Kokkuvõte

Käesolevas artiklis kirjeldatakse mitmeid sümptomeid, mis võivad ilmneda, kui arvutis on nuhkvara Spyware.Service.MiscrosoftUpdate (Trooja) rootkit. Trooja viiruste eemaldamiseks tuleb tuvastada probleemi ja seejärel nimetage ümber failid.

Mõned viiruse- või nuhkvara programmid saab puhastada kasutajarežiimi (spyware) komponentide Msupd*.exe ja Reloadmedude.exe niipea, kui peidetud draiver ümber. Peidetud draiveri nimi võib olla "gbqxhia.sys", "upzvlbvv.sys", "jsbmefvk.sys" või mõni juhuslik faili nimi, mis sisaldab ainult väiketähtedega.

Nuhkvaratõrje programmidest, mis suudab tuvastada see viirus on loetletud jaotises "Lisateavet".

Sümptomid

Võite kokku puutuda mõnega järgmistest sümptomitest:

  • Arvuti taaskäivitub automaatselt.

  • Kui olete sisse loginud, kuvatakse järgmine tõrketeade:

    Microsoft Windows

    Süsteem on taastunud tõsise tõrke. See tõrge Logi on loodud. Palun teavitage Microsofti selle probleemi kohta. Oleme loonud tõrketeatise, mille saatmisega saate aidata parandada Microsoft Windows. Me aruanne käsitleb on konfidentsiaalne ja anonüümne. Selle tõrketeatise andmete kuvamiseks klõpsake siin.

    Kui ekraanil kuvatakse tõrketeade, klõpsake teateboksi allosas "click here" linki, kui soovite näha tõrketeatises sisalduvate andmete. Kui te seda teete, kuvatakse tõrke signatuuriteave, mis võib sarnaneda järgmisega:

    BCCode: 00000050 BCP1: 0xeb7ff002 BCP2: 0x00000000 BCP3: 0x8054af32 BCP4: 0x00000001 OSVer: 5_1_2600 SP: 0_0 toote: 256_1

  • Kuvatakse järgmine stopp-tõrketeade:

    Tuvastati probleem ja Windows sulgus kahjustamise vältimiseks arvuti tehniline teave: *** STOP: 0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt! ExFreePoolWithTag + 237

  • Süsteemi Logi kirjed sündmus, mis sarnaneb järgmisega:

Märkused

Stopptõrke tunnused sõltuvad sellest, millised variandid on arvutisüsteemi. Süsteemi tõrkesuvandite konfigureerimise kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:

307973 kuidas konfigureerida Windowsi süsteemi tõrke- ja Süsteemitaaste võimalused

Tõrkesignatuuri teabesse (BCPn) ja stopptõrke tehnilise teabe sulgudes olevad neli parameetrit võivad sõltuvalt arvuti konfiguratsioonist erineda.

Kõiki 0x00000050 Stopp-tõrked on põhjustatud probleem, mida on kirjeldatud jaotises "Põhjus".

Põhjus

See tõrketeade on tingitud tuuma draiver, mis on installitud järgmised teadaolevad rootkit nuhkvara:

  • Msupd5.exe

  • Reloadmedude.exe

Lahendus

Selle probleemi lahendamiseks kasutage ühte või mitut järgmistest meetoditest. Eelistatud järjekorras loetletud meetodeid.

1. meetod: Internet Exploreri abil ümber nimetada pahatahtliku draiver

  1. Avage Internet Explorer.

  2. Väljale aadress tippige %windir%\system32\driversja seejärel vajutage sisestusklahvi ENTER.

  3. Leidke fail juhunimega .sys, paremklõpsake faili ja valige ümber nimetada.

  4. Tippige malware.old Nimetage fail ümber ja seejärel vajutage sisestusklahvi ENTER.

  5. Väljale aadress tippige \WINDOWS\system32ja seejärel vajutage sisestusklahvi ENTER.

  6. Leidke ja seejärel nimetage ümber järgmised failid, kui need on olemas:

    • Msupd5.exe. selle faili Msupd5.old ümber.

    • Msupd4.exe. selle faili Msupd4.old ümber.

    • Msupd.exe. selle faili Msupd.old ümber.

    • Reloadmedude.exe. selle faili Reloadmedude.old ümber.

  7. Sulgege Internet Explorer.

  8. Taaskäivitage arvuti.

  9. Veenduge, et teie viirusetõrjetarkvara või nuhkvaratõrje tarkvara on uuendatud uusim allkirjad ja siis teha täielik skannimine.

2. meetod: Arvuti turvarežiimis ümber nimetada pahatahtliku draiver minu arvuti abil

  1. Käivitage arvuti turvarežiimis. Selleks toimige järgmiselt.

    1. Taaskäivitage arvuti.

    2. Kui arvuti käivitub, vajutage korduvalt klahvi F8 (üks kord sekundis). See toiming põhjustab Microsoft Windows Advanced Startup menüü Suvandid kuvamine.

    3. ÜLES- ja allanooleklahve nooleklahvide abil esile suvand Turvarežiimja vajutage sisestusklahvi ENTER.

  2. Avage Internet Explorer

  3. Väljale aadress tippige %windir%\system32\driversja seejärel vajutage sisestusklahvi ENTER.

  4. Võimaldab vaadata peidetud faile. Selleks toimige järgmiselt.

    1. Klõpsake nuppu Startja seejärel käsku Minu arvuti.

    2. Klõpsake menüü Tööriistad käsku Kaustasuvandid.

    3. Vahekaardi Vaade tühjendage märkeruut Peida kaitstud operatsioonisüsteemifailid (soovitatav) ja seejärel klõpsake nuppu Jah kui kuvatakse hoiatusteade, mis teavitab teid, et olete valinud kuvamiseks kaitstud operatsioonisüsteemifailid.

    4. Peidetud failid ja kaustad, klõpsake nuppu Kuva peidetud failid ja kaustad.

    5. Klõpsake tühjendage märkeruut Peida tuntud failitüüpide laiendid .

    6. Kaustavaated piirkonnas nuppu Rakenda kõigile kaustadeleja seejärel klõpsake nuppu OK.

  5. Otsige üles kaust nimega C:\%windir%\System32\Drivers.

  6. Leidke .sys faili, millel on järgmised tunnused:

    1. Juhuslikult loodud failile nimi, mis koosneb kaheksa väiketähtedega, nagu "gbqxmhia.sys", "upzvlbvv.sys" või "jsbmefvk.sys"

    2. 11. jaanuari 2005 kuupäev

    3. Suurus 14 KB (13,824 baiti)

    4. Peidetud atribuut on seatud

      Märkus. Faili, mis on seatud oma peidetud atribuut kuvatakse Windows Exploreris atribuutide veerus "HA". Juhised veeru atribuutide kuvamiseks vaadake järgmist 5a ja 5b jaotises "Lisateavet" kirjeldatud protseduuri.

    5. See ei ole versioon, tootenime või teave.

  7. Iga faili üles, paremklõpsake faili ja valige seejärel käsk Nimeta ümber.

  8. Tippige malware1.old esimene fail ja seejärel vajutage sisestusklahvi ENTER.

    Märkus. Tippige malware2.old teise faili ümber nimetada, tippige malware3.old kolmanda faili ümber nimetada ja nii edasi.

  9. Leidke %windir%\System32 folder.

  10. Nimetage ümber järgmised failid, kui need on olemas:

    • Msupd5.exe. Nimetage see fail msupd5.old.

    • Msupd4.exe. selle faili Msupd4.old ümber.

    • Msupd.exe. selle faili Msupd.old ümber.

    • Reloadmedude.exe. selle faili Reloadmedude.old ümber.

  11. Taaskäivitage arvuti.

  12. Veenduge, et teie viirusetõrjetarkvara või nuhkvaratõrje tarkvara on uuendatud uusim allkirjad ja siis teha täielik skannimine.

3. meetod: Arvuti turvarežiimis ümber nimetada pahatahtliku draiveri käsuviiba abil

  1. Käivitage arvuti turvarežiimis. Selleks toimige järgmiselt.

    1. Taaskäivitage arvuti.

    2. Kui arvuti käivitub, vajutage korduvalt klahvi F8 (üks kord sekundis). See toiming põhjustab Microsoft Windows Advanced Startup menüü Suvandid kuvamine.

    3. Kasutage üles ja alla NOOLEKLAHVE, et valida Safe Mode with Command Promptning seejärel vajutage sisestusklahvi ENTER.

  2. Klõpsake nuppu Start, käsku Käivita, tippige cmd väljale Ava ja klõpsake nuppu OK.

  3. Tippige CD %windir%\system32\driversja seejärel vajutage sisestusklahvi ENTER.


  4. Tippige Dir /ah, ja seejärel vajutage sisestusklahvi ENTER.

  5. Näete teksti, mis sarnaneb järgmisega. .Sys faili nimi on juhuslikult loodud.

    Directory of C:\WINDOWS\system32\drivers
    01/11/2005 09:18 AM 13,824 gbqxmhia.sys
    1 File(s) 13,824 bytes
    0 Dir(s) 961,425,408 bytes free

  6. Tippige Attrib-s-h RandomFilenameja seejärel vajutage sisestusklahvi ENTER. See toiming eemaldab faili süsteemi atribuudid ja peidetud atribuudid.

    Märkus. Selle RandomFilename nime kohatäide .sys faili, mis kuvatakse pärast sammu 5. Näiteks näites 5. etapis määratud faili nimi, tippige Attrib-s-h gbqxmhia.sys.

  7. Tippige Ren RandomFilename malware.old, ja seejärel vajutage sisestusklahvi ENTER. See toiming nimetab suvalise nimega faili.

  8. Tippige CDja seejärel vajutage sisestusklahvi ENTER. See muudab käsureal %windir%\System32 folder.

  9. Tippige järgmised käsud ükshaaval ja pärast iga käsu tippimist vajutage sisestusklahvi ENTER:
    Ren msupd5.exe msupd5.old

    Ren msupd4.exe msupd4.old

    Ren msupd.exe msupd.old

    REN reloadmedude.exe reloadmedude.old
    Märkus. Kui kuvatakse järgmine tõrketeade, võite julgelt ignoreerida sõnumit, kuna see näitab, et suuremat faili olemas:

    Süsteem ei leia määratud faili.

  10. Tippige käsk Exitja seejärel vajutage sisestusklahvi ENTER.

  11. Taaskäivitage arvuti.

  12. Veenduge, et teie viirusetõrjetarkvara või nuhkvaratõrje tarkvara on uuendatud uusim allkirjad ja siis teha täielik skannimine.

Lisateabe saamiseks

Kontrollige, kas arvuti on nakatunud see nuhkvara, toimige järgmiselt.

  1. Käivitage Internet Explorer.

  2. Välja Internet Exploreri aadress tippige %windir%\system32\driversja seejärel vajutage sisestusklahvi ENTER.

  3. Muuta nii, et Windows kuvab peidetud failid ja protected operating system files. Selleks toimige järgmiselt.

    1. Klõpsake menüü Tööriistad käsku Kaustasuvandid.

    2. Vahekaardi Vaade tühjendage märkeruut Peida kaitstud operatsioonisüsteemifailid (soovitatav) ja seejärel klõpsake nuppu Jah kui kuvatakse hoiatusteade, mis teavitab teid, et olete valinud kuvamiseks kaitstud operatsioonisüsteemifailid.

    3. Peidetud failid ja kaustad, klõpsake nuppu Kuva peidetud failid ja kaustad.

    4. Klõpsake tühjendage märkeruut Peida tuntud failitüüpide laiendid .

    5. Märkige ruut Display sisu süsteemi kaustad ja seejärel klõpsake nuppu OK.

    6. Klõpsake menüü Vaadeüksikasjad.

  4. Kuva kausta Draiverite värskendamiseks vajutage klahvi F5.

  5. Leidke ühtegi süsteemifaili (faile, mille nimes .sys laiend) mis on nende seatud peidetud atribuut ja toote nime, ettevõtte ja faili versioon on puudu.

    Märkus. Failid, mis on seatud oma peidetud atribuut kuvada Windows Exploreris atribuutide veerus "HA". Juhised veeru atribuutide kuvamiseks vaadake järgmist 5a ja 5b.

    Selleks toimige järgmiselt.

    Märkus. Nuhkvara fail võidakse kuvada on juhuslikult loodud failile nimi, mis koosneb kaheksa väiketähti.

    1. Muutke Windows Explorer kuvab kausta failide üksikasjad. Selleks toimige järgmiselt.

      1. Menüü Vaade käsku Vali üksikasjad.

      2. Märkige ruut atribuute .

      3. Klõpsake valimiseks märkeruut Toote nimi .

      4. Klõpsake valimiseks märkeruut ettevõtte .

      5. Klõpsake valimiseks märkeruut Faili versioon .

    2. Klõpsake failide atribuutide järgi sortimiseks veerupäist Atribuudid . Draiverite kaustas olevad failid sisaldavad tavaliselt ainult Arhiiv atribuut (A). Otsida faile, mis on peidetud atribuut (HA).
      Järgmine loend sisaldab näiteks nimesid nuhkvara faile, mis on teadaolevalt põhjustada seda probleemi:

      • gbqxmhia.sys

      • upzvlbvv.sys

      • jsbmefvk.sys

      Pärast seda, kui kahtlustate, et nuhkvara fail on faili leidmiseks kontrollige atribuutide dialoogiboksi abil faili atribuute. Paremklõpsake faili, klõpsake nuppu Atribuudidja seejärel otsige järgmine teave:

      • Vahekaardil Üldine:

        • Muudetud: 11. jaanuar 2005

        • Maht: 14 KB (13,824 baiti)

        • On märgitud ruut peidetud

      • Vahekaardil versioon:

        • Ühtegi faili versioon

        • Kirjeldus puudub

        • Ei ole autoriõiguse

        • Ettevõtte nime pole

        • Ei ole toote nimi

    Kui fail on peidetud atribuut seada ja puudub ka üksikasju toote nimi ning ettevõtte faili versioon, arvuti on nakatunud nuhkvara.

  6. Klõpsake nuppu OKatribuutide dialoogiboksi sulgemiseks ja üks meetodeid, mida on kirjeldatud jaotises "Eraldusvõime" selle probleemi lahendamiseks järgige.

  7. Väljale Internet Exploreri aadress tippige %windir%\system32ja vajutage sisestusklahvi ENTER.

  8. Rakenduse faile (faile, mille nime laiend .exe), mis on nimed, mis sarnaneb järgmisega:

    • Msupd.exe

    • Msupd*.exe

      Märkus. Tähistab kohatäide * ühe-kohalise

    • Reloadmedude.exe

    Need failid on juhuslik kuupäev ja maht 60 KB (61 440 baiti).
    Tuntud nuhkvara nime failid sisaldada faili nimed järgmised:

    • Msupd.exe

    • Msupd4.exe

    • Msupd5.exe

    • Reloadmedude.exe


  9. Kui üks või mitu nendest failidest on olemas, et arvuti on nakatunud nuhkvara. Tehke üks meetodeid, mida on kirjeldatud jaotises "Eraldusvõime" probleemi lahendada.

Tuvastada selle nuhkvara turbetoodete

Mitu turbetoodete tuvastada selle nuhkvara. Need tooted ja teatatud nuhkvara nimede näited on järgmised:

Toode

Teatatud nuhkvara nimi

Microsofti nuhkvaratõrje

Spyware.Service.MiscrosoftUpdate (Trooja)

Computer Associates

Win32/Benuti.61440!Downloader!Dr

Doctor Web DrWebCL

Trojan.Medude

F-Secure

Trojan.Win32.Agent.aw

Kaspersky Lab AVPDOS32

Trojan.Win32.Agent.aw

McAfee

Allalaadija va

Panda

Trj/Agent.FO ja nuhkvara/muuseas

Trend Micro VScan

TROJ_LODMEDUD.A

Symantec

Trojan.Lodmeduod

Viited

Microsofti AntiSpyware toote kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artiklite kuvamiseks järgmisi artiklinumbreid:

892279 hankimine Microsofti Windows Defender (beetaversioon)

892340 Microsoft Windowsi nuhkvaratõrje beetaversioon seevastu tuvastab nuhkvara ohuna programmi


Viirusetõrjetarkvara tarnijate kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:

49500 viirusetõrjetarkvara tarnijate loend

Kas vajate veel abi?

Täiendage oma oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liitu Microsofti Insideri programmis osalejad

Kas sellest teabest oli abi?

Kui rahul te tõlkekvaliteediga olete?
Mis mõjutas teie kasutuskogemust?

Täname tagasiside eest!

×