A jelenség
Amikor a következő diagnosztikai programok egyikét kíséreli meg futtatni, a program azonnal bezáródhat:
-
Beállításszerkesztő (korábbi nevén Rendszerleíróadatbázis-szerkesztő) (Regedit.exe)
-
Feladatkezelő (Taskmgr.exe)
-
Rendszerbeállító segédprogram (Msconfig.exe)
-
Rendszerinformáció (Msinfo32.exe)
Az alábbi jelenségek egyikét is tapasztalhatja:
-
A számítógép automatikusan újraindul.
-
Bejelentkezés után a következő hibaüzenet jelenik meg:
Microsoft Windows
A rendszer súlyos hiba után állt helyre.
A hiba bekerült a naplóba.
Tájékoztassa a Microsoftot a problémáról.
A hibajelentés elküldésével hozzájárulhat a Microsoft Windows javításához. A jelentésben közölt adatokat bizalmasan és név nélkül kezeljük.
A hibajelentésben szereplő adatok megtekintéséhez kattintson ide.Amikor rákattint a kattintson ide hivatkozásra az üzenetpanel alján, az alábbi adatmintákhoz hasonló hibaparamétereket láthat:
1. AdatmintaBCCode : 00000050 BCP1 : ffffff60 BCP2 : 00000000 BCP3 : 804fa26f BCP4 : 00000000 OSVer : 5_1_2600 SP : 0_0 Product : 256_1
2. AdatmintaBCCode : 0000000A BCP1 : ffffff94 BCP2 : 00000000 BCP3 : 00000000 BCP4 : 804e15ef OSVer : 5_1_2600 SP : 0_0 Product : 256_1
-
Az alábbi leállítási hibaüzenetek egyikével találkozhat:
1. Üzenet
A rendszer problémát talált, és a Windows a számítógép károsodásának megelőzése érdekében leállt.
Technikai információ:
*** STOP: 0x00000050 (0xffffff60, 0x00000000, 0x804fa26f, 0x00000000) PAGE_FAULT_IN_NONPAGED_AREA address 0x804fa26f in 0x50_nt!ObReferenceObjectSafe+e2. Üzenet
A rendszer problémát talált, és a Windows a számítógép károsodásának megelőzése érdekében leállt.
Technikai információ:
*** STOP: 0x0000000A (0xffffff94, 0x00000000, 0x00000000, 0x804e15ef) IRQL_NOT_LESS_OR_EQUAL address 0x804fa26f in 0xA_nt!ExpCopyThreadInfo+a -
Amikor megtekinti a rendszernaplót az Eseménynapló alkalmazásban, a következő bejegyzéshez hasonlóval találkozhat:
1. Bejegyzés
2. Bejegyzés
Megjegyzések
-
A Stop típusú hibák a számítógép rendszerhiba-beállításaitól függően változnak.
További információt a rendszerhiba beállításainak konfigurálásáról a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:307973 A Windows rendszerhibákkal és helyreállítással kapcsolatos beállításainak konfigurálása
-
A Stop hiba zárójelben szereplő négy hibaparamétere a számítógép konfigurációjától függően eltérő lehet.
-
A 0x0000000A jelű STOP hibát a cikkben ismertetett problémától eltérő tényezők is okozhatják.
További információt a 0x0000000A jelű Stop hibák elhárításáról a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:314063 „Leállítás: 0x0000000A” típusú hibával kapcsolatos problémamegoldás Windows XP rendszerben
Oka
Ez a probléma akkor fordulhat elő, ha a számítógép az Sdbot vírus egyik változatával fertőződött meg.
Az Sdbot vírus rejtett folyamatot idéz elő. A folyamat bezár minden olyan programot, amelyet a rendszergazda diagnosztikai és konfigurációs célokra használ. Ez a folyamat ezeknek a programoknak a futását is megakadályozhatja.
Az Sdbot vírusnak különböző fájlnevei léteznek. Ennek a vírusnak sok változata Msdirectx.sys vagy Haxdrv.sys nevű illesztőprogramot helyez a számítógépre. Az illesztőprogram feladata, hogy elrejtse a vírusfolyamatot. A vírus által gyakran használt fájlnevek közé tartozik az Msdrv.exe és az Sdkcore.exe. Ezek a vírusváltozatok képesek visszaállítani a vírust a fájlok törlése esetén.
A megoldás
A probléma az alább ismertetett módszerekkel oldható meg:
Automatikus eltávolítás
A vírus bizonyos verzióinak automatikus eltávolításához futtassa a Microsoft ártalmas szoftvereket eltávolító eszközét.
A segédprogram áprilisi kiadása el tudja távolítani ennek a féregvírusnak néhány változatát. Az ártalmas szoftvereket eltávolító eszközzel kapcsolatos további tudnivalót és letöltéseket az alábbi helyeken találhat:
Manuális eltávolítás
Fontos: Az Sdbot vírusnak különböző fájlnevei léteznek. Előfordulhat, hogy módosítania kell ezeket a lépéseket az Sdbot által a számítógépen használt fájlnévhez alkalmazkodva.
-
Az alábbi lépések végrehajtásával indítsa el a számítógépet csökkentett módban:
-
Indítsa újra a számítógépet.
-
Amikor elindul a számítógép, addig nyomja le másodpercenként az F8 billentyűt,
amíg meg nem jelenik a Microsoft Windows speciális rendszerindítási lehetőségeinek menüje. -
A felfelé és a lefelé mutató nyílbillentyűk segítségével lépjen a Csökkentett mód menüpontra, majd nyomja meg az ENTER billentyűt.
-
-
Kattintson a Start menü Futtatás parancsára, írja be a regedit parancsot a Megnyitás mezőbe, majd kattintson az OK gombra.
-
A következő beállításkulcsokban (korábbi nevén rendszerleíró kulcs) keresse meg és törölje az Msdrv.exe és az Sdkcore.exe fájlnévre vonatkozó bejegyzéseket:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesHa például az „Ms Sound Drivers” bejegyzés „msdrv.exe,” értékkel rendelkezik, törölje a bejegyzést. -
A következő beállításkulcsokban keresse meg és törölje azokat a bejegyzéseket, amelyek tartalmazzák az Msdirectx vagy Haxdrv fájlneveket:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ -
Lépjen ki a Beállításszerkesztőből.
-
Kattintson a Start menü Futtatás parancsára, írja be a cmd parancsot a Megnyitás mezőbe, majd kattintson az OK gombra.
-
Írja be a parancssorba egymás után az alábbi parancsokat. Minden parancs után nyomja le az ENTER billentyűt.
attrib -r -h -s %systemroot%\system32\msdirectx.sys
attrib -r -h -s %systemroot%\system32\haxdrv.sys
attrib -r -h -s %systemroot%\system32\msdrv.exe
attrib -r -h -s %systemroot%\system32\sdkcore.exeMegjegyzés: Előfordulhat, hogy ezek a fájlok különböző mappákban találhatók a számítógépen. A fájlok például eddig a következő mappákban fordultak elő:-
C:\
-
C:\system32\
-
C:\system32\drivers\
-
C:\Documents and Settings\Felhasználónév\
Keresse meg az Msdirectx.sys és a Haxdrv.sys összes példányát. Utána írja be az ebben a lépésben megadott parancsokat, de a %systemroot%\system32\ elérési útvonalat cserélje ki a megtalált fájlok elérési útvonalára. -
-
A fájlok törléséhez írja be az alábbi parancsokat. Minden egyes parancs után nyomja le az ENTER billentyűt.
del %systemroot%\system32\msdirectx.sys
del %systemroot%\system32\haxdrv.sys
del %systemroot%\system32\msdrv.exe
del %systemroot%\system32\sdkcore.exeHa további példányokat talál ezen fájlokból a 7. lépésben, ismételten írja be a parancsokat az egyes talált fájlok elérési útvonalát használva. -
Indítsa újra a számítógépet.
-
Győződjön meg arról, hogy a vírus- és kémprogramkereső szoftverei a legújabb definíciókkal vannak frissítve. Ezután hajtson végre teljes rendszervizsgálatot. A 2005. április 7-i állapot szerint a következő fájlokat észlelték az alábbi programok:
Msdrv.exeProgram:
Észlelt Sdbot vírusvariáns
Norman AV
W32/MEWpacked.gen
PandaLabs
W32/MEWpacked.gen
AVERT Labs
Nincs észlelés (nem hoz végleges megoldást)
F-Secure
Backdoor.Win32.SdBot.gen
Sophos
Troj/NtRootK-F (msdirectx.sys), Troj/Rootkit-U (haxdrv.sys), W32/Sdbot-WR, W32/Sdbot-VJ, W32/Sdbot-WK, W32/Sdbot-WD
Trend Micro
TROJ_ROOTKIT.H (msdirectx.sys), WORM_RBOT.AXU, WORM_SDBOT.BDX
Msdirectx.sys
Program:
Észlelt Sdbot vírusvariáns
F-Secure
Trojan.Win32.Rootkit.h
Hivatkozások
A Microsoft ártalmas szoftvereket eltávolító eszközéről további információt a Microsoft alábbi webhelyén talál:
http://www.microsoft.com/security/malwareremove/default.mspx A Microsoft AntiSpyware termékről további információt a Microsoft Tudásbázis következő cikkeiben talál a cikkek számára kattintva:
892279 A Microsoft Windows AntiSpyware (bétaverzió) beszerzése
892340 A Microsoft Windows AntiSpyware (bétaverzió) kémprogramként azonosít egy programot (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.) (Előfordulhat, hogy a tartalom angol nyelven érhető el) A víruskereső szoftverek forgalmazóiról további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
49500 A víruskereső szoftverek forgalmazóinak listája