Un programme de diagnostic peut se fermer immédiatement et générer le message d'erreur Code erreur d'arrêt 0x00000050 (PAGE_FAULT_IN_NONPAGED_AREA) ou Code erreur d'arrêt 0x0000000A (IRQL_NOT_LESS_OR_EQUAL) dans Windows Server ...


Symptômes


Lorsque vous essayez d'exécuter l'un des programmes de diagnostic suivants, celui-ci peut se fermer immédiatement :
  • Éditeur du Registre (Regedit.exe)
  • Gestionnaire des tâches (Taskmgr.exe)
  • Utilitaire de configuration système (Msconfig.exe)
  • Informations système (Msinfo32.exe)
Vous pouvez également rencontrer l'un des problèmes suivants :
  • L'ordinateur redémarre automatiquement.
  • Après l'ouverture de session, le message d'erreur suivant s'affiche :
    Microsoft Windows
    Le système a récupéré d'une erreur sérieuse.
    Un journal de cette erreur a été créé.
    Veuillez signaler ce problème à Microsoft.
    Nous avons créé un rapport d'erreurs que vous pouvez nous envoyer afin de nous aider à améliorer Microsoft Windows. Nous traiterons vos rapports de façon confidentielle et anonyme.
    Pour afficher les données de ce rapport d'erreurs, cliquez ici.
    Lorsque vous cliquez sur le lien cliquez ici situé au bas de la boîte de message, des informations de signature d'erreur pouvant être semblables à l'un des exemples de données ci-après s'affichent :

    Exemple de données 1

    BCCode : 00000050 BCP1 : ffffff60 BCP2 : 00000000 BCP3 : 804fa26f BCP4 : 00000000 OSVer : 5_1_2600 SP : 0_0 Product : 256_1 

    Exemple de données 2

    BCCode : 0000000A BCP1 : ffffff94 BCP2 : 00000000 BCP3 : 00000000 BCP4 : 804e15ef OSVer : 5_1_2600 SP : 0_0 Product : 256_1 
  • L'un des messages d'erreur Stop suivants s'affiche :

    Message 1

    Un problème a été détecté et Windows a été arrêté afin de prévenir tout dommage sur votre ordinateur...
    Informations techniques :


    ***STOP : 0x00000050 (0xffffff60, 0x00000000, 0x804fa26f, 0x00000000) PAGE_FAULT_IN_NONPAGED_AREA address 0x804fa26f in 0x50_nt!ObReferenceObjectSafe+e

    Message 2

    Un problème a été détecté et Windows a été arrêté afin de prévenir tout dommage sur votre ordinateur...
    Informations techniques :


    ***STOP : 0x0000000A (0xffffff94, 0x00000000, 0x00000000, 0x804e15ef) IRQL_NOT_LESS_OR_EQUAL address 0x804fa26f in 0xA_nt!ExpCopyThreadInfo+a
  • Lorsque vous consultez le journal système dans Observateur d'événements, vous pouvez trouver une entrée semblable à l'une des entrées suivantes :

    Entrée 1

    Entrée 2

Remarques

  • Les symptômes d'une erreur Stop varient selon les options de défaillance système de l'ordinateur.
    Pour plus d'informations sur la façon de configurer les options de défaillance du système, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    307973 Comment faire pour configurer les options de défaillance et de récupération du système dans Windows

  • Les quatre paramètres figurant à l'intérieur des parenthèses du message d'erreur Stop varient selon la configuration de l'ordinateur.
  • Une partie seulement des erreurs Stop 0x0000000A est provoquée par le problème décrit dans cet article.
    Pour plus d'informations sur la façon de résoudre les erreurs Stop 0x0000000A dans Windows XP, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
    314063 Résolution d'une erreur STOP 0x0000000A dans Windows XP

Cause


Ce problème peut se produire si un ordinateur est infecté par une variante du virus Sdbot.

Le virus Sdbot crée un processus masqué. Ce processus ferme des programmes utilisés par les administrateurs système pour établir un diagnostic et définir une configuration. Il peut également empêcher l'exécution de ces programmes.

Le nom de fichier du virus Sdbot varie. De nombreuses variantes de ce virus placent un pilote dénommé Msdirectx.sys ou Haxdrv.sys sur l'ordinateur. Ce pilote est utilisé pour masquer le processus du virus. Msdrv.exe et Sdkcore.exe. figurent parmi les noms de fichier les plus fréquemment utilisés par le virus. Ces variantes de virus peuvent restaurer le virus si vous supprimez les fichiers.

Résolution


Pour résoudre ce problème, appliquez l'une des méthodes suivantes :

Suppression automatique

Suppression automatique de certaines versions du virus à l'aide de l'outil Microsoft Malicious Software Removal Tool.

La version de cet utilitaire publiée en avril permet de supprimer certaines variantes de ce programme malveillant. Vous trouverez des informations ainsi que des téléchargements concernant l'outil Malicious Software Removal Tool aux emplacements suivants :
Suppression manuelle

Important Le nom de fichier du virus Sdbot varie. Vous devrez peut-être modifier ces étapes en fonction du nom de fichier utilisé par le virus Sdbot sur votre ordinateur.
  1. Suivez ces étapes pour démarrer l'ordinateur en mode sans échec :
    1. Redémarrez l'ordinateur.
    2. Lorsque l'ordinateur démarre, appuyez plusieurs fois sur F8 (une fois par seconde).

      Les options du menu de démarrage avancées de Microsoft Windows apparaissent.
    3. Utilisez les touches de direction pour sélectionner le mode sans échec, puis appuyez sur ENTRÉE.
  2. Cliquez sur Démarrer, puis sur Exécuter, tapez regedit dans la zone Ouvrir, puis cliquez sur OK.
  3. Dans les sous-clés de Registre suivantes, localisez et supprimez toute entrée contenant le nom de fichier Msdrv.exe ou Sdkcore.exe :
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
    Par exemple, si une entrée « Ms Sound Drivers » a pour valeur "msdrv.exe," supprimez-la.
  4. Dans les sous-clés de Registre suivantes, localisez et supprimez toute entrée contenant Msdirectx ou Haxdrv :
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
  5. Quittez l'Éditeur du Registre.
  6. Cliquez sur Démarrer, puis sur Exécuter, tapez cmd dans la zone Ouvrir, puis cliquez sur OK.
  7. À l'invite de commandes, tapez les commandes suivantes : Appuyez sur ENTRÉE après chaque commande.
    attrib -r -h -s %systemroot%\system32\msdirectx.sys
    attrib -r -h -s %systemroot%\system32\haxdrv.sys
    attrib -r -h -s %systemroot%\system32\msdrv.exe
    attrib -r -h -s %systemroot%\system32\sdkcore.exe
    Remarque Ces fichiers peuvent figurer dans différents dossiers sur l'ordinateur. Par exemple, les fichiers ont été trouvés dans les dossiers suivants :
    • C:\.
    • C:\system32\
    • C:\system32\drivers\
    • C:\Documents and Settings\Nom_utilisateur\

    Effectuez une recherche sur toutes les instances de Msdirectx.sys et Haxdrv.sys. Tapez ensuite les commandes indiquées dans cette étape en remplaçant le chemin d'accès %systemroot%\system32 par le chemin de chacun des fichiers trouvés.
  8. Tapez les commandes suivantes pour supprimer les fichiers. Appuyez sur ENTRÉE après chaque commande.
    del %systemroot%\system32\msdirectx.sys
    del %systemroot%\system32\haxdrv.sys
    del %systemroot%\system32\msdrv.exe
    del %systemroot%\system32\sdkcore.exe
    Si vous avez trouvé d'autres instances de ces fichiers à l'étape 7, répétez ces commandes avec le chemin d'accès de chaque fichier trouvé.
  9. Redémarrez l'ordinateur.
  10. Assurez-vous que vos programmes antivirus/antispyware sont mis à jour avec les dernières définitions. Puis, exécutez une analyse complète du système. Depuis la version du 7 avril 2005, les fichiers ci-après sont détectés par les programmes suivants :

    Msdrv.exe
    ProgrammeVariante du virus Sdbot détectée
    Norman AVW32/MEWpacked.gen
    PandaLabsW32/MEWpacked.gen
    AVERT LabsAucune détection (résultat non concluant)
    F-SecureBackdoor.Win32.SdBot.gen
    SophosTroj/NtRootK-F (msdirectx.sys), Troj/Rootkit-U (haxdrv.sys), W32/Sdbot-WR, W32/Sdbot-VJ, W32/Sdbot-WK, W32/Sdbot-WD
    Trend MicroTROJ_ROOTKIT.H (msdirectx.sys), WORM_RBOT.AXU, WORM_SDBOT.BDX
    Msdirectx.sys
    ProgrammeVariante du virus Sdbot détectée
    F-SecureTrojan.Win32.Rootkit.h

Références


Pour plus d'informations sur l'outil Microsoft Malicious Software Removal Tool, reportez-vous au site Web de Microsoft à l'adresse suivante : Pour plus d'informations sur le produit Microsoft AntiSpyware, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
892279 Comment faire pour obtenir Microsoft Windows AntiSpyware (version bêta)

892340 Microsoft Windows AntiSpyware (version bêta) identifie un programme comme étant un logiciel espion

Pour plus d'informations sur les fournisseurs de logiciels antivirus, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
49500 Liste des fournisseurs de logiciels antivirus