Kék képernyős „Stop 0x00000050” hibaüzenet

Megjegyzés: A 2. és 3. módszer megoldási lépései során a Windows rendszert csökkentett módban kell elindítani a rosszindulatú kernel-illesztőprogram eltávolításához.

A jelenség

A következő kék képernyős „STOP” hibaüzenet jelenik meg:

*** STOP: 0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237

Az Eseménynaplóban a rendszernaplót megtekintve egy 1003-as eseményazonosítójú, az alábbihoz hasonló adatokat tartalmazó bejegyzést találhat:
Dátum: dátum
Forrás: System
Időpont: időpont
Kategória: (102)
Típus: Hiba
Eseményazonosító: 1003
Felhasználó: -
Számítógép: SZÁMÍTÓGÉP
Leírás: Hibakód: 00000050, 1. paraméter: eb7ff002, 2. paraméter: 00000000, 3. paraméter: 8054af32, 4. paraméter: 00000001. További tájékoztatást a súgóban talál a következő helyen: http://support.microsoft.com.

Oka

Ez a hibaüzenet az alábbi ismert kémprogram által telepített kernel-illesztőprogram hibája miatt jelent meg: Rootkit/Spyware: msupd5.exe Reloadmedude.exe.

Ezt a kémprogramot jelenleg a következő adatvédelmi termékek képesek észlelni:

Termék

A kémprogram jelentett neve

Microsoft AntiSpyware

Spyware.Service.MiscrosoftUpdate (Trojan)

Computer Associates

Win32/Benuti!Downloader!Trojan

Doctor Web DrWebCL

Trojan.Medude

F-Secure

:Trojan.Win32.Agent.aw

Kaspersky Lab AVPDOS32

Trojan.Win32.Agent.aw

McAfee

Downloader-va

Panda

Trj/Agent.FO and Adware/Apropos

Trend Micro VScan

TROJ_LODMEDUD.A

Ha ellenőrizni szeretné, hogy számítógépe megfertőződött-e ezzel a kémprogrammal, kövesse az alábbi lépéseket:

  1. Indítsa el az Internet Explorer böngészőt.

  2. Írja be a böngésző címsorába a %windir%\system32\drivers elérési utat, majd nyomja le az ENTER billentyűt.

  3. Engedélyezze a rejtett fájlok megjelenítését. Ehhez hajtsa végre a következő lépéseket:

    1. Kattintson az Eszközök menü Mappa beállításai parancsára.

    2. Kattintson a Nézet fülre, törölje a jelet Az operációs rendszer védett fájljainak elrejtése (ajánlott) jelölőnégyzetből, majd kattintson az Igen gombra, ha megjelenik egy, a rendszerfájlok megjelenítésével kapcsolatos figyelmeztető üzenet.

    3. Válassza a Rejtett fájlok és mappák megjelenítése lehetőséget, majd törölje a jelet az Ismert fájltípusok kiterjesztéseinek elrejtése jelölőnégyzetből.

    4. Kattintson a Minden mappára érvényes gombra, majd az OK gombra.

  4. Az F5 billentyűt megnyomva frissítse a képernyőt, majd keressen meg minden olyan .sys fájlt, amelynek véletlenszerűen előállított, nyolc kisbetűből álló neve van. A következő lista ilyen fájlnevekre sorol fel néhány példát:

    • gbqxmhia.sys

    • upzvlbvv.sys

    • jsbmefvk.sys

  5. Ha gyanús fájlt talál, ellenőrizze annak tulajdonságait. Kattintson jobb gombbal a fájlra, majd a Tulajdonságok parancsra, és a következőket keresse:

    • A fájl dátuma 2005. január 11.

    • A fájl mérete 14 KB (13 824 bájt)

    • A rejtett attribútum be van kapcsolva (a Rejtett jelölőnégyzet be van jelölve)

    • A fájlnak nincs verziószáma, termékneve vagy gyártója

    Kattintson az OK gombra a Tulajdonságok párbeszédpanel bezárásához.

  6. Írja be az Internet Explorer címsorába a %windir%\system32 elérési utat, majd nyomja le az ENTER billentyűt.

  7. Keresse meg azt a végrehajtható fájlt (.exe), amely hasonló a következőkhöz:

    • msupd*.exe, ahol a * tetszőleges szám lehet

    • Reloadmedude.exe

    E fájlok bármilyen dátummal rendelkezhetnek, méretük pedig 60 KB (61 440 bájt).
    Néhány ismert példa e fájlokra:

    • msupd.exe

    • msupd4.exe

    • msupd5.exe

    • Reloadmedude.exe


Ha a véletlenszerűen előállított nevű .sys fájl és az msupd*.exe vagy a Reloadmedude.exe fájlt megtalálja, a számítógépét megfertőzte a kémprogram.

A megoldás

A probléma megoldásához alkalmazza az alábbi módszerek egyikét.

1. módszer: A rosszindulatú illesztőprogram átnevezése az Internet Explorer segítségével

  1. Írja be az Internet Explorer címsorába a %windir%\system32\drivers elérési utat, majd keresse meg a véletlenszerűen előállított nevű .sys fájlt.

  2. Kattintson jobb gombbal a fájlra, és válassza az Átnevezés parancsot. Adja a fájlnak a következő új nevet: malware.old, majd nyomja le az ENTER billentyűt.

  3. Írja be a címsorba a \WINDOWS\system32 elérési utat, majd nyomja le az ENTER billentyűt.

  4. Keresse meg és nevezze át a következő fájlokat, ha vannak ilyenek:

    • msupd5.exe (átnevezve: msupd5.old)

    • msupd4.exe(átnevezve: msupd4.old)

    • msupd.exe (átnevezve: msupd.old)

    • Reloadmedude.exe (átnevezve: Reloadmedude.old)

  5. Zárja be az Internet Explorert.

  6. Indítsa újra a számítógépet.

  7. Győződjön meg arról, hogy a vírus/kémszoftverkereső szoftver frissítve van a legújabb vírusfelismerő adatokkal, majd futtasson le egy teljes rendszervizsgálatot.

2. módszer: Csökkentett mód: A rosszindulatú illesztőprogram átnevezése a Sajátgép segédprogrammal

  1. Indítsa el a számítógépet csökkentett módban. Ehhez kövesse az alábbi lépéseket:

    1. Indítsa újra a számítógépet.

    2. A számítógép indulásakor nyomja le másodpercenként egyszer az F8 billentyűt.Ekkor megjelenik a Microsoft Windows speciális rendszerindítási lehetőségeinek menüje.

    3. A FEL és LE billentyűk segítségével lépjen a Csökkentett mód menüpontra, majd nyomja meg az ENTER billentyűt.

  2. Nyissa meg az Internet Explorer böngészőt, és írja be a C:\WINDOWS\system32\drivers elérési utat a címsorba.

  3. Engedélyezze a rejtett fájlok megjelenítését a következőképpen:

    1. Kattintson a Start menü Sajátgép parancsára, majd válassza az Eszközök menü Mappa beállításai parancsát.

    2. Kattintson a Nézet fülre.

    3. Törölje Az operációs rendszer védett fájljainak elrejtése (ajánlott) jelölőnégyzet jelölését.

    4. Válassza a Rejtett fájlok és mappák megjelenítése lehetőséget, majd törölje a jelet az Ismert fájltípusok kiterjesztéseinek elrejtése jelölőnégyzetből.

    5. Kattintson a Minden mappára érvényes gombra, majd az OK gombra.

  4. Keresse meg a következő mappát: C:\WINDOWS\system32\drivers.

  5. Keressen meg minden olyan .sys fájlt, amely az alábbi jellemzőkkel rendelkezik:

    1. Véletlenszerűen előállított, nyolc kisbetűből álló fájlnév, mint például gbqxmhia.sys, upzvlbvv.sys vagy jsbmefvk.sys

    2. A fájl dátuma 2005. január 11.

    3. A fájl mérete 14 KB (13 824 bájt)

    4. A rejtett attribútum be van kapcsolva

    5. A fájlnak nincs verziószáma, termékneve vagy gyártója

  6. Kattintson jobb gombbal a fájlra, majd az Átnevezés parancsra. Adja a fájlnak a következő új nevet: malware.old, majd nyomja le az ENTER billentyűt.

  7. Keresse meg a \WINDOWS\system32 mappát.

  8. Nevezze át a következő fájlokat, ha vannak ilyenek:

    • msupd5.exe (átnevezve: msupd5.old)

    • msupd4.exe(átnevezve: msupd4.old)

    • msupd.exe (átnevezve: msupd.old)

    • Reloadmedude.exe (átnevezve: Reloadmedude.old)

  9. Indítsa újra a számítógépet.

  10. Győződjön meg arról, hogy a vírus/kémszoftverkereső szoftver frissítve van a legújabb vírusfelismerő adatokkal, majd futtasson le egy teljes rendszervizsgálatot.

3. módszer: Csökkentett mód: A rosszindulatú illesztőprogram átnevezése a parancssor segítségével

  1. A parancssorból indítsa újra a számítógépet csökkentett módban a következőképpen:

    1. Indítsa újra a számítógépet.

    2. A számítógép indulásakor nyomja le másodpercenként egyszer az F8 billentyűt.

    3. Ekkor megjelenik a Microsoft Windows speciális rendszerindítási lehetőségeinek menüje.

    4. A nyílbillentyűk segítségével válassza ki a Csökkentett mód parancssorral menüpontot, majd nyomja le az ENTER billentyűt.

  2. Kattintson a Start menü Futtatás parancsára, írja be a cmd parancsot, majd kattintson az OK gombra.

  3. Írja be a parancssorba a CD %windir%\system32\drivers parancsot, majd nyomja meg az ENTER billentyűt.


  4. Írja be a Dir /ah parancsot, majd nyomja meg az ENTER billentyűt.

  5. Ekkor az alábbihoz hasonló szöveg jelenik meg (a .sys fájl neve véletlenszerűen előállított):

    C:\WINDOWS\system32\drivers tartalma:

    2005.01.11. 09:18 13 824 gbqxmhia.sys
    1 fájl 13 824 bájt
    0 könyvtár 961 425 408 bájt szabad
  6. Írja be az Attrib –s –h <véletlenszerűfájlnév.sys>, ahol a <véletlenszerűfájlnév.sys> a korábban megjelenített .sys fájl neve, majd nyomja le az ENTER billentyűt. A parancs a korábban megjelenített fájlnévvel például a következő lehet: Attrib –s –h gbqxmhia.sys Ez a parancs eltávolítja a rendszer és rejtett attribútumot a fájlból.

  7. Írja be a Ren <véletlenszerűfájlnév.sys> malware.old parancsot, ahol a <véletlenszerűfájlnév.sys> a korábban már említett fájlnév, majd nyomja le az ENTER billentyűt. Ez a parancs átnevezi a véletlenszerűen előállított nevű fájlt.

  8. Írja be a CD parancsot, majd nyomja le az ENTER billentyűt. Ekkor a parancssor a \Windows\System32 könyvtárra vált.

  9. Írja be a következő parancsokat úgy, hogy mindegyik sor után lenyomja az ENTER billentyűt:
    Ren msupd5.exe msupd5.old
    Ren msupd4.exe msupd4.old
    Ren msupd.exe msupd.old
    Ren Reloadmedude.exe Reloadmedude.old
    Megjegyzés: Az alábbi hibaüzenetet figyelmen kívül hagyhatja, mivel az azt jelzi, hogy a fájl nem létezik:

    A rendszer nem találja a megadott fájlt.

  10. Írja be az Exit parancsot, majd nyomja le az ENTER billentyűt.

  11. Indítsa újra a számítógépet.

  12. Győződjön meg arról, hogy a vírus/kémszoftverkereső szoftver frissítve van a legújabb vírusfelismerő adatokkal, majd futtasson le egy teljes rendszervizsgálatot.

Hivatkozások

A Microsoft AntiSpyware termékről további információt a Microsoft Tudásbázis következő cikkeiben talál a cikkek számára kattintva:

892279 A Microsoft Windows AntiSpyware (bétaverzió) beszerzése

892340 A Microsoft Windows AntiSpyware (bétaverzió) kémprogramként azonosít egy programot (Előfordulhat, hogy a hivatkozás részben vagy teljes egészében angol nyelvű tartalomra mutat.)


A vírusellenőrző szoftverek gyártóiról további információt a Microsoft Tudásbázis következő cikkében talál a cikk számára kattintva:

49500 A víruskereső szoftverek forgalmazóinak listája

További segítségre van szüksége?

Ismeretek bővítése
Oktatóanyagok megismerése
Új szolgáltatások listájának lekérése
Csatlakozás a Microsoft Insiderek

Hasznos volt az információ?

Köszönjük visszajelzését!

Köszönjük visszajelzését. Jobbnak látjuk, ha az Office egyik támogatási szakemberéhez irányítjuk.

×