Sintomi
In un computer basato su Microsoft Windows Server 2003, Microsoft Windows XP o Microsoft Windows 2000 è possibile che si verifichi uno dei seguenti sintomi:
-
Il computer viene riavviato automaticamente.
-
Dopo avere effettuato l'accesso, viene visualizzato un messaggio di errore analogo al seguente:
Microsoft Windows
Il sistema è stato ripristinato in seguito a un errore grave.
È stato creato un registro relativo all'errore.
Segnalare il problema a Microsoft.
È stata creata una segnalazione errori che è possibile inviare in modo da consentire la risoluzione del problema di Microsoft Windows. Il contenuto della segnalazione sarà riservato e anonimo.
Per visualizzare i dati contenuti nella segnalazione errori, fare clic qui.Per visualizzare i dati contenuti nella segnalazione errori, fare clic su fare clic qui. Quando si fa clic sul collegamento fare clic qui nella parte inferiore della finestra del messaggio, potrebbero essere visualizzate informazioni sulla firma dell'errore analoghe a quelle degli esempi seguenti:
Esempio di dati 1BCCode : 00000050 BCP1 : f8655000 BCP2 : 00000001 BCP3 : fc7cc465 BCP4 : 00000000 OSVer : 5_1_2600 SP : 0_0 Prodotto : 256_1 Esempio di dati 2BCCode : 0000008e BCP1 : c0000005 BCP2 : 00000120 BCP3 : fd28eaa4 BCP4 : 00000000 OSVer : 5_1_2600 SP : 0_0 Prodotto : 256_1 -
Viene visualizzato un messaggio di errore "Stop" analogo a uno dei seguenti:
Messaggio 1
Si è verificato un problema e Windows è stato arrestato per impedire danni al computer.
Informazioni tecniche:
STOP: 0x00000050 (0xf8655000, 0x00000001, 0xfc7cc465, 0x00000000)
PAGE_FAULT_IN_NONPAGED_AREA (50)Messaggio 2
Si è verificato un problema e Windows è stato arrestato per impedire danni al computer.
Informazioni tecniche:
STOP: 0x0000008e (0xc0000005, 0x00000120, 0xfd28eaa4, 0x00000000)
KERNEL_MODE_EXCEPTION_NOT_HANDLED_M (1000008e) -
Nel registro eventi di sistema vengono inoltre registrati messaggi di errore simili ai seguenti:
Data: data
Origine: System
Ora: ora
Categoria: (102)
Tipo: Errore
ID evento: 1003
Utente: N/D
Computer: COMPUTER
Descrizione: Codice errore 00000050, parametro1 f8655000, parametro2 00000001, parametro3 fc7cc465, parametro4 00000000. Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico all'indirizzo http://support.microsoft.com. Dati: 0000: 53 79 73 74 65 6d 20 45 Errore di 0008: 72 72 6f 72 20 20 45 72 sistema 0010: 72 6f 72 20 63 6f 64 65 Codice errore 0018: 20 30 30 30 30 30 30 35 0000050 0020: 30 20 20 50 61 72 61 6d 0 Parametri 0028: 65 74 65 72 73 20 66 66 ff 0030: 66 66 66 66 64 31 2cData: data
Origine: System
Ora: ora
Categoria: (102)
Tipo: Errore
ID evento: 1003
Utente: N/D
Computer: COMPUTER
Descrizione: Codice errore 0000008e, parametro1 c0000005, parametro2 00000120, parametro3 fd28eaa4, parametro4 00000000. Per ulteriori informazioni, consultare la Guida in linea e supporto tecnico all'indirizzo http://support.microsoft.com. Dati: 0000: 53 79 73 74 65 6d 20 45 Errore di 0008: 72 72 6f 72 20 20 45 72 sistema 0010: 72 6f 72 20 63 6f 64 65 Codice errore 0018: 20 30 30 30 30 30 30 35 000008e 0020: 30 20 20 50 61 72 61 6d 0 Parametri 0028: 65 74 65 72 73 20 66 66 ff 0030: 66 66 66 66 64 31 2c
Note
-
I sintomi di un errore irreversibile variano in base alle opzioni relative agli errori di sistema del computer.
Per ulteriori informazioni sulla configurazione delle opzioni relative alle operazioni da eseguire in caso di errori di sistema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:307973 HOW TO: Configurare tecniche di ripristino in Windows XP
-
I quattro parametri tra parentesi nel messaggio di errore irreversibile possono variare a seconda della configurazione del computer.
Cause
Questo problema può verificarsi se il computer contiene qualsiasi variante del virus HaxDoor.
Il virus HaxDoor non solo crea un processo nascosto, ma nasconde anche file e chiavi del Registro di sistema. Il nome del file eseguibile del virus HaxDoor può variare, tuttavia quello più frequente è Mszx23.exe. Molte varianti di questo virus prevedono la copia di un driver denominato Vdmt16.sys o Vdnt32.sys nel computer. Tale driver viene utilizzato per nascondere il processo del virus. Le varianti del virus HaxDoor sono inoltre in grado di ripristinare questi file anche se eliminati dall'utente.
Risoluzione
Importante In questa sezione, metodo o attività viene illustrato come modificare il Registro di sistema. L'errata modifica del Registro di sistema può causare seri problemi. Attenersi quindi scrupolosamente alla procedura indicata. Per maggiore protezione, eseguire una copia di backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile effettuarne il ripristino in caso di problemi. Per ulteriori informazioni su come eseguire il backup del Registro di sistema e su come ripristinarlo, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
322756 HOW TO: Eseguire il backup, modificare e ripristinare il Registro di sistema in Windows XP
Per risolvere il problema, attenersi alla seguente procedura:
-
Stampare il seguente articolo della Microsoft Knowledge Base e utilizzarlo come guida nel corso della procedura.
307654 Installazione e utilizzo della Console di ripristino di emergenza in Windows XP
-
Fare clic sul pulsante Start, scegliere Esegui, digitare regedit, quindi scegliere OK.
-
Individuare la seguente sottochiave del Registro di sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
-
Individuare ed eliminare tutte le voci della sottochiave che fanno riferimento a "drct16" o "draw32".
Le voci visualizzate potrebbero essere analoghe alle seguenti:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\draw32
-
Inserire il CD di installazione di Windows XP nell'unità corrispondente, quindi riavviare il computer dal CD.
-
Nella schermata introduttiva dell'installazione premere R (ripristino) per avviare la Console di ripristino di emergenza.
-
Selezionare il numero corrispondente all'installazione di Windows che si desidera ripristinare. Tale numero corrisponde in genere a 1.
-
Se richiesto, digitare la password dell'amministratore. Se non esiste alcuna password dell'amministratore, premere INVIO.
-
Al prompt dei comandi passare alla cartella C:\Windows\System32. Ad esempio, digitare cd C:\Windows\System32.
-
Utilizzare il comando ren (rinomina) per rinominare i seguenti file come illustrato di seguito. Non dimenticare di premere INVIO dopo ciascun comando. Se viene visualizzato un messaggio "Impossibile trovare il file", passare al file successivo dell'elenco.ren 1.a3d 1.a3d.bad ren cm.dll cm.dll.bad ren cz.dll cz.dll.bad ren draw32.dll draw32.dll.bad ren drct16.dll drct16.dll.bad ren dt163.dt dt163.dt.bad ren fltr.a3d fltr.a3d.bad ren hm.sys hm.sys.bad ren hz.dll hz.dll.bad ren hz.sys hz.sys.bad ren i.a3d i.a3d.bad ren in.a3d in.a3d.bad ren klo5.sys klo5.sys.bad ren klogini.dll klogini.dll.bad ren memlow.sys memlow.sys.bad ren mszx23.exe mszx23.exe.bad ren p2.ini p2.ini.bad ren ps.a3d ps.a3d.bad ren redir.a3d redir.a3d.bad ren tnfl.a3d tnfl.a3d.bad ren vdmt16.sys vdmt16.sys.bad ren vdnt32.sys vdnt32.sys.bad ren w32tm.exe w32tm.exe.bad ren WD.SYS WD.SYS.bad ren winlow.sys winlow.sys.bad ren wmx.a3d wmx.a3d.bad ren wz.dll wz.dll.bad ren wz.sys wz.sys.bad
Se si desidera eliminare questi file una volta completata l'operazione, digitare del *.bad. -
Estrarre il CD di installazione di Windows XP, quindi digitare Exit per riavviare il computer.
-
Al riavvio del computer fare clic sul pulsante Start, scegliere Esegui, digitare regedit, quindi scegliere OK.
-
Individuare ed eliminare le seguenti sottochiavi del Registro di sistema e tutte le voci presenti sotto ciascuna sottochiave. Se una qualsiasi sottochiave del Registro di sistema inclusa nell'elenco non è presente, passare a quella successiva.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdnt32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winlow
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\memlow
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdmt16
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdnt32
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winlow
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\memlow
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_VDMT16
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_VDNT32
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_WINLOW
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_MEMLOW -
Individuare ed eliminare tutte le voci che contengono il nome del file Mszx23.exe nelle seguenti sottochiavi del Registro di sistema:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices -
Chiudere l'editor del Registro di sistema.
-
Assicurarsi che i programmi antivirus e antispyware siano aggiornati con le definizioni più recenti, quindi eseguire una scansione completa del sistema.
Di seguito è elencato il software dannoso identificato dai fornitori di antivirus.
|
Symantec: |
Backdoor.Haxdoor.D |
|
Trend Micro: |
BKDR_HAXDOOR.BC, BKDR_HAXDOOR.BN, BKDR_HAXDOOR.BA, BKDR_HAXDOOR.AL |
|
PandaLabs: |
HAXDOOR.AW |
|
F-Secure: |
Backdoor.Win32.Haxdoor, Backdoor.Win32.Haxdoor.al |
|
Sophos: |
Troj/Haxdoor-AF, Troj/Haxdoor-CN, Troj/Haxdoor-AE |
|
Kaspersky Lab: |
Backdoor.Win32.Haxdoor.bg |
|
McAfee: |
BackDoor-BAC |
