Al momento sei offline in attesa che la connessione Internet venga ristabilita

Possibile riavvio automatico del computer o visualizzazione di un messaggio di "errore grave" o di un messaggio di errore irreversibile in Windows Server 2003, Windows XP o Windows 2000

Il supporto per Windows XP è terminato

Il supporto Microsoft per Windows XP è terminato l'8 aprile 2014. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

Il supporto per Windows Server 2003 è terminato il 14 luglio 2015.

Microsoft ha sospeso il supporto per Windows Server 2003 in data 14 luglio 2015. Questa modifica ha interessato gli aggiornamenti software e le opzioni di sicurezza. Ulteriori informazioni su come continuare a essere protetti.

Sommario
In questo articolo vengono descritti alcuni sintomi che possono verificarsi se nel computer in uso è in esecuzione lo spyware rootkit Spyware.Service.MiscrosoftUpdate (Trojan). Per rimuovere il virus Trojan horse è necessario identificare i file che causano il problema e quindi rinominarli.

I componenti spyware in modalità utente Msupd*.exe e Reloadmedude.exe possono essere rimossi da alcuni programmi antivirus o antispyware non appena viene rinominato il driver nascosto. Il nome file del driver nascosto può essere "gbqxhia.sys", "upzvlbvv.sys", "jsbmefvk.sys" o qualsiasi altro nome di file casuale contenente solo lettere minuscole.

Nella sezione "Informazioni" sono elencati alcuni programmi antispyware in grado di rilevare questo virus.
Sintomi
È possibile che si verifichi uno o più dei seguenti sintomi:
  • Il computer viene riavviato automaticamente.
  • Dopo avere effettuato l'accesso, è possibile che venga visualizzato un messaggio di errore analogo al seguente:
    Microsoft Windows
    Il sistema è stato ripristinato in seguito a un errore grave. È stato creato un registro relativo all'errore. Segnalare il problema a Microsoft. È stata creata una segnalazione errori che è possibile inviare in modo da consentire la risoluzione del problema di Microsoft Windows. Il contenuto della segnalazione sarà riservato e anonimo. Per visualizzare i dati contenuti nella segnalazione errori, fare clic qui.
    Se il messaggio di errore continua ad essere visualizzato, fare clic sul collegamento nella parte inferiore del messaggio se si desidera verificare i dati contenuti nella segnalazione errori. In tal caso, verranno visualizzate informazioni sull'identificativo dell'errore analoghe alle seguenti:
    BCCode : 00000050 BCP1 : 0xeb7ff002 BCP2 : 0x00000000 BCP3 : 0x8054af32 BCP4 : 0x00000001 OSVer : 5_1_2600 SP : 0_0 Prodotto : 256_1
  • Viene visualizzato un messaggio di errore irreversibile analogo al seguente:
    Si è verificato un problema e Windows è stato arrestato per impedire danni al computer. Informazioni tecniche: *** STOP: 0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237
  • Nel registro eventi di sistema viene registrato un evento analogo al seguente:

    Data: data
    Origine: Errore di sistema
    Ora: ora
    Categoria: (102)
    Tipo: Errore
    ID evento: 1003
    Utente: N/D
    Computer: computer
    Descrizione: Codice errore 00000050, parametro1 0xeb7ff002, parametro2 0x00000000, parametro3 0x8054af32, parametro4 0x00000001. Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico all'indirizzo http://support.microsoft.com. Dati: 0000: 53 79 73 74 65 6d 20 45 System E 0008: 72 72 6f 72 20 20 45 72 Errore 0010: 72 6f 72 20 63 6f 64 65 Codice errore 0018: 20 30 30 30 30 30 30 35 00000MN 0020: 30 20 20 50 61 72 61 6d 0 Parametri 0028: 65 74 65 72 73 20 66 66 ff 0030: 66 66 66 66 64 31 2c

Note

I sintomi di un errore irreversibile variano in base alle opzioni relative alle operazioni da eseguire in caso di errori di sistema. Per ulteriori informazioni sulla configurazione delle opzioni relative alle operazioni da eseguire in caso di errori di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
307973 HOW TO: Configurare tecniche di ripristino in Windows XP
I quattro parametri inclusi nelle informazioni sull'identificativo dell'errore (BCPn) e riportate tra parentesi nelle informazioni tecniche sull'errore irreversibile possono variare in base alla configurazione del computer.

Non tutti gli errori di tipo STOP 0x00000050 sono causati dal problema descritto nella sezione "Cause".
Cause
Questo messaggio di errore è causato da un driver del kernel installato da noti programmi spyware rootkit elencati di seguito:
  • Msupd5.exe
  • Reloadmedude.exe
Risoluzione
Per risolvere questo problema, utilizzare uno o più metodi descritti di seguito elencati nell'ordine preferenziale.

Metodo 1: Rinominare il driver dannoso utilizzando Internet Explorer

  1. Aprire Internet Explorer.
  2. Nella casella Indirizzo digitare %windir%\system32\drivers e premere INVIO.
  3. Individuare il file sys con nome casuale, fare clic con il pulsante destro del mouse sul file, quindi scegliere Rinomina.
  4. Digitare malware.old per rinominare il file, quindi premere INVIO.
  5. Nella casella Indirizzo digitare \WINDOWS\system32, quindi premere INVIO.
  6. Individuare e rinominare i file riportati di seguito, se presenti:
    • Msupd5.exe. Rinominarlo in Msupd5.old.
    • Msupd4.exe. Rinominarlo in Msupd4.old.
    • Msupd.exe. Rinominarlo in Msupd.old.
    • Reloadmedude.exe. Rinominarlo in Reloadmedude.old.
  7. Chiudere Internet Explorer.
  8. Riavviare il computer.
  9. Assicurarsi che il software antivirus o antispyware sia aggiornato con le firme più recenti, quindi eseguire una scansione completa del sistema.

Metodo 2: In modalità provvisoria rinominare il driver dannoso utilizzando Risorse del computer

  1. Avviare il computer in modalità provvisoria. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Riavviare il computer.
    2. All'avvio del computer premere ripetutamente F8 (una volta al secondo). Verranno visualizzate le opzioni avanzate del menu di avvio di Microsoft Windows.
    3. Utilizzare freccia SU e freccia GIÙ per selezionare Modalità provvisoria, quindi premere INVIO.
  2. Aprire Internet Explorer.
  3. Nella casella Indirizzo digitare C:\%windir%\system32\drivers e premere INVIO.
  4. Attivare la visualizzazione dei file nascosti. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Fare clic sul pulsante Start, quindi scegliere Risorse del computer.
    2. Scegliere Opzioni cartella dal menu Strumenti.
    3. Nella scheda Visualizzazione deselezionare la casella di controllo Nascondi i file protetti di sistema (consigliato) quindi scegliere quando viene visualizzato un messaggio di avviso nel quale è indicato che è stato scelto di visualizzare file protetti del sistema operativo.
    4. In Cartelle e file nascosti selezionare Visualizza cartelle e file nascosti.
    5. Deselezionare la casella di controllo Nascondi le estensioni per i tipi di file conosciuti.
    6. Nell'area Visualizzazione cartelle fare clic su Applica a tutte le cartelle, quindi scegliere OK.
  5. Individuare la cartella denominata C:\%windir%\System32\Drivers.
  6. Individuare qualsiasi file sys con le seguenti caratteristiche:
    1. Nome di file generato casualmente composto da un massimo di otto lettere minuscole, ad esempio "gbqxmhia.sys", "upzvlbvv.sys", o "jsbmefvk.sys"
    2. Data 11 gennaio 2005
    3. Dimensioni 14 KB (13.824 byte)
    4. Attributo nascosto impostato

      Nota Per i file con l'attributo nascosto impostato viene visualizzato "HA" nella colonna Attributi in Esplora risorse. Per istruzioni sulla visualizzazione della colonna Attributi, vedere i passaggi 5a e 5b della procedura descritta nella sezione "Informazioni".
    5. Nessuna informazione su versione, nome del prodotto o produttore.
  7. Fare clic con il pulsante destro del mouse su ogni file individuato, quindi scegliere Rinomina.
  8. Digitare malware1.old per rinominare il primo file, quindi premere INVIO.

    Nota Digitare malware2.old per rinominare il secondo file, quindi malware3.old per rinominare il terzo file e così via.
  9. Individuare la cartella %windir%\System32.
  10. Rinominare i seguenti file, se presenti:
    • Msupd5.exe. Rinominarlo in msupd5.old.
    • Msupd4.exe. Rinominarlo in Msupd4.old.
    • Msupd.exe. Rinominarlo in Msupd.old.
    • Reloadmedude.exe. Rinominarlo in Reloadmedude.old.
  11. Riavviare il computer.
  12. Assicurarsi che il software antivirus o antispyware sia aggiornato con le firme più recenti, quindi eseguire una scansione completa del sistema.

Metodo 3: In modalità provvisoria rinominare il driver dannoso utilizzando il prompt dei comandi

  1. Avviare il computer in modalità provvisoria. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Riavviare il computer.
    2. All'avvio del computer premere ripetutamente F8 (una volta al secondo). Verranno visualizzate le opzioni avanzate del menu di avvio di Microsoft Windows.
    3. Utilizzare freccia SU e freccia GIù per selezionare Modalità provvisoria con prompt dei comandi, quindi premere INVIO.
  2. Fare clic sul pulsante Start, scegliere Esegui, digitare cmd nella casella Apri, quindi scegliere OK.
  3. Al prompt dei comandi digitare CD %windir%\system32\drivers, quindi premere INVIO.
  4. Digitare Dir /ah, quindi premere INVIO.
  5. Verrà visualizzato testo analogo al seguente. Il nome del file sys verrà generato casualmente.
    Directory of C:\WINDOWS\system32\drivers01/11/2005  09:18 AM               13,824 gbqxmhia.sys               1 File(s)            13,824 bytes               0 Dir(s)     961,425,408 bytes free
  6. Digitare Attrib –s –h NomefileCasuale e premere INVIO. Con questa operazione vengono rimossi gli attributi nascosti e di sistema dal file.

    Nota Il segnaposto NomefileCasuale rappresenta il nome del file sys visualizzato dopo l'esecuzione del passaggio 5. Ad esempio, per il nome del file specificato nell'esempio del passaggio 5 digitare Attrib –s –h gbqxmhia.sys.
  7. Digitare Ren NomefileCasuale malware.old e premere INVIO. Con questa operazione viene rinominato il file con un nome casuale.
  8. Digitare CD e premere INVIO. La riga di comando passa alla cartella %windir%\System32.
  9. Digitare i comandi riportati di seguito uno alla volta e premere INVIO dopo ogni comando:
    Ren msupd5.exe msupd5.old
    Ren msupd4.exe msupd4.old
    Ren msupd.exe msupd.old
    Ren reloadmedude.exe reloadmedude.old
    Nota Se viene visualizzato il seguente messaggio di errore, è possibile ignorarlo poiché significa che il file di destinazione non esiste:
    Impossibile trovare il file specificato.
  10. Digitare Exit e premere INVIO.
  11. Riavviare il computer.
  12. Assicurarsi che il software antivirus o antispyware sia aggiornato con le firme più recenti, quindi eseguire una scansione completa del sistema.
Informazioni
Per verificare se nel computer è presente questo spyware, attenersi alla seguente procedura:
  1. Avviare Internet Explorer.
  2. Nella casella Indirizzo di Internet Explorer digitare %windir%\system32\drivers e premere INVIO.
  3. Modificare la modalità di visualizzazione dei file nascosti e dei file protetti di sistema. Per effettuare questa operazione, attenersi alla seguente procedura:
    1. Scegliere Opzioni cartella dal menu Strumenti.
    2. Nella scheda Visualizzazione deselezionare la casella di controllo Nascondi i file protetti di sistema (consigliato) quindi scegliere quando viene visualizzato un messaggio di avviso nel quale è indicato che è stato scelto di visualizzare file protetti del sistema operativo.
    3. In Cartelle e file nascosti selezionare Visualizza cartelle e file nascosti.
    4. Deselezionare la casella di controllo Nascondi le estensioni per i tipi di file conosciuti.
    5. Selezionare la casella di controllo Visualizza il contenuto delle cartelle di sistema, quindi scegliere OK.
    6. Scegliere Dettagli dal menu Visualizza.
  4. Premere F5 per aggiornare la visualizzazione della cartella Drivers.
  5. Individuare qualsiasi file di sistema, ovvero i file con estensione sys, con l'attributo nascosto impostato e senza informazioni su nome del prodotto, produttore e versione.

    Nota Per i file con l'attributo nascosto impostato viene visualizzato "HA" nella colonna Attributi in Esplora risorse. Per istruzioni sulla visualizzazione della colonna Attributi vedere i passaggi 5a e 5b.

    Per effettuare questa operazione, attenersi alla seguente procedura.

    Nota Il file spyware potrebbe avere un nome di file generato casualmente composto da un massimo di otto lettere minuscole.
    1. Modificare la modalità di visualizzazione dei dettagli dei file nella cartella in Esplora risorse. Per effettuare questa operazione, attenersi alla seguente procedura:
      1. Scegliere Scelta dettagli dal menu Visualizza.
      2. Selezionare la casella di controllo Attributi.
      3. Selezionare la casella di controllo Nome prodotto.
      4. Selezionare la casella di controllo Nome società.
      5. Selezionare la casella di controllo Versione file.
    2. Fare clic sull'intestazione della colonna Attributi per ordinare l'elenco di file per attributi. I file nella cartella Drivers contengono in genere solo l'attributo di archivio (A). Cercare eventuali file contenenti anche l'attributo nascosto (HA).
      Di seguito sono elencati esempi di nomi di file spyware noti per essere la causa di questo problema:
      • gbqxmhia.sys
      • upzvlbvv.sys
      • jsbmefvk.sys
      Dopo avere individuato un file sospetto, verificarne le proprietà utilizzando la finestra di dialogo Proprietà. Fare clic con il pulsante destro del mouse sul file, scegliere Proprietà e cercare le seguenti informazioni:
      • Nella scheda Generale:
        • Ultima modifica: 11 gennaio 2005
        • Dimensioni: 14 KB (13.824 byte)
        • Un segno di spunta nella casella Nascosto
      • Nella scheda Versione:
        • Nessuna informazione sulla versione
        • Nessuna descrizione
        • Nessuna informazione di copyright
        • Nessun nome di società
        • Nessun nome di prodotto
    Se per un file è impostato l'attributo nascosto e non sono presenti dettagli relativi a nome del prodotto, produttore e versione, significa che nel computer è presente uno spyware.
  6. Scegliere OK per chiudere la finestra di dialogo Proprietà, quindi attenersi alla procedura riportata in uno dei metodi descritti nella sezione "Risoluzione" per risolvere il problema.
  7. Nella casella Indirizzo di Internet Explorer digitare %windir%\system32 e premere INVIO.
  8. Cercare i file di applicazione, ovvero i file con estensione exe, con nomi analoghi ai seguenti:
    • Msupd.exe
    • Msupd*.exe

      Note Il segnaposto * rappresenta un numero di una sola cifra
    • Reloadmedude.exe
    Questi file presenteranno una data casuale e dimensioni di 60 KB (61.440 byte).
    Di seguito sono elencati alcuni nomi noti di file spyware:
    • Msupd.exe
    • Msupd4.exe
    • Msupd5.exe
    • Reloadmedude.exe
  9. Se sono presenti uno o più di questi file, significa che il computer è stato infettato da uno spyware. Per risolvere il problema, attenersi alla procedura riportata in uno dei metodi descritti nella sezione "Risoluzione".

Prodotti di protezione in grado di rilevare questo spyware

Sono disponibili diversi prodotti di protezione per il rilevamento di questo spyware. Di seguito sono riportati alcuni esempi di prodotti e i nomi di spyware indicati:
ProdottoNome spyware indicato
Microsoft AntiSpyware Spyware.Service.MiscrosoftUpdate (Trojan)
Computer AssociatesWin32/Benuti.61440!Downloader!Dr
Doctor Web DrWebCL Trojan.Medude
F-Secure Trojan.Win32.Agent.aw
Kaspersky Lab AVPDOS32Trojan.Win32.Agent.aw
McAfeeDownloader-va
Panda Trj/Agent.FO and Adware/Apropos
Trend Micro VScanTROJ_LODMEDUD.A
Symantec Trojan.Lodmeduod
Riferimenti
Per ulteriori informazioni su Microsoft AntiSpyware, fare clic sui numeri degli articoli della Microsoft Knowledge Base riportati di seguito:
892279 Informazioni su come ottenere Microsoft Windows AntiSpyware (Beta)
892340 Identificazione di un programma come minaccia spyware da parte di Microsoft Windows AntiSpyware (Beta)

Per ulteriori informazioni sui fornitori di prodotti antivirus, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
49500 Elenco di fornitori di software antivirus
stop 0x50 BlueScreen bugcheck kbocabucket kbsecurity kbvirus
Proprietà

ID articolo: 894278 - Ultima revisione: 06/10/2013 02:05:00 - Revisione: 4.1

Microsoft Windows Server 2003, Web Edition, Microsoft Windows Server 2003, Standard Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition (32-bit x86), Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems, Microsoft Windows Server 2003, Datacenter Edition (32-bit x86), Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems, Microsoft Windows XP Professional, Microsoft Windows XP Tablet PC Edition, Microsoft Windows XP Home Edition, Microsoft Windows XP Media Center Edition 2005 Update Rollup 2, Microsoft Windows XP Media Center Edition 2004, Microsoft Windows XP Media Center Edition 2005, Microsoft Windows 2000 Advanced Server, Microsoft Windows 2000 Professional Edition, Microsoft Windows 2000 Server

  • kbsecurity kbsecantivirus kbtshoot kbprb KB894278
Feedback
ent.createElement('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?"> >