O computador pode reiniciar automaticamente e a mensagem "erro grave" ou a mensagem de erro Stop pode ser exibida no Windows Server 2003, no Windows XP ou no Windows 2000

Você pode enfrentar um ou mais dos seguintes sintomas:

• O computador é reiniciado automaticamente.
• Após fazer logon, a seguinte mensagem de erro é exibida:
  Microsoft Windows
  O sistema se recuperou de um erro grave. Foi criado um log deste erro. Informe a Microsoft sobre este problema. Criamos um relatório de erros que você pode nos enviar para ajudar a melhorar o Microsoft Windows. Esse relatório será considerado confidencial e anônimo. Para ver quais dados este relatório de erros contém, clique aqui.
  Se a mensagem de erro ainda estiver sendo exibida, clique no link "clique aqui" na parte inferior da caixa de mensagem caso queira ver os dados contidos no relatório de erros. Assim, você verá as informações sobre a assinatura do erro que podem ser similares às seguintes:
  BCCode: 00000050 BCP1 : 0xeb7ff002 BCP2 : 0x00000000 BCP3 : 0x8054af32 BCP4 : 0x00000001 OSVer : 5_1_2600 SP : 0_0 Product : 256_1
• A seguinte mensagem de erro Stop é exibida:
  Um problema foi detectado e o Windows foi desligado para impedir danos ao computador. *** STOP: 0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237
• O log do Sistema pode conter um evento semelhante ao seguinte:

  Data: data
  Origem: Erro do sistema
  Hora: hora
  Categoria: (102)
  Tipo: Erro
  Identificação do evento: 1003
  Usuário: N/A
  Computador: computador
  Descrição: Código do erro 00000050, parameter1 0xeb7ff002, parameter2 0x00000000, parameter3 0x8054af32, parameter4 0x00000001. Para obter mais informações, consulte o artigo no Centro de Ajuda e Suporte em http://support.microsoft.com. Dados: 0000: 53 79 73 74 65 6d 20 45 System E 0008: 72 72 6f 72 20 20 45 72 rror Er 0010: 72 6f 72 20 63 6f 64 65 ror code 0018: 20 30 30 30 30 30 30 35 00000MN 0020: 30 20 20 50 61 72 61 6d 0 Param 0028: 65 74 65 72 73 20 66 66 eters ff 0030: 66 66 66 66 64 31 2c

Observações

Os sintomas de um erro Stop variam de acordo com as opções de falha do sistema do computador. Para obter informações adicionais sobre como configurar as opções de falha do sistema, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês): Os quatros parâmetros incluídos nas informações de assinatura do erro (BCPn) e dentro dos parênteses das informações técnicas para o erro Stop podem variar de acordo com a configuração do computador.

Nem todos os erros Stop 0x00000050 são causados pelo problema descrito na seção "Causa" deste artigo.

Essa mensagem de erro é causada por um driver de kernel instalado pelo seguinte spyware rootkit:

• Msupd5.exe
• Reloadmedude.exe

Para resolver esse problema, use um ou alguns dos seguintes métodos. Os métodos são relacionados na ordem de preferência.

Método 1: Renomear o driver mal-intencionado usando o Internet Explorer

1. Abra o Internet Explorer.
2. Na caixa Endereço, digite %windir%\system32\drivers e pressione ENTER.
3. Localize o nome de arquivo aleatório .sys, clique com o botão direito do mouse no arquivo e selecione Renomear.
4. Digite malware.old para renomear o arquivo e pressione ENTER.
5. Na caixa Endereço, digite \WINDOWS\system32 e pressione ENTER.
6. Localize e renomeie os seguintes arquivos, caso eles existam:
   • Msupd5.exe. Renomeie esse arquivo para Msupd5.old.
   • Msupd4.exe. Renomeie esse arquivo para Msupd4.old.
   • Msupd.exe. Renomeie esse arquivo para Msupd.old.
   • Reloadmedude.exe. Renomeie esse arquivo para Reloadmedude.old.
7. Feche o Internet Explorer.
8. Reinicie o computador.
9. Certifique-se de que o software de antivírus/anti-spyware esteja atualizado com as assinaturas mais recentes e faça uma verificação completa do sistema.

Método 2: No Modo de segurança, renomeie o driver mal-intencionado usando Meu computador

1. Inicie o computador no Modo seguro. Para fazer isso, execute as seguintes etapas:
   1. Reinicie o computador.
   2. Quando o computador iniciar, pressione a tecla F8 repetidamente (uma vez por segundo). Isso irá exibir as opções do menu Opções de inicialização avançadas do Microsoft Windows.
   3. Use as teclas SETA PARA CIMA e SETA PARA BAIXO para selecionar Modo de segurança e pressione ENTER.
2. Abra o Internet Explorer.
3. Na caixa Endereço, digite %windir%\system32\drivers e pressione ENTER.
4. Ative a exibição dos arquivos ocultos. Para fazer isso, execute as seguintes etapas:
   1. Clique em Iniciar e em Meu computador.
   2. No menu Ferramentas, clique em Opções de pasta.
   3. Na guia Modo de exibição, desmarque a caixa de seleção Ocultar arquivos protegidos do sistema operacional (recomendado) e clique em Sim quando receber uma mensagem de aviso informando que você optou por exibir arquivos de sistema operacional protegidos.
   4. Em Pastas e arquivos ocultos, clique em Mostrar pastas e arquivos ocultos.
   5. Desmarque a caixa de seleção Ocultar as extensões dos tipos de arquivo conhecidos.
   6. Na área Modos de exibição de pasta, clique em Aplicar a todas as pastas e em OK.
5. Localize a pasta C:\%windir%\System32\Drivers.
6. Localize todos os arquivos .sys que tenham as seguintes características:
   1. Nome de arquivo gerado aleatoriamente com até oito letras minúsculas, como "gbqxmhia.sys," "upzvlbvv.sys" ou "jsbmefvk.sys"
   2. Data de 11 de janeiro de 2005
   3. Arquivo de 14 KB (13.824 bytes)
   4. Um atributo oculto configurado
      
      Observação Um arquivo com atributo oculto configurado exibe um "HA" na coluna Atributos do Windows Explorer. Para obter instruções sobre como visualizar a coluna Atributos, consulte as etapas 5a e 5b do procedimento descrito na seção "Mais informações".
   5. Arquivo sem informações sobre versão, nome do produto ou fabricante.
7. Para cada arquivo localizado, clique com o botão direito do mouse e selecione Renomear.
8. Digite malware1.old para renomear o arquivo e pressione ENTER.
   
   Observação Digite malware2.old para renomear o segundo arquivo, digite malware3.old para o terceiro e assim por diante.
9. Localize a pasta %windir%\System32.
10. Renomeie os seguintes arquivos, caso eles existam.
    • Msupd5.exe. Renomeie esse arquivo para msupd5.old.
    • Msupd4.exe. Renomeie esse arquivo para Msupd4.old.
    • Msupd.exe. Renomeie esse arquivo para Msupd.old.
    • Reloadmedude.exe. Renomeie esse arquivo para Reloadmedude.old.
11. Reinicie o computador.
12. Certifique-se de que o software de antivírus/anti-spyware esteja atualizado com as assinaturas mais recentes e faça uma verificação completa do sistema.

Método 3: No Modo de segurança, renomeie o driver mal-intencionado usando o prompt de comando

1. Inicie o computador no Modo seguro. Para fazer isso, execute as seguintes etapas:
   1. Reinicie o computador.
   2. Quando o computador iniciar, pressione a tecla F8 repetidamente (uma vez por segundo). Isso irá exibir as opções do menu Opções de inicialização avançadas do Microsoft Windows.
   3. Use as teclas SETA PARA CIMA e SETA PARA BAIXO para selecionar Modo seguro com prompt de comando e pressione ENTER.
2. Clique em Iniciar, em Executar, digite cmd na caixa Abrir e clique em OK.
3. No prompt de comando, digite CD %windir%\system32\drivers e pressione ENTER.
4. Digite Dir /ah e pressione ENTER.
5. Você verá um texto similar ao seguinte: O nome do arquivo .sys será gerado aleatoriamente.
   

   Directory of C:\WINDOWS\system32\drivers
   
   01/11/2005  09:18 AM               13,824 gbqxmhia.sys
                  1 File(s)            13,824 bytes
                  0 Dir(s)     961,425,408 bytes free
   

6. Digite Attrib ?s ?h Nome_Arquivo_Aleatório e pressione ENTER. Essa ação remove os atributos de sistema e os ocultos do arquivo.
   
   Observação O espaço reservado para o nome Nome_Arquivo_Aleatório representa o nome do arquivo .sys exibido após a execução da etapa 5. Por exemplo, para o nome de arquivo especificado no exemplo 5, você digitaria Attrib ?s ?h gbqxmhia.sys.
7. Digite Ren Nome_Arquivo_Aleatório malware.old e pressione ENTER. Essa ação renomeia o arquivo com nome aleatório.
8. Digite CD e pressione ENTER. Isso altera a linha de comando para a pasta %windir%\System32.
9. Digite os seguintes comandos, um por vez, e pressione ENTER após cada um deles:
   Ren msupd5.exe msupd5.old
   Ren msupd4.exe msupd4.old
   Ren msupd.exe msupd.old
   Ren reloadmedude.exe reloadmedude.old
   Observação Se a seguinte mensagem de erro for exibida, é possível ignorá-la porque ela indica que o arquivo não existe:
   O sistema não pôde encontrar o arquivo especificado.
10. Digite Exit e pressione ENTER.
11. Reinicie o computador.
12. Certifique-se de que o software de antivírus/anti-spyware esteja atualizado com as assinaturas mais recentes e faça uma verificação completa do sistema.

Para verificar se o computador está infectado por esse spyware, execute as seguintes etapas:

1. Inicie o Internet Explorer.
2. Na caixa Endereço do Internet Explorer, digite %windir%\system32\drivers e pressione ENTER.
3. Alterar a forma como o Windows exibe arquivos ocultos e arquivos protegidos do sistema operacional. Para fazer isso, execute as seguintes etapas:
   1. No menu Ferramentas, clique em Opções de pasta.
   2. Na guia Modo de exibição, desmarque a caixa de seleção Ocultar arquivos protegidos do sistema operacional (recomendado) e clique em Sim quando receber uma mensagem de aviso informando que você optou por exibir arquivos de sistema operacional protegidos.
   3. Em Pastas e arquivos ocultos, clique em Mostrar pastas e arquivos ocultos.
   4. Desmarque a caixa de seleção Ocultar as extensões dos tipos de arquivo conhecidos.
   5. Marque a caixa de seleção Exibir o conteúdo das pastas de sistema e clique em OK.
   6. No menu Exibir, clique em Detalhes.
4. Pressione F5 para atualizar a exibição da pasta Drivers.
5. Localize os arquivos de sistema (arquivos com uma extensão .sys no nome) com o atributo oculto configurado e que não têm detalhes quanto ao nome do produto, empresa e versão do arquivo.
   
   Observação Arquivos com atributo oculto configurado exibem um "HA" na coluna Atributos do Windows Explorer. Para obter instruções sobre como visualizar a coluna Atributos, consulte as etapas 5a e 5b.
   
   Para fazer isso, execute as seguintes etapas:
   
   Observação O arquivo do spyware pode aparecer como um arquivo com nome gerado aleatoriamente formado por oito letras minúsculas.
   1. Alterar a forma como o Windows Explorer exibe os detalhes dos arquivos na pasta. Para fazer isso, execute as seguintes etapas:
      1. No menu Exibir, clique em Detalhes.
      2. Marque a caixa de seleção Atributos.
      3. Marque a caixa de seleção Nome do produto.
      4. Marque a caixa de seleção Empresa.
      5. Marque a caixa de seleção Versão do arquivo.
   2. Clique no cabeçalho da coluna Atributos para classificar a lista dos arquivos por atributos. Arquivos na pasta Drivers normalmente contêm apenas o atributo de arquivo (A). Procure arquivos que também tenham o atributo oculto (HA).
      A seguinte lista contém nomes de exemplo de arquivos de spyware conhecidos por causarem esse problema:
      • gbqxmhia.sys
      • upzvlbvv.sys
      • jsbmefvk.sys
      Depois de localizar um arquivo de que suspeita ser um spyware, verifique as propriedades do arquivo, usando a caixa de diálogo Propriedades. Clique com o botão direito do mouse no arquivo, clique em Propriedades e verifique as seguintes informações:
      • Na guia Geral:
        • Modificado: 11 de janeiro de 2005
        • Tamanho: 14 KB (13.824 bytes)
        • Marca de seleção na caixa Oculto
      • Na guia Versão:
        • Sem versão do arquivo
        • Sem descrição
        • Sem direitos autorais
        • Sem o nome da empresa
        • Sem o nome do produto
   Se um arquivo tiver o atributo oculto definido e também não tiver detalhes quanto ao nome do produto, empresa e versão do arquivo, o computador está infectado pelo spyware.
6. Clique em OK para fechar a caixa de diálogo Propriedades e execute as etapas de um dos métodos descritos na seção "Resolução" para resolver o problema.
7. Na caixa Endereço do Internet Explorer,digite %windir%\system32 e pressione ENTER.
8. Procure arquivos de aplicativo (arquivos com uma extensão .exe no nome) com nomes similares aos seguintes:
   • Msupd.exe
   • Msupd*.exe
     
     Observação O espaço reservado para o nome * representa um número com oito dígitos
   • Reloadmedude.exe
   Esses arquivos terão uma data aleatória e um tamanho de 60 KB (61.440 bytes).
   Entre os nomes conhecidos de arquivos de spyware estão os seguintes:
   • Msupd.exe
   • Msupd4.exe
   • Msupd5.exe
   • Reloadmedude.exe
9. Se houver um ou mais desses arquivos, é sinal de que o computador está infectado pelo spyware. Execute as etapas de um dos métodos descritos na seção "Resolução" para resolver o problema.

Produtos de segurança que detectam esse spyware

Vários produtos de segurança detectam esse spyware. Entre alguns desses produtos e nomes de spyware estão os seguintes:

Para obter informações adicionais sobre o Microsoft AntiSpyware, clique nos números abaixo para ler os artigos na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
Para obter informações adicionais sobre os fornecedores de software antivírus, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):