Er verschijnt een foutbericht op een computer met Windows: 'STOP 0x00000050' of 'STOP 0x0000008e'

Een of meer van de volgende symptomen doen zich voor op een computer met Microsoft Windows Server 2003, Microsoft Windows XP of Microsoft Windows 2000:

• De computer wordt automatisch opnieuw opgestart.
• Nadat u zich hebt aangemeld, wordt het volgende foutbericht weergegeven:
  Microsoft Windows
  Het systeem is hersteld van een ernstige fout.
  Deze fout is in een logboek vastgelegd.
  Wij verzoeken u dit probleem bij Microsoft te melden.
  Wij hebben een foutenrapport gemaakt dat u kunt verzenden zodat wij Microsoft Windows kunnen verbeteren. Wij zullen dit rapport vertrouwelijk en anoniem behandelen.
  Als u dit foutenrapport wilt weergeven, klikt u hier.
  Als u dit foutenrapport wilt weergeven, klikt u hier. Wanneer u op klik hier onder in het berichtvak klikt, wordt informatie over de fouthandtekening weergegeven die ongeveer dezelfde strekking heeft als de volgende voorbeelden.
  
  Voorbeeld 1

  BCCode: 00000050 BCP1 : f8655000 BCP2 : 00000001 BCP3 : fc7cc465 BCP4: 00000000 OSVer : 5_1_2600 SP : 0_0 Product : 256_1

  Voorbeeld 2

  BCCode: 0000008e BCP1 : c0000005 BCP2 : 00000120 BCP3 : fd28eaa4 BCP4: 00000000 OSVer : 5_1_2600 SP : 0_0 Product : 256_1

• Een van de volgende 'Stop'-foutberichten wordt weergegeven.
  
  Bericht 1
  
  Er is een probleem gevonden. Windows is afgesloten om schade te voorkomen.
  Technische informatie:
  
  STOP: 0x00000050 (0xf8655000, 0x00000001, 0xfc7cc465, 0x00000000)
  PAGE_FAULT_IN_NONPAGED_AREA (50)
  Bericht 2
  Er is een probleem gevonden. Windows is afgesloten om schade te voorkomen.
  Technische informatie:
  
  STOP: 0x0000008e (0xc0000005, 0x00000120, 0xfd28eaa4, 0x00000000)
  KERNEL_MODE_EXCEPTION_NOT_HANDLED_M (1000008e)
• Foutberichten met ongeveer dezelfde strekking als de volgende worden in het systeemgebeurtenissenlogboek vastgelegd:
  Datum: datum
  Bron: Systeem
  Fouttijdstip: tijd
  Categorie: (102)
  Type: Fout
  Gebeurtenis-id: 1003
  Gebruiker: n.v.t.
  Computer: COMPUTER
  Beschrijving: Foutcode 00000050, parameter1 f8655000, parameter2 00000001, parameter3 fc7cc465, parameter4 00000000. Zie voor meer informatie Help en ondersteuning op http://support.microsoft.com. Data: 0000: 53 79 73 74 65 6d 20 45 System E 0008: 72 72 6f 72 20 20 45 72 rror Er 0010: 72 6f 72 20 63 6f 64 65 ror code 0018: 20 30 30 30 30 30 30 35 0000050 0020: 30 20 20 50 61 72 61 6d 0 Param 0028: 65 74 65 72 73 20 66 66 eters ff 0030: 66 66 66 66 64 31 2c
  Datum: datum
  Bron: Systeem
  Fouttijdstip: tijd
  Categorie: (102)
  Type: Fout
  Gebeurtenis-id: 1003
  Gebruiker: n.v.t.
  Computer: COMPUTER
  Beschrijving: Foutcode 0000008e, parameter1 c0000005, parameter2 00000120, parameter3 fd28eaa4, parameter4 00000000. Zie voor meer informatie Help en ondersteuning op http://support.microsoft.com. Data: 0000: 53 79 73 74 65 6d 20 45 System E 0008: 72 72 6f 72 20 20 45 72 rror Er 0010: 72 6f 72 20 63 6f 64 65 ror code 0018: 20 30 30 30 30 30 30 35 000008e 0020: 30 20 20 50 61 72 61 6d 0 Param 0028: 65 74 65 72 73 20 66 66 eters ff 0030: 66 66 66 66 64 31 2c

Opmerkingen

• De symptomen van een stopfout kunnen variëren al naar gelang de storingsopties van uw computersysteem.
  
  Voor meer informatie over het configureren van systeemstoringsopties klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:
  307973  (http://support.microsoft.com/kb/307973/ ) Procedure: opties voor systeemfouten en systeemherstel configureren in Windows
• De vier parameters die in het Stop-foutbericht tussen haakjes staan, variëren al naar gelang de configuratie van de computer.

Dit probleem treedt op wanneer de computer is geïnfecteerd met een variant van het HaxDoor-virus.

Het HaxDoor-virus maakt een verborgen proces. Bovendien verbergt het virus bestanden en registersleutels. De naam van het uitvoerbare bestand van het HaxDoor-virus kan variëren, maar de bestandsnaam is vaak Mszx23.exe. Veel varianten van dit virus plaatsen een stuurprogramma met de naam Vdmt16.sys of Vdnt32.sys op de computer. Het stuurprogramma wordt gebruikt om het virusproces te verbergen. Als u deze bestanden verwijdert, kunnen deze door de varianten van het HaxDoor-virus worden hersteld.

Belangrijk Deze sectie, methode of taak bevat stappen voor het bewerken van het register. Als u het register onjuist bewerkt, kunnen er echter grote problemen optreden. Het is dan ook belangrijk dat u deze stappen zorgvuldig uitvoert. Maak tevens een back-up van het register voordat u wijzigingen aanbrengt. Als er een probleem optreedt, kunt u het register altijd nog herstellen. Als u meer informatie wilt over het maken van een back-up van het register en het herstellen van het register, klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:

Ga als volgt te werk om dit probleem op te lossen:

1. Druk het volgende Microsoft Knowledge Base-artikel af: Gebruik het artikel als richtlijn voor deze procedure.
   
   
   307654  (http://support.microsoft.com/kb/307654/ ) De herstelconsole installeren en gebruiken in Windows XP
2. Klik op Start, klik op Uitvoeren, typ regedit en klik op OK.
3. Ga naar de volgende registersubsleutel:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
4. Zoek en verwijder alle vermeldingen in de registersubsleutel die verwijzen naar 'drct16' of 'draw32'.
   
   U ziet bijvoorbeeld vermeldingen die er ongeveer zo uitzien:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\draw32
5. Plaats de Windows XP-installatie-cd en start de computer opnieuw op vanaf de cd.
6. Druk vanuit het scherm Welkom bij Setup op R (repair) om de Windows herstelconsole te starten.
7. Selecteer het nummer van de Windows-installatie die u wilt herstellen. Dit nummer is doorgaans 1.
8. Typ desgevraagd het beheerderswachtwoord. Als er geen beheerderswachtwoord bestaat, drukt u op ENTER.
9. Ga bij de opdrachtprompt naar de map C:\Windows\System32. Typ bijvoorbeeld cd C:\Windows\System32.
10. Gebruik de opdracht ren (rename) om de volgende bestanden een andere naam te geven. Druk na elke opdracht op ENTER. Als u het bericht 'Bestand niet gevonden' ziet, gaat u naar het volgende bestand in de lijst.

    ren 1.a3d 1.a3d.bad ren cm.dll cm.dll.bad ren cz.dll cz.dll.bad ren draw32.dll draw32.dll.bad ren drct16.dll drct16.dll.bad ren dt163.dt dt163.dt.bad ren fltr.a3d fltr.a3d.bad ren hm.sys hm.sys.bad ren hz.dll hz.dll.bad ren hz.sys hz.sys.bad ren i.a3d i.a3d.bad ren in.a3d in.a3d.bad ren klo5.sys klo5.sys.bad ren klogini.dll klogini.dll.bad ren memlow.sys memlow.sys.bad ren mszx23.exe mszx23.exe.bad ren p2.ini p2.ini.bad ren ps.a3d ps.a3d.bad ren redir.a3d redir.a3d.bad ren tnfl.a3d tnfl.a3d.bad ren vdmt16.sys vdmt16.sys.bad ren vdnt32.sys vdnt32.sys.bad ren w32tm.exe w32tm.exe.bad ren WD.SYS WD.SYS.bad ren winlow.sys winlow.sys.bad ren wmx.a3d wmx.a3d.bad ren wz.dll wz.dll.bad ren wz.sys wz.sys.bad

    
    Als u na afloop deze bestanden wilt verwijderen, typt u del *.bad.
11. Haal de Windows XP-installatie-cd uit het station en typ exit om de computer opnieuw op te starten.
12. Wanneer de computer opnieuw is opgestart, klikt u op Start en Uitvoeren. Typ regedit en klik op OK.
13. Zoek en verwijder de volgende registersubsleutels en alle eventuele items die onder elke subsleutel aanwezig zijn. Als bepaalde registersubsleutels uit deze lijst niet aanwezig zijn, gaat u naar de volgende subsleutel in de lijst.
    
    
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16
    
    
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdnt32
    
    
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winlow
    
    
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\memlow
    
    
    
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdmt16
    
    
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdnt32
    
    
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winlow
    
    
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\memlow
    
    
    
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_VDMT16
    
    
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_VDNT32
    
    
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_WINLOW
    
    
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_MEMLOW
14. Zoek en verwijder alle vermeldingen met de bestandsnaam Mszx23.exe onder de volgende registersubsleutels:
    
    
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    
    
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
    
    
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    
    
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
15. Sluit de Register-editor af.
16. Controleer of uw antivirus- en antispywareprogramma's zijn bijgewerkt met de nieuwste definitiebestanden en voer een volledige systeemscan uit.

De volgende malware is door antivirusleveranciers geïdentificeerd.