Computeren genstarter muligvis automatisk, eller der vises en meddelelse om en "alvorlig fejl" eller en stop-fejl i Windows Server 2003, Windows XP eller Windows 2000

Sammenfatning

I artiklen beskrives forskellige problemer, du kan opleve, hvis computeren kører den trojanske rootkit spyware Spyware.Service.MiscrosoftUpdate. Du kan fjerne denne trojanske virus ved at finde frem til de filer, der er årsag til problemerne, og derefter omdøbe filerne.

Så snart den skjulte driver er blevet omdøbt, kan brugertilstandskomponenterne (spywaren) Msupd*.exe og Reloadmedude.exe renses ved hjælp af bestemte antivirus- eller anti-spyware-programmer. Den skjulte driver kan have navnet "gbqxhia.sys", "upzvlbvv.sys", "jsbmefvk.sys" eller et andet vilkårligt filnavn, som udelukkende indeholder små bogstaver.

I afsnittet "Yderligere oplysninger" er angivet et antal anti-spyware-programmer, som er i stand til at registrere denne virus.

Symptomer

Du kan komme ud for et eller flere af følgende symptomer:

  • Computeren genstarter automatisk.

  • Når du har logget på, vises følgende fejlmeddelelse:

    Microsoft Windows

    Systemet er genoprettet efter en alvorlig fejl. Der er oprettet en logfil med denne fejl. Du bedes underrette Microsoft om dette problem. Vi har oprettet en fejlrapport, som du kan sende til os som et bidrag til forbedring af Microsoft Windows. Vi behandler denne rapport fortroligt og anonymt. Klik her for at se, hvilke data denne fejlrapport indeholder.

    Hvis fejlmeddelelsen bliver ved med at være på skærmen, og hvis du vil se de oplysninger, som fejlrapporten indeholder, skal du klikke på hyperlinket "klik her" nederst i meddelelsesboksen. Hvis du klikker på linket, vises der muligvis nogle fejlsignaturoplysninger, der ligner følgende fejlsignaturoplysninger:

    BCCode : 00000050 BCP1 : 0xeb7ff002 BCP2 : 0x00000000 BCP3 : 0x8054af32 BCP4 : 0x00000001 OSVer : 5_1_2600 SP : 0_0 Product : 256_1

  • Du får vist følgende stop-fejlmeddelelse:

    Der er fundet en fejl, og Windows er blevet lukket ned for at forhindre beskadigelse af computeren. Tekniske oplysninger: *** STOP: 0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237

  • Systemlogfilen registrerer en hændelse, der minder om følgende:

Bemærk!

Symptomerne på en stopfejl varierer, afhængigt af computersystemets fejlindstillinger.Yderligere oplysninger om, hvordan du konfigurerer indstillinger ved systemfejl, finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:

307973 Sådan konfigureres indstillingerne for systemfejl og gendannelse i Windows De fire parametre, der er indeholdt i fejlsignaturoplysningerne (BCPn), og som er angivet i parentes i afsnittet tekniske oplysninger i stop-fejlen, varierer, afhængigt af computerens konfiguration.

Ikke alle fejlmeddelelser af typen "Stop 0x00000050" skyldes det problem, der er beskrevet i afsnittet "Årsag".

Årsag

Denne fejlmeddelelse forårsages af en driver på kerneniveau, der installeres af følgende kendte rootkit spyware-programmer:

  • Msupd5.exe

  • Reloadmedude.exe

Løsning

Du kan løse dette problem ved at bruge en eller flere af følgende metoder: Metoderne er angivet i prioriteret rækkefølge.

Metode 1: Omdøb den skadelige driver ved hjælp af Internet Explorer

  1. Åbn Internet Explorer.

  2. Skriv %windir%\system32\drivers i feltet Adresse i Internet Explorer, og tryk derefter på ENTER.

  3. Find frem til .sys-filen med det vilkårlige navn, højreklik på filen, og vælg derefter Omdøb.

  4. Omdøb filen ved at skrive malware.old, og tryk derefter på ENTER.

  5. Skriv %windir%\system32\drivers i feltet Adresse i Internet Explorer, og tryk derefter på ENTER.

  6. Find og omdøb følgende filer, hvis de findes:

    • Msupd5.exe Omdøb denne fil til Msupd5.old.

    • Msupd4.exe. Omdøb denne fil til Msupd4.old.

    • Msupd.exe. Omdøb denne fil til Msupd.old.

    • Reloadmedude.exe Omdøb denne fil til Reloadmedude.old.

  7. Luk Internet Explorer.

  8. Genstart computeren.

  9. Kontroller, at dit antivirus- eller antispywareprogram opdateres med de nyeste signaturer, og udfør derefter et komplet systemscan.

Metode 2: Omdøb den skadelige driver i fejlsikret tilstand ved hjælp af Denne computer

  1. Start computeren i fejlsikret tilstand. Det kan du gøre ved at følge disse trin:

    1. Genstart computeren.

    2. Når computeren starter, skal du trykke flere gange på tasten F8 (en gang pr. sekund).Dermed vises Avancerede startindstillinger for Microsoft Windows.

    3. Brug piletasterne OP og NED til at markere Fejlsikret tilstand, og tryk derefter på ENTER.

  2. Åbn Internet Explorer

  3. Skriv %windir%\system32\drivers i feltet Adresse i Internet Explorer, og tryk derefter på ENTER.

  4. Aktiver visning af skjulte filer. Det kan du gøre ved at følge disse trin:

    1. Klik på Start, og klik derefter på Denne computer.

    2. Klik på Mappeindstillinger i menuen Funktioner.

    3. Klik på fanen Vis, fjern markeringen i afkrydsningsfeltet Skjul beskyttede operativsystemfiler (anbefales), og klik derefter på Ja, når der vises en advarselsmeddelelse, der angiver, at du har valgt at få vist skjulte operativsystemfiler.

    4. Klik på Vis skjulte filer og mapper under Skjulte filer og mapper.

    5. Fjern markeringen i afkrydsningsfeltet Skjul filtypenavne for kendte filtyper.

    6. Klik på Anvend på alle mapper i området Mappevisninger, og klik derefter på OK.

  5. Find den mappe, der har navnet C:\%windir%\System32\Drivers.

  6. Find alle .sys-filer, der har følgende egenskaber:

    1. Et tilfældigt genereret filnavn, der består af op til otte bogstaver, skrevet med småt, f.eks. "gbqxmhia.sys", "upzvlbvv.sys" eller "jsbmefvk.sys"

    2. Datoen 11. januar 2005

    3. Filstørrelse på 14 KB (13.824 byte)

    4. Angivelse af et skjult attribut

      Bemærk! I kolonnen Attributter i Windows Explorer er betegnelsen "HA" vist ud for en fil, der indeholder en skjult attribut. Yderligere oplysninger om, hvordan du kan få vist kolonnen Attributter, er angivet i trin 5a og 5b i den fremgangsmåde, der er beskrevet i afsnittet "Yderligere oplysninger".

    5. Filen indeholder ingen oplysninger om version, produktnavn eller producent.

  7. Højreklik på hver enkelt af de filer, du finder frem til, og vælg derefter Omdøb.

  8. Omdøb den første fil ved at skrive malware1.old, og tryk derefter på ENTER.

    Bemærk! Omdøb fil nummer to ved at skrive malware2.old, omdøb fil nummer tre ved at skrive malware3.old osv.

  9. Find mappen %windir%\System32.

  10. Omdøb følgende filer, hvis de findes:

    • Msupd5.exe Omdøb denne fil til msupd5.old.

    • Msupd4.exe. Omdøb denne fil til Msupd4.old.

    • Msupd.exe. Omdøb denne fil til Msupd.old.

    • Reloadmedude.exe. Omdøb denne fil til Reloadmedude.old.

  11. Genstart computeren.

  12. Kontroller, at dit antivirus- eller antispywareprogram opdateres med de nyeste signaturer, og udfør derefter et komplet systemscan.

Metode 3: Omdøb den skadelige driver i fejlsikret tilstand ved hjælp kommandoprompten

  1. Start computeren i fejlsikret tilstand. Det kan du gøre ved at følge disse trin:

    1. Genstart computeren.

    2. Når computeren starter, skal du trykke flere gange på tasten F8 (en gang pr. sekund). Dermed vises Avancerede startindstillinger for Microsoft Windows.

    3. Brug piletasterne OP og NED til at markere Fejlsikret tilstand med kommandoprompt, og tryk derefter på ENTER.

  2. Klik på Start, klik på Kør, skriv cmd i feltet Åbn, og klik derefter på OK.

  3. Skriv CD %windir%\system32\drivers ud for kommandoprompten, og tryk derefter på ENTER.


  4. Skriv Dir /ah, og tryk derefter på ENTER.

  5. Du får vist en tekst, der kan se ud som følgende: .sys-filnavnet genereres tilfældigt.

    Biblioteket C:\WINDOWS\system32\drivers

    01/11/2005 09:18 AM 13,824 gbqxmhia.sys
    1 File(s) 13,824 bytes
    0 Dir(s) 961,425,408 bytes free
  6. Skriv Attrib –s –h VilkårligtFilnavn, og tryk derefter på ENTER. Dermed fjernes systemattributter og skjulte attributter fra filen.

    Bemærk! Pladsholderen VilkårligtFilnavn udgør navnet på den .sys-fil, der vises, når du har udført trin 5. I det filnavn, der er angivet i trin 5, skal du f.eks. skrive Attrib –s –h gbqxmhia.sys.

  7. Skriv Ren VilkårligtFilnavn malware.old, og tryk derefter på ENTER. Dermed omdøbes filen med det vilkårlige navn.

  8. Skriv CD, og tryk derefter på ENTER. Dermed ændres kommandolinjen til mappen %windir%\System32.

  9. Indtast følgende kommandoer én ad gangen, og tryk på ENTER efter hver linje:
    Ren msupd5.exe msupd5.old
    Ren msupd4.exe msupd4.old
    Ren msupd.exe msupd.old
    Ren reloadmedude.exe reloadmedude.old
    Bemærk! Hvis følgende fejlmeddelelse vises, kan du uden videre ignorere den, fordi den angiver, at filen ikke eksisterer:

    Systemet kan ikke finde den angivne fil.

  10. Indtast Exit, og tryk derefter på ENTER.

  11. Genstart computeren.

  12. Kontroller, at dit antivirus- eller antispywareprogram opdateres med de nyeste signaturer, og udfør derefter et komplet systemscan.

Yderligere Information

Du kan undersøge, om din computer er inficeret med denne spyware ved at følge disse trin:

  1. Start Internet Explorer.

  2. Skriv %windir%\system32\drivers i feltet Adresse i Internet Explorer, og tryk derefter på ENTER.

  3. Rediger, hvordan skjulte filer og beskyttede operativsystemfiler vises i Windows. Det kan du gøre ved at følge disse trin:

    1. Klik på Mappeindstillinger i menuen Funktioner.

    2. Klik på fanen Vis, fjern markeringen i afkrydsningsfeltet Skjul beskyttede operativsystemfiler (anbefales), og klik derefter på Ja, når der vises en advarselsmeddelelse, der angiver, at du har valgt at få vist skjulte operativsystemfiler.

    3. Klik på Vis skjulte filer og mapper under Skjulte filer og mapper.

    4. Fjern markeringen i afkrydsningsfeltet Skjul filtypenavne for kendte filtyper.

    5. Marker afkrydsningsfeltet Vis indholdet af systemmapper, og klik derefter på OK.

    6. Klik på Detaljer i menuen Vis.

  4. Opdater visningen af drivermappen ved at trykke på F5.

  5. Find alle de systemfiler (filer med filtypenavnet .sys), som har angivet skjulte attributter, og som ikke indeholder oplysninger om produktnavn, virksomhed og filversion.

    Bemærk! I kolonnen Attributter i Windows Explorer er betegnelsen "HA" vist ud for de filer, der har skjulte attributter angivet. Trin 5a og 5b indeholder oplysninger om, hvordan du får vist kolonnen Attributter.

    Det kan du gøre ved at benytte nedenstående fremgangsmåde.

    Bemærk! Spyware-filen har tilsyneladende et tilfældigt genereret filnavn, der består af otte bogstaver, der er skrevet med småt.

    1. Rediger den måde, hvorpå Windows Stifinder viser detaljer om filerne i mappen. Det kan du gøre ved at følge disse trin:

      1. Klik på Vælg detaljer i menuen Vis.

      2. Marker afkrydsningsfeltet Attributter.

      3. Marker afkrydsningsfeltet Produktnavn.

      4. Marker afkrydsningsfeltet Virksomhed.

      5. Marker afkrydsningsfeltet Filversion.

    2. Klik på kolonneoverskriften Attributter for at få listen sorteret i henhold til attributter. Filerne i drivermappen indeholder typisk kun arkiveringsattributten (A). Kig efter eventuelle filer, som også indeholder den skjulte attribut (HA).
      Følgende liste indeholder eksempler på navne på spyware-filer, der er kendt for at kunne forårsage dette problem:

      • gbqxmhia.sys

      • upzvlbvv.sys

      • jsbmefvk.sys

      Når du har fundet en fil, du har mistanke om, kan være en spyware-fil, skal du undersøge filens egenskaber ved hjælp af dialogboksen Egenskaber. Højreklik på filen, klik på Egenskaber, og kig efter følgende oplysninger:

      • Under fanen Generelt:

        • Ændret: 11. januar 2005

        • Størrelse: 14 KB (13.824 bytes)

        • En markering i afkrydsningsfeltet Skjult

      • Under fanen Version:

        • Manglende filversion

        • Manglende beskrivelse

        • Manglende copyright

        • Manglende virksomhedsnavn

        • Manglende produktnavn

    Hvis en fil har skjulte attributter angivet og samtidig mangler oplysninger om produktnavn, virksomhed og filversion, er computeren inficeret med spyware.

  6. Luk dialogboksen Egenskaber ved at klikke på OK, og løs derefter problemet ved at følge trinene i en af de metoder, der er beskrevet i afsnittet "Løsning".

  7. Skriv %windir%\system32 i feltet Adresse i Internet Explorer, og tryk derefter på ENTER.

  8. Kig efter programfiler (filer med filbetegnelsen .exe i filnavnet), som har navne, der minder om følgende:

    • Msupd.exe.

    • Msupd*.exe

      Bemærk! Pladsholderen * udgør et et-cifret tal

    • Reloadmedude.exe

    Disse filer har en tilfældig dato og en størrelse på 60 KB (61.440 byte).
    Kendte navne på spyware-filer omfatter følgende filnavne:

    • Msupd.exe.

    • Msupd4.exe.

    • Msupd5.exe

    • Reloadmedude.exe


  9. Hvis en eller flere af disse filer findes på computeren, er computeren inficeret med spyware. Du kan løse problemet ved at følge en af de metoder, der er beskrevet i afsnittet "Løsning".

Sikkerhedsprodukter, der kan registrere denne spyware

Der findes adskillige sikkerhedsprodukter, der er i stand til at registrere denne spyware. Eksempler på disse produkter og rapporterede spyware-navne omfatter følgende:

Produkt

Rapporteret spyware-navn

Microsoft AntiSpyware

Spyware.Service.MiscrosoftUpdate (Trojan)

Computer Associates

Win32/Benuti.61440!Downloader!Dr

Doctor Web DrWebCL

Trojan.Medude

F-Secure

Trojan.Win32.Agent.aw

Kaspersky Lab AVPDOS32

Trojan.Win32.Agent.aw

McAfee

Downloader-va

Panda

Trj/Agent.FO og Adware/Apropos

Trend Micro VScan

TROJ_LODMEDUD.A

Symantec

Trojan.Lodmeduod

Referencer

Yderligere oplysninger om produktet Microsoft AntiSpyware finder du ved at klikke på følgende artikelnumre for at få vist artiklerne i Microsoft Knowledge Base:

892279 Sådan får du Microsoft Windows AntiSpyware (Beta).

892340 Microsoft Windows AntiSpyware (Beta) identificerer et program som en spywaretrussel


Yderligere oplysninger om leverandører af antivirusprogrammer finder du ved at klikke på nedenstående artikelnummer for at få vist artiklen i Microsoft Knowledge Base:

49500 Liste over leverandører af antivirusprogrammer

Har du brug for mere hjælp?

Udvid dine færdigheder
Gå på opdagelse i kurser
Få nye funktioner først
Deltag i Microsoft insiders

Var disse oplysninger nyttige?

Tak for din feedback!

×