Makale numarası: 894278 - Son Gözden Geçirme: 16 Mayıs 2011 Pazartesi - Gözden geçirme: 4.0

Windows Server 2003, Windows XP veya Windows 2000'de bilgisayar otomatik olarak yeniden başlatılabilir veya bir "önemli hata" iletisi ya da Dur hata iletisi alabilirsiniz

Bu makalenin geçerli olduğu ürünleri görün.
Sistem İpucuBu makale, kullandığınızdan farklı bir işletim sistemine yöneliktir. Sizinle ilgili olmayabilecek makale içeriği devre dışı bırakıldı.

Bu Sayfada

Hepsini aç | Hepsini kapa

Özet

Bu makalede, bilgisayarınızda kök dizine saldıran Spyware.Service.MiscrosoftUpdate (Trojan) casus yazılımı çalışıyorsa karşılaşabileceğiniz birkaç belirti açıklanır. Truva virüsünü temizlemek için, bu soruna neden olan dosyaları tanımlamanız ve dosyaları yeniden adlandırmanız gerekir.

Gizli sürücü yeniden adlandırıldıktan hemen sonra, kullanıcı modu (casus yazılım) bileşenleri olan Msupd*.exe ve Reloadmedude.exe dosyaları bir virüsten koruma veya casus yazılım önleme programı tarafından temizlenebilir. Gizli sürücü "gbqxhia.sys," "upzvlbvv.sys," "jsbmefvk.sys" veya küçük harflerden oluşan rasgele bir dosya adına sahip olabilir.

Bu virüsü algılayan birkaç casus yazılım önleme programı "Daha Fazla Bilgi" bölümünde listelenmektedir.
Üste

Belirtiler

Aşağıdaki belirtilerden bir veya daha fazlasıyla karşılaşabilirsiniz:
  • Bilgisayar otomatik olarak yeniden başlatılır.
  • Oturum açtıktan sonra, aşağıdaki hata iletisini alırsınız:
    Microsoft Windows
    Sistem ciddi bir hatadan kurtarıldı. Bu hatanın günlüğü oluşturuldu. Lütfen bu sorunu Microsoft'a bildirin. Microsoft Windows uygulamasını geliştirmemize yardımcı olmak üzere gönderebileceğiniz bir hata raporu oluşturduk. Bu raporu gizli ve imzasız olarak işleme koyacağız. Bu hata raporunun içerdiği verileri görmek için burayı tıklatın.
    Hata iletisi görüntülenmeye devam ederse, hata raporunun içerdiği verileri görüntülemek üzere ileti kutusunun altındaki "burayı tıklatın" bağlantısını tıklatın. Bunu yaparsanız, aşağıdakine benzer hata imzası bilgileri görüntülenebilir:
    BCCode : 00000050 BCP1 : 0xeb7ff002 BCP2 : 0x00000000 BCP3 : 0x8054af32 BCP4 : 0x00000001 OSVer: 5_1_2600 SP : 0_0 Product : 256_1
  • Aşağıdaki Dur hata iletisini alırsınız:
    Bir sorun algılandı ve bilgisayarınızın zarar görmesini önlemek için Windows kapatıldı. Teknik bilgiler: *** DUR: 0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237
  • Sistem günlüğüne aşağıdakine benzer bir hata iletisi kaydedilir:

    Tarih: tarih
    Kaynak: Sistem Hatası
    Saat: saat
    Kategori: (102)
    Tür: Hata
    Olay Kimliği: 1003
    Kullanıcı: Yok
    Bilgisayar: bilgisayar
    Açıklama: Hata kodu 00000050, parametre1 0xeb7ff002, parametre2 0x00000000, parametre3 0x8054af32, parametre4 0x00000001. Daha fazla bilgi için Yardım ve Destek Merkezi'ne bakın: http://support.microsoft.com. Veriler: 0000: 53 79 73 74 65 6d 20 45 System E 0008: 72 72 6f 72 20 20 45 72 rror Er 0010: 72 6f 72 20 63 6f 64 65 ror code 0018: 20 30 30 30 30 30 30 35 00000MN 0020: 30 20 20 50 61 72 61 6d 0 Param 0028: 65 74 65 72 73 20 66 66 eters ff 0030: 66 66 66 66 64 31 2c

Üste

Notlar

Dur hatasının belirtileri, bilgisayar sisteminin hata seçeneklerine bağlı olarak değişebilir. Sistem hatası seçeneklerini yapılandırma hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
307973  (http://support.microsoft.com/kb/307973/ ) Windows'ta Sistem Hatası ve Kurtarma Seçenekleri Nasıl Yapılandırılır
Dur hatasının hata imza bilgilerinde (BCPn) ve teknik bilgilerde parantez içinde bulunan dört parametre, bilgisayarın yapılandırmasına bağlı olarak değişebilir.

Tüm Dur 0x00000050 hataları "Neden" bölümünde açıklanan sorun nedeniyle oluşmaz.
Üste

Neden

Bu hata iletisi, kök dizine saldırdığı bilinen aşağıdaki casus yazılımlar tarafından yüklenen bir çekirdek sürücüsü nedeniyle oluşur:
  • Msupd5.exe
  • Reloadmedude.exe
Üste

Çözüm

Bu sorunu gidermek için aşağıdaki yöntemlerden birini veya birkaçını kullanın. Yöntemler tercih edilen sırayla listelenmektedir.
Üste

Yöntem 1: Internet Explorer'ı kullanarak kötü amaçlı sürücüyü yeniden adlandırma

  1. Internet Explorer'ı açın.
  2. Adres kutusuna %windir%\system32\drivers yazın ve ENTER tuşuna basın.
  3. Rasgele adlandırılmış .sys dosyasını bulun, dosyayı sağ tıklatın ve Yeniden Adlandır'ı seçin.
  4. malware.old yazarak dosyayı yeniden adlandırın ve ENTER tuşuna basın.
  5. Adres kutusuna \WINDOWS\system32 yazın ve ENTER tuşuna basın.
  6. Varsa, aşağıdaki dosyaları bulun ve yeniden adlandırın:
    • Msupd5.exe. Bu dosyayı Msupd5.old olarak adlandırın.
    • Msupd4.exe. Bu dosyayı Msupd4.old olarak adlandırın.
    • Msupd.exe. Bu dosyayı Msupd.old olarak adlandırın.
    • Reloadmedude.exe. Bu dosyayı Reloadmedude.old olarak adlandırın.
  7. Internet Explorer'ı kapatın.
  8. Bilgisayarı yeniden başlatın.
  9. Virüsten koruma ve casus yazılım önleme yazılımlarınızın en son imzalarla güncelleştirilmiş olmasını sağlayın ve sonra da tam bir sistem taraması gerçekleştirin.
Üste

Yöntem 2: Güvenli Modda çalışırken Bilgisayarım'ı kullanarak kötü amaçlı sürücüyü yeniden adlandırma

  1. Bilgisayarı Güvenli Mod'da başlatın. Bunu yapmak için şu adımları izleyin:
    1. Bilgisayarı yeniden başlatın.
    2. Bilgisayar başlatılırken, F8 tuşuna art arda basın (saniyede bir kez). Bu işlem, Microsoft Windows Gelişmiş Başlangıç Menüsü seçeneklerini görüntüler.
    3. YUKARI OK ve AŞAĞI OK tuşlarını kullanarak Güvenli Mod seçeneğini vurgulayın ve ENTER tuşuna basın.
  2. Internet Explorer'ı açın
  3. Adres kutusuna %windir%\system32\drivers yazın ve ENTER tuşuna basın.
  4. Gizli dosyaların görüntülenmesini sağlayın. Bunu yapmak için şu adımları izleyin:
    1. Başlat'ı ve sonra Bilgisayarım'ı tıklatın.
    2. Araçlar menüsünde, Klasör Seçenekleri'ni tıklatın.
    3. Görünüm sekmesinde, Korunan işletim sistemi dosyalarını gizle (Önerilen) onay kutusunu tıklatıp temizleyin ve korunan işletim sistemi dosyalarını görüntülemeyi seçtiğinizi bildiren bir uyarı iletisi alırsanız Evet'i tıklatın.
    4. Gizli dosya ve klasörler altında, Gizli dosya ve klasörleri göster'i tıklatın.
    5. Bilinen dosya türleri için uzantıları gizle onay kutusunu tıklatıp temizleyin.
    6. Klasör görünümleri alanında, Bütün Klasörlere Uygula'yı ve ardından Tamam'ı tıklatın.
  5. C:\%windir%\System32\Drivers adlı klasörü bulun.
  6. Aşağıdaki özellikleri olan tüm .sys dosyalarını bulun:
    1. "gbqxmhia.sys," "upzvlbvv.sys" veya "jsbmefvk.sys" gibi sekiz küçük harften oluşmuş rasgele dosya adı
    2. Dosya tarihi 11 Ocak 2005
    3. Dosya boyutu 14 KB (13.824 bayt)
    4. Gizli özniteliği seçili

      Not Gizli özniteliği ayarlanmış bir dosya için Windows Gezgini'ndeki Öznitelikler sütununda "HA" görüntülenir. Öznitelikler sütununu görüntüleme ile ilgili yönergeler için, "Daha Fazla Bilgi" bölümünde açıklanan yordamın 5a ve 5b adımlarına bakın.
    5. Sürüm numarası, ürün adı veya üretici bilgileri yok.
  7. Bulduğunuz her dosya için, dosyayı sağ tıklatın ve Yeniden Adlandır'ı seçin.
  8. malware1.old yazarak ilk dosyayı yeniden adlandırın ve ENTER tuşuna basın.

    Not İkinci dosyayı yeniden adlandırmak için malware2.old, üçüncü dosyayı yeniden adlandırmak için malware3.old, vb. yazın.
  9. %windir%\System32 klasörünü bulun.
  10. Varsa, aşağıdaki dosyaları yeniden adlandırın:
    • Msupd5.exe. Bu dosyayı msupd5.old olarak adlandırın.
    • Msupd4.exe. Bu dosyayı Msupd4.old olarak adlandırın.
    • Msupd.exe. Bu dosyayı Msupd.old olarak adlandırın.
    • Reloadmedude.exe. Bu dosyayı Reloadmedude.old olarak adlandırın.
  11. Bilgisayarı yeniden başlatın.
  12. Virüsten koruma ve casus yazılım önleme yazılımlarınızın en son imzalarla güncelleştirilmiş olmasını sağlayın ve sonra da tam bir sistem taraması gerçekleştirin.
Üste

Yöntem 3: Güvenli Modda çalışırken komut istemini kullanarak kötü amaçlı sürücüyü yeniden adlandırma

  1. Bilgisayarı Güvenli Mod'da başlatın. Bunu yapmak için şu adımları izleyin:
    1. Bilgisayarı yeniden başlatın.
    2. Bilgisayar başlatılırken, F8 tuşuna art arda basın (saniyede bir kez). Bu işlem, Microsoft Windows Gelişmiş Başlangıç Menüsü seçeneklerini görüntüler.
    3. YUKARI OK ve AŞAĞI OK tuşlarını kullanarak, Komut İstemiyle Güvenli Mod seçeneğini vurgulayın ve ENTER tuşuna basın.
  2. Başlat'ı tıklatın, Çalıştır'ı tıklatın, kutusuna cmd yazın ve Tamam'ı tıklatın.
  3. Komut istemine CD %windir%\system32\drivers yazın ve ENTER tuşuna basın.
  4. Dir /ah yazın ve ENTER tuşuna basın.
  5. Aşağıdakine benzer bir metin görürsünüz: .sys dosya adı rasgele oluşturulur.
    C:\WINDOWS\system32\drivers dizini

11.01.2005  09:18            13.824 gbqxmhia.sys
               1 Dosya           13.824 bayt
               0 Dizin      961.425.408 bayt boş
  6. Attrib –s –h RasgeleDosyaAdı yazın ve ENTER tuşuna basın. Bu işlem, dosyanın sistem özniteliklerini ve gizli özniteliklerini kaldırır.

    Not RasgeleDosyaAdı yertutucusu, 5. adım gerçekleştirildikten sonra görüntülenen .sys dosyasının adını gösterir. Örneğin, 5. adımdaki örnekte belirtilen dosya adı için Attrib –s –h gbqxmhia.sys yazmalısınız.
  7. Ren RasgeleDosyaAdı malware.old yazın ve ENTER tuşuna basın. Bu işlem, rasgele adlandırılmış dosyayı yeniden adlandırır.
  8. CD yazın ve ENTER tuşuna basın. Bu komut, komut satırını %windir%\System32 klasörüne değiştirir.
  9. Aşağıdaki komutları sırayla yazın ve her komutun ardından ENTER tuşuna basın:
    Ren msupd5.exe msupd5.old
    Ren msupd4.exe msupd4.old
    Ren msupd.exe msupd.old
    Ren reloadmedude.exe reloadmedude.old
    Not Aşağıdaki hata iletisini alırsanız iletiyi güvenle yok sayabilirsiniz, çünkü dosyanın bulunmadığını belirtmektedir:
    Sistem belirtilen dosyayı bulamıyor.
  10. Exit yazın ve ENTER tuşuna basın.
  11. Bilgisayarı yeniden başlatın.
  12. Virüsten koruma ve casus yazılım önleme yazılımlarınızın en son imzalarla güncelleştirilmiş olmasını sağlayın ve sonra da tam bir sistem taraması gerçekleştirin.
Üste

Daha fazla bilgi

Bilgisayarınıza bu casus yazılımın bulaşmış olup olmadığını doğrulamak için, şu adımları izleyin:
  1. Internet Explorer'ı başlatın.
  2. Internet Explorer'ın Adres kutusuna %windir%\system32\drivers yazın ve ENTER tuşuna basın.
  3. Windows'un gizli dosyaları ve korumalı işletim sistemi dosyalarını görüntüleme biçimini değiştirin. Bunu yapmak için şu adımları izleyin:
    1. Araçlar menüsünde, Klasör Seçenekleri'ni tıklatın.
    2. Görünüm sekmesinde, Korunan işletim sistemi dosyalarını gizle (Önerilen) onay kutusunu tıklatıp temizleyin ve korunan işletim sistemi dosyalarını görüntülemeyi seçtiğinizi bildiren bir uyarı iletisi alırsanız Evet'i tıklatın.
    3. Gizli dosya ve klasörler altında, Gizli dosya ve klasörleri göster'i tıklatın.
    4. Bilinen dosya türleri için uzantıları gizle onay kutusunu tıklatıp temizleyin.
    5. Sistem klasörlerinin içeriğini görüntüle onay kutusunu tıklatıp seçin ve Tamam'ı tıklatın.
    6. Görünüm menüsünde, Ayrıntılar'ı tıklatın.
  4. F5 tuşuna basarak Sürücüler klasörü görünümünü güncelleştirin.
  5. Gizli özniteliği ayarlanmış olan ve ürün adı, şirket ve dosya sürümü bilgileri bulunmayan tüm sistem dosyalarını (adlarında .sys uzantısı olan dosyaları) bulun.

    Not Gizli özniteliği ayarlanmış dosyalar için Windows Gezgini'ndeki Öznitelikler sütununda "HA" görüntülenir. Öznitelikler sütununu görüntüleme ile ilgili yönergeler için, 5a ve 5b adımlarına bakın.

    Bunu yapmak için şu adımları izleyin.

    Not Casus yazılım dosyası sekiz küçük harften oluşan rasgele bir dosya adına sahip olabilir.
    1. Windows Gezgini'nin klasördeki dosyaların ayrıntılarını görüntüleme biçimini değiştirin. Bunu yapmak için şu adımları izleyin:
      1. Görünüm menüsünde, Ayrıntıları Seç'i tıklatın.
      2. Öznitelikler onay kutusunu tıklatıp seçin.
      3. Ürün Adı onay kutusunu tıklatıp seçin.
      4. Şirket onay kutusunu tıklatıp seçin.
      5. Dosya Sürümü onay kutusunu tıklatıp seçin.
    2. Öznitelikler sütun başlığını tıklatarak dosya listesini özniteliklere göre sıralayın. Sürücüler klasöründeki dosyalar genelde yalnızca arşiv özniteliğini (A) içerir. Gizli özniteliği (HA) de olan dosyaları arayın.
      Aşağıdaki liste, bu soruna neden olduğu bilinen casus yazılım dosyalarının örnek adlarını içerir:
      • gbqxmhia.sys
      • upzvlbvv.sys
      • jsbmefvk.sys
      Casus yazılım olduğundan şüphelendiğiniz bir dosyayı bulduktan sonra, Özellikler iletişim kutusunu kullanarak dosyanın özelliklerini doğrulayın. Dosyayı sağ tıklatın, Özellikler'i tıklatın ve aşağıdaki bilgileri arayın:
      • Genel sekmesinde:
        • Değiştirme : 11 Ocak 2005
        • Boyut: 14 KB (13.824 bayt)
        • Gizli onay kutusu işaretli
      • Sürüm sekmesinde:
        • Dosya sürümü yok
        • Açıklama yok
        • Telif hakkı bilgileri yok
        • Şirket adı yok
        • Ürün adı yok
    Bir dosyanın gizli özniteliği ayarlanmışsa ve ürün adı, şirket ve dosya sürümü bilgileri yoksa, bilgisayara casus yazılım bulaşmıştır.
  6. Tamam'ı tıklatarak Özellikler iletişim kutusunu kapatın ve "Çözüm" bölümünde açıklanan yöntemlerden birini uygulayarak sorunu giderin.
  7. Internet Explorer'ın Adres kutusuna %windir%\system32 yazın ve ENTER tuşuna basın.
  8. Adları aşağıdakilerden birine benzeyen uygulama dosyalarını (adlarında .exe uzantısı olan dosyaları) arayın:
    • Msupd.exe
    • Msupd*.exe

      Not* yertutucusu, tek basamaklı bir sayıyı gösterir.
    • Reloadmedude.exe
    Bu dosyalar için rasgele bir tarih ve 60 KB (61.440 bayt) boyut gösterilir.
    Casus yazılım dosyalarının bilinen dosya adları şunlardır:
    • Msupd.exe
    • Msupd4.exe
    • Msupd5.exe
    • Reloadmedude.exe
  9. Bu dosyalardan biri veya daha fazlası varsa, bilgisayara casus yazılım bulaşmıştır. "Çözüm" bölümünde açıklanan yöntemlerden birini uygulayarak sorunu giderin.
Üste

Bu casus yazılımı algılayan güvenlik ürünleri

Birkaç güvenlik ürünü bu casus yazılımı algılar. Bu ürünlere örnekler ve bildirilen casus yazılım adları şunlardır:
Bu tabloyu kapaBu tabloyu aç
ÜrünBildirilen casus yazılım adı
Microsoft AntiSpyware Spyware.Service.MiscrosoftUpdate (Trojan)
Computer AssociatesWin32/Benuti.61440!Downloader!Dr
Doctor Web DrWebCL Trojan.Medude
F-Secure Trojan.Win32.Agent.aw
Kaspersky Lab AVPDOS32Trojan.Win32.Agent.aw
McAfeeDownloader-va
Panda Trj/Agent.FO and Adware/Apropos
Trend Micro VScanTROJ_LODMEDUD.A
Symantec Trojan.Lodmeduod
Üste

Referanslar

Microsoft AntiSpyware ürünü hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleleri görüntülemek üzere aşağıdaki makale numaralarını tıklatın:
892279  (http://support.microsoft.com/kb/892279/ ) Microsoft Windows AntiSpyware (Beta) nasıl elde edilir (Bu bağlantı, bir kısmı veya tamamı İngilizce olan içeriğe işaret edebilir)
892340  (http://support.microsoft.com/kb/892340/ ) Microsoft Windows AntiSpyware (Beta) bir programı casus yazılım tehlikesi olarak belirliyor

Virüsten koruma yazılımı satıcıları hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki makaleyi görüntülemek üzere aşağıdaki makale numarasını tıklatın:
49500  (http://support.microsoft.com/kb/49500/ ) Virüsten koruma yazılımı satıcılarının listesi
Üste
Bu makaledeki bilginin uygulandığı durum:
  • Microsoft Windows Server 2003 Web Edition
  • Microsoft Windows Server 2003 Standard Edition
  • Microsoft Windows Server 2003 Enterprise Edition
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003 Datacenter Edition
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Media Center Edition 2005 Update Rollup 2
  • Microsoft Windows XP Media Center Edition 2004
  • Microsoft Windows XP Media Center Edition 2005
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
Üste
Anahtar Kelimeler: 
kbsecurity kbsecantivirus kbtshoot kbprb KB894278
Üste