Megjegyzés: A 2. és 3. módszer megoldási lépései során a Windows rendszert csökkentett módban kell elindítani a rosszindulatú kernel-illesztőprogram eltávolításához.
A jelenség
A következő kék képernyős „STOP” hibaüzenet jelenik meg:
*** STOP: 0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237
Az Eseménynaplóban a rendszernaplót megtekintve egy 1003-as eseményazonosítójú, az alábbihoz hasonló adatokat tartalmazó bejegyzést találhat:
Dátum: dátum
Forrás: System
Időpont: időpont
Kategória: (102)
Típus: Hiba
Eseményazonosító: 1003
Felhasználó: -
Számítógép: SZÁMÍTÓGÉP
Leírás: Hibakód: 00000050, 1. paraméter: eb7ff002, 2. paraméter: 00000000, 3. paraméter: 8054af32, 4. paraméter: 00000001. További tájékoztatást a súgóban talál a következő helyen: http://support.microsoft.com.
Oka
Ez a hibaüzenet az alábbi ismert kémprogram által telepített kernel-illesztőprogram hibája miatt jelent meg: Rootkit/Spyware: msupd5.exe Reloadmedude.exe.
Ezt a kémprogramot jelenleg a következő adatvédelmi termékek képesek észlelni:
|
Termék |
A kémprogram jelentett neve |
|
Microsoft AntiSpyware |
Spyware.Service.MiscrosoftUpdate (Trojan) |
|
Computer Associates |
Win32/Benuti!Downloader!Trojan |
|
Doctor Web DrWebCL |
Trojan.Medude |
|
F-Secure |
:Trojan.Win32.Agent.aw |
|
Kaspersky Lab AVPDOS32 |
Trojan.Win32.Agent.aw |
|
McAfee |
Downloader-va |
|
Panda |
Trj/Agent.FO and Adware/Apropos |
|
Trend Micro VScan |
TROJ_LODMEDUD.A |
Ha ellenőrizni szeretné, hogy számítógépe megfertőződött-e ezzel a kémprogrammal, kövesse az alábbi lépéseket:
-
Indítsa el az Internet Explorer böngészőt.
-
Írja be a böngésző címsorába a %windir%\system32\drivers elérési utat, majd nyomja le az ENTER billentyűt.
-
Engedélyezze a rejtett fájlok megjelenítését. Ehhez hajtsa végre a következő lépéseket:
-
Kattintson az Eszközök menü Mappa beállításai parancsára.
-
Kattintson a Nézet fülre, törölje a jelet Az operációs rendszer védett fájljainak elrejtése (ajánlott) jelölőnégyzetből, majd kattintson az Igen gombra, ha megjelenik egy, a rendszerfájlok megjelenítésével kapcsolatos figyelmeztető üzenet.
-
Válassza a Rejtett fájlok és mappák megjelenítése lehetőséget, majd törölje a jelet az Ismert fájltípusok kiterjesztéseinek elrejtése jelölőnégyzetből.
-
Kattintson a Minden mappára érvényes gombra, majd az OK gombra.
-
-
Az F5 billentyűt megnyomva frissítse a képernyőt, majd keressen meg minden olyan .sys fájlt, amelynek véletlenszerűen előállított, nyolc kisbetűből álló neve van. A következő lista ilyen fájlnevekre sorol fel néhány példát:
-
gbqxmhia.sys
-
upzvlbvv.sys
-
jsbmefvk.sys
-
-
Ha gyanús fájlt talál, ellenőrizze annak tulajdonságait. Kattintson jobb gombbal a fájlra, majd a Tulajdonságok parancsra, és a következőket keresse:
-
A fájl dátuma 2005. január 11.
-
A fájl mérete 14 KB (13 824 bájt)
-
A rejtett attribútum be van kapcsolva (a Rejtett jelölőnégyzet be van jelölve)
-
A fájlnak nincs verziószáma, termékneve vagy gyártója
Kattintson az OK gombra a Tulajdonságok párbeszédpanel bezárásához.
-
-
Írja be az Internet Explorer címsorába a %windir%\system32 elérési utat, majd nyomja le az ENTER billentyűt.
-
Keresse meg azt a végrehajtható fájlt (.exe), amely hasonló a következőkhöz:
-
msupd*.exe, ahol a * tetszőleges szám lehet
-
Reloadmedude.exe
E fájlok bármilyen dátummal rendelkezhetnek, méretük pedig 60 KB (61 440 bájt).
Néhány ismert példa e fájlokra:-
msupd.exe
-
msupd4.exe
-
msupd5.exe
-
Reloadmedude.exe
-
Ha a véletlenszerűen előállított nevű .sys fájl és az msupd*.exe vagy a Reloadmedude.exe fájlt megtalálja, a számítógépét megfertőzte a kémprogram.
A megoldás
A probléma megoldásához alkalmazza az alábbi módszerek egyikét.
1. módszer: A rosszindulatú illesztőprogram átnevezése az Internet Explorer segítségével
-
Írja be az Internet Explorer címsorába a %windir%\system32\drivers elérési utat, majd keresse meg a véletlenszerűen előállított nevű .sys fájlt.
-
Kattintson jobb gombbal a fájlra, és válassza az Átnevezés parancsot. Adja a fájlnak a következő új nevet: malware.old, majd nyomja le az ENTER billentyűt.
-
Írja be a címsorba a \WINDOWS\system32 elérési utat, majd nyomja le az ENTER billentyűt.
-
Keresse meg és nevezze át a következő fájlokat, ha vannak ilyenek:
-
msupd5.exe (átnevezve: msupd5.old)
-
msupd4.exe(átnevezve: msupd4.old)
-
msupd.exe (átnevezve: msupd.old)
-
Reloadmedude.exe (átnevezve: Reloadmedude.old)
-
-
Zárja be az Internet Explorert.
-
Indítsa újra a számítógépet.
-
Győződjön meg arról, hogy a vírus/kémszoftverkereső szoftver frissítve van a legújabb vírusfelismerő adatokkal, majd futtasson le egy teljes rendszervizsgálatot.
2. módszer: Csökkentett mód: A rosszindulatú illesztőprogram átnevezése a Sajátgép segédprogrammal
-
Indítsa el a számítógépet csökkentett módban. Ehhez kövesse az alábbi lépéseket:
-
Indítsa újra a számítógépet.
-
A számítógép indulásakor nyomja le másodpercenként egyszer az F8 billentyűt.Ekkor megjelenik a Microsoft Windows speciális rendszerindítási lehetőségeinek menüje.
-
A FEL és LE billentyűk segítségével lépjen a Csökkentett mód menüpontra, majd nyomja meg az ENTER billentyűt.
-
-
Nyissa meg az Internet Explorer böngészőt, és írja be a C:\WINDOWS\system32\drivers elérési utat a címsorba.
-
Engedélyezze a rejtett fájlok megjelenítését a következőképpen:
-
Kattintson a Start menü Sajátgép parancsára, majd válassza az Eszközök menü Mappa beállításai parancsát.
-
Kattintson a Nézet fülre.
-
Törölje Az operációs rendszer védett fájljainak elrejtése (ajánlott) jelölőnégyzet jelölését.
-
Válassza a Rejtett fájlok és mappák megjelenítése lehetőséget, majd törölje a jelet az Ismert fájltípusok kiterjesztéseinek elrejtése jelölőnégyzetből.
-
Kattintson a Minden mappára érvényes gombra, majd az OK gombra.
-
-
Keresse meg a következő mappát: C:\WINDOWS\system32\drivers.
-
Keressen meg minden olyan .sys fájlt, amely az alábbi jellemzőkkel rendelkezik:
-
Véletlenszerűen előállított, nyolc kisbetűből álló fájlnév, mint például gbqxmhia.sys, upzvlbvv.sys vagy jsbmefvk.sys
-
A fájl dátuma 2005. január 11.
-
A fájl mérete 14 KB (13 824 bájt)
-
A rejtett attribútum be van kapcsolva
-
A fájlnak nincs verziószáma, termékneve vagy gyártója
-
-
Kattintson jobb gombbal a fájlra, majd az Átnevezés parancsra. Adja a fájlnak a következő új nevet: malware.old, majd nyomja le az ENTER billentyűt.
-
Keresse meg a \WINDOWS\system32 mappát.
-
Nevezze át a következő fájlokat, ha vannak ilyenek:
-
msupd5.exe (átnevezve: msupd5.old)
-
msupd4.exe(átnevezve: msupd4.old)
-
msupd.exe (átnevezve: msupd.old)
-
Reloadmedude.exe (átnevezve: Reloadmedude.old)
-
-
Indítsa újra a számítógépet.
-
Győződjön meg arról, hogy a vírus/kémszoftverkereső szoftver frissítve van a legújabb vírusfelismerő adatokkal, majd futtasson le egy teljes rendszervizsgálatot.
3. módszer: Csökkentett mód: A rosszindulatú illesztőprogram átnevezése a parancssor segítségével
-
A parancssorból indítsa újra a számítógépet csökkentett módban a következőképpen:
-
Indítsa újra a számítógépet.
-
A számítógép indulásakor nyomja le másodpercenként egyszer az F8 billentyűt.
-
Ekkor megjelenik a Microsoft Windows speciális rendszerindítási lehetőségeinek menüje.
-
A nyílbillentyűk segítségével válassza ki a Csökkentett mód parancssorral menüpontot, majd nyomja le az ENTER billentyűt.
-
-
Kattintson a Start menü Futtatás parancsára, írja be a cmd parancsot, majd kattintson az OK gombra.
-
Írja be a parancssorba a CD %windir%\system32\drivers parancsot, majd nyomja meg az ENTER billentyűt.
-
Írja be a Dir /ah parancsot, majd nyomja meg az ENTER billentyűt.
-
Ekkor az alábbihoz hasonló szöveg jelenik meg (a .sys fájl neve véletlenszerűen előállított):
C:\WINDOWS\system32\drivers tartalma:
2005.01.11. 09:18 13 824 gbqxmhia.sys
1 fájl 13 824 bájt
0 könyvtár 961 425 408 bájt szabad -
Írja be az Attrib –s –h <véletlenszerűfájlnév.sys>, ahol a <véletlenszerűfájlnév.sys> a korábban megjelenített .sys fájl neve, majd nyomja le az ENTER billentyűt. A parancs a korábban megjelenített fájlnévvel például a következő lehet: Attrib –s –h gbqxmhia.sys Ez a parancs eltávolítja a rendszer és rejtett attribútumot a fájlból.
-
Írja be a Ren <véletlenszerűfájlnév.sys> malware.old parancsot, ahol a <véletlenszerűfájlnév.sys> a korábban már említett fájlnév, majd nyomja le az ENTER billentyűt. Ez a parancs átnevezi a véletlenszerűen előállított nevű fájlt.
-
Írja be a CD parancsot, majd nyomja le az ENTER billentyűt. Ekkor a parancssor a \Windows\System32 könyvtárra vált.
-
Írja be a következő parancsokat úgy, hogy mindegyik sor után lenyomja az ENTER billentyűt:
Ren msupd5.exe msupd5.old
Ren msupd4.exe msupd4.old
Ren msupd.exe msupd.old
Ren Reloadmedude.exe Reloadmedude.old
Megjegyzés: Az alábbi hibaüzenetet figyelmen kívül hagyhatja, mivel az azt jelzi, hogy a fájl nem létezik:A rendszer nem találja a megadott fájlt.
-
Írja be az Exit parancsot, majd nyomja le az ENTER billentyűt.
-
Indítsa újra a számítógépet.
-
Győződjön meg arról, hogy a vírus/kémszoftverkereső szoftver frissítve van a legújabb vírusfelismerő adatokkal, majd futtasson le egy teljes rendszervizsgálatot.
Hivatkozások
A Microsoft AntiSpyware termékről további információt a Microsoft Tudásbázis következő cikkeiben talál a cikkek számára kattintva:
892279 A Microsoft Windows AntiSpyware (bétaverzió) beszerzése
892340 A Microsoft Windows AntiSpyware (bétaverzió) kémprogramként azonosít egy programot (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)
A vírusellenőrző szoftverek gyártóiról további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:
49500 A víruskereső szoftverek forgalmazóinak listája
