Компютърът може да рестартира автоматично или получавате съобщение "сериозна грешка" или съобщение за стоп грешка в Windows Server 2003, Windows XP или Windows 2000

Прилага се за: Microsoft Windows Server 2003 Web EditionMicrosoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows Server 2003 Enterprise Edition (32-bit x86)

Резюме


Тази статия описва няколко симптоми, които могат да възникнат, ако компютърът изпълнява Spyware.Service.MiscrosoftUpdate (троянски) корен шпионски софтуер. За да премахнете троянски вирус, трябва да идентифицирате файлове, които причиняват този проблем и го преименувайте файловете.

Компоненти на потребителския режим (spyware) Msupd*.exe и Reloadmedude.exe може да се почиства от някои антивирусни или антишпионски програми, след като скрити драйверът се преименува. Скритите драйверът може да е наречен "gbqxhia.sys", "upzvlbvv.sys", "jsbmefvk.sys" или някои други случайни име, което съдържа само малки букви.

Няколко антишпионски програми, които може да открие този вирус са изброени в раздела "Допълнителна информация".

Симптоми


Можете да наблюдавате един или повече от следните симптоми:
  • Компютърът рестартира автоматично.
  • След като влезете, получавате следното съобщение за грешка:
    Microsoft Windows

    Системата се възстанови от сериозна грешка. Регистър на тази грешка е била създадена. Съобщете Microsoft за този проблем. Създали сме отчет за грешки, който можете да изпратите, за да ни помогнете да подобрим Microsoft Windows. Ще третираме този отчет като конфиденциален и анонимен. За да видите какви данни съдържа този отчет, щракнете тук.
    Ако съобщението за грешка на екрана, щракнете върху връзката "натиснете тук" в дъното на прозореца на съобщението, ако искате да видите отчета за грешката данни. Ако направите това, ще видите информация за подписа на грешката, подобна на следното:
    BCCode: 00000050 BCP1: 0xeb7ff002 BCP2: 0x00000000 BCP3: 0x8054af32 BCP4: 0x00000001 OSVer: 5_1_2600 SP: 0_0 продукт: 256_1
  • Получавате следното съобщение за стоп грешка:
    Беше открит проблем и Windows беше изключен, за да се предотврати повреда на компютъра техническа информация: *** STOP: 0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt! ExFreePoolWithTag + 237
  • Дневника на системата се записва събитие, подобно на следното:

Бележки

Симптомите на стоп грешка варират според опциите за допустими неизправности на компютърната система. За повече информация как да конфигурирате опциите за системни неизправности щракнете върху следния номер на статия в базата знания на Microsoft:

307973 как да конфигурирате опциите за грешка и възстановяване в Windows

Четирите параметъра, включени в информация за подписа на грешката (BCPn) и в скобите на техническата информация за стоп грешка варират според конфигурацията на компютъра.

Не всички стоп грешки stop 0x00000050 са причинени от проблем, описан в раздела "Причина".

Причина


Това съобщение за грешка се дължи на драйвер на ядрото, инсталирана от следните известни шпионски програми корен:
  • Msupd5.exe
  • Reloadmedude.exe

Решение


За да разрешите този проблем, използвайте един или няколко от следните методи. Методите са изброени в предпочитания от вас ред.

Метод 1: Преименувайте злонамерен драйвер с помощта на Internet Explorer

  1. Отворете Internet Explorer.
  2. В полето адрес въведете %windir%\system32\driversи след това натиснете ENTER.
  3. Намерете файла име .sys, с десния бутон върху файла и изберете Преименуване.
  4. Въведете malware.old да преименувате файла, след което натиснете ENTER.
  5. В полето адрес въведете \WINDOWS\system32и след това натиснете ENTER.
  6. Намерете и след това преименувайте следните файлове, ако съществуват:
    • Msupd5.exe. Преименувайте файла Msupd5.old.
    • Msupd4.exe. Преименувайте файла Msupd4.old.
    • Msupd.exe. Преименувайте файла Msupd.old.
    • Reloadmedude.exe. Преименувайте файла Reloadmedude.old.
  7. Затворете Internet Explorer.
  8. Рестартирайте компютъра.
  9. Уверете се, че вашият антивирусен или антишпионски софтуер се актуализира с най-новите подписи и след това сканиране цялата система.

Метод 2: В безопасен режим, преименувайте злонамерен драйвер с помощта на моя компютър

  1. Стартирайте компютъра в безопасен режим. За да направите това, изпълнете следните стъпки:
    1. Рестартирайте компютъра.
    2. Когато компютърът се стартира, натиснете клавиша F8 неколкократно (веднъж в секунда). Това действие ще доведе до опции меню за разширени стартиране на Microsoft Windows, за да се появи.
    3. Използвайте клавишите със стрелки нагоре и надолу, за да осветите Безопасен режими след това натиснете ENTER.
  2. Отворете Internet Explorer
  3. В полето адрес въведете %windir%\system32\driversи след това натиснете ENTER.

  4. Разрешете показването на скрити файлове. За да направите това, изпълнете следните стъпки:
    1. Щракнете върху Старти след това щракнете върху Моят компютър.
    2. В менюто Инструменти изберете Опции за папките.
    3. В раздела изглед изчистете квадратчето Скрий защитените файлове на операционната система (препоръчва се) и щракнете върху да , когато се появи предупредително съобщение, което гласи, че сте избрали да покажете защитени системни файлове.
    4. Под скрити файлове и папкищракнете върху Показвай скритите файлове и папки.
    5. Поставете отметка в квадратчето Скрий разширенията за известните типове файлове .
    6. В областта за изгледи на папки щракнете върху Приложи към всички папкии след това щракнете върху OK.

  5. Намерете папката, наречена C:\%windir%\System32\Drivers.
  6. Намерете всеки .sys файл, който има следните характеристики:
    1. Случайно генерирано име, се състои от осем малки букви, например "gbqxmhia.sys", "upzvlbvv.sys" или "jsbmefvk.sys"
    2. Дата на 11 януари 2005 г.
    3. Размер на 14 KB (13,824 байта)
    4. Скрит атрибут, който е зададен

      Забележка: Файл с неговите скрити атрибут се показва "HA" в колоната атрибути в Windows Explorer. За инструкции как да видите колоната атрибути Вижте стъпките 5a и 5b на процедурата, описана в раздела "Допълнителна информация".
    5. Това не е версия, името на продукта или производителя на информация.
  7. За всеки файл, който намерите с десния бутон върху файла и изберете Преименуване.
  8. Въведете malware1.old да преименувате файла първия и след това натиснете ENTER.

    Забележка: Въведете malware2.old да преименувате файла на втория, тип malware3.old да преименувате файла третия и т. н.
  9. Намерете папката %windir%\System32.
  10. Преименувайте следните файлове, ако съществуват:
    • Msupd5.exe. преименувайте този файл msupd5.old.
    • Msupd4.exe. Преименувайте файла Msupd4.old.
    • Msupd.exe. Преименувайте файла Msupd.old.
    • Reloadmedude.exe. Преименувайте файла Reloadmedude.old.
  11. Рестартирайте компютъра.
  12. Уверете се, че вашият антивирусен или антишпионски софтуер се актуализира с най-новите подписи и след това сканиране цялата система.

Метод 3: В безопасен режим, преименувайте злонамерен драйвер с помощта на командния ред

  1. Стартирайте компютъра в безопасен режим. За да направите това, изпълнете следните стъпки:
    1. Рестартирайте компютъра.
    2. Когато компютърът се стартира, натиснете клавиша F8 неколкократно (веднъж в секунда). Това действие ще доведе до опции меню за разширени стартиране на Microsoft Windows, за да се появи.
    3. Използвайте стрелка нагоре и стрелка надолу, за да изберете Безопасен режим с команден реди натиснете ENTER.
  2. Щракнете върху Старт, щракнете върху изпълнение, въведете cmd в полето Отвори и след това щракнете върху OK.
  3. В командния ред въведете CD %windir%\system32\driversи натиснете ENTER.


  4. Вид Dir Ahи след това натиснете ENTER.
  5. Ще видите текста, който е подобен на следния текст. Името на .sys файла ще бъде случайно генериран.
    Directory of C:\WINDOWS\system32\drivers
    01/11/2005 09:18 AM 13,824 gbqxmhia.sys
    1 File(s) 13,824 bytes
    0 Dir(s) 961,425,408 bytes free

  6. Въведете Attrib-s-h RandomFilenameи след това натиснете ENTER. Това действие премахва атрибути на системата и скритите атрибути от файл.

    Забележка: Контейнер RandomFilename представлява името на .sys файла, който се показва след извършване на стъпка 5. Например за име на файл, указан в примера в стъпка 5, въведете Attrib-s-h gbqxmhia.sys.
  7. Въведете Ren RandomFilename malware.oldи след това натиснете ENTER. Това действие преименува файла име.
  8. Въведете Компактдиски след това натиснете ENTER. Това променя командния ред в папката %windir%\System32.
  9. Въведете следните команди, един по един и натиснете ENTER след всяка команда:
    Ren msupd5.exe msupd5.old

    Ren msupd4.exe msupd4.old

    Ren msupd.exe msupd.old

    REN reloadmedude.exe reloadmedude.old
    Забележка: Ако се появи следното съобщение за грешка, можете безпроблемно да пренебрегнете съобщението, тъй като това показва, че съществува целеви файл:

    Системата не може да намери указания файл.
  10. Въведете Exitи натиснете ENTER.
  11. Рестартирайте компютъра.
  12. Уверете се, че вашият антивирусен или антишпионски софтуер се актуализира с най-новите подписи и след това сканиране цялата система.

Допълнителна информация


За да проверите дали компютърът е заразен с този шпионски софтуер, изпълнете следните стъпки:
  1. Стартирайте Internet Explorer.
  2. В полето за Internet Explorer адрес въведете %windir%\system32\driversи натиснете ENTER.
  3. Променете начина, Windows показва скритите файлове и защитени файлове на операционната система. За да направите това, изпълнете следните стъпки:
    1. В менюто Инструменти изберете Опции за папките.
    2. В раздела изглед изчистете квадратчето Скрий защитените файлове на операционната система (препоръчва се) и щракнете върху да , когато се появи предупредително съобщение, което гласи, че сте избрали да покажете защитени системни файлове.
    3. Под скрити файлове и папкищракнете върху Показвай скритите файлове и папки.
    4. Поставете отметка в квадратчето Скрий разширенията за известните типове файлове .
    5. Щракнете, за да поставите отметка в квадратчето Показване на съдържанието на системните папки и след това щракнете върху OK.

    6. В менюто изглед щракнете върху подробни данни.
  4. Натиснете F5, за да актуализирате драйверите папка се показва.
  5. Намерете всички системни файлове (файлове с разширение .sys име), които имат своите скрити атрибут и липсват данни относно наименование фирма и версия на файла.

    Забележка: Файлове, които имат своите скрити атрибут показва "HA" в колоната атрибути в Windows Explorer. За инструкции как да видите колоната атрибути Вижте стъпките 5a и 5b.

    За да направите това, следвайте тези стъпки.

    Забележка: Файлът шпионски софтуер може да изглежда случайно генерирано име, се състои от осем малки букви.
    1. Промяна на начина, по който Windows Explorer да се показва подробна информация за файловете в папката. За да направите това, изпълнете следните стъпки:
      1. В менюто изглед щракнете върху Избиране на подробни данни.
      2. Поставете отметка в квадратчето атрибути .
      3. Поставете отметка в квадратчето Име на продукта .
      4. Поставете отметка в квадратчето компания .
      5. Поставете отметка в квадратчето Версия на файла .
    2. Щракнете върху заглавката на колоната атрибути да сортирате списъка с файлове с атрибути. Файловете в папката устройства обикновено съдържат само Архив атрибут (A). Проверете дали всички файлове, които имат атрибут "скрит" (ха).
      Следният списък съдържа например имената на шпионски софтуер файлове, които е известно, че причиняват този проблем:
      • gbqxmhia.sys
      • upzvlbvv.sys
      • jsbmefvk.sys
      След като намерите файл, който подозирате, че е шпионски софтуер, проверете свойствата на файла с помощта на диалоговия прозорец свойства . С десния бутон върху файла, щракнете върху свойстваи след това потърсете следната информация:
      • В раздела:
        • Промяна: 11 януари 2005
        • Размер: 14 КБ (13,824 байта)
        • Поставете отметка в квадратчето скрита
      • В раздела версия:
        • Няма версия на файла
        • Описание
        • Авторското право
        • Няма фирма
        • Няма име на продукт
    Ако файлът е с атрибут "скрит" Задайте и липсват данни относно наименование фирма и версия на файла, компютърът е заразен с шпионски софтуер.
  6. Щракнете върху OK , за да затворите диалоговия прозорец на свойствата и следвайте стъпките на един от методите, описани в раздела "Решение" за разрешаване на проблема.
  7. В полето за Internet Explorer адрес въведете %windir%\system32и натиснете ENTER.
  8. Потърсете приложение (файлове с разширение .exe име), които имат имена, които са подобни на следните:
    • Msupd.exe
    • Msupd*.exe

      Забележка: Контейнер * представлява един цифрен номер
    • Reloadmedude.exe
    Тези файлове ще имат случаен дата и размер на 60 КБ (61,440 байта).
    Известни имена на шпионски софтуер файлове включват следните имена:
    • Msupd.exe
    • Msupd4.exe
    • Msupd5.exe
    • Reloadmedude.exe


  9. Ако една или повече от тези файлове, компютърът е заразен с шпионски софтуер. Следвайте стъпките на един от методите, описани в раздела "Решение" за разрешаване на проблема.

Продукти за сигурност, които откриват този шпионски софтуер

Няколко продукти за защита открие този шпионски софтуер. Примери за тези продукти и съобщава шпионски имена включват следното:
ПродуктИме на съобщава шпионски софтуер
Microsoft AntiSpywareSpyware.Service.MiscrosoftUpdate (троянски)
Computer AssociatesWin32/Benuti.61440!Downloader!Dr
Doctor Web DrWebCLTrojan.Medude
F-SecureTrojan.Win32.Agent.aw
Kaspersky Lab AVPDOS32Trojan.Win32.Agent.aw
McAfeeИзтегляне-va
PandaTrj/Agent.FO и рекламен/между другото
Trend Micro VScanTROJ_LODMEDUD.A
SymantecTrojan.Lodmeduod

Препратки


За повече информация относно Microsoft AntiSpyware продукт щракнете върху следните номера на статии в базата знания на Microsoft:

892279 как да получите Microsoft Windows AntiSpyware (бета)

892340 Microsoft Windows AntiSpyware (бета) идентифицира програма като заплаха шпионски софтуер


За повече информация за доставчиците на антивирусен софтуер щракнете върху следния номер на статия в базата знания на Microsoft:

49500 списък на доставчици на антивирусен софтуер