احتمال إعادة تشغيل الكمبيوتر تلقائيًا أو تلقي رسالة "خطأ حاد" أو رسالة خطأ "إيقاف" في Windows Server 2003 أو Windows XP أو Windows 2000‏


الموجز


توضح هذه المقالة العديد من الأعراض التي قد تواجهها إذا كان الكمبيوتر يقوم بتشغيل برنامج تجسس مخفي ذاتيًا Spyware.Service.MiscrosoftUpdate (حصان طروادة). لإزالة فيروس "حصان طروادة"، يجب تحديد الملفات التي تتسبب في حدوث هذه المشكلة ثم إعادة تسمية هذه الملفات.

يمكن تنظيف مكونات وضع المستخدم (برنامج التجسس) Msupd*.exe وReloadmedude.exe بواسطة بعض برامج الحماية من الفيروسات أو برامج الحماية من برامج التجسس بمجرد إعادة تسمية برنامج الجهاز المخفي. قد يكون برنامج الجهاز المخفي باسم "gbqxhia.sys" أو "upzvlbvv.sys" أو "jsbmefvk.sys" أو اسم ملف عشوائي آخر يحتوي على أحرف صغيرة فقط.

يتم سرد العديد من برامج الحماية من برامج التجسس التي يمكنها اكتشاف هذا الفيروس في القسم "مزيد من المعلومات".

الأعراض


قد يواجهك واحدًا أو أكثر من الأعراض التالية:
  • تتم إعادة تشغيل جهاز الكمبيوتر تلقائيًا.
  • تتلقى رسالة الخطأ التالية بعد تسجيل الدخول:
    Microsoft Windows

    ‏‏تم استرداد النظام من خطأ حاد. تم إنشاء سجل لهذا الخطأ. الرجاء إعلام Microsoft بهذه المشكلة. لقد أنشأنا تقريرًا عن الخطأ يمكنك إرساله لمساعدتنا على تحسين Microsoft Windows. سنعامل هذا التقرير كسري ومجهول المصدر. للاطلاع على البيانات الموجودة في هذا التقرير عن الخطأ، انقر هنا.
    في حالة استمرار ظهور رسالة الخطأ على الشاشة، انقر فوق الارتباط "انقر هنا" الموجود أسفل مربع الرسالة إذا كنت تريد معرفة البيانات التي يتضمنها تقرير الخطأ. عند القيام بذلك، تظهر معلومات توقيع الخطأ التي قد تكون مشابهة لما يلي:
    BCCode : 00000050 BCP1 : 0xeb7ff002 BCP2 : 0x00000000 BCP3 : 0x8054af32 BCP4 : 0x00000001 OSVer : 5_1_2600 SP : 0_0 Product : 256_1
  • ظهور رسالة خطأ الإيقاف Stop التالية:
    ‏‏تم الكشف عن وجود مشكلة لذلك تم إيقاف Windows لتلافي أي عطب قد يحدث بالكمبيوتر. المعلومات الفنية: *** إيقاف: 0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237
  • يقوم سجل النظام بتسجيل حدث مشابه لما يلي:

ملاحظات

تختلف أعراض خطأ "الإيقاف" Stop طبقًا لخيارات الفشل الخاصة بنظام الكمبيوتر.لمزيد من المعلومات حول كيفية تكوين خيارات فشل النظام، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft" (قد تحتوي هذه المقالة على ارتباطات إلى محتوى باللغة الإنجليزية (محتوى لم تتم ترجمته بعد)):

307973 كيفية تكوين خيارات فشل النظام والاسترداد في Windows

قد تختلف المعلمات الأربع المضمنة في معلومات توقيع الخطأ (BCPn) وكذلك قد تختلف البيانات الموجودة بين قوسي المعلومات الفنية الخاصة بخطأ الإيقاف Stop تبعًا لتكوين جهاز الكمبيوتر.

لا تنتج كافة أخطاء الإيقاف 0x00000050 عن المشكلة الموضحة في القسم "السبب".

السبب


تنتج رسالة الخطأ هذه عن برنامج جهاز kernel المثبت بواسطة برامج التجسس المخفية ذاتيًا المعروفة التالية:
  • Msupd5.exe
  • Reloadmedude.exe

الحل


لحل هذه المشكلة، اتبع طريقة واحدة أو أكثر من الطرق التالية. يتم سرد هذه الطرق بالترتيب المفضل.

الطريقة الأولى: إعادة تسمية برنامج الجهاز الضار باستخدام Internet Explorer

  1. قم بفتح برنامج Internet Explorer.
  2. في المربع العنوان، اكتب %windir%\system32\drivers، ثم اضغط مفتاح الإدخال.
  3. حدد موقع الملف المسمى عشوائيًا .sys، ثم انقر بزر الماوس الأيمن فوق الملف، ثم حدد إعادة تسمية.
  4. اكتب malware.old لإعادة تسمية الملف، ثم اضغط مفتاح الإدخال.
  5. في المربع العنوان، اكتب \WINDOWS\system32، ثم اضغط مفتاح الإدخال.
  6. حدد موقع الملفات التالية، إذا كانت موجودة، ثم قم بإعادة تسميتها:
    • Msupd5.exe. قم بإعادة تسمية هذا الملف باسم Msupd5.old.
    • Msupd4.exe. قم بإعادة تسمية هذا الملف باسم Msupd4.old.
    • Msupd.exe. قم بإعادة تسمية هذا الملف باسم Msupd.old.
    • Reloadmedude.exe. قم بإعادة تسمية هذا الملف باسم Reloadmedude.old.
  7. قم بإغلاق Internet Explorer.
  8. أعد تشغيل جهاز الكمبيوتر.
  9. تأكد من أن برامج الحماية من الفيروسات أو برامج الحماية من برامج التجسس لديك محدثة بأحدث التوقيعات، ثم قم بإجراء تفحص كامل للنظام.

الطريقة الثانية: إعادة تسمية برنامج الجهاز الضار باستخدام "جهاز الكمبيوتر" في "الوضع الآمن"

  1. قم بتشغيل جهاز الكمبيوتر في الوضع الآمن (Safe Mode). للقيام بذلك، اتبع الخطوات التالية:
    1. أعد تشغيل جهاز الكمبيوتر.
    2. أثناء بدء تشغيل جهاز الكمبيوتر، اضغط المفتاح F8 بشكلٍ متكرر (بمعدل ضغطة واحدة كل ثانية).سيؤدي القيام بهذا الإجراء إلى ظهور خيارات قائمة Microsoft Windows Advanced Startup Menu.
    3. استخدم مفتاح سهم للأعلى ومفتاح سهم للأسفل لتحديد Safe Mode، ثم اضغط مفتاح الإدخال.
  2. قم بفتح برنامج Internet Explorer
  3. في المربع العنوان، اكتب %windir%\system32\drivers، ثم اضغط مفتاح الإدخال.

  4. قم بتمكين عرض الملفات المخفية. للقيام بذلك، اتبع الخطوات التالية:
    1. انقر فوق ابدأ، ثم انقر فوق جهاز الكمبيوتر.
    2. من القائمة أدوات، انقر فوق خيارات المجلد.
    3. من علامة التبويب عرض، انقر لإلغاء تحديد خانة الاختيار إخفاء ملفات نظام التشغيل المحمية (مستحسن)، ثم انقر فوق نعم عند تلقي رسالة تحذير تنص على أنك قمت باختيار عرض ملفات نظام التشغيل المحمية.
    4. ضمن الملفات والمجلدات المخفية، انقر فوق إظهار الملفات والمجلدات المخفية.
    5. انقر لإلغاء تحديد خانة الاختيار إخفاء ملحقات الملفات لأنواع الملفات المعروفة.
    6. في المنطقة طرق عرض المجلد، انقر فوق تطبيق على كافة المجلدات، ثم انقر فوق موافق.

  5. حدد موقع المجلد Drivers الموجود على المسار C:\%windir%\System32.
  6. حدد أي ملف .sys بالخصائص التالية:
    1. اسم الملف تم إنشاؤه عشوائيًا ويتكون من ٨ أحرف صغيرة (في اللغات التي تتمتع بخاصية تمييز نمط الأحرف)، مثل "gbqxmhia.sys" أو "upzvlbvv.sys" أو "jsbmefvk.sys".
    2. تاريخ الملف ١١ يناير ٢٠٠٥
    3. حجم الملف ١٤ كيلوبايت (١٣.٨٢٤ بايت)
    4. تم تعيين سمة مخفية لهذا الملف

      ملاحظة يقوم الملف الذي تم تعيين سمة مخفية له بعرض "HA" في العمود السمات في "مكتشف Windows". للحصول على إرشادات حول كيفية عرض العمود السمات، راجع الخطوتين 5a و5b من الإجراء الموضح في القسم "مزيد من المعلومات".
    5. لا يتوفر لهذا الملف معلومات الشركة المصنعة أو الإصدار أو اسم المنتج.
  7. لكل ملف تقوم بتحديد موقعه، انقر بزر الماوس الأيمن فوق الملف، ثم حدد إعادة تسمية.
  8. اكتب malware.old لإعادة تسمية الملف الأول، ثم اضغط مفتاح الإدخال.

    ملاحظة اكتب malware2.old لإعادة تسمية الملف الثاني، ثم اكتب malware3.old لإعادة تسمية الملف الثالث، وهكذا.
  9. حدد موقع المجلد System32 الموجود على المسار %windir%.
  10. قم بإعادة تسمية الملفات التالية، في حالة وجودها:
    • Msupd5.exe. قم بإعادة تسمية هذا الملف باسم msupd5.old.
    • Msupd4.exe. قم بإعادة تسمية هذا الملف باسم Msupd4.old.
    • Msupd.exe. قم بإعادة تسمية هذا الملف باسم Msupd.old.
    • Reloadmedude.exe. قم بإعادة تسمية هذا الملف باسم Reloadmedude.old.
  11. أعد تشغيل جهاز الكمبيوتر.
  12. تأكد من أن برامج الحماية من الفيروسات أو برامج الحماية من برامج التجسس لديك محدثة بأحدث التوقيعات، ثم قم بإجراء تفحص كامل للنظام.

الطريقة الثالثة: إعادة تسمية برنامج الجهاز الضار باستخدام موجه الأوامر في "الوضع الآمن"

  1. قم بتشغيل جهاز الكمبيوتر في الوضع الآمن (Safe Mode). للقيام بذلك، اتبع الخطوات التالية:
    1. أعد تشغيل جهاز الكمبيوتر.
    2. أثناء بدء تشغيل جهاز الكمبيوتر، اضغط المفتاح F8 بشكلٍ متكرر (بمعدل ضغطة واحدة كل ثانية). سيؤدي القيام بهذا الإجراء إلى ظهور خيارات قائمة Microsoft Windows Advanced Startup Menu.
    3. استخدم مفتاح سهم للأعلى ومفتاح سهم للأسفل لتحديد Safe Mode with Command Prompt، ثم اضغط مفتاح الإدخال.
  2. انقر فوق ابدأ، ثم انقر فوق تشغيل، ثم اكتب cmd في مربع فتح، ثم انقر فوق موافق.
  3. في موجه الأوامر، اكتب CD %windir%\system32\drivers، ثم اضغط مفتاح الإدخال.


  4. اكتب Dir /ah، ثم اضغط مفتاح الإدخال.
  5. يظهر نص مشابهًا للنص التالي. يتم إنشاء اسم الملف .sys عشوائيًا.
    Directory of C:\WINDOWS\system32\drivers

    ‪01/11/2005 09:18 AM 13,824 gbqxmhia.sys
    ‭1 File(s) 13,824 bytes
    ‪0 Dir(s) 961,425,408 bytes free
  6. اكتب Attrib –s –h RandomFilename، ثم اضغط مفتاح الإدخال. يؤدي هذا الإجراء إلى إزالة سمات النظام والسمات المخفية من الملف.

    ملاحظة يمثل العنصر النائب RandomFilename اسم الملف .sys المعروض بعد إجراء الخطوة 5. على سبيل المثال، لاسم الملف المحدد في المثال الوارد في الخطوة 5، يمكنك كتابة Attrib –s –h gbqxmhia.sys.
  7. اكتب Ren RandomFilename malware.old، ثم اضغط مفتاح الإدخال. يؤدي هذا الإجراء إلى إعادة تسمية الملف المسمى عشوائيًا.
  8. اكتب CD، ثم اضغط مفتاح الإدخال. يعمل ذلك على تغيير سطر الأمر إلى المجلد %windir%\System32.
  9. اكتب الأوامر التالية (أمر واحد في المرة الواحدة) ثم اضغط مفتاح الإدخال بعد كتابة كل أمر:
    Ren msupd5.exe msupd5.old
    Ren msupd4.exe msupd4.old
    Ren msupd.exe msupd.old
    Ren reloadmedude.exe reloadmedude.old
    ملاحظة في حالة تلقي رسالة الخطأ التالية، يمكنك تجاهل الرسالة بشكل آمن، لأنها تشير إلى أن الملف المستهدف غير موجود:

    يتعذر على النظام العثور على الملف المحدد.
  10. اكتب Exit، ثم اضغط مفتاح الإدخال.
  11. أعد تشغيل جهاز الكمبيوتر.
  12. تأكد من أن برامج الحماية من الفيروسات أو برامج الحماية من برامج التجسس لديك محدثة بأحدث التوقيعات، ثم قم بإجراء تفحص كامل للنظام.

معلومات أخرى


للتحقق مما إذا كان جهاز الكمبيوتر مصابًا ببرنامج التجسس هذا، اتبع هذه الخطوات:
  1. قم بتشغيل برنامج Internet Explorer.
  2. في المربع العنوان الخاص ببرنامج Internet Explorer، اكتب %windir%\system32\drivers، ثم اضغط مفتاح الإدخال.
  3. قم بتغيير طريقة عرض Windows للملفات المخفية وملفات نظام التشغيل المحمية. للقيام بذلك، اتبع الخطوات التالية:
    1. من القائمة أدوات، انقر فوق خيارات المجلد.
    2. من علامة التبويب عرض، انقر لإلغاء تحديد خانة الاختيار إخفاء ملفات نظام التشغيل المحمية (مستحسن)، ثم انقر فوق نعم عند تلقي رسالة تحذير تنص على أنك قمت بتحديد عرض ملفات نظام التشغيل المحمية.
    3. ضمن الملفات والمجلدات المخفية، انقر فوق إظهار الملفات والمجلدات المخفية.
    4. انقر لإلغاء تحديد خانة الاختيار إخفاء ملحقات الملفات لأنواع الملفات المعروفة.
    5. انقر لتحديد خانة الاختيار عرض محتويات مجلدات النظام، ثم انقر فوق موافق.

    6. في القائمة عرض، انقر فوق تفاصيل.
  4. اضغط F5 لتحديث طريقة عرض المجلد Drivers.
  5. حدد موقع أي ملف من ملفات النظام (الملفات التي تحتوي على الملحق .sys في الاسم) المعيّن له سمة مخفية ويفتقد بعض التفاصيل المتعلقة باسم المنتج والشركة وإصدار الملف.

    ملاحظة تقوم الملفات التي تم تعيين سمة مخفية لها بعرض "HA" في العمود السمات في "مكتشف Windows". للحصول على إرشادات حول كيفية عرض العمود السمات، راجع الخطوتين 5a و5b.

    للقيام بذلك، اتبع الخطوات التالية.

    ملاحظة قد يظهر ملف برنامج التجسس باسم ملف تم إنشاؤه عشوائيًا مكون من ٨ أحرف صغيرة.
    1. قم بتغيير طريقة عرض "مكتشف Windows" لتفاصيل الملفات الموجودة في المجلد. للقيام بذلك، اتبع الخطوات التالية:
      1. في القائمة عرض، انقر فوق اختيار التفاصيل.
      2. انقر لتحديد خانة الاختيار السمات.
      3. انقر لتحديد خانة الاختيار اسم المنتج.
      4. انقر لتحديد خانة الاختيار الشركة.
      5. انقر لتحديد خانة الاختيار إصدار الملف.
    2. انقر فوق عنوان العمود السمات لفرز قائمة الملفات حسب السمات. تحتوي الملفات الموجودة في المجلد Drivers عادةً على سمة الأرشيف (A). ابحث عن أية ملفات بالسمة المخفية (HA) أيضًا.
      تحتوي القائمة التالية على أمثلة لأسماء ملفات برامج التجسس المعروف عنها أنها تتسبب في حدوث هذه المشكلة:
      • gbqxmhia.sys
      • upzvlbvv.sys
      • jsbmefvk.sys
      بعد تحديد موقع ملف ترتاب في أنه ملف برنامج تجسس، تحقق من خصائص الملف باستخدام مربع الحوار خصائص. انقر بزر الماوس الأيمن فوق الملف، وانقر فوق خصائص، ثم ابحث عن المعلومات التالية:
      • في علامة التبويب "عام":
        • تاريخ التعديل: ١١ يناير ٢٠٠٥
        • الحجم: ١٤ كيلوبايت (١٣.٨٢٤ بايت)
        • علامة تحديد في خانة الاختيار مخفي
      • في علامة التبويب "الإصدار":
        • لا يوجد إصدار ملف
        • لا يوجد وصف
        • لا توجد حقوق نشر
        • لا يوجد اسم شركة
        • لا يوجد اسم منتج
    إذا كان الملف له سمة مخفية معيّنة ويفتقد أيضًا تفاصيل متعلقة باسم المنتج والشركة وإصدار الملف، يشير ذلك إلى إصابة الكمبيوتر ببرنامج تجسس.
  6. انقر فوق موافق لإغلاق مربع الحوار خصائص، ثم اتبع خطوات إحدى الطرق الموضحة في القسم "الحل" لحل هذه المشكلة.
  7. في المربع العنوان الخاص ببرنامج Internet Explorer، اكتب %windir%\system32، ثم اضغط مفتاح الإدخال.
  8. ابحث عن ملفات التطبيق (الملفات التي تحتوي على الملحق .exe في الاسم) التي لها أسماء مشابهة لما يلي:
    • Msupd.exe
    • Msupd*.exe

      ملاحظة يمثل العنصر النائب * رقمًا ذا عدد واحد
    • Reloadmedude.exe
    يكون لهذه الملفات تاريخ وحجم عشوائي ٦٠ كيلوبايت (61.440 بايت).
    تتضمن الأسماء المعروفة لملفات برامج التجسس أسماء الملفات التالية:
    • Msupd.exe
    • Msupd4.exe
    • Msupd5.exe
    • Reloadmedude.exe


  9. في حالة وجود ملف واحد أو أكثر من هذه الملفات، يشير ذلك إلى إصابة الكمبيوتر ببرنامج تجسس. اتبع خطوات إحدى الطرق الموضحة في القسم "الحل" لحل المشكلة.

منتجات الأمان التي تكتشف برنامج التجسس هذا

يوجد العديد من منتجات الأمان التي تعمل على اكتشاف برنامج التجسس هذا. تتضمن الأمثلة على هذه المنتجات وأسماء برامج التجسس التي تم الإبلاغ عنها ما يلي:
المنتجاسم برنامج التجسس الذي تم الإبلاغ عنه
Microsoft AntiSpywareSpyware.Service.MiscrosoftUpdate (حصان طروادة)
Computer AssociatesWin32/Benuti.61440!Downloader!Dr
Doctor Web DrWebCL Trojan.Medude
F-SecureTrojan.Win32.Agent.aw
Kaspersky Lab AVPDOS32Trojan.Win32.Agent.aw
McAfeeDownloader-va
PandaTrj/Agent.FO and Adware/Apropos
Trend Micro VScanTROJ_LODMEDUD.A
Symantec Trojan.Lodmeduod

مراجع


لمزيد من المعلومات حول منتج Microsoft AntiSpyware، انقر فوق رقمي المقالتين التاليين لعرضهما في "قاعدة المعارف لـ Microsoft" (قد تحتوي هاتان المقالتان على ارتباطات إلى محتوى باللغة الإنجليزية (محتوى لم تتم ترجمته بعد)):

892279 كيفية الحصول على Microsoft Windows AntiSpyware (إصدار بيتا)

892340 تحديد أحد البرامج على أنه برنامج تجسس من خلال Microsoft Windows AntiSpyware (إصدار بيتا)


لمزيد من المعلومات حول بموردي برامج الحماية من الفيروسات، انقر فوق رقم المقالة التالي لعرضها في "قاعدة المعارف لـ Microsoft" (قد تحتوي هذه المقالة على ارتباطات إلى محتوى باللغة الإنجليزية (محتوى لم تتم ترجمته بعد)):

49500 قائمة بموردي برامج الحماية من الفيروسات