El equipo puede reiniciarse automáticamente o se puede recibir un mensaje de "error grave" o un mensaje de error "Stop" en Windows Server 2003, en Windows XP o en Windows 2000


Resumen


En este artículo se describen varios síntomas que se pueden detectar si el equipo ejecuta el software espía rootkit Spyware.Service.MiscrosoftUpdate (troyano). Para quitar este virus troyano, deben identificarse los archivos causantes del problema y cambiarles el nombre.

Algunos programas antivirus o software antiespía permiten limpiar los componentes del modo de usuario (software espía) Msupd*.exe y Reloadmedude.exe inmediatamente después de haber cambiado el nombre del controlador oculto. El controlador oculto podría llamarse "gbqxhia.sys", "upzvlbvv.sys", "jsbmefvk.sys" o algún otro nombre de archivo aleatorio con únicamente letras en minúsculas.

En la sección "Más información" se enumeran varios programas de software antiespía capaces de detectar este virus.

Síntomas


Puede que experimente alguno de los siguientes síntomas:
  • El equipo se reinicia automáticamente.
  • Después de iniciar sesión, se muestra un mensaje de error similar al siguiente:
    Microsoft Windows

    El sistema se ha recuperado de un error grave. Se ha creado un registro de este error. Informe a Microsoft de este problema. Se ha creado un informe de errores que puede enviar para mejorar Microsoft Windows. El informe se tratará como confidencial y anónimo. Para consultar los datos que contiene este informe de errores, haga clic aquí.
    Si el mensaje de error permanece en pantalla, haga clic en el vínculo "haga clic aquí" situado en la parte inferior del cuadro de mensaje para ver los datos que contiene el informe de errores. Si lo hace, se muestra la información de firma de error, que puede ser similar a ésta:
    BCCode : 00000050 BCP1 : 0xeb7ff002 BCP2 : 0x00000000 BCP3 : 0x8054af32 BCP4 : 0x00000001 VerSO : 5_1_2600 SP : 0_0 Producto : 256_1
  • Aparece un mensaje de error "Stop" similar al siguiente:
    Se ha encontrado un problema y Windows ha sido apagado para evitar daños al equipo. Información técnica: ***STOP: 0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237
  • El registro del sistema registra un suceso similar al siguiente:

Notas

los síntomas de un error "Stop" varían según las opciones de error del equipo.Para obtener más información acerca de cómo configurar las opciones de error del sistema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

307973 Cómo configurar técnicas de recuperación en Windows

Los cuatro parámetros incluidos en la información de firma de error (BCPn) y dentro de los paréntesis de la información técnica del error Stop pueden variar en función de la configuración del equipo.

No todos los errores Stop 0x00000050 están provocados por el problema descrito en la sección "Motivo".

Causa


El motivo de este mensaje de error es un controlador de núcleo instalado por los siguientes programas de software espía rootkit conocidos:
  • Msupd5.exe
  • Reloadmedude.exe

Solución


Para resolver este problema, utilice uno o varios de los métodos siguientes. Los métodos se enumeran por orden de preferencia.

Método 1: cambiar el nombre del controlador malintencionado mediante Internet Explorer

  1. Abra Internet Explorer.
  2. En el cuadro Dirección, escriba %windir%\system32\drivers y, a continuación, presione ENTRAR.
  3. Busque el archivo .sys de nombre aleatorio, haga clic con el botón secundario del mouse (ratón) en el archivo y seleccione Cambiar nombre.
  4. Escriba malware.old para cambiar el nombre del archivo y presione ENTRAR.
  5. En el cuadro Dirección, escriba \WINDOWS\system32 y, a continuación, presione ENTRAR.
  6. Busque y cambie el nombre de los siguientes archivos si existen:
    • Msupd5.exe Cambie el nombre de archivo por Msupd5.old.
    • Msupd4.exe. Cambie el nombre de archivo por Msupd4.old.
    • Msupd.exe. Cambie el nombre de archivo por Msupd.old.
    • Reloadmedude.exe Cambie el nombre de archivo por Reloadmedude.old.
  7. Cierre Internet Explorer.
  8. Reinicie el equipo.
  9. Asegúrese de que el software antivirus o antiespía está actualizado con las firmas más recientes y, a continuación, lleve a cabo un análisis completo del sistema.

Método 2: En el modo seguro, cambiar el nombre del controlador malintencionado mediante Mi PC

  1. Inicie el equipo en modo seguro. Para ello, siga estos pasos:
    1. Reinicie el equipo.
    2. Presione varias veces la tecla F8 mientras se reinicia el equipo. (una vez por segundo).Esta acción hará que aparezcan las opciones de menú de inicio avanzadas de Microsoft Windows.
    3. Utilice las teclas de dirección FLECHA ARRIBA y FLECHA ABAJO para destacar Modo seguro y presione ENTRAR.
  2. Abra Internet Explorer
  3. En el cuadro Dirección, escriba C:\%windir%\system32\drivers y, a continuación, presione ENTRAR.

  4. Habilite la vista de archivos ocultos. Para ello, siga estos pasos:
    1. Haga clic en Inicio y, después, en Mi PC.
    2. En el menú Herramientas, haga clic en Opciones de carpeta.
    3. En la ficha Ver, haga clic en la casilla de verificación Ocultar archivos protegidos del sistema operativo (recomendado) para desactivarla y después haga clic en cuando reciba un mensaje de advertencia que indica que ha elegido mostrar los archivos protegidos del sistema operativo.
    4. En Archivos y carpetas ocultos, haga clic en Mostrar todos los archivos y carpetas ocultos.
    5. Haga clic para desactivar la casilla de verificación Ocultar las extensiones de archivo para tipos de archivo conocidos.
    6. En el área Vistas de carpeta, haga clic en Aplicar a todas las carpetas y, a continuación, haga clic en Aceptar.

  5. Busque la carpeta denominada C:\%windir%\System32\Drivers.
  6. Busque cualquier archivo con extensión .sys de las siguientes características:
    1. Un nombre de archivo generado aleatoriamente formado por ocho letras en minúsculas, como "gbqxmhia.sys", "upzvlbvv.sys", o "jsbmefvk.sys"
    2. Una fecha del 11 de enero de 2005
    3. Un tamaño de 14 KB (13.824 bytes)
    4. Un atributo oculto establecido

      Nota un archivo con el atributo oculto establecido muestra "HA" en la columna Atributos en el Explorador de Windows. Para obtener instrucciones acerca de cómo ver la columna Atributos, consulte los pasos 5a y 5b del procedimiento que se describe en la sección "Más información".
    5. No dispone de información acerca de la versión, nombre de producto o fabricante.
  7. En cada archivo que encuentre, haga clic con el botón secundario del mouse (ratón) en el archivo y seleccione Cambiar nombre.
  8. Escriba malware1.old para cambiar el primer archivo y presione ENTRAR.

    Nota escriba malware2.old para cambiar el nombre del segundo archivo, escriba malware3.old para cambiar el nombre del tercero y así sucesivamente.
  9. Busque la carpeta %windir%\System32.
  10. Cambie el nombre de los archivos siguientes si existen.
    • Msupd5.exe Cambie el nombre de archivo por msupd5.old.
    • Msupd4.exe. Cambie el nombre de archivo por Msupd4.old.
    • Msupd.exe. Cambie el nombre de archivo por Msupd.old.
    • Reloadmedude.exe. Cambie el nombre de archivo por Reloadmedude.old.
  11. Reinicie el equipo.
  12. Asegúrese de que el software antivirus o antiespía está actualizado con las firmas más recientes y, a continuación, lleve a cabo un análisis completo del sistema.

Método 3: En Modo seguro, cambiar el nombre del controlador malintencionado mediante el símbolo del sistema

  1. Inicie el equipo en modo seguro. Para ello, siga estos pasos:
    1. Reinicie el equipo.
    2. Presione varias veces la tecla F8 mientras se reinicia el equipo. (una vez por segundo). Esta acción hará que aparezcan las opciones de menú de inicio avanzadas de Microsoft Windows.
    3. Utilice las teclas de dirección FLECHA ARRIBA y FLECHA ABAJO para seleccionar Modo seguro con símbolo del sistema y presione ENTRAR.
  2. Haga clic en Inicio y después en Ejecutar, escriba cmd en el cuadro Abrir y haga clic en Aceptar.
  3. En el símbolo de sistema, escriba CD %windir%\system32\drivers y después presione ENTRAR.


  4. Escriba Dir /ah y, a continuación, presione ENTRAR.
  5. Verá texto similar al siguiente. El nombre del archivo .sys se generará aleatoriamente.
    Directory of C:\WINDOWS\system32\drivers

    01/11/2005 09:18 AM 13,824 gbqxmhia.sys
    1 File(s) 13,824 bytes
    0 Dir(s) 961,425,408 bytes free
  6. Escriba Attrib –s –h NombreArchivoAleatorioy, a continuación, presione ENTRAR. Esta acción quita los atributos del sistema y los atributos ocultos del archivo.

    Nota el marcador de posición NombreArchivoAleatorio representa el nombre del archivo .sys que se muestra después de llevar a cabo el paso 5. Por ejemplo, para el nombre de archivo especificado en el ejemplo del paso 5, tendría que escribir Attrib –s –h gbqxmhia.sys.
  7. Escriba Ren NombreArchivoAleatorio malware.old y presione ENTRAR. Esta acción cambia el nombre del archivo de nombre aleatorio.
  8. Escriba CD y, a continuación, presione Entrar. Esto cambia la línea de comandos a la carpeta %windir%\System32.
  9. Escriba los siguientes comandos uno tras otro y presione ENTRAR después de cada uno de ellos:
    Ren msupd5.exe msupd5.old
    Ren msupd4.exe msupd4.old
    Ren msupd.exe msupd.old
    Ren reloadmedude.exe reloadmedude.old
    Nota si aparece el siguiente mensaje de error, puede omitirlo sin problema alguno porque indica que el archivo de destino no existe.

    El sistema no puede encontrar el archivo especificado.
  10. Escriba Exit y, a continuación, presione ENTRAR.
  11. Reinicie el equipo.
  12. Asegúrese de que el software antivirus o antiespía está actualizado con las firmas más recientes y, a continuación, lleve a cabo un análisis completo del sistema.

Más información


Para comprobar si el equipo está infectado por este software espía, siga estos pasos:
  1. Inicie Internet Explorer.
  2. En el cuadro Dirección de Internet Explorer, escriba %windir%\system32\drivers y, a continuación, presione ENTRAR.
  3. Cambie el modo en que Windows muestra los archivos ocultos y los archivos protegidos del sistema operativo. Para ello, siga estos pasos:
    1. En el menú Herramientas, haga clic en Opciones de carpeta.
    2. En la ficha Ver, haga clic en la casilla de verificación Ocultar archivos protegidos del sistema operativo (recomendado) para desactivarla y después haga clic en cuando reciba un mensaje de advertencia que indica que ha elegido mostrar los archivos protegidos del sistema operativo.
    3. En Archivos y carpetas ocultos, haga clic en Mostrar todos los archivos y carpetas ocultos.
    4. Haga clic para desactivar la casilla de verificación Ocultar las extensiones de archivo para tipos de archivo conocidos.
    5. Active la casilla de verificación Mostrar el contenido de las carpetas de sistema y, después, haga clic en Aceptar.

    6. En el menú Ver , haga clic en Detalles.
  4. Presione F5 para actualizar la vista de la carpeta Controladores.
  5. Busque cualquier archivo del sistema (archivos con extensión .sys en el nombre) que tenga establecido el atributo oculto y que no muestre los detalles relativos al nombre de producto, fabricante y versión de archivo.

    Nota los archivos con el atributo oculto establecido muestran "HA" en la columna Atributos en el Explorador de Windows. Para obtener instrucciones acerca de cómo ver la columna Atributos, consulte los pasos 5a y 5b.

    Para ello, siga estos pasos.

    Nota el archivo del software espía puede presentar un nombre de archivo generado aleatoriamente formado por ocho letras en minúsculas.
    1. Cambie el modo en que el Explorador de Windows muestra los detalles de los archivos de la carpeta. Para ello, siga estos pasos:
      1. En el menú Ver , haga clic en Seleccionar detalles.
      2. Active la casilla de verificación Atributos.
      3. Active la casilla de verificación Nombre del producto.
      4. Active la casilla de verificación Compañía.
      5. Active la casilla de verificación Versión del archivo.
    2. Haga clic en el encabezado de la columnaAtributos para ordenar la lista de archivos por atributo. Normalmente, los archivos de la carpeta Controladores sólo contienen el atributo de archivo (A). Busque todos los archivos que también tengan el atributo oculto (HA).
      La siguiente lista contiene ejemplos de nombre de archivos de software espía conocidos por causar este problema:
      • gbqxmhia.sys
      • upzvlbvv.sys
      • jsbmefvk.sys
      Una vez localizado un archivo del cual sospeche que es un archivo de software espía, compruebe las propiedades del archivo en el cuadro de diálogo Propiedades. Haga clic con el botón secundario del mouse (ratón) en el archivo haga clic en Propiedades y, a continuación, busque la siguiente información.
      • En la ficha General:
        • Modificado: 11 de enero de 2005
        • Tamaño: 14 KB (13.824 bytes)
        • Una marca en la casilla de verificación Oculto.
      • En la ficha Versión:
        • No hay versión del archivo
        • No hay descripción
        • No hay copyright
        • No hay nombre de compañía
        • No hay nombre de producto
    Si un archivo tiene el atributo oculto establecido y tampoco presenta detalles acerca del nombre del producto, la compañía y versión de archivo, el equipo está infectado por el software espía.
  6. Haga clic en Aceptar para cerrar el cuadro de diálogo Propiedades y después siga cualquiera de los métodos descritos en la sección "Solución" para resolver el problema.
  7. En el cuadro Dirección de Internet Explorer, escriba %windir%\system32 y, a continuación, presione ENTRAR.
  8. Busque archivos de aplicación (archivos con la extensión .exe en su nombre) que tengan nombres parecidos a los siguientes:
    • Msupd.exe.
    • Msupd*.exe

      Nota el marcador de posición * representa un número de un solo dígito
    • Reloadmedude.exe
    Estos archivos tendrán una fecha aleatoria y un tamaño de 60 KB (61.440 bytes).
    Entre los nombres conocidos de los archivos de software espía se incluyen los siguientes nombres de archivo:
    • Msupd.exe.
    • Msupd4.exe
    • Msupd5.exe
    • Reloadmedude.exe


  9. Si existe uno o varios de estos archivos, el equipo está infectado por el software espía. Siga cualquiera de los métodos descritos en la sección "Solución" para resolver el problema.

Productos de seguridad que detectan este software espía

Hay varios productos de seguridad que detectan este software espía. Algunos ejemplos de estos productos y los nombres del software espía notificados:
ProductoNombre del software espía notificado
Microsoft AntiSpywareSpyware.Service.MiscrosoftUpdate (troyano)
Computer AssociatesWin32/Benuti.61440!Downloader!Dr
Doctor Web DrWebCL Trojan.Medude
F-SecureTrojan.Win32.Agent.aw
Kaspersky Lab AVPDOS32Trojan.Win32.Agent.aw
McAfeeDownloader-va
PandaTrj/Agent.FO and Adware/Apropos
Trend Micro VScanTROJ_LODMEDUD.A
Symantec Trojan.Lodmeduod

Referencias


Para obtener más información acerca del producto Microsoft AntiSpyware, haga clic en los números de artículos siguientes para verlos en Microsoft Knowledge Base:

892279 Cómo obtener Microsoft Windows AntiSpyware (Beta)

892340 Microsoft Windows AntiSpyware (Beta) identifica un programa como software espía


Para obtener más información acerca de los proveedores de software antivirus, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

49500 Lista de proveedores de software antivirus