrynie http://support.microsoft.com. Dane: 0000: 53 79 73 74 65 6d 20 45 System E 0008: 72 72 6f 72 20 20 45 72 rror Er 0010: 72 6f 72 20 63 6f 64 65 ror code 0018: 20 30 30 30 30 30 30 35 00000MN 0020: 30 20 20 50 61 72 61 6d 0 Param 0028: 65 74 65 72 73 20 66 66 eters ff 0030: 66 66 66 66 64 31 2c

Uwagi:

Symptomy błędu zatrzymania różnią się w zależności od ustawień opcji awarii systemu na danym komputerze. Aby uzyskać więcej informacji dotyczących sposobu konfigurowania opcji zachowania komputera w przypadku awarii systemu, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
307973 JAK: Konfigurowanie opcji awarii i odzyskiwania systemu Windows
Cztery parametry, które znajdują się w informacjach o sygnaturze błędu (BCP n) i wewnątrz nawiasów w informacjach technicznych dotyczących błędu zatrzymania, zależą od konfiguracji komputera.

Nie wszystkie błędy zatrzymania 0x00000050 są spowodowane problemem, który opisano w sekcji „Przyczyna”.

Przyczyna

Przyczyną wyświetlania tego komunikatu o błędzie jest sterownik jądra zainstalowany przez następujące znane programy inwigilujące jądro:
  • Msupd5.exe
  • Reloadmedude.exe

Rozwiązanie

Aby rozwiązać ten problem, należy użyć jednej lub kilku z następujących metod. Metody są wymienione w kolejności preferowanego użycia.

Metoda 1: Zmiana nazwy szkodliwego sterownika przy użyciu programu Internet Explorer

  1. Otwórz program Internet Explorer.
  2. W polu Adres wpisz ścieżkę %windir%\system32\drivers, a następnie naciśnij klawisz ENTER.
  3. Zlokalizuj plik sys o losowej nazwie, kliknij go prawym przyciskiem myszy, a następnie kliknij polecenie Zmień nazwę.
  4. Zmień nazwę pliku na malware.old, a następnie naciśnij klawisz ENTER.
  5. W polu Adres wpisz ścieżkę \WINDOWS\system32, a następnie naciśnij klawisz ENTER.
  6. Zlokalizuj następujące pliki (jeżeli istnieją), a następnie zmień ich nazwy:
    • Msupd5.exe Zmień nazwę tego pliku na Msupd5.old.
    • Msupd4.exe. Zmień nazwę tego pliku na Msupd4.old.
    • Msupd.exe. Zmień nazwę tego pliku na Msupd.old.
    • Reloadmedude.exe Zmień nazwę tego pliku na Reloadmedude.old.
  7. Zamknij program Internet Explorer.
  8. Ponownie uruchom komputer.
  9. Upewnij się, że używane programy antywirusowe lub programy usuwające oprogramowanie inwigilujące zostały zaktualizowane przy użyciu najnowszych sygnatur, a następnie wykonaj pełne skanowanie systemu.

Metoda 2: Zmiana nazwy szkodliwego sterownika w trybie awaryjnym przy użyciu okna Mój komputer

  1. Uruchom komputer w trybie awaryjnym. Aby to zrobić, wykonaj następujące kroki:
    1. Ponownie uruchom komputer.
    2. Po uruchomieniu komputera wielokrotnie naciśnij klawisz F8 (co sekundę). Ta czynność spowoduje wyświetlenie zawansowanych opcji menu uruchamiania systemu Microsoft Windows.
    3. Korzystając z klawiszy STRZAŁKA W GÓRĘ i STRZAŁKA W DÓŁ, wyróżnij opcję Tryb awaryjny, a następnie naciśnij klawisz ENTER.
  2. Otwórz program Internet Explorer.
  3. W polu Adres wpisz ścieżkę %windir%\system32\drivers, a następnie naciśnij klawisz ENTER.
  4. Włącz funkcję wyświetlania plików ukrytych. Aby to zrobić, wykonaj następujące kroki:
    1. Kliknij przycisk Start, a następnie kliknij polecenie Mój komputer.
    2. W menu Narzędzia kliknij polecenie Opcje folderów.
    3. Kliknij kartę Widok, wyczyść pole wyboru Ukryj chronione pliki systemu operacyjnego (zalecane), a następnie kliknij przycisk Tak, gdy zostanie wyświetlone ostrzeżenie dotyczące wybrania opcji wyświetlania chronionych plików systemu operacyjnego.
    4. W obszarze Ukryte pliki i foldery kliknij opcję Pokaż ukryte pliki i foldery.
    5. Wyczyść pole wyboru Ukryj rozszerzenia plików znanych typów.
    6. W obszarze Widoki folderu kliknij przycisk Zastosuj do wszystkich folderów, a następnie kliknij przycisk OK.
  5. Zlokalizuj folder o nazwie C:\%windir%\System32\Drivers.
  6. Zlokalizuj dowolny plik .sys o następujących cechach:
    1. Losowo wygenerowana nazwa pliku składająca się z maksymalnie ośmiu małych liter, np. gbqxmhia.sys, upzvlbvv.sys lub jsbmefvk.sys.
    2. Data utworzenia: 11 stycznia 2005.
    3. Rozmiar pliku: 14 KB (13 824 bajty).
    4. Ustawiony atrybut Ukryty.

      Uwaga: W przypadku pliku, który ma ustawiony atrybut Ukryty, w kolumnie Atrybuty w Eksploratorze Windows jest wyświetlany napis „HA”. Aby uzyskać instrukcje wyświetlania kolumny Atrybuty, zobacz kroki 5a i 5b procedury opisanej w sekcji „Więcej informacji”.
    5. Brak wersji pliku, nazwy produktu lub informacji dotyczących producenta.
  7. Kliknij prawym przyciskiem myszy każdy znaleziony plik, a następnie kliknij polecenie Zmień nazwę.
  8. Zmień nazwę pierwszego pliku na malware1.old, a następnie naciśnij klawisz ENTER.

    Uwaga: Zmień nazwę drugiego pliku na malware2.old, nazwę trzeciego pliku na malware3.old itd.
  9. Zlokalizuj folder %windir%\System32.
  10. Zmień nazwy następujących plików, jeżeli te pliki istnieją:
    • Msupd5.exe Zmień nazwę tego pliku na msupd5.old.
    • Msupd4.exe. Zmień nazwę tego pliku na Msupd4.old.
    • Msupd.exe. Zmień nazwę tego pliku na Msupd.old.
    • Reloadmedude.exe. Zmień nazwę tego pliku na Reloadmedude.old.
  11. Ponownie uruchom komputer.
  12. Upewnij się, że używane programy antywirusowe lub programy usuwające oprogramowanie inwigilujące zostały zaktualizowane przy użyciu najnowszych sygnatur, a następnie wykonaj pełne skanowanie systemu.

Metoda 3: Zmiana nazwy szkodliwego sterownika w trybie awaryjnym przy użyciu wiersza polecenia

  1. Uruchom komputer w trybie awaryjnym. Aby to zrobić, wykonaj następujące kroki:
    1. Ponownie uruchom komputer.
    2. Po uruchomieniu komputera wielokrotnie naciśnij klawisz F8 (co sekundę). Ta czynność spowoduje wyświetlenie zawansowanych opcji menu uruchamiania systemu Microsoft Windows.
    3. Korzystając z klawiszy STRZAŁKA W GÓRĘ i STRZAŁKA W DÓŁ, zaznacz opcję Tryb awaryjny z wierszem polecenia, a następnie naciśnij klawisz ENTER.
  2. Kliknij przycisk Start, kliknij polecenie Uruchom, w polu Otwórz wpisz polecenie cmd, a następnie kliknij przycisk OK.
  3. W wierszu polecenia wpisz polecenie CD %windir%\system32\drivers, a następnie naciśnij klawisz ENTER.
  4. Wpisz polecenie Dir /ah, a następnie naciśnij klawisz ENTER.
  5. Zostanie wyświetlony tekst podobny do następującego. Nazwa pliku sys będzie nazwą wygenerowaną losowo.
    Katalog C:\WINDOWS\system32\drivers
    
    01/11/2005  09:18 AM               13 824 gbqxmhia.sys
                   Plików: 1            13 824 bajtów
                   Katalogów: 0     961 425 408 bajtów wolnych
    
  6. Wpisz polecenie Attrib –s –h wygenerowana_losowo_nazwa_pliku, a następnie naciśnij klawisz ENTER. Ta czynność spowoduje usunięcie z pliku atrybutów Systemowy i Ukryty.

    Uwaga: Symbol zastępczy wygenerowana_losowo_nazwa_pliku reprezentuje nazwę pliku .sys wyświetlonego po wykonaniu kroku 5. Na przykład dla pliku o nazwie określonej w przykładzie w kroku 5 należy wpisać polecenie Attrib –s –h gbqxmhia.sys.
  7. Wpisz polecenie Ren wygenerowana_losowo_nazwa_pliku malware.old, a następnie naciśnij klawisz ENTER. Ta czynność spowoduje zmianę losowo wygenerowanej nazwy pliku.
  8. Wpisz polecenie CD, a następnie naciśnij klawisz ENTER. Ta czynność spowoduje przeniesienie wiersza polecenia do folderu %windir%\System32.
  9. Wpisz kolejno następujące polecenia, naciskając klawisz ENTER po wpisaniu każdego z nich:
    Ren msupd5.exe msupd5.old
    Ren msupd4.exe msupd4.old
    Ren msupd.exe msupd.old
    Ren reloadmedude.exe reloadmedude.old
    Uwaga: Jeżeli zostanie wyświetlony następujący komunikat o błędzie, można go zignorować, ponieważ informuje on o braku pliku docelowego:
    Nie można odnaleźć określonego pliku.
  10. Wpisz polecenie Exit, a następnie naciśnij klawisz ENTER.
  11. Ponownie uruchom komputer.
  12. Upewnij się, że używane programy antywirusowe lub programy usuwające oprogramowanie inwigilujące zostały zaktualizowane przy użyciu najnowszych sygnatur, a następnie wykonaj pełne skanowanie systemu.

Więcej informacji

Aby sprawdzić, czy dany komputer jest zainfekowany przez to oprogramowanie inwigilujące, należy wykonać następujące kroki:
  1. Uruchom program Internet Explorer.
  2. W polu Adres programu Internet Explorer wpisz ścieżkę %windir%\system32\drivers, a następnie naciśnij klawisz ENTER.
  3. Zmień sposób wyświetlania w systemie Windows plików ukrytych i chronionych plików systemu operacyjnego. Aby to zrobić, wykonaj następujące kroki:
    1. W menu Narzędzia kliknij polecenie Opcje folderów.
    2. Kliknij kartę Widok, wyczyść pole wyboru Ukryj chronione pliki systemu operacyjnego (zalecane), a następnie kliknij przycisk Tak, gdy zostanie wyświetlone ostrzeżenie dotyczące wybrania opcji wyświetlania chronionych plików systemu operacyjnego.
    3. W obszarze Ukryte pliki i foldery kliknij opcję Pokaż ukryte pliki i foldery.
    4. Wyczyść pole wyboru Ukryj rozszerzenia plików znanych typów.
    5. Zaznacz pole wyboru Wyświetl zawartość folderów systemowych, a następnie kliknij przycisk OK.
    6. W menu Widok kliknij polecenie Szczegóły.
  4. Naciśnij klawisz F5, aby zaktualizować zawartość wyświetlaną w folderze Drivers.
  5. Zlokalizuj pliki systemowe (pliki z rozszerzeniem sys), które mają ustawiony atrybut Ukryty i które nie mają szczegółowych informacji dotyczących nazwy produktu, firmy i wersji pliku.

    Uwaga: W przypadku plików, które mają ustawiony atrybut Ukryty, w kolumnie Atrybuty w Eksploratorze Windows jest wyświetlany napis „HA”. Aby uzyskać instrukcje dotyczące wyświetlania kolumny Atrybuty, zobacz kroki 5a i 5b.

    Aby to zrobić, wykonaj następujące kroki.

    Uwaga: Plik oprogramowania inwigilującego może mieć wygenerowaną losowo nazwę składającą się z maksymalnie ośmiu małych liter.
    1. Zmień sposób wyświetlania w Eksploratorze Windows szczegółów plików w folderze. Aby to zrobić, wykonaj następujące kroki:
      1. W menu Widok kliknij polecenie Wybierz szczegóły.
      2. Kliknij, aby zaznaczyć pole wyboru Atrybuty.
      3. Kliknij, aby zaznaczyć pole wyboru Nazwa produktu.
      4. Kliknij, aby zaznaczyć pole wyboru Firma.
      5. Kliknij, aby zaznaczyć pole wyboru Wersja pliku.
    2. Kliknij nagłówek kolumny Atrybuty, aby posortować listę plików według atrybutów. Pliki w folderze Drivers zazwyczaj mają tylko atrybut Archiwalny (A). Wyszukaj pliki mające także atrybut Ukryty (HA).
      Na poniższej liście przedstawiono przykładowe znane nazwy plików oprogramowania inwigilującego, które powoduje ten problem:
      • gbqxmhia.sys
      • upzvlbvv.sys
      • jsbmefvk.sys
      Jeśli istnieje podejrzenie, że dowolny ze znalezionych plików jest plikiem oprogramowania inwigilującego, zweryfikuj jego właściwości za pomocą okna dialogowego Właściwości. Kliknij ten plik prawym przyciskiem myszy, kliknij polecenie Właściwości, a następnie wyszukaj następujące informacje:
      • Na karcie Ogólne:
        • Zmodyfikowany: 11 stycznia 2005
        • Rozmiar: 14 KB (13 824 bajtów)
        • Znacznik wyboru w polu wyboru Ukryty
      • Na karcie Wersja:
        • Brak wersji pliku
        • Brak opisu
        • Brak informacji o prawach autorskich
        • Brak nazwy firmy
        • Brak nazwy produktu
    Jeśli dany plik ma ustawiony atrybut Ukryty, a ponadto nie ma szczegółów dotyczących nazwy produktu, firmy i wersji pliku, komputer jest zainfekowany oprogramowaniem inwigilującym.
  6. Kliknij przycisk OK, aby zamknąć okno dialogowe Właściwości, a następnie w celu rozwiązania tego problemu wykonaj kroki wchodzące w skład jednej z metod opisanych w sekcji „Rozwiązanie”.
  7. W polu Adres programu Internet Explorer wpisz ścieżkę %windir%\system32, a następnie naciśnij klawisz ENTER.
  8. Wyszukaj pliki aplikacji (pliki mające po nazwie rozszerzenie exe), których nazwy są podobne do następujących:
    • Msupd.exe
    • Msupd*.exe

      Uwaga: Symbol zastępczy * reprezentuje jednocyfrową liczbę.
    • Reloadmedude.exe
    W przypadku tych plików data jest generowana losowo, a rozmiar jest równy 60 KB (61 440 bajtów).
    Znane nazwy plików oprogramowania inwigilującego to m.in.:
    • Msupd.exe
    • Msupd4.exe
    • Msupd5.exe
    • Reloadmedude.exe
  9. Jeżeli na komputerze znajduje się jeden lub kilka z tych plików, komputer jest zainfekowany oprogramowaniem inwigilującym. Aby rozwiązać ten problem, wykonaj kroki wchodzące w skład jednej z metod opisanych w sekcji „Rozwiązanie”.

Programy zabezpieczeń, które wykrywają to oprogramowanie inwigilujące

Kilka programów zabezpieczeń wykrywa to oprogramowanie inwigilujące. Przykłady tych programów oraz zgłaszane nazwy oprogramowania inwigilującego to m.in.:
Zwiń tę tabelęRozwiń tę tabelę
ProduktZgłaszana nazwa oprogramowania inwigilującego
Microsoft AntiSpyware Spyware.Service.MiscrosoftUpdate (Trojan)
Computer AssociatesWin32/Benuti.61440!Downloader!Dr
Doctor Web DrWebCL Trojan.Medude
F-Secure Trojan.Win32.Agent.aw
Kaspersky Lab AVPDOS32Trojan.Win32.Agent.aw
McAfeeDownloader-va
Panda Trj/Agent.FO i Adware/Apropos
Trend Micro VScanTROJ_LODMEDUD.A
Symantec Trojan.Lodmeduod

Materiały referencyjne

Aby uzyskać więcej informacji dotyczących produktu Microsoft AntiSpyware, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:
892279 Jak wejść w posiadanie programu Microsoft Windows AntiSpyware (Beta)
892340 Microsoft Windows AntiSpyware (Beta) identifies a program as a spyware threat

Aby uzyskać więcej informacji dotyczących dostawców oprogramowania antywirusowego, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
49500 Lista dostawców oprogramowania antywirusowego

Właściwości

Numer ID artykułu: 894278 - Ostatnia weryfikacja: 19 października 2006 - Weryfikacja: 3.1
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Tablet PC Edition 2005
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional 64-Bit Edition (Itanium)
  • Microsoft Windows XP for Itanium-based Systems Version 2003
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Media Center Edition 2002
  • Microsoft Windows XP Media Center Edition 2004
  • Microsoft Windows XP Media Center Edition 2005
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
Słowa kluczowe: 
kbtshoot kbsecurity kbprb kbsecantivirus KB894278

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com