Artigo: 894278 - Última revisão: segunda-feira, 23 de Outubro de 2006 - Revisão: 3.1

O computador pode reiniciar automaticamente ou pode ser apresentada uma mensagem "erro grave" ou uma mensagem de erro do tipo Stop no Windows Server 2003, no Windows XP ou no Windows 2000

Ver produtos para os quais este artigo se aplica.
Dica do SistemaEste artigo aplica-se a um sistema operativo diferente do que está a utilizar. Foi desactivado o conteúdo do artigo, que pode não ser relevante para si.

Nesta página

Expandir tudo | Reduzir tudo

Sumário

Este artigo descreve vários sintomas que poderá detectar se o computador tiver o spyware rootkit Spyware.Service.MiscrosoftUpdate (Trojan). Para remover o vírus do tipo cavalo de Tróia, tem de identificar os ficheiros que provocam este problema e, em seguida, mudar os respectivos nomes.

Os componentes do modo de utilizador (spyware) Msupd*.exe e Reloadmedude.exe podem ser limpos por alguns programas antivírus ou anti-spyware assim que for mudado o nome do controlador oculto. O controlador oculto pode ter a denominação "gbqxhia.sys", "upzvlbvv.sys", "jsbmefvk.sys" ou outro nome de ficheiro aleatório que contenha apenas letras minúsculas.

Diversos programas anti-spyware que conseguem detectar este vírus são apresentados na secção "Mais informação".

Este artigo poderá conter hiperligações para conteúdo em inglês (ainda não traduzido).
Voltar ao topo

Sintomas

Poderá detectar um ou mais dos seguintes sintomas:
  • O computador é automaticamente reiniciado.
  • Depois de iniciar sessão, recebe a seguinte mensagem de erro:
    Microsoft Windows
    O sistema recuperou de um erro grave. Foi criado um registo deste erro. Informe a Microsoft sobre este problema. Criámos um relatório de erros que pode enviar para ajudar-nos a melhorar o Microsoft Windows. Este relatório é confidencial e anónimo. Para ver os dados que este relatório de erros contém, clique aqui.

    [Microsoft Windows
    The system has recovered from a serious error. A log of this error has been created. Please tell Microsoft about this problem. We have created an error report that you can send to help us improve Microsoft Windows. We will treat this report as confidential and anonymous. To see what data this error report contains, click here.]
    Se a mensagem de erro permanecer no ecrã, clique na hiperligação "clique aqui" ("click here") existente na parte inferior da caixa da mensagem se pretender visualizar os dados contidos no relatório de erros. Se o fizer, verá informações de assinatura de erro que poderão ser semelhantes às seguintes:
    BCCode : 00000050 BCP1 : 0xeb7ff002 BCP2 : 0x00000000 BCP3 : 0x8054af32 BCP4 : 0x00000001 OSVer : 5_1_2600 SP : 0_0 Product : 256_1
  • Recebe a seguinte mensagem de erro do tipo Stop:
    Foi detectado um problema e o Windows foi encerrado para evitar que o computador fique danificado. Informações técnicas:
    [A problem has been detected and Windows has been shut down to prevent damage to the computer Technical information:]
    *** STOP: 0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237
  • O registo do sistema regista um evento semelhante ao seguinte:

    Data: data
    Origem: Erro do sistema (System Error)
    Hora: hora
    Categoria: (102)
    Tipo: Erro (Error)
    ID do evento: 1003
    Utilizador: N/D
    Computador: computador
    Descrição: Código de erro 00000050, parâmetro1 0xeb7ff002, parâmetro2 0x00000000, parâmetro3 0x8054af32, parâmetro4 0x00000001. Para mais informações, consulte o 'Centro de ajuda e suporte' em http://support.microsoft.com.
    [Error code 00000050, parameter1 0xeb7ff002, parameter2 0x00000000, parameter3 0x8054af32, parameter4 0x00000001. For more information, see Help and Support Center at http://support.microsoft.com.]
    Dados: 0000: 53 79 73 74 65 6d 20 45 System E 0008: 72 72 6f 72 20 20 45 72 rror Er 0010: 72 6f 72 20 63 6f 64 65 ror code 0018: 20 30 30 30 30 30 30 35 00000MN 0020: 30 20 20 50 61 72 61 6d 0 Param 0028: 65 74 65 72 73 20 66 66 eters ff 0030: 66 66 66 66 64 31 2c

Voltar ao topo

Notas

Os sintomas de um erro do tipo Stop variam consoante as opções de falha do sistema. Para obter mais informações sobre como configurar as opções de falha do sistema, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
307973  (http://support.microsoft.com/kb/307973/ ) COMO: Configurar técnicas de recuperação no Windows XP
Os quatro parâmetros incluídos nas informações da assinatura de erro (BCPn) e dentro dos parênteses das informações técnicas do erro do tipo Stop podem variar consoante a configuração do computador.

Nem todos os erros "Stop 0x00000050" são provocados pelo problema descrito na secção "Causa".
Voltar ao topo

Causa

Esta mensagem de erro é provocada por um controlador de kernel instalado pelo conhecidos programas de spyware rootkit que se seguem:
  • Msupd5.exe
  • Reloadmedude.exe
Voltar ao topo

Resolução

Para resolver este problema, utilize um ou mais dos métodos que se seguem. Os métodos são apresentados pela ordem preferencial.
Voltar ao topo

Método 1: Mudar o nome do controlador malicioso utilizando o Internet Explorer

  1. Abra o Internet Explorer.
  2. Na barra Endereço (Address), escreva %windir%\system32\drivers e prima ENTER.
  3. Localize o ficheiro .sys de nome aleatório, clique com o botão direito do rato no mesmo e seleccione Mudar o nome (Rename).
  4. Escreva malware.old para mudar o nome do ficheiro e prima ENTER.
  5. Na barra Endereço (Address), escreva \WINDOWS\system32 e prima ENTER.
  6. Localize e mude o nome dos seguintes ficheiros, caso existam:
    • Msupd5.exe. Mude o nome deste ficheiro para Msupd5.old.
    • Msupd4.exe. Mude o nome deste ficheiro para Msupd4.old.
    • Msupd.exe. Mude o nome deste ficheiro para Msupd.old.
    • Reloadmedude.exe. Mude o nome deste ficheiro para Reloadmedude.old.
  7. Feche o Internet Explorer.
  8. Reinicie o computador.
  9. Certifique-se de que o software antivírus ou anti-spyware está actualizado com as assinaturas mais recentes e execute uma verificação completa do sistema.
Voltar ao topo

Método 2: Mudar o nome do controlador malicioso utilizando 'O meu computador' no modo de segurança

  1. Inicie o computador no modo de segurança. Para o fazer, siga estes passos:
    1. Reinicie o computador.
    2. Durante o arranque, prima a tecla F8 repetidas vezes (uma vez por segundo). Esta acção fará com que seja apresentado o menu de opções avançadas do Microsoft Windows.
    3. Utilize as teclas SETA PARA CIMA e SETA PARA BAIXO para realçar Modo de segurança (Safe Mode) e prima ENTER.
  2. Abra o Internet Explorer.
  3. Na barra Endereço (Address), escreva %windir%\system32\drivers e prima ENTER.
  4. Active a visualização dos ficheiros ocultos. Para o fazer, siga estes passos:
    1. Clique em Iniciar (Start) e clique em O meu computador (My Computer).
    2. No menu Ferramentas (Tools), clique em Opções de pastas (Folder Options).
    3. Clique no separador Ver (View), clique para desmarcar a caixa de verificação Ocultar ficheiros protegidos do sistema operativo (Recomendado) [Hide protected operating system files (Recommended)] e clique em Sim (Yes) quando receber uma mensagem de aviso a indicar que optou por mostrar ficheiros protegidos do sistema operativo.
    4. Em Ficheiros e pastas ocultos (Hidden files and folders), clique em Mostrar ficheiros e pastas ocultos (Show hidden files and folders).
    5. Clique para desmarcar a caixa de verificação Ocultar extensões para tipos de ficheiro conhecidos (Hide extensions for known file types).
    6. Na área Vistas de pastas (Folder views), clique em Aplicar a todas as pastas (Apply to All Folders) e clique em OK.
  5. Localize a pasta C:\%windir%\System32\Drivers.
  6. Localize todos os ficheiros .sys com as seguintes características:
    1. Um nome de ficheiro gerado aleatoriamente, composto por oito letras minúsculas, como "gbqxmhia.sys", "upzvlbvv.sys" ou "jsbmefvk.sys".
    2. A data 11 de Janeiro de 2005.
    3. Um tamanho de 14 KB (13.824 bytes).
    4. Um atributo de ocultação definido.

      Nota: um ficheiro com o atributo de ocultação definido apresenta "HA" na coluna Atributos (Attributes) do Explorador do Windows (Windows Explorer). Para obter instruções sobre como visualizar a coluna Atributos (Attributes), consulte os passos 5a e 5b do procedimento descrito na secção "Mais informação".
    5. O ficheiro não tem versão, nome de produto nem informações sobre o fabricante.
  7. Em cada ficheiro localizado, clique com o botão direito do rato no mesmo e seleccione Mudar o nome (Rename).
  8. Escreva malware1.old para mudar o nome do primeiro ficheiro e prima ENTER.

    Nota: escreva malware2.old para mudar o nome do segundo ficheiro, escreva malware3.old para mudar o nome do terceiro ficheiro, e assim sucessivamente.
  9. Localize a pasta %windir%\System32.
  10. Mude o nome dos seguintes ficheiros, caso existam:
    • Msupd5.exe. Mude o nome deste ficheiro para msupd5.old.
    • Msupd4.exe. Mude o nome deste ficheiro para Msupd4.old.
    • Msupd.exe. Mude o nome deste ficheiro para Msupd.old.
    • Reloadmedude.exe. Mude o nome deste ficheiro para Reloadmedude.old.
  11. Reinicie o computador.
  12. Certifique-se de que o software antivírus ou anti-spyware está actualizado com as assinaturas mais recentes e execute uma verificação completa do sistema.
Voltar ao topo

Método 3: Mudar o nome do controlador malicioso utilizando a linha de comandos no modo de segurança

  1. Inicie o computador no modo de segurança. Para o fazer, siga estes passos:
    1. Reinicie o computador.
    2. Durante o arranque, prima a tecla F8 repetidas vezes (uma vez por segundo). Esta acção fará com que seja apresentado o menu de opções avançadas do Microsoft Windows.
    3. Utilize as teclas SETA PARA CIMA e SETA PARA BAIXO para seleccionar Modo de segurança com linha de comandos (Safe Mode with Command Prompt) e prima ENTER.
  2. Clique em Iniciar (Start), clique em Executar (Run), escreva cmd na caixa Abrir (Open) e clique em OK.
  3. Na linha de comandos, escreva CD %windir%\system32\drivers e prima ENTER.
  4. Escreva Dir /ah e prima ENTER.
  5. Verá texto semelhante ao seguinte. O nome de ficheiro .sys será gerado aleatoriamente.
    Directório de C:\WINDOWS\system32\drivers

01/11/2005  09:18 AM               13,824 gbqxmhia.sys
               1 ficheiro(s)            13,824 bytes
               0 Dir(s)     961,425,408 bytes livres
  6. Escreva Attrib ?s ?h NomedeFicheiroAleatório e prima ENTER. Esta acção remove os atributos de sistema e os atributos de ocultação do ficheiro.

    Nota: o marcador de posição NomedeFicheiroAleatório representa o nome do ficheiro .sys apresentado depois de efectuar o passo 5. Por exemplo, para o nome de ficheiro especificado no exemplo do passo 5, escreveria Attrib ?s ?h gbqxmhia.sys.
  7. Escreva Ren NomedeFicheiroAleatório malware.old e prima ENTER. Esta acção muda o nome do ficheiro ao qual foi atribuído um nome aleatoriamente.
  8. Escreva CD e prima ENTER. Isto muda a linha de comandos para a pasta %windir%\System32.
  9. Escreva os seguintes comandos, um de cada vez, e prima ENTER após cada comando:
    Ren msupd5.exe msupd5.old
    Ren msupd4.exe msupd4.old
    Ren msupd.exe msupd.old
    Ren reloadmedude.exe reloadmedude.old
    Nota: se receber a mensagem de erro que se segue, pode ignorá-la com segurança porque indica que o ficheiro não existe:
    O sistema não conseguiu localizar o ficheiro especificado. (The system cannot find the file specified.)
  10. Escreva Exit e prima ENTER.
  11. Reinicie o computador.
  12. Certifique-se de que o software antivírus ou anti-spyware está actualizado com as assinaturas mais recentes e execute uma verificação completa do sistema.
Voltar ao topo

Mais Informação

Para verificar se o computador está infectado com este spyware, siga estes passos:
  1. Inicie o Internet Explorer.
  2. Na caixa Endereço (Address) do Internet Explorer, escreva %windir%\system32\drivers e prima ENTER.
  3. Altere o modo como o Windows apresenta ficheiros ocultos e ficheiros protegidos do sistema operativo. Para o fazer, siga estes passos:
    1. No menu Ferramentas (Tools), clique em Opções de pastas (Folder Options).
    2. Clique no separador Ver (View), clique para desmarcar a caixa de verificação Ocultar ficheiros protegidos do sistema operativo (Recomendado) [Hide protected operating system files (Recommended)] e clique em Sim (Yes) quando receber uma mensagem de aviso a indicar que optou por mostrar ficheiros protegidos do sistema operativo.
    3. Em Ficheiros e pastas ocultos (Hidden files and folders), clique em Mostrar ficheiros e pastas ocultos (Show hidden files and folders).
    4. Clique para desmarcar a caixa de verificação Ocultar extensões para tipos de ficheiro conhecidos (Hide extensions for known file types).
    5. Clique para seleccionar a caixa de verificação Apresentar o conteúdo de pastas do sistema (Display the contents of system folders) e clique em OK.
    6. No menu Ver (View), clique em Detalhes (Details).
  4. Prima F5 para actualizar a vista da pasta Drivers.
  5. Localize todos os ficheiros de sistema (ficheiros com a extensão .sys) que tenham o respectivo atributo de ocultação definido e tenham detalhes em falta relativamente ao nome do produto, empresa e versão do ficheiro.

    Nota: ficheiros com o atributo de ocultação definido apresentam "HA" na coluna Atributos (Attributes) do Explorador do Windows (Windows Explorer). Para obter instruções sobre como visualizar a coluna Atributos (Attributes), consulte os passos 5a e 5b.

    Para o fazer, siga estes passos.

    Nota: o ficheiro do spyware poderá aparentar ter um nome gerado aleatoriamente, composto por oito letras minúsculas.
    1. Altere o modo como o Explorador do Windows (Windows Explorer) apresenta detalhes dos ficheiros na pasta. Para o fazer, siga estes passos:
      1. No menu Ver (View), clique em Escolher detalhes (Choose Details).
      2. Clique para seleccionar a caixa de verificação Atributos (Attributes).
      3. Clique para seleccionar a caixa de verificação Nome do produto (Product Name).
      4. Clique para seleccionar a caixa de verificação Empresa (Company).
      5. Clique para seleccionar a caixa de verificação Versão do ficheiro (File Version).
    2. Clique no cabeçalho da coluna Atributos (Attributes) para ordenar a lista de ficheiros por atributos. Os ficheiros existentes na pasta Drivers normalmente contêm apenas o atributo de arquivo (A). Procure ficheiros que também tenham o atributo de ocultação (HA).
      A lista que se segue contém exemplos de nomes de ficheiros de spyware conhecidos por provocarem este problema:
      • gbqxmhia.sys
      • upzvlbvv.sys
      • jsbmefvk.sys
      Depois de localizar um ficheiro que suspeite ser um ficheiro de spyware, verifique as propriedades do mesmo utilizando a caixa de diálogo Propriedades (Properties). Clique com o botão direito do rato no ficheiro, clique em Propriedades (Properties) e procure as seguintes informações:
      • No separador Geral (General):
        • Modificado (Modified): 11 de Janeiro de 2005
        • Tamanho (Size): 14 KB (13.824 bytes)
        • Uma marca na caixa de verificação Oculto (Hidden)
      • No separador Versão (Version):
        • Sem versão
        • Sem descrição
        • Sem informações sobre direitos de autor
        • Sem nome de empresa
        • Sem nome de produto
    Se um ficheiro tiver o atributo de ocultação definido e também não tiver detalhes relativos ao nome de produto, à empresa e à versão do ficheiro, o computador está infectado com o spyware.
  6. Clique em OK para fechar a caixa de diálogo Propriedades (Properties) e siga os passos de um dos métodos descritos na secção "Resolução" para resolver o problema.
  7. Na caixa Endereço (Address) do Internet Explorer, escreva %windir%\system32 e prima ENTER.
  8. Procure ficheiros de aplicação (ficheiros com a extensão .exe) que tenham nomes semelhantes aos seguintes:
    • Msupd.exe
    • Msupd*.exe

      Nota: o marcador de posição * representa um dígito
    • Reloadmedude.exe
    Estes ficheiros terão uma data aleatória e 60 KB (61.440 bytes) de tamanho.
    Seguem-se alguns dos nomes conhecidos dos ficheiros do spyware:
    • Msupd.exe
    • Msupd4.exe
    • Msupd5.exe
    • Reloadmedude.exe
  9. Se existir um ou mais destes ficheiros, o computador está infectado com o spyware. Siga os passos de um dos métodos descritos na secção "Resolução" para resolver o problema.
Voltar ao topo

Produtos de segurança que detectam este spyware

Existem vários produtos de segurança que detectam este spyware. Seguem-se exemplos destes produtos e os nomes do spyware comunicados:
Reduzir esta tabelaExpandir esta tabela
ProdutoNome do spyware comunicado
Microsoft AntiSpyware Spyware.Service.MiscrosoftUpdate (Trojan)
Computer AssociatesWin32/Benuti.61440!Downloader!Dr
Doctor Web DrWebCL Trojan.Medude
F-Secure Trojan.Win32.Agent.aw
Kaspersky Lab AVPDOS32Trojan.Win32.Agent.aw
McAfeeDownloader-va
Panda Trj/Agent.FO and Adware/Apropos
Trend Micro VScanTROJ_LODMEDUD.A
Symantec Trojan.Lodmeduod
Voltar ao topo

Referências

Para obter mais informações sobre o produto Microsoft AntiSpyware, clique nos números de artigo que se seguem para visualizar os artigos na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
892279  (http://support.microsoft.com/kb/892279/ ) How to obtain Microsoft Windows AntiSpyware (Beta)
892340  (http://support.microsoft.com/kb/892340/ ) Microsoft Windows AntiSpyware (Beta) identifies a program as a spyware threat

Para obter mais informações sobre fornecedores de software antivírus, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
49500  (http://support.microsoft.com/kb/49500/ ) Lista de fornecedores de software antivírus
Voltar ao topo
A informação contida neste artigo aplica-se a:
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Tablet PC Edition 2005
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional 64-Bit Edition (Itanium)
  • Microsoft Windows XP for Itanium-based Systems Version 2003
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Media Center Edition 2002
  • Microsoft Windows XP Media Center Edition 2004
  • Microsoft Windows XP Media Center Edition 2005
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
Voltar ao topo
Palavras-chave: 
kbtshoot kbsecurity kbprb kbsecantivirus KB894278
Voltar ao topo