Der Computer startet automatisch neu, oder Sie erhalten eine Nachricht "Schwerwiegender Fehler" oder eine STOP-Fehlermeldung unter Windows Server 2003, Windows XP oder Windows 2000

Gilt für: Microsoft Windows Server 2003 Web EditionMicrosoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows Server 2003 Enterprise Edition (32-bit x86)

Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
894278 The computer may automatically restart, or you may receive a "serious error" message or a Stop error message in Windows Server 2003, in Windows XP, or in Windows 2000

Zusammenfassung


Dieser Artikel beschreibt mehrere eventuell auftretende Symptome, wenn auf einem Computer das Rootkit/Spyware-Programm "Spyware.Service.MiscrosoftUpdate" (Trojaner) ausgeführt wird. Um den Trojaner-Virus zu entfernen, müssen Sie die Dateien identifizieren und umbenennen, die dieses Problem auslösen.

Die Benutzermodus-Komponenten (Spyware) "Msupd*.exe" und "Reloadmedude.exe" können von einigen Antivirus- und Anti-Spywareprogrammen gesäubert werden, sobald der versteckte Treiber umbenannt wurde. Der versteckte Treiber kann folgendermaßen benannt sein, "gbqxhia.sys" "upzvlbvv.sys" "jsbmefvk.sys", oder einen anderen zufälligen Namen tragen, der nur aus Kleinbuchstaben besteht.

Einige Anti-Spywareprogramme, die diesen Virus entdecken können, sind im Abschnitt "Weitere Informationen" aufgelistet.

Problembeschreibung


Sie stellen möglicherweise eines oder mehrere der folgenden Symptome fest:
  • Der Computer wird automatisch neu gestartet.
  • Nachdem Sie sich angemeldet haben, wird die folgende Fehlermeldung angezeigt:
    Microsoft Windows
    Das System wird nach einem schwerwiegenden Fehler wieder ausgeführt. Für diesen Fehler wurde ein Protokoll erstellt. Informieren Sie Microsoft über dieses Problem. Ihre Problemmeldung wird dazu beitragen, die Qualität von Microsoft Windows zu verbessern. Die Berichterstattung wird von uns vertraulich und anonym behandelt. Um zu sehen, welche Daten Ihr Bericht enthält, klicken Sie hier.
    Klicken Sie auf die Verknüpfung "hier klicken" am unteren Rand des Meldungsfeldes, falls die Fehlermeldung noch angezeigt wird und Sie den Fehlerbericht einsehen möchten. Sie sehen dann Informationen zu Fehlersignaturen, die den folgenden ähneln können:
    BCCode : 00000050 BCP1 : 0xeb7ff002 BCP2 : 0x00000000 BCP3 : 0x8054af32 BCP4 : 0x00000001 OSVer : 5_1_2600 SP : 0_0 Product : 256_1
  • Es wird folgende STOP-Fehlermeldung angezeigt:
    Es wurde ein Problem festgestellt. Windows wurde heruntergefahren, damit der Computer nicht beschädigt wird. Technische Informationen: *** STOP: 0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237
  • Das Systemprotokoll enthält möglicherweise ein dem folgenden Eintrag ähnliches Ereignis:

Hinweise:

Die Symptome eines Stop-Fehlers sind je nach Computersystem verschieden.Weitere Informationen über die Konfiguration der Systemfehler-Optionen finden Sie im folgenden Artikel der Microsoft Knowledge Base:

307973 Konfigurieren von Wiederherstellungstechniken unter Windows

Die vier Parameter in den Signaturinformationen (BCPx) und innerhalb der Klammern der technischen Informationen sind von der Computerkonfiguration abhängig.

Nicht alle Fehlermeldungen vom Typ "Stop 0x00000050" werden durch das im Abschnitt "Ursache" beschriebene Problem verursacht.

Ursache


Diese Fehlermeldung wird von einem Kerneltreiber verursacht, der durch die folgenden bekannten Rootkit/Spyware Programme installiert wird:
  • Msupd5.exe
  • Reloadmedude.exe

Lösung


Verwenden Sie eine oder mehrere der folgenden Methoden, um dieses Problem zu beheben. Die Methoden sind in der zu bevorzugenden Reihenfolge aufgelistet.

Methode 1: Umbenennen des böswilligen Treibers in Internet Explorer

  1. Öffnen Sie Internet Explorer.
  2. Geben Sie im Feld Addresse%windir%\system32\drivers ein, und drücken Sie die [EINGABETASTE].
  3. Suchen Sie die zufällig benannte .sys-Datei, klicken Sie mit der rechten Maustaste darauf, und wählen Sie Umbenennen.
  4. Benennen Sie die Datei in malware.old um, und drücken Sie anschließend die [EINGABETASTE].
  5. Geben Sie im Feld Addresse\WINDOWS\system32 ein, und drücken Sie die [EINGABETASTE].
  6. Suchen Sie die folgenden Dateien, und benennen Sie sie um (falls vorhanden).
    • Msupd5.exe Benennen Sie diese Datei Msupd5.old.
    • Msupd4.exe Benennen Sie diese Datei Msupd4.old.
    • Msupd.exe Benennen Sie diese Datei Msupd.old.
    • Reloadmedude.exe Benennen Sie diese Datei Reloadmedude.old.
  7. Schließen Sie Internet Explorer.
  8. Starten Sie den Computer neu.
  9. Stellen Sie sicher, dass Ihre Antiviren- oder Antispyware-Software über die neuesten Signaturen verfügt, und führen Sie dann eine vollständige Systemüberprüfung durch.

Methode 2: Abgesicherter Modus: Umbenennen des böswilligen Treibers im Arbeitsplatz

  1. Starten Sie Ihren Computer im abgesicherten Modus. Gehen Sie hierzu folgendermaßen vor:
    1. Starten Sie den Computer neu.
    2. Während der Computer gestartet wird, drücken Sie wiederholt (einmal pro Sekunde) die Taste [F8].Daraufhin wird das Menü Erweiterte Windows-Startoptionen angezeigt.
    3. Drücken Sie die [NACH OBEN-TASTE] oder die [NACH UNTEN-TASTE], um die Option Abgesicherter Modus auszuwählen, und drücken Sie anschließend die [EINGABETASTE].
  2. Öffnen Sie Internet Explorer.
  3. Geben Sie im Feld Adresse die Zeichenfolge %windir%\system32\drivers ein, und drücken Sie die [EINGABETASTE].

  4. Aktivieren Sie die Anzeige verborgener Dateien. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie auf Start und anschließend auf Arbeitsplatz.
    2. Klicken Sie im Menü Extras auf Ordneroptionen.
    3. Klicken Sie auf Ansicht, deaktivieren Sie das Kontrollkästchen Geschützte Systemdateien ausblenden (empfohlen), und klicken Sie auf Ja, wenn Sie eine Warnmeldung mit der Frage erhalten, ob Sie verborgene Systemdateien wirklich anzeigen möchten.
    4. Klicken Sie unter Versteckte Dateien und Ordner auf Alle Dateien und Ordner anzeigen.
    5. Deaktivieren Sie das Kontrollkästchen Dateinamenerweiterung bei bekannten Dateitypen ausblenden.
    6. Klicken Sie im Bereich Ordneransichten auf Für alle übernehmen, und klicken Sie dann auf OK.

  5. Suchen Sie den Ordner, der C:\%windir%\System32\Drivers benannt ist.
  6. Suchen Sie nach SYS-Dateien mit folgenden Merkmalen:
    1. Zufällig generierter Dateiname aus acht Kleinbuchstaben, z. B. "gbqxmhia.sys", "upzvlbvv.sys" oder "jsbmefvk.sys".
    2. Ein Datum 11. Januar 2005
    3. Eine Dateigröße 14 KB (13.824 Bytes)
    4. Ein verstecktes Attribut, das aktiviert ist

      Hinweis: Bei einer Datei, bei der ein verstecktes Attribut aktiviert ist, wird im Windows Explorer in der Spalte Attribute "HA" angezeigt. Weitere Informationen dazu, wie Sie die Spalte Attribute anzeigen lassen können, finden Sie in den Schritten 5a und 5b des Abschnittes "Weitere Informationen".
    5. Es liegen keine Informationen zu Version, Produktname oder Hersteller vor.
  7. Klicken Sie mit der rechten Maustaste auf jede Datei, die Sie finden, und klicken Sie anschließend auf Umbenennen.
  8. Benennen Sie die Datei in malware1.old um, und drücken Sie anschließend die [EINGABETASTE].

    Hinweis: Geben Sie malware2.old ein, um die zweite Datei umzubenennen, malware3.old um die Dritte umzubenennen und so weiter.
  9. Suchen Sie den Ordner "%WINDIR%\System32".
  10. Benennen Sie die folgenden Dateien um (falls vorhanden):
    • Msupd5.exe Benennen Sie diese Datei Msupd5.old.
    • Msupd4.exe Benennen Sie diese Datei Msupd4.old.
    • Msupd.exe. Benennen Sie diese Datei Msupd.old.
    • Reloadmedude.exe. Benennen Sie diese Datei Reloadmedude.old.
  11. Starten Sie den Computer neu.
  12. Stellen Sie sicher, dass Ihre Antiviren- oder Antispyware-Software über die neuesten Signaturen verfügt, und führen Sie dann eine vollständige Systemüberprüfung durch.

Methode 3: Benennen Sie den böswilligen Treiber im abgesicherten Modus mithilfe der Eingabeaufforderung um

  1. Starten Sie Ihren Computer im abgesicherten Modus. Gehen Sie hierzu folgendermaßen vor:
    1. Starten Sie den Computer neu.
    2. Während der Computer gestartet wird, drücken Sie wiederholt (einmal pro Sekunde) die Taste [F8]. Daraufhin wird das Menü Erweiterte Windows-Startoptionen angezeigt.
    3. Drücken Sie die [NACH OBEN-TASTE] oder die [NACH UNTEN-TASTE], um die Option Abgesicherter Modus mit Eingabeaufforderung auszuwählen, und drücken Sie anschließend die [EINGABETASTE].
  2. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie in das Feld Öffnen die Zeichenfolge cmd ein, und klicken Sie anschließend auf OK.
  3. Geben Sie in der Eingabeaufforderung CD %windir%\system32\drivers ein, und drücken Sie dann die [EINGABETASTE].


  4. Geben Sie Dir /ah ein, und drücken Sie die [EINGABETASTE].
  5. Der angezeigte Text sieht etwa wie der folgende aus. Der SYS-Dateiname wird zufällig erzeugt.
    Directory of C:\WINDOWS\system32\drivers

    01/11/2005 09:18 AM 13,824 gbqxmhia.sys
    1 File(s) 13,824 bytes
    0 Dir(s) 961,425,408 bytes free
  6. Geben Sie Attrib –s –h Zufälliger Dateiname ein, und drücken Sie die [EINGABETASTE]. Dadurch werden die Attribute "System" und "Versteckt" aus der Datei entfernt.

    Hinweis: Der Platzhalter Zufälliger Dateiname stellt den Namen der SYS-Datei dar, der angezeigt wird, nachdem Sie Schritt 5 durchgeführt haben. Beispielsweise würden Sie für den Dateinamen, der in dem Beispiel in Schritt 5 festgelegt wurde, Attrib –s –h gbqxmhia.sys eingeben.
  7. Geben Sie Ren Zufälliger Dateiname malware.old ein, und drücken Sie anschließend die [EINGABETASTE]. Hierdurch wird die zufällig benannte Datei umbenannt.
  8. Geben Sie CD.. ein, und drücken Sie die [EINGABETASTE]. Dies ändert die Befehlszeile für den Ordner %windir%\System32.
  9. Geben Sie nacheinander die folgenden Befehle ein, und drücken Sie die [EINGABETASTE] nach jedem Befehl:

    Ren msupd5.exe msupd5.old
    Ren msupd4.exe msupd4.old
    Ren msupd.exe msupd.old
    Ren reloadmedude.exe reloadmedude.old
    Hinweis: Wenn die folgende Fehlermeldung angezeigt wird, können Sie sie ignorieren, da sie lediglich bedeutet, dass die Datei nicht vorhanden ist:#
    Die angegebene Datei wurde nicht gefunden.
  10. Geben Sie Exit ein, und drücken Sie die [EINGABETASTE].
  11. Starten Sie den Computer neu.
  12. Stellen Sie sicher, dass Ihre Antiviren- oder Antispyware-Software über die neuesten Signaturen verfügt, und führen Sie dann eine vollständige Systemüberprüfung durch.

Weitere Informationen


Gehen Sie folgendermaßen vor, um zu überprüfen, ob ein Computer von dieser Spyware befallen ist:
  1. Starten Sie Internet Explorer.
  2. Geben Sie in das Feld Adresse des Internet Explorer %windir%\system32\drivers ein, und drücken Sie die [EINGABETASTE].
  3. Ändern der Anzeige von versteckten Dateien und geschützten Betriebssystemdateien in Windows. Gehen Sie hierzu folgendermaßen vor:
    1. Klicken Sie im Menü Extras auf Ordneroptionen.
    2. Klicken Sie auf Ansicht, deaktivieren Sie das Kontrollkästchen Geschützte Systemdateien ausblenden (empfohlen), und klicken Sie auf Ja, wenn Sie eine Warnmeldung mit der Frage erhalten, ob Sie verborgene Systemdateien wirklich anzeigen möchten.
    3. Klicken Sie unter Versteckte Dateien und Ordner auf Alle Dateien und Ordner anzeigen.
    4. Deaktivieren Sie das Kontrollkästchen Dateinamenerweiterung bei bekannten Dateitypen ausblenden.
    5. Aktivieren Sie das Kontrollkästchen Inhalte von Systemordnern anzeigen, und klicken Sie auf OK.

    6. Klicken Sie im Menü Ansicht auf Details.
  4. Drücken Sie F5, um die Darstellung des Treiberordners zu aktualisieren.
  5. Suchen Sie nach allen Systemdateien (Dateien, die auf .sys enden), die mit dem Attribut "Versteckt" versehen sind und bei denen Details bezüglich des Produktnamens, der Firma und der Dateiversion fehlen.

    Hinweis: Bei einer Datei, bei der ein verstecktes Attribut aktiviert ist, wird im Windows Explorer in der Spalte Attribute "HA" angezeigt. Weitere Informationen dazu, wie Sie die Spalte Attribute anzeigen lassen können, finden Sie in den Schritten 5a und 5b.

    Gehen Sie hierzu folgendermaßen vor.

    Hinweis: Die Spyware-Datei scheint einen zufällig erzeugten Dateinamen zu haben, der sich aus 8 Kleinbuchstaben zusammensetzt.
    1. Ändern Sie die Anzeigeart von Windows Explorer für die Dateien in dem Ordner. Gehen Sie hierzu folgendermaßen vor:
      1. Klicken Sie im Menü Ansicht auf Details auswählen.
      2. Aktivieren Sie das Kontrollkästchen Attribute.
      3. Aktivieren Sie das Kontrollkästchen Produktname.
      4. Aktivieren Sie das Kontrollkästchen Firma.
      5. Aktivieren Sie das Kontrollkästchen Dateiversion.
    2. Klicken Sie auf die Überschrift der Spalte Attribute, um die Dateien nach den Attributen zu sortieren. Dateien im Ordner "Treiber" haben normalerweise nur das Archiv-Attribut (A). Suchen Sie nach Dateien, die auch das Attribut "Versteckt" (HA) haben.
      Die folgende Liste enthält Beispielnamen von Spyware-Dateien, von denen bekannt ist, dass sie dieses Problem verursachen:
      • gbqxmhia.sys
      • upzvlbvv.sys
      • jsbmefvk.sys
      Wenn Sie eine Datei gefunden haben, von der Sie annehmen, dass sie eine Spyware-Datei ist, überprüfen Sie mithilfe des Dialogfelds Eigenschaften die Eigenschaften der Datei. Klicken Sie dazu mit der rechten Maustaste auf die Datei, klicken Sie auf Eigenschaften, und suchen Sie nach folgenden Informationen:
      • Klicken Sie auf die Registerkarte "Allgemein".
        • Geändert am: 11. Januar 2005
        • Dateigröße: 14 KB (13.824 Bytes)
        • Ein Häkchen im Kontrollkästchen Versteckt
      • Auf der Registerkarte "Dateiinfo":
        • Keine Dateiversion
        • Keine Beschreibung
        • Kein Copyright
        • Kein Firmenname
        • Kein Produktname
    Wenn eine Datei mit dem Attribut "Versteckt" versehen ist und auch die Details bezüglich Produktnamen, Firma und Dateiversion fehlen, ist der Computer mit Spyware infiziert.
  6. Klicken Sie auf OK, um das Dialogfeld Eigenschaften zu schließen, und befolgen Sie dann die im Abschnitt "Lösung" beschriebenen Schritte einer der Vorgehensweisen, um das Problem zu beheben.
  7. Geben Sie in das Feld Adresse des Internet Explorer %windir%\system32 ein, und drücken Sie die [EINGABETASTE].
  8. Suchen Sie nach Anwendungsdateien (Dateien, die auf .exe enden), die Namen tragen, die folgenden ähneln:
    • Msupd.exe
    • Msupd*.exe

      Hinweis: Der Platzhalter * repräsentiert eine einstellige Zahl
    • Reloadmedude.exe
    Die beiden Dateien weisen ein zufälliges Datum und eine Größe von 60 KB (61.440 Bytes) auf.
    Folgende Namen sind bekannte Bezeichnungen von Spyware-Dateien:
    • Msupd.exe
    • Msupd4.exe
    • Msupd5.exe
    • Reloadmedude.exe


  9. Wenn eine oder mehrere dieser Dateien existieren, ist der Computer mit Spyware infiziert. Befolgen Sie die Schritte einer der im Abschnitt "Lösung" beschriebenen Methoden, um das Problem zu beheben.

Sicherheitsprodukte, die diese Spyware entdecken

Mehrere Sicherheitsprodukte entdecken diese Spyware. Beispiele dieser Produkte und die gemeldeten Namen von Spyware beinhalten die folgenden:
ProduktGemeldete Spywarenamen
Microsoft AntiSpywareSpyware.Service.MiscrosoftUpdate (Trojaner)
Computer AssociatesWin32/Benuti.61440!Downloader!Dr
Doctor Web DrWebCL Trojan.Medude
F-SecureTrojan.Win32.Agent.aw
Kaspersky Lab AVPDOS32Trojan.Win32.Agent.aw
McAfeeDownloader-va
PandaTrj/Agent.FO und Adware/Apropos
Trend Micro VScanTROJ_LODMEDUD.A
Symantec Trojan.Lodmeduod

Informationsquellen


Weitere Informationen über Microsoft AntiSpyware finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:

892279 Wie Sie Microsoft Windows AntiSpyware (Beta) beziehen können

892340 Microsoft Windows AntiSpyware (Beta) identifiziert ein Programm als mögliche Spyware-Bedrohung

Weitere Informationen zu Herstellern von Antivirensoftware finden Sie im folgenden Artikel der Microsoft Knowledge Base:

49500 Liste von Antivirussoftware-Herstellern

Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.