Windows Server 2003、Windows XP または Windows 2000 でコンピュータが自動的に再起動することや、重大なエラーまたは STOP エラーのメッセージが表示されることがある

概要

この資料では、コンピュータで Spyware.Service.MiscrosoftUpdate (Trojan) という rootkit スパイウェアが実行されている場合に発生することのあるいくつかの症状について説明します。このトロイの木馬型ウイルスを削除するには、この問題の原因となっているファイルを特定してファイル名を変更する必要があります。


隠しファイルになっているドライバの名前を変更すると、いくつかのウイルス対策プログラムやスパイウェア対策プログラムで、ユーザー モード (スパイウェア) のコンポーネントである Msupd*.exe および Reloadmedude.exe を除去することができます。隠しファイルになっているドライバの名前には、gbqxhia.sys、upzvlbvv.sys、jsbmefvk.sys などがあり、この他にも小文字のみが使用された任意のファイル名が付けられている場合があります。


このウイルスを検出できるいくつかのスパイウェア対策プログラムを、この資料の「詳細」に掲載しています。

現象

以下のうち 1 つ以上の現象が発生することがあります。

  • コンピュータが自動的に再起動します。

  • ログオン後、次のエラー メッセージが表示されます。

    Microsoft Windows

    システムは深刻なエラーから回復しました。
    このエラーのログが作成されました。
    この問題を Microsoft に報告してください。
    Microsoft Windows のエラー報告が作成されました。弊社では、この報告を製品の改善に役立てるとともに、匿名の機密情報として扱います。
    エラー報告に含まれるデータの参照 : ここをクリックしてください。

    このエラー メッセージが画面に表示されている場合は、メッセージ ボックスの下部にある [ここをクリックしてください] をクリックすると、エラー報告に含まれるデータを参照できます。このリンクをクリックすると、次のようなエラー署名情報が表示されます。

    BCCode : 00000050 BCP1 : 0xeb7ff002 BCP2 : 0x00000000 BCP3 : 0x8054af32 BCP4 : 0x00000001 OSVer : 5_1_2600 SP : 0_0 Product : 256_1

  • 次の STOP エラー メッセージが表示されます。

    A problem has been detected and Windows has been shut down to prevent damage to the computer Technical information: *** STOP: 0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237

  • システム ログに以下のようなイベントが記録されます。

注意事項


STOP エラーの現象は、コンピュータのシステム障害の構成によって異なります。
システム障害のオプションを構成する方法の詳細を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

307973 Windows でシステム障害と回復のオプションを構成する方法
エラー署名情報に含まれている 4 つのパラメータ (BCPn) および STOP エラーの technical information のかっこ内に表示される 4 つのパラメータは、コンピュータの構成によって異なる場合があります。


すべての STOP 0x00000050 エラーが、この資料の「原因」に記載されている問題によって発生するわけではありません。

原因

このエラー メッセージは、以下の既知の rootkit スパイウェア プログラムによってインストールされるカーネル ドライバが原因で出力されます。

  • Msupd5.exe

  • Reloadmedude.exe

解決方法

この問題を解決するには、以下のいずれかまたは複数の方法を、記載されている順に実行します。

方法 1 : Internet Explorer を使用して、悪質なドライバの名前を変更する


  1. Internet Explorer を起動します。

  2. [アドレス] ボックスに %windir%\system32\drivers と入力し、Enter キーを押します。

  3. ランダムに名前の付けられた悪質な .sys ファイルを見つけ、そのファイルを右クリックし、[名前の変更] をクリックします。

  4. malware.old と入力してファイル名を変更し、Enter キーを押します。

  5. [アドレス] ボックスに \WINDOWS\system32 と入力し、Enter キーを押します。

  6. 以下のファイルを探し、存在する場合は、ファイル名を変更します。

    • Msupd5.exe : このファイル名を Msupd5.old に変更します。

    • Msupd4.exe : このファイル名を Msupd4.old に変更します。

    • Msupd.exe : このファイル名を Msupd.old に変更します。

    • Reloadmedude.exe : このファイル名を Reloadmedude.old に変更します。

  7. Internet Explorer を終了します。

  8. コンピュータを再起動します。

  9. 使用しているウイルス対策ソフトウェアまたはスパイウェア対策ソフトウェアの定義ファイルが最新のものであることを確認し、システムの完全スキャンを実行します。

方法 2 : セーフ モードで、[マイ コンピュータ] を使用して悪質なドライバの名前を変更する


  1. 以下の手順を実行して、コンピュータをセーフ モードで起動します。

    1. コンピュータを再起動します。

    2. コンピュータの起動中に (1 秒間隔で) F8 キーを繰り返し押します。これにより、Windows 拡張オプション メニューが表示されます。

    3. 上方向キーおよび下方向キーを使用して "セーフ モード" を選択し、Enter キーを押します。

  2. Internet Explorer を起動します。

  3. [アドレス] ボックスに C:\%windir%\system32\drivers と入力し、Enter キーを押します。

  4. 以下の手順で、隠しファイルが表示されるようにします。

    1. [スタート] ボタンをクリックし、[マイ コンピュータ] をクリックします。

    2. [ツール] メニューの [フォルダ オプション] をクリックします。

    3. [表示] タブをクリックし、[保護されたオペレーティング システム ファイルを表示しない (推奨)] チェック ボックスをオフにします。保護されているオペレーティング システムを表示するように選択したことを通知する警告メッセージが表示されたら、[はい] をクリックします。

    4. [ファイルとフォルダの表示] の下の [すべてのファイルとフォルダを表示する] をクリックします。

    5. [登録されているファイルの拡張子は表示しない] チェック ボックスをオフにします。

    6. [フォルダの表示] の下の [すべてのフォルダに適用] をクリックし、確認のメッセージが表示されたら [はい] をクリックし、[OK] をクリックします。

  5. C:\%windir%\System32\Drivers というフォルダを見つけます。

  6. 以下の特徴を持つ .sys ファイルを探します。

    1. gbqxmhia.sys、upzvlbvv.sys、jsbmefvk.sys のように、8 つの小文字から構成されるランダムに生成されたファイル名である。

    2. 更新日時が 2005 年 1 月 11 日である。

    3. サイズが 14 KB (13,824 バイト) である。

    4. 隠しファイル属性が設定されている。


      注 : 隠しファイル属性が設定されているファイルは、エクスプローラの [属性] 列に "HA" と表示されます。[属性] 列が表示されるようにする方法については、この資料の「詳細」の手順 5a. および 5b. を参照してください。

    5. バージョン、製品名、会社名の情報がない。

  7. 手順 6. に挙げた特徴を持つ最初のファイルを右クリックし、[名前の変更] をクリックします。

  8. malware1.old と入力し、Enter キーを押します。


    注 : 同様の方法で、2 番目のファイルは malware2.old に、3 番目のファイルは malware3.old に名前を変更します。このようにして、手順 6. に挙げた特徴を持つすべてのファイルの名前を変更します。

  9. %windir%\System32 フォルダを見つけます。

  10. 以下のファイルが存在する場合は、ファイル名を変更します。

    • Msupd5.exe : msupd5.old という名前に変更します。

    • Msupd4.exe : Msupd4.old という名前に変更します。

    • Msupd.exe : Msupd.old という名前に変更します。

    • Reloadmedude.exe : Reloadmedude.old という名前に変更します。

  11. コンピュータを再起動します。

  12. 使用しているウイルス対策ソフトウェアまたはスパイウェア対策ソフトウェアの定義ファイルが最新であることを確認し、システムの完全スキャンを実行します。

方法 3 : セーフ モードで、コマンド プロンプトを使用して悪質なドライバの名前を変更する


  1. 以下の手順を実行して、コンピュータをセーフ モードで起動します。

    1. コンピュータを再起動します。

    2. コンピュータの起動中に (1 秒間隔で) F8 キーを繰り返し押します。これにより、Windows 拡張オプション メニューが表示されます。

    3. 上方向キーおよび下方向キーを使用して、"セーフ モードとコマンド プロンプト" を選択し、Enter キーを押します。

  2. コマンド プロンプトで CD %windir%\system32\drivers と入力し、Enter キーを押します。

  3. Dir /ah と入力し、Enter キーを押します。

  4. 以下のようなテキストが表示されます (.sys ファイルの名前はランダムに生成されます)。

    Directory of C:\WINDOWS\system32\drivers
    01/11/2005 09:18 AM 13,824 gbqxmhia.sys
    1 File(s) 13,824 bytes
    0 Dir(s) 961,425,408 bytes free
  5. Attrib –s –h RandomFilename と入力し、Enter キーを押します。これにより、ファイルからシステム属性および隠しファイル属性が削除されます。


    注 : RandomFilename には、手順 4. で表示される .sys ファイルの名前が入ります。たとえば、手順 4. の例で表示されているファイル名の場合は、Attrib –s –h gbqxmhia.sys と入力します。

  6. Ren RandomFilename malware.old と入力して Enter キーを押します。これにより、ランダムに名前の付けられたファイルのファイル名が変更されます。

  7. CD .. と入力し、Enter キーを押します。これにより、コマンド プロンプトが %windir%\System32 フォルダに変更されます。

  8. 以下の各コマンドを 1 行ずつ入力します。各行の最後に Enter キーを押します。


    Ren msupd5.exe msupd5.old
    Ren msupd4.exe msupd4.old
    Ren msupd.exe msupd.old
    Ren reloadmedude.exe reloadmedude.old

    注 : ファイルが存在しないことを示す以下のメッセージは無視しても問題ありません。

    指定されたファイルが見つかりません。

  9. Exit と入力し、Enter キーを押します。

  10. コンピュータを再起動します。

  11. 使用しているウイルス対策ソフトウェアまたはスパイウェア対策ソフトウェアの定義ファイルが最新であることを確認し、システムの完全スキャンを実行します。

詳細

コンピュータがこのスパイウェアに感染しているかどうかを確認するには、以下の手順を実行します。

  1. Internet Explorer を起動します。

  2. Internet Explorer の [アドレス] ボックスに %windir%\system32\drivers と入力し、Enter キーを押します。

  3. 隠しファイルおよび保護されたオペレーティング システム ファイルの表示方法を変更します。これを行うには、以下の手順を実行します。

    1. [ツール] メニューの [フォルダ オプション] をクリックします。

    2. [表示] タブをクリックし、[保護されたオペレーティング システム ファイルを表示しない (推奨)] チェック ボックスをオフにします。保護されているオペレーティング システムを表示するように選択したことを通知する警告メッセージが表示されたら、[はい] をクリックします。

    3. [ファイルとフォルダの表示] の下の [すべてのファイルとフォルダを表示する] をクリックします。

    4. [登録されている拡張子は表示しない] チェック ボックスをオフにします。

    5. [システム フォルダの内容を表示する] チェック ボックスをオンにし、確認のメッセージが表示されたら [はい] をクリックし、[OK] をクリックします。

    6. [表示] メニューの [詳細] をクリックします。

  4. F5 キーを押して、Drivers フォルダの表示を更新します。

  5. 隠しファイル属性が設定されていて、製品名、会社名、ファイルのバージョンの情報がない、システム ファイルを見つけます。システム ファイルには、ファイル名に .sys という拡張子が付いています。


    注 : 隠しファイル属性が設定されているファイルは、エクスプローラの [属性] 列に "HA" と表示されます。[属性] 列が表示されるようにするには、手順 5a. および 5b. を参照してください。


    これを行うには、次の手順を実行します。


    注 : スパイウェア ファイルには、8 つの小文字から構成されるランダムに生成されたファイル名が付けられている可能性があります。

    1. エクスプローラでの、ファイルやフォルダの詳細の表示方法を変更します。これを行うには、以下の手順を実行します。

      1. [表示] メニューの [詳細表示の設定] をクリックします。

      2. [属性] チェック ボックスをオンにします。

      3. [製品名] チェック ボックスをオンにします。

      4. [会社名] チェック ボックスをオンにします。

      5. [ファイル バージョン] チェック ボックスをオンにします。

      6. [OK] をクリックします。

    2. [属性] という列名をクリックして、ファイルの一覧を属性ごとに並べ替えます。Drivers フォルダのファイルには、通常、アーカイブ属性 (A) しか設定されていません。隠しファイル属性 (HA) も設定されているファイルを見つけます。

      この問題の原因となることがわかっているスパイウェア ファイルの名前の例を以下に示します。

      • gbqxmhia.sys

      • upzvlbvv.sys

      • jsbmefvk.sys

      スパイウェア ファイルの疑いがあるファイルを見つけたら、[プロパティ] ダイアログ ボックスを使用してそのファイルのプロパティを確認します。ファイルを右クリックし、[プロパティ] をクリックして、以下の情報と合致するかどうかを確認します。

      • [全般] タブ

        • 更新日時 : 2005 年 1 月 11 日

        • サイズ : 14 KB (13,824 バイト)

        • [隠しファイル] チェック ボックスがオンになっていること

      • [バージョン情報] タブ

        • [ファイル バージョン] にバージョン番号が表示されていないこと

        • [説明] に何も表示されていないこと

        • [著作権] に情報が表示されていないこと

        • 会社名の情報が表示されないこと

        • 製品名の情報が表示されないこと

    ファイルに隠しファイル属性が設定されていて、製品名、会社名、ファイル バージョンの情報がない場合、コンピュータはスパイウェアに感染しています。

  6. [OK] をクリックして、プロパティのダイアログ ボックスを閉じます。その後、「解決方法」に記載されている方法を実行して問題を解決します。

  7. Internet Explorer の [アドレス] ボックスに %windir%\system32 と入力し、Enter キーを押します。

  8. 以下のような名前が付いているアプリケーション ファイルを探します。アプリケーション ファイルには、ファイル名に .exe という拡張子が付いています。

    • Msupd.exe

    • Msupd*.exe


      注 : * には、1 桁の数字が入ります。

    • Reloadmedude.exe

    これらのファイルの日付は一定ではなく、サイズは 60 KB (61,440 バイト) です。

    スパイウェア ファイルであることがわかっているファイル名には、以下のものがあります。

    • Msupd.exe

    • Msupd4.exe

    • Msupd5.exe

    • Reloadmedude.exe

  9. これらのファイルが 1 つ以上存在する場合、コンピュータはスパイウェアに感染しています。問題を解決するには、「解決方法」に記載されている方法を実行してください。

スパイウェアを検出できるセキュリティ製品


このスパイウェアを検出できるセキュリティ製品がいくつかあります。そのようなセキュリティ製品と、そのセキュリティ製品で報告されるスパイウェアの名称の例を以下に示します。

製品

報告されるスパイウェア名

Microsoft AntiSpyware

Spyware.Service.MiscrosoftUpdate (Trojan)

Computer Associates

Win32/Benuti.61440!Downloader!Dr

Doctor Web DrWebCL

Trojan.Medude

F-Secure

Trojan.Win32.Agent.aw

Kaspersky Lab AVPDOS32

Trojan.Win32.Agent.aw

McAfee

Downloader-va

Panda

Trj/Agent.FO and Adware/Apropos

Trend Micro VScan

TROJ_LODMEDUD.A

Symantec

Trojan.Lodmeduod

関連情報

Microsoft AntiSpyware 製品の関連情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

892279 Microsoft Windows AntiSpyware (Beta) の入手方法

892340 Microsoft Windows AntiSpyware (Beta) でプログラムがスパイウェアとして検出される

ウイルス対策ソフトウェア ベンダの詳細情報を参照するには、以下の「サポート技術情報」 (Microsoft Knowledge Base) をクリックしてください。

49500 ウイルス対策ソフトウェア ベンダの一覧

関連情報

この資料は米国 Microsoft Corporation から提供されている Knowledge Base の Article ID 894278 (最終更新日 2005-06-01) を基に作成したものです。


この資料に含まれているサンプル コード/プログラムは英語版を前提に書かれたものをありのままに記述しており、日本語環境での動作は確認されておりません。

ヘルプを表示

スキルを磨く
トレーニングの探索
新機能を最初に入手
Microsoft Insider に参加する

この情報は役に立ちましたか?

フィードバックをお送りいただきありがとうございます!

フィードバックをお寄せいただき、ありがとうございます。Office サポートの担当者におつなぎいたします。

×