文章編號: 894278 - 上次校閱: 2006年11月22日 - 版次: 3.1

電腦可能會自動重新啟動,或您可能會在 Windows Server 2003、Windows XP 或 Windows 2000 中收到「嚴重錯誤」訊息或「停止」錯誤訊息

檢視此文章適用的產品。
系統提示本文適用於您使用的作業系統之外的作業系統。與您不相關的文章內容已停用。

在此頁中

全部展開 | 全部摺疊

結論

本文將告訴您電腦在執行 Spyware.Service.MiscrosoftUpdate (Trojan) Rootkit 間諜程式時,可能會出現的數項徵狀。如果要移除特洛伊木馬程式病毒,必須先找出造成此問題的檔案,然後再予以重新命名。

某些防毒程式或反間諜功能程式可以在隱藏的驅動程式重新命名之後,清除使用者模式 (間諜程式) 元件 Msupd*.exe 與 Reloadmedude.exe。隱藏驅動程式的名稱可能是 "gbqxhia.sys"、"upzvlbvv.sys"、"jsbmefvk.sys" 或其他只以小寫字母命名的隨機檔案名稱。

<其他資訊>一節中會列出數種可以偵測到此病毒的反間諜功能程式。
回此頁最上方

徵狀

您可能會遇到下列一或多個徵狀:
  • 電腦自動重新啟動。
  • 登入之後,會收到下列錯誤訊息:
    Microsoft Windows
    The system has recovered from a serious error.A log of this error has been created.Please tell Microsoft about this problem.We have created an error report that you can send to help us improve Microsoft Windows.We will treat this report as confidential and anonymous.To see what data this error report contains, click here. (系統已從嚴重錯誤狀態中修復。已經建立這個錯誤的記錄檔。請向 Microsoft 回報此問題。已經建立錯誤報告供您傳送,以協助我們改善 Microsoft Windows 的品質。該報告將不具名並視為機密。如果要查看此錯誤報告所包含的資料,請按一下這裡。)
    如果錯誤訊息依然顯示在畫面上,而您想要查看此錯誤報告所含的資料,請按一下訊息方塊底部的 [請按這裡] 連結。執行這項操作i之後,會顯示類似下列的錯誤病毒碼資訊:
    BCCode :00000050 BCP1 :0xeb7ff002 BCP2 :0x00000000 BCP3 :0x8054af32 BCP4 :0x00000001 OSVer :5_1_2600 SP :0_0 Product :256_1
  • 您會收到下列「停止」錯誤訊息:
    A problem has been detected and Windows has been shut down to prevent damage to the computer Technical information: *** STOP:0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237 (偵測到問題,並已關閉 Windows,以避免您的電腦遭受損害: *** STOP: 0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237)
  • 系統記錄檔中會記錄類似下列的事件:

    日期:date
    來源:系統錯誤
    時間:time
    類別: (102)
    類型:錯誤
    事件識別碼: 1003
    使用者:N/A
    電腦:computer
    描述:錯誤碼 00000050、parameter1 0xeb7ff002、parameter2 0x00000000、parameter3 0x8054af32、parameter4 0x00000001。如需詳細資訊,請參閱「說明及支援中心」,網址是: http://support.microsoft.com。資料: 0000: 53 79 73 74 65 6d 20 45 System E 0008:72 72 6f 72 20 20 45 72 rror Er 0010:72 6f 72 20 63 6f 64 65 ror code 0018:20 30 30 30 30 30 30 35 00000MN 0020:30 20 20 50 61 72 61 6d 0 Param 0028:65 74 65 72 73 20 66 66 eters ff 0030:66 66 66 66 64 31 2c

回此頁最上方

注意

「停止」錯誤的徵狀會因電腦系統的失敗選項而有所不同。 如需有關如何設定系統失敗選項的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件 :
307973? (http://support.microsoft.com/kb/307973/ ) HOW TO:在 Windows 中設定系統失敗和修復選項
錯誤病毒碼資訊 (BCPn) 與「停止」錯誤之技術資訊括弧內所含的四個參數,會因電腦組態而不同。

並非所有的停止 0x00000050 錯誤都是<原因>一節所述的問題所導致。
回此頁最上方

發生的原因

此錯誤訊息起因於下列已知之 Rootkit 間諜軟體程式所安裝的核心驅動程式造成:
  • Msupd5.exe
  • Reloadmedude.exe
回此頁最上方

解決方案

如果要解決這個問題,請使用下列一或多種方法。這些方法是依據慣用的順序列出。
回此頁最上方

方法 1:使用 Internet Explorer 重新命名惡意的驅動程式

  1. 開啟 Internet Explorer。
  2. [網址] 方塊中,輸入 %windir%\system32\drivers,然後按下 ENTER。
  3. 找到隨機命名的 .sys 檔案,並用滑鼠右鍵按一下該檔案,然後選取 [重新命名]
  4. 輸入 malware.old,以重新命名檔案,然後按下 ENTER。
  5. [網址] 方塊中,輸入 \WINDOWS\system32,然後按下 ENTER。
  6. 找出下列檔案 (如其存在),並予以重新命名:
    • Msupd5.exe。將此檔案重新命名為 Msupd5.old。
    • Msupd4.exe。將此檔案重新命名為 Msupd4.old。
    • Msupd.exe。將此檔案重新命名為 Msupd.old。
    • Reloadmedude.exe。將此檔案重新命名為 Reloadmedude.old。
  7. 關閉 Internet Explorer。
  8. 重新啟動電腦。
  9. 確定已使用最新的病毒碼更新防毒或反間諜功能軟體,然後再執行完整的系統掃描。
回此頁最上方

方法 2:在安全模式中,使用 [我的電腦] 重新命名惡意的驅動程式

  1. 以「安全模式」啟動電腦。如果要執行這項操作,請依照下列步驟執行:
    1. 重新啟動電腦。
    2. 於電腦啟動時重複按下 F8 鍵 (每秒一次)。此動作會顯示 Microsoft Windows 進階啟動功能表選項。
    3. 使用向上鍵與向下鍵反白顯示 [安全模式],然後按下 ENTER。
  2. 開啟 Internet Explorer
  3. [網址] 方塊中,輸入 %windir%\system32\drivers,然後按下 ENTER。
  4. 啟用檢視隱藏檔案的功能。如果要執行這項操作,請依照下列步驟執行:
    1. 按一下 [開始],然後按一下 [我的電腦]
    2. [工具] 功能表上,按一下 [資料夾選項]
    3. [檢視] 索引標籤上,按一下以取消選取 [隱藏保護的作業系統檔案 (建議使用)] 核取方塊,再於收到警告訊息,指出您已選擇顯示保護的作業系統檔案時,按一下 [是]
    4. [隱藏檔案和資料夾] 下,按一下 [顯示隱藏的檔案及資料夾]
    5. 按一下以取消選取 [隱藏已知檔案類型的副檔名] 核取方塊。
    6. [資料夾畫面] 區塊中,按一下 [套用至所有資料夾],再按一下 [確定]
  5. 找出名為 C:\%windir%\System32\Drivers 的資料夾。
  6. 找出任何具有下列特性的 .sys 檔案:
    1. 由 8 個小寫字母組成的隨機產生檔案名稱,如 "gbqxmhia.sys"、"upzvlbvv.sys" 或 "jsbmefvk.sys"
    2. 日期為 2005 年 1 月 11 日
    3. 大小為 14 KB (13,824 個位元組)
    4. 設定了隱藏屬性

      注意 設有隱藏屬性的檔案在 [Windows 檔案總管] 的 [屬性] 欄中會顯示 "HA"。如需有關如何檢視 [屬性] 欄的指示,請參閱<其他資訊>一節所述之程序的步驟 5a 與 5b。
    5. 檔案不具版本、產品名稱或製造商資訊。
  7. 用滑鼠右鍵按一下所找到的每一個檔案,然後選取 [重新命名]
  8. 輸入 malware1.old,以重新命名第一個檔案,然後按下 ENTER。

    注意 輸入 malware2.old,以重新命名第二個檔案,接著再輸入 malware3.old,以重新命名第三個檔案,依此類推。
  9. 找出 %windir%\System32 資料夾。
  10. 重新命名下列檔案 (如其存在):
    • Msupd5.exe。將此檔案重新命名為 msupd5.old。
    • Msupd4.exe。將此檔案重新命名為 Msupd4.old。
    • Msupd.exe。將此檔案重新命名為 Msupd.old。
    • Reloadmedude.exe。將此檔案重新命名為 Reloadmedude.old。
  11. 重新啟動電腦。
  12. 確定已使用最新的病毒碼更新防毒或反間諜功能軟體,然後再執行完整的系統掃描。
回此頁最上方

方法 3:在安全模式中,使用命令提示字元重新命名惡意的驅動程式

  1. 以「安全模式」啟動電腦。如果要執行這項操作,請依照下列步驟執行:
    1. 重新啟動電腦。
    2. 於電腦啟動時重複按下 F8 鍵 (每秒一次)。此動作會顯示 Microsoft Windows 進階啟動功能表選項。
    3. 使用向上鍵與向下鍵選取 [安全模式 (含命令提示字元)],然後按下 ENTER。
  2. 按一下 [開始],再按一下 [執行],並在 [開啟] 方塊中輸入 cmd,然後按一下 [確定]
  3. 在命令提示字元輸入 CD %windir%\system32\drivers,然後按下 ENTER。
  4. 輸入 Dir /ah,然後按下 ENTER。
  5. 會顯示類似下列的文字。.sys 檔案名稱是隨機產生。
    Directory of C:\WINDOWS\system32\drivers

01/11/2005  09:18 AM               13,824 gbqxmhia.sys
               1 File(s)            13,824 bytes
               0 Dir(s)     961,425,408 bytes free
  6. 輸入 Attrib –s –h RandomFilename,然後按下 ENTER。此動作會移除檔案的系統屬性與隱藏屬性。

    注意 預留位置 RandomFilename 代表 .sys 檔案的名稱,會在執行步驟 5 之後顯示。以步驟 5 之範例中所指定的檔案名稱為例,應輸入 Attrib –s –h gbqxmhia.sys
  7. 輸入 Ren RandomFilename malware.old,然後按下 ENTER。此動作會重新命名隨機命名的檔案。
  8. 輸入 CD,然後按下 ENTER。這會將命令列切換至 %windir%\System32 資料夾。
  9. 輸入下列的命令 (一次一個),並在每個命令之後按下 ENTER。
    Ren msupd5.exe msupd5.old
    Ren msupd4.exe msupd4.old
    Ren msupd.exe msupd.old
    Ren reloadmedude.exe reloadmedude.old
    注意您如果收到下列錯誤訊息,指出目標檔案不存在,可以放心地加以忽略:
    系統找不到指定的檔案。
  10. 輸入 Exit,然後按下 ENTER。
  11. 重新啟動電腦。
  12. 確定已使用最新的病毒碼更新防毒或反間諜功能軟體,然後再執行完整的系統掃描。
回此頁最上方

其他相關資訊

如果要確認電腦是否受到此間諜軟體的感染,請依照下列步驟執行:
  1. 啟動 Internet Explorer。
  2. 在 Internet Explorer 的 [網址] 方塊中,輸入 %windir%\system32\drivers,然後按下 ENTER。
  3. 變更 Windows 顯示隱藏檔案與受保護作業系統檔案的方式。如果要執行這項操作,請依照下列步驟執行:
    1. [工具] 功能表上,按一下 [資料夾選項]
    2. [檢視] 索引標籤上,按一下以取消選取 [隱藏保護的作業系統檔案 (建議使用)] 核取方塊,再於收到警告訊息,指出您已選擇顯示保護的作業系統檔案時,按一下 [是]
    3. [隱藏檔案和資料夾] 下,按一下 [顯示隱藏的檔案及資料夾]
    4. 按一下以取消選取 [隱藏已知檔案類型的副檔名] 核取方塊。
    5. 按一下以選取 [顯示系統資料夾的內容] 核取方塊,再按一下 [確定]
    6. [檢視] 功能表上,按一下 [詳細資料]
  4. 按下 F5,以更新 Drivers 資料夾顯示。
  5. 找出所有設有隱藏屬性,並缺少產品名稱、公司與檔案版本之相關詳細資料的系統檔案 (副檔名為 .sys 的檔案)。

    注意 設有隱藏屬性的檔案會在 [Windows 檔案總管] 的 [屬性] 欄位中會顯示 "HA"。如需有關如何檢視 [屬性] 欄的指示,請參閱步驟 5a 與 5b。

    如果要執行這項操作,請依照下列步驟執行。

    注意 間諜軟體檔案是由 8 個小寫字母組成的隨機產生檔案名稱。
    1. 變更 [Windows 檔案總管] 在資料夾中顯示檔案詳細資料的方式。如果要執行這項操作,請依照下列步驟執行:
      1. [檢視] 功能表上,按一下 [選擇詳細資料]
      2. 按一下以選取 [屬性] 核取方塊。
      3. 按一下以選取 [產品名稱] 核取方塊。
      4. 按一下以選取 [公司] 核取方塊。
      5. 按一下以選取 [檔案版本] 核取方塊。
    2. 按一下 [屬性] 欄標題,以依據屬性排序檔案清單。Drivers 資料夾中的檔案通常只含有保存屬性 (A)。請尋找所有同時具有隱藏屬性 (HA) 的檔案。
      下列清單是已知會造成此問題之間諜軟體檔案的範例名稱:
      • gbqxmhia.sys
      • upzvlbvv.sys
      • jsbmefvk.sys
      找出可疑的間諜軟體檔案之後,請使用 [內容] 對話方塊確認檔案的內容。用滑鼠右鍵按一下檔案,並按一下 [內容],再尋找下列資訊:
      • 在 [一般] 索引標籤上:
        • 修改日期:2005 年 1 月 11 日
        • 大小:14 KB (13,824 個位元組)
        • 已核取 [隱藏] 核取方塊
      • 在 [版本] 索引標籤上:
        • 無檔案版本
        • 無描述
        • 無版權
        • 無公司名稱
        • 無產品名稱
    檔案如已設定隱藏屬性,並缺少產品名稱、公司與檔案版本等詳細資料,即表示電腦已受到間諜軟體感染。
  6. 按一下 [確定],以關閉 [內容] 對話方塊,然後依照<解決方案>一節所述方法之一中的步驟解決問題。
  7. 在 Internet Explorer 的 [網址] 方塊中,輸入 %windir%\system32,然後按下 ENTER。
  8. 尋找類似下列名稱的應用程式檔案 (副檔名為 .exe 的檔案):
    • Msupd.exe
    • Msupd*.exe

      注意 預留位置 * 代表 1 位數的數字
    • Reloadmedude.exe
    這些檔案具有隨機日期,且檔案大小為 60 KB (61,440 個位元組)。
    已知的間諜軟體檔案名稱包括:
    • Msupd.exe
    • Msupd4.exe
    • Msupd5.exe
    • Reloadmedude.exe
  9. 如有上述一或多個檔案存在,即表示電腦已受到間諜軟體感染。請依照<解決方案>一節所述方法之一中的步驟解決問題。
回此頁最上方

偵測此間諜軟體的安全性產品

有數種安全性產品均可偵測此間諜軟體。這些產品與所報告之間諜軟體名稱的範例包括:
摺疊此表格展開此表格
產品報告的間諜軟體名稱
Microsoft AntiSpyware Spyware.Service.MiscrosoftUpdate (特洛伊木馬程式)
Computer AssociatesWin32/Benuti.61440!Downloader!Dr
Doctor Web DrWebCL Trojan.Medude
F-Secure Trojan.Win32.Agent.aw
Kaspersky Lab AVPDOS32Trojan.Win32.Agent.aw
McAfeeDownloader-va
Panda Trj/Agent.FO 與 Adware/Apropos
Trend Micro VScanTROJ_LODMEDUD.A
SymantecTrojan.Lodmeduod
回此頁最上方

?考

如需有關 Microsoft 反間諜功能產品的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
892279? (http://support.microsoft.com/kb/892279/ ) How to obtain Microsoft Windows AntiSpyware (Beta)
892340? (http://support.microsoft.com/kb/892340/ ) Microsoft Windows AntiSpyware (Beta) 識別某個程式為間諜軟體威脅

如需有關防毒軟體廠商的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
49500? (http://support.microsoft.com/kb/49500/ ) 防毒軟體廠商的清單
回此頁最上方
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Tablet PC Edition 2005
  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows XP Professional 64-Bit Edition (Itanium)
  • Microsoft Windows XP for Itanium-based Systems Version 2003
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Media Center Edition 2002
  • Microsoft Windows XP Media Center Edition 2004
  • Microsoft Windows XP Media Center Edition 2005
  • Microsoft Windows XP 64-Bit Edition Version 2002
  • Microsoft Windows XP 64-Bit Edition Version 2003
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows 2000 Server
回此頁最上方
關鍵字:?
kbtshoot kbsecurity kbprb kbsecantivirus KB894278
回此頁最上方
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。