You have multiple accounts
Choose the account you want to sign in with.

Ringkasan

Artikel ini menjelaskan beberapa gejala yang mungkin Anda alami jika komputer menjalankan Spyware.Service.MiscrosoftUpdate (Trojan) rootkit spyware. Untuk menghapus Trojan virus, Anda harus mengidentifikasi berkas yang menyebabkan masalah ini dan kemudian ganti nama berkas.

Komponen mode-pengguna (spyware) Msupd*.exe dan Reloadmedude.exe dapat dibersihkan oleh beberapa program antivirus atau anti-spyware sebagai pengandar tersembunyi diubah namanya. Pengandar tersembunyi mungkin bernama "gbqxhia.sys," "upzvlbvv.sys," "jsbmefvk.sys", atau beberapa nama file acak lain yang berisi hanya huruf kecil.

Beberapa program anti-spyware yang dapat mendeteksi virus ini tercantum di bagian "Informasi selengkapnya".

Gejala

Anda mungkin mengalami satu atau lebih gejala berikut ini:

  • Secara otomatis restart komputer.

  • Setelah Anda logon, Anda menerima pesan galat berikut:

    Microsoft Windows

    Sistem telah pulih dari galat serius. Log galat ini telah dibuat. Beritahukan kepada Microsoft mengenai masalah ini. Kami telah membuat laporan galat yang dapat Anda kirimkan untuk membantu kami menyempurnakan Microsoft Windows. Kami akan memperlakukan laporan ini sebagai rahasia dan tanpa nama. Untuk melihat data apa laporan galat ini, klik di sini.

    Jika pesan galat tetap di layar, klik tautan "klik di sini" di bagian bawah kotak pesan jika Anda ingin melihat data dalam laporan galat. Jika Anda melakukannya, Anda melihat informasi tanda galat yang mungkin mirip dengan berikut ini:

    BCCode: 00000050 BCP1: 0xeb7ff002 BCP2: 0x00000000 BCP3: 0x8054af32 BCP4: 0x00000001 OSVer: 5_1_2600 SP: 0_0 Produk: 256_1

  • Anda menerima pesan galat Stop berikut ini:

    Masalah telah terdeteksi dan Windows telah dimatikan untuk mencegah galat komputer informasi teknis: *** berhenti: 0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt! ExFreePoolWithTag + 237

  • Log sistem mencatat kejadian yang sama dengan berikut ini:

Catatan

Gejala galat Stop bervariasi menurut pilihan kegagalan sistem komputer. Untuk informasi selengkapnya tentang cara mengkonfigurasi opsi kegagalan sistem, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

307973 cara mengkonfigurasi opsi kegagalan dan pemulihan sistem di Windows

Empat parameter yang disertakan dalam informasi tanda galat (BCPn) dan di dalam tanda kurung informasi teknis untuk galat Stop mungkin berbeda-beda menurut konfigurasi komputer.

Tidak semua galat stop 0x00000050 disebabkan oleh masalah yang dijelaskan di bagian "Sebab".

Penyebab

Pesan galat ini disebabkan oleh pengandar kernel yang diinstal oleh program spyware rootkit yang diketahui berikut ini:

  • Msupd5.exe

  • Reloadmedude.exe

Pemecahan masalah

Untuk mengatasi masalah ini, gunakan salah satu atau lebih metode berikut. Metode yang tercantum dalam urutan yang dipilih.

Metode 1: Ganti pengandar berbahaya dengan menggunakan Internet Explorer

  1. Buka Internet Explorer.

  2. Di kotak Alamat , ketik %windir%\system32\drivers, dan kemudian tekan ENTER.

  3. Cari berkas .sys diberi nama secara acak, klik kanan berkas, dan kemudian pilih ganti nama.

  4. Ketik malware.old untuk mengganti nama berkas, dan kemudian tekan ENTER.

  5. Di kotak Alamat , ketik \WINDOWS\system32, dan kemudian tekan ENTER.

  6. Temukan dan kemudian ganti berkas berikut, jika ada:

    • Msupd5.exe. ganti nama berkas ini Msupd5.old.

    • Msupd4.exe. ganti nama berkas ini Msupd4.old.

    • Msupd.exe. ganti nama berkas ini Msupd.old.

    • Reloadmedude.exe. ganti nama berkas ini Reloadmedude.old.

  7. Tutup Internet Explorer.

  8. Hidupkan ulang komputer.

  9. Pastikan bahwa perangkat lunak antivirus atau anti-spyware diperbarui dengan tanda tangan terbaru, dan kemudian memindai sistem lengkap.

Metode 2: Dalam Mode aman, ganti nama pengandar berbahaya dengan menggunakan komputer saya

  1. Memulai komputer dalam Mode aman. Untuk melakukannya, ikuti langkah-langkah berikut:

    1. Hidupkan ulang komputer.

    2. Saat komputer mulai, tekan tombol F8 berulang kali (satu kali per detik). Tindakan ini akan menyebabkan opsi Microsoft Windows Advanced Menu mulai muncul.

    3. Gunakan tombol panah naik dan turun panah untuk menyorot Mode aman, dan kemudian tekan ENTER.

  2. Buka Internet Explorer

  3. Di kotak Alamat , ketik %windir%\system32\drivers, dan kemudian tekan ENTER.

  4. Mengaktifkan melihat file tersembunyi. Untuk melakukannya, ikuti langkah-langkah berikut:

    1. Klik Mulai, lalu klik Komputer Saya.

    2. Pada menu Alat , klik Opsi Folder.

    3. Pada tab tampilan , klik untuk mengosongkan kotak centang Sembunyikan berkas sistem operasi (disarankan) yang dilindungi , dan kemudian klik ya saat Anda menerima pesan peringatan yang menyatakan bahwa Anda telah memilih untuk menampilkan berkas sistem operasi yang dilindungi.

    4. Pada berkas dan folder tersembunyi, klik Tampilkan file dan folder tersembunyi.

    5. Klik untuk mengosongkan kotak centang Sembunyikan ekstensi untuk jenis berkas yang diketahui .

    6. Di area tampilan Folder , klik Terapkan ke semua folder, dan kemudian klik OK.

  5. Temukan folder yang bernama C:\%windir%\System32\Drivers.

  6. Temukan file .sys apa pun yang memiliki karakter berikut ini:

    1. Nama berkas yang dihasilkan secara acak yang terdiri dari delapan huruf kecil, seperti "gbqxmhia.sys," "upzvlbvv.sys" atau "jsbmefvk.sys"

    2. Tanggal 11 Januari 2005

    3. Ukuran 14 KB (13,824 byte)

    4. Atribut tersembunyi yang ditetapkan

      Catatan Berkas yang memiliki atribut tersembunyi yang ditetapkan menampilkan "HA" di kolom atribut di Windows Explorer. Untuk petunjuk tentang cara melihat kolom atribut , lihat langkah-langkah 5a dan 5b prosedur yang dijelaskan di bagian "Informasi selengkapnya".

    5. Tidak memiliki versi, nama produk, atau pabrik informasi.

  7. Untuk setiap file yang Anda Cari, klik kanan berkas, dan kemudian pilih ganti nama.

  8. Ketik malware1.old untuk mengganti nama berkas pertama, dan kemudian tekan ENTER.

    Catatan Ketik malware2.old untuk mengganti nama file kedua, ketik malware3.old untuk mengganti nama berkas ketiga, dan sebagainya.

  9. Cari %windir%\System32 folder.

  10. Ganti nama berkas berikut ini, jika ada:

    • Msupd5.exe. ganti msupd5.old berkas ini.

    • Msupd4.exe. ganti nama berkas ini Msupd4.old.

    • Msupd.exe. ganti nama berkas ini Msupd.old.

    • Reloadmedude.exe. ganti nama berkas ini Reloadmedude.old.

  11. Hidupkan ulang komputer.

  12. Pastikan bahwa perangkat lunak antivirus atau anti-spyware diperbarui dengan tanda tangan terbaru, dan kemudian memindai sistem lengkap.

Metode 3: Dalam Mode aman, ganti nama pengandar berbahaya dengan menggunakan prompt perintah

  1. Memulai komputer dalam Mode aman. Untuk melakukannya, ikuti langkah-langkah berikut:

    1. Hidupkan ulang komputer.

    2. Saat komputer mulai, tekan tombol F8 berulang kali (satu kali per detik). Tindakan ini akan menyebabkan opsi Microsoft Windows Advanced Menu mulai muncul.

    3. Gunakan panah naik dan turun panah untuk memilih Mode aman dengan Prompt Perintah, dan kemudian tekan ENTER.

  2. Klik mulai, klik Jalankan, ketik cmd di kotak buka , dan kemudian klik OK.

  3. Pada prompt perintah, ketik CD %windir%\system32\drivers, dan kemudian tekan ENTER.


  4. Ketik Dir /ah, dan kemudian tekan ENTER.

  5. Anda akan melihat teks yang mirip dengan teks berikut ini. Nama berkas .sys akan dihasilkan secara acak.

    Directory of C:\WINDOWS\system32\drivers
    01/11/2005 09:18 AM 13,824 gbqxmhia.sys
    1 File(s) 13,824 bytes
    0 Dir(s) 961,425,408 bytes free

  6. Ketik Attrib-s-h RandomFilename, dan kemudian tekan ENTER. Tindakan ini akan menghapus atribut sistem dan atribut tersembunyi dari berkas.

    Catatan Tempat RandomFilename mewakili nama berkas .sys yang ditampilkan setelah Anda melakukan langkah 5. Misalnya, untuk nama berkas yang ditentukan dalam contoh di langkah 5, Anda akan ketik Attrib-s-h gbqxmhia.sys.

  7. Ketik malware.old Ren RandomFilename , dan kemudian tekan ENTER. Tindakan ini mengubah nama berkas yang diberi nama secara acak.

  8. Ketik CD, dan kemudian tekan ENTER. Hal ini akan mengubah baris perintah ke %windir%\System32 folder.

  9. Jenis berikut perintah satu per satu, dan kemudian tekan ENTER setelah Anda mengetik setiap perintah:
    Ren msupd5.exe msupd5.old

    Ren msupd4.exe msupd4.old

    Ren msupd.exe msupd.old

    Ren reloadmedude.exe reloadmedude.old
    Catatan Jika Anda menerima pesan galat berikut ini, Anda dapat mengabaikan pesan, karena ini menunjukkan bahwa berkas target tidak ada:

    Sistem tidak dapat menemukan berkas yang ditentukan.

  10. Ketik Exit, dan kemudian tekan ENTER.

  11. Hidupkan ulang komputer.

  12. Pastikan bahwa perangkat lunak antivirus atau anti-spyware diperbarui dengan tanda tangan terbaru, dan kemudian memindai sistem lengkap.

Informasi lebih lanjut

Untuk memverifikasi apakah komputer terinfeksi spyware ini, ikuti langkah-langkah berikut:

  1. Mulai Internet Explorer.

  2. Di kotak Alamat Internet Explorer, ketik %windir%\system32\drivers, dan kemudian tekan ENTER.

  3. Mengubah cara Windows Menampilkan berkas tersembunyi dan berkas sistem operasi yang dilindungi. Untuk melakukannya, ikuti langkah-langkah berikut:

    1. Pada menu Alat , klik Opsi Folder.

    2. Pada tab tampilan , klik untuk mengosongkan kotak centang Sembunyikan berkas sistem operasi (disarankan) yang dilindungi , dan kemudian klik ya saat Anda menerima pesan peringatan yang menyatakan bahwa Anda telah memilih untuk menampilkan berkas sistem operasi yang dilindungi.

    3. Pada berkas dan folder tersembunyi, klik Tampilkan file dan folder tersembunyi.

    4. Klik untuk mengosongkan kotak centang Sembunyikan ekstensi untuk jenis berkas yang diketahui .

    5. Klik untuk memilih kotak centang menampilkan konten folder sistem , dan kemudian klik OK.

    6. Pada menu tampilan , klik rincian.

  4. Tekan F5 untuk memperbarui pengandar folder menampilkan.

  5. Mencari berkas sistem (berkas yang memiliki ekstensi .sys dalam nama) yang memiliki atribut tersembunyi mereka mengatur dan hilang rincian tentang produk nama perusahaan dan versi file.

    Catatan Berkas yang memiliki atribut tersembunyi mereka menetapkan menampilkan "HA" di kolom atribut di Windows Explorer. Untuk petunjuk tentang cara melihat kolom atribut , lihat langkah-langkah 5a dan 5b.

    Untuk melakukannya, ikuti langkah-langkah berikut.

    Catatan Berkas spyware tampak memiliki nama berkas yang dihasilkan secara acak yang terdiri dari delapan huruf kecil.

    1. Mengubah cara Windows Explorer menampilkan rincian untuk file di dalam folder. Untuk melakukannya, ikuti langkah-langkah berikut:

      1. Pada menu Tampilan, klik Pilih Rincian.

      2. Klik untuk memilih kotak centang atribut .

      3. Klik untuk memilih kotak centang Nama produk .

      4. Klik untuk memilih kotak centang perusahaan .

      5. Klik untuk memilih kotak centang Versi File .

    2. Klik tajuk kolom atribut untuk menyortir daftar berkas dengan atribut. Berkas di folder driver umumnya berisi hanya atribut arsip (A). Cari berkas yang juga memiliki atribut tersembunyi (HA).
      Daftar berikut berisi nama contoh berkas spyware yang diketahui menyebabkan masalah ini:

      • gbqxmhia.sys

      • upzvlbvv.sys

      • jsbmefvk.sys

      Setelah Anda menemukan berkas yang Anda mencurigai adalah berkas spyware, periksa properti berkas dengan menggunakan kotak dialog properti . Klik kanan berkas, klik properti, dan kemudian Cari informasi berikut ini:

      • Pada tab Umum:

        • Diubah: 11 Januari 2005

        • Ukuran: 14 KB (13,824 byte)

        • Tanda centang di kotak centang tersembunyi

      • Pada tab versi:

        • Tidak ada versi berkas

        • Tidak ada Deskripsi

        • Tidak ada hak cipta

        • Tidak ada nama perusahaan

        • Tidak ada nama produk

    Jika berkas yang memiliki atribut tersembunyi ditetapkan dan juga hilang rincian tentang produk nama perusahaan dan versi file, komputer terinfeksi spyware.

  6. Klik OK untuk menutup kotak dialog properti , dan kemudian ikuti langkah-langkah salah satu metode yang dijelaskan di bagian "Pemecahan masalah" untuk menyelesaikan masalah.

  7. Di kotak Alamat Internet Explorer, ketik %windir%\system32, dan kemudian tekan ENTER.

  8. Cari berkas aplikasi (berkas yang memiliki ekstensi .exe dalam nama) yang memiliki nama yang sama dengan berikut ini:

    • Msupd.exe

    • Msupd*.exe

      Catatan Tempat * mewakili satu digit angka

    • Reloadmedude.exe

    Berkas tersebut akan memiliki tanggal acak dan ukuran 60 KB (61,440 byte).
    Dikenal nama spyware file termasuk nama berkas berikut ini:

    • Msupd.exe

    • Msupd4.exe

    • Msupd5.exe

    • Reloadmedude.exe


  9. Jika satu atau lebih berkas ini ada, komputer yang terinfeksi spyware. Ikuti langkah-langkah dari salah satu metode yang dijelaskan di bagian "Pemecahan masalah" untuk menyelesaikan masalah.

Produk keamanan yang mendeteksi spyware ini

Beberapa produk keamanan mendeteksi spyware ini. Produk ini dan melaporkan spyware nama contoh berikut ini:

Produk

Nama dilaporkan spyware

Microsoft AntiSpyware

Spyware.Service.MiscrosoftUpdate (Trojan)

Computer Associates

Win32/Benuti.61440!Downloader!Dr

Dokter Web DrWebCL

Trojan.Medude

F Secure

Trojan.Win32.Agent.aw

Kaspersky Lab AVPDOS32

Trojan.Win32.Agent.aw

McAfee

Pengunduh-va

Panda

Trj/Agent.FO dan Adware/Apropos

Trend Micro VScan

TROJ_LODMEDUD.A

Symantec

Trojan.Lodmeduod

Referensi

Untuk informasi selengkapnya tentang produk Microsoft AntiSpyware, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

892279 cara memperoleh Microsoft Windows AntiSpyware (Beta)

892340 Microsoft Windows AntiSpyware (Beta) menunjukkan program sebagai ancaman spyware


Untuk informasi lebih lanjut tentang vendor perangkat lunak antivirus, klik nomor artikel berikut ini untuk melihat artikel di Pangkalan Pengetahuan Microsoft:

49500 Daftar vendor perangkat lunak antivirus

Perlu bantuan lainnya?

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung Microsoft Insider

Apakah informasi ini bermanfaat?

Seberapa puaskah Anda dengan kualitas bahasanya?
Apa yang memengaruhi pengalaman Anda?

Terima kasih atas umpan balik Anda!

×