De computer start automatisch opnieuw op of het bericht 'Ernstige fout' of een Stop-foutbericht wordt weergegeven in Windows Server 2003, Windows XP of Windows 2000


Samenvatting


In dit artikel worden verschillende symptomen beschreven die zich voordoen als op de computer Spyware.Service.MiscrosoftUpdate (Trojan) Rootkitspyware wordt uitgevoerd. U kunt dit Trojan-virus verwijderen door eerst vast te stellen welke bestanden het probleem veroorzaken en die bestanden vervolgens een andere naam te geven.

De gebruikersmodusonderdelen (spyware) Msupd*.exe en Reloadmedude.exe kunnen door sommige antivirus- of antispywareprogramma's worden schoongemaakt zodra het verborgen stuurprogramma een andere naam heeft gekregen. Het verborgen stuurprogramma kan de naam 'gbqxhia.sys', 'upzvlbvv.sys', 'jsbmefvk.sys' of een andere willekeurige bestandsnaam met alleen kleine letters hebben.

In de sectie 'Meer informatie' vindt u een aantal antispywareprogramma's die dit virus kunnen detecteren.

Symptomen


Een of meer van de volgende symptomen kunnen zich voordoen:
  • De computer wordt automatisch opnieuw opgestart.
  • Nadat u zich hebt aangemeld, wordt het volgende foutbericht weergegeven:
    Microsoft Windows

    Het systeem is hersteld van een ernstige fout. Deze fout is in een logboek vastgelegd. Wij verzoeken u dit probleem bij Microsoft te melden. Wij hebben een foutenrapport gemaakt dat u kunt verzenden zodat wij Microsoft Windows kunnen verbeteren. Wij zullen dit rapport vertrouwelijk en anoniem behandelen. Als u dit foutenrapport wilt weergeven, klikt u hier.
    Als het foutbericht nog steeds wordt weergegeven en u wilt de gegevens bekijken in het foutrapport, klikt u op de koppeling 'klik hier' onder in het berichtvenster. Er wordt dan een fouthandtekening van de volgende strekking weergegeven:
    BCCode : 00000050 BCP1 : 0xeb7ff002 BCP2: 0x00000000 BCP3: 0x8054af32 BCP4: 0x00000001 OSVer: 5_1_2600 SP : 0_0 Product : 256_1
  • Het volgende stopfoutbericht wordt weergegeven:
    Er is een probleem gevonden. Windows is afgesloten om schade te voorkomen. Technische informatie: *** STOP: 0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237
  • In het systeemlogboek wordt een gebeurtenis van de volgende strekking geregistreerd:

Opmerkingen

De symptomen van een stopfout kunnen variëren al naar gelang de storingsopties van uw computersysteem.Voor meer informatie over het configureren van systeemstoringsopties klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:

307973 Procedure: opties voor systeemfouten en systeemherstel configureren in Windows
De vier parameters die zijn opgenomen in de gegevens van de fouthandtekening (BCP n) en tussen de haakjes van de technische informatie voor de stopfout, kunnen variëren al naar gelang de configuratie van de computer.

Niet alle stop 0x00000050-fouten worden veroorzaakt door het probleem dat wordt beschreven in de sectie 'Oorzaak'.

Oorzaak


Dit foutbericht wordt veroorzaakt door een kernelstuurprogramma dat wordt geïnstalleerd door de volgende bekende Rootkit-spywareprogramma's:
  • Msupd5.exe
  • Reloadmedude.exe

Oplossing


U kunt dit probleem op een of meer van de volgende manieren oplossen. De methoden worden in voorkeursvolgorde vermeld.

Methode 1: De naam van het schadelijke stuurprogramma wijzigen in Internet Explorer

  1. Open Internet Explorer.
  2. Typ %windir%\system32\drivers in het vak Adres en druk op ENTER.
  3. Zoek het bestand met een willekeurige naam en met de extensie .SYS, klik er met de rechtermuisknop op en selecteer Naam wijzigen.
  4. Wijzig de naam van het bestand in malware.old en druk op ENTER.
  5. Typ \WINDOWS\system32 in het vak Adres en druk op ENTER.
  6. Wijzig de naam van de volgende bestanden, als deze aanwezig zijn:
    • Msupd5.exe. Wijzig de naam van dit bestand in Msupd5.old.
    • Msupd4.exe. Wijzig de naam van dit bestand in Msupd4.old.
    • Msupd.exe. Wijzig de naam van dit bestand in Msupd.old.
    • Reloadmedude.exe. Wijzig de naam van dit bestand in Reloadmedude.old.
  7. Sluit Internet Explorer af.
  8. Start de computer opnieuw op.
  9. Controleer of uw antivirus- of antispywaresoftware is bijgewerkt met de nieuwste definitiebestanden en voer een volledige systeemscan uit.

Methode 2: Wijzig vanuit de Veilige modus de naam van het schadelijke stuurprogramma met behulp van Deze computer

  1. Start de computer op in de Veilige modus. Ga hiervoor als volgt te werk:
    1. Start de computer opnieuw op.
    2. Druk zodra de computer met opstarten begint, herhaaldelijk op F8 (eenmaal per seconde).Het menu Geavanceerde startopties van Microsoft Windows wordt weergegeven.
    3. Gebruik PIJL-OMHOOG en -OMLAAG om Veilige modus te markeren en druk op ENTER.
  2. Open Internet Explorer
  3. Typ %windir%\system32\drivers in het vak Adres en druk op ENTER.

  4. Schakel de weergave van verborgen bestanden in. Ga hiervoor als volgt te werk:
    1. Klik op Start en vervolgens op Deze computer.
    2. Klik op Mapopties in het menu Extra.
    3. Open het tabblad Weergave, schakel het selectievakje Beveiligde besturingssysteembestanden verbergen (aanbevolen) uit en klik op Ja als u moet bevestigen dat u verborgen besturingssysteembestanden wilt weergeven.
    4. Klik op Verborgen bestanden en mappen weergeven bij Verborgen bestanden en mappen.
    5. Schakel het selectievakje Extensies voor bekende bestandstypen verbergen uit.
    6. Klik onder Mapweergaven op Op alle mappen toepassen en klik op OK.

  5. Zoek de map C:\%windir%\System32\Drivers.
  6. Zoek alle SYS-bestanden met de volgende eigenschappen:
    1. Een willekeurig gegenereerde bestandsnaam van acht kleine letters, zoals 'gbqxmhia.sys', 'upzvlbvv.sys' of 'jsbmefvk.sys'
    2. De datum 11 januari 2005
    3. Een bestandsgrootte van 14 kB (13.824 bytes)
    4. Een verborgen kenmerk dat is ingesteld

      Opmerking Bij een bestand met het kenmerk verborgen wordt 'HA' weergegeven in de kolom Kenmerken in Windows Verkenner. Instructies voor het weergeven van de kolom Kenmerken vindt u onder stap 5a en 5b van de procedure in de sectie 'Meer informatie'.
    5. Het bestand heeft geen versienummer, productnaam of informatie over de fabrikant.
  7. Zoek de gewenste bestanden, klik met de rechtermuisknop op de bestandsnaam en selecteer Naam wijzigen.
  8. Wijzig de naam van het eerste bestand in malware1.old en druk op ENTER.

    Opmerking Wijzig de naam van het tweede bestand in malware2.old, van het derde bestand in malware3.old, enzovoort.
  9. Ga naar de map %windir%\System32.
  10. Wijzig de naam van de volgende bestanden, indien aanwezig:
    • Msupd5.exe. Wijzig de naam van dit bestand in msupd5.old.
    • Msupd4.exe. Wijzig de naam van dit bestand in Msupd4.old.
    • Msupd.exe. Wijzig de naam van dit bestand in msupd.old.
    • Reloadmedude.exe. Wijzig de naam van dit bestand in Reloadmedude.old.
  11. Start de computer opnieuw op.
  12. Controleer of uw antivirus- of antispywaresoftware is bijgewerkt met de nieuwste definitiebestanden en voer een volledige systeemscan uit.

Methode 3: Wijzig vanuit de Veilige modus de naam van het schadelijke stuurprogramma met behulp van de opdrachtprompt

  1. Start de computer op in de Veilige modus. Ga hiervoor als volgt te werk:
    1. Start de computer opnieuw op.
    2. Druk zodra de computer met opstarten begint, herhaaldelijk op F8 (eenmaal per seconde). Het menu Geavanceerde startopties van Microsoft Windows wordt weergegeven.
    3. Gebruik PIJL-OMHOOG en -OMLAAG om Veilige modus met opdrachtprompt te markeren en druk op ENTER.
  2. Klik op Start, klik op Uitvoeren, typ cmd in het vak Openen en klik op OK.
  3. Typ CD %windir%\system32\drivers bij de opdrachtprompt en druk op ENTER.


  4. Typ Dir /ah en druk op ENTER.
  5. De tekst heeft de volgende strekking. De bestandsnaam met extensie .SYS wordt willekeurig gegenereerd.
    Map van C:\WINDOWS\system32\drivers

    01/11/2005 09:18 AM 13.824 gbqxmhia.sys
    1 bestand(en) 13.824 bytes
    0 map(pen) 961.425.408 bytes beschikbaar
  6. Typ Attrib –s –h WillekeurigeBestandsnaam en druk op ENTER. De systeemkenmerken en verborgen kenmerken worden uit het bestand verwijderd.

    Opmerking De tijdelijke aanduiding WillekeurigeBestandsnaam staat voor de naam van het SYS-bestand dat wordt weergegeven na stap 5. Voor de bestandsnaam die in het voorbeeld in stap 5 wordt vermeld, typt u dan Attrib –s –h gbqxmhia.sys.
  7. Typ Ren WillekeurigeBestandsnaam malware.old en druk op ENTER. Hiermee wijzigt u de naam van het bestand met de willekeurige naam.
  8. Typ CD en druk op ENTER. De opdrachtregel verandert in de map %windir%\System32.
  9. Typ de volgende opdrachten onder elkaar en druk na elke opdracht op ENTER:
    Ren msupd5.exe msupd5.old
    Ren msupd4.exe msupd4.old
    Ren msupd.exe msupd.old
    Ren reloadmedude.exe reloadmedude.old
    Opmerking Als het volgende foutbericht verschijnt, kunt u dit negeren omdat het bericht aangeeft dat het doelbestand niet bestaat:

    Het systeem kan het opgegeven bestand niet vinden.
  10. Typ exit en druk op ENTER.
  11. Start de computer opnieuw op.
  12. Controleer of uw antivirus- of antispywaresoftware is bijgewerkt met de nieuwste definitiebestanden en voer een volledige systeemscan uit.

Meer informatie


Voer de volgende stappen uit om te controleren of de computer besmet is met deze spyware:
  1. Start Internet Explorer.
  2. Typ %windir%\system32\drivers in het vak Adres in Internet Explorer en druk op ENTER.
  3. Wijzig de manier waarop verborgen bestanden en beveiligde besturingssysteembestanden in Windows worden weergegeven. Ga hiervoor als volgt te werk:
    1. Klik op Mapopties in het menu Extra.
    2. Open het tabblad Weergave, schakel het selectievakje Beveiligde besturingssysteembestanden verbergen (aanbevolen) uit en klik op Ja als u moet bevestigen dat u verborgen besturingssysteembestanden wilt weergeven.
    3. Klik op Verborgen bestanden en mappen weergeven bij Verborgen bestanden en mappen.
    4. Schakel het selectievakje Extensies voor bekende bestandstypen verbergen uit.
    5. Schakel het selectievakje De inhoud van systeemmappen weergeven in en klik op OK.

    6. Klik op Details in het menu Beeld.
  4. Druk op F5 om de weergave van de map Drivers te vernieuwen.
  5. Zoek systeembestanden (bestanden met de extensie .SYS) die op verborgen zijn ingesteld en waarvan de gegevens over productnaam, bedrijf en bestandsversie ontbreken.

    Opmerking Bij bestanden met het kenmerk verborgen wordt 'HA' weergegeven in de kolom Kenmerken in Windows Verkenner. Zie stap 5a en 5b voor instructies voor het weergeven van de kolom Kenmerken.

    Hiertoe gaat u als volgt te werk:

    Opmerking Het spywarebestand lijkt een willekeurig gegenereerde naam te hebben die uit acht kleine letters bestaat.
    1. Wijzig de manier waarop in Windows Verkenner gegevens voor de bestanden in de map worden weergegeven. Ga hiervoor als volgt te werk:
      1. Klik op Details kiezen in het menu Beeld.
      2. Schakel het selectievakje Kenmerken in.
      3. Schakel het selectievakje Productnaam in.
      4. Schakel het selectievakje Bedrijf in.
      5. Schakel het selectievakje Bestandsversie in.
    2. Klik op de kolomkop Kenmerken om de bestandenlijst op kenmerk te sorteren. Bestanden in de map Drivers bevatten normaal gesproken alleen het archiefkenmerk (A). Zoek bestanden die ook het kenmerk voor verborgen hebben (HA).
      De volgende lijst bevat voorbeelden van namen van spywarebestanden waarvan bekend is dat deze dit probleem veroorzaken:
      • gbqxmhia.sys
      • upzvlbvv.sys
      • jsbmefvk.sys
      Nadat u een bestand hebt gevonden waarvan u vermoedt dat het om spyware gaat, controleert u de eigenschappen van het bestand met behulp van het dialoogvenster Eigenschappen. Klik met de rechtermuisknop op het bestand, klik op Eigenschappen en kijk of de volgende informatie aanwezig is:
      • Op het tabblad Algemeen:
        • Gewijzigd: 11 januari 2005
        • Grootte: 14 KB (13.824 bytes)
        • Een vinkje in het selectievakje Verborgen
      • Op het tabblad Versie:
        • Geen bestandsversie
        • Geen beschrijving
        • Geen copyright
        • Geen bedrijfsnaam
        • Geen productnaam
    Als een bestand op verborgen is ingesteld en er bovendien gegevens ontbreken over productnaam, bedrijf en bestandsversie, is de computer besmet met de spyware.
  6. Klik op OK om het dialoogvenster Eigenschappen te sluiten en volg een van de methoden uit de sectie 'Oplossing' om het probleem op te lossen.
  7. Typ %windir%\system32 in het vak Adres van Internet Explorer en druk op ENTER.
  8. Zoek naar toepassingsbestanden (bestanden met de extensie .EXE) met namen als de volgende:
    • Msupd.exe
    • Msupd*.exe

      Opmerking De tijdelijke aanduiding * staat voor een één cijfer
    • Reloadmedude.exe
    Deze bestanden hebben een willekeurige datum en een grootte van 60 kB (61.440 bytes).
    De volgende namen zijn bekend als spywarebestanden:
    • Msupd.exe
    • Msupd4.exe
    • Msupd5.exe
    • Reloadmedude.exe


  9. Als een of meer van deze bestanden aanwezig zijn, is de computer besmet met de spyware. Volg een van de methoden die worden beschreven in de sectie 'Oplossing' om het probleem op te lossen.

Beveiligingsproducten die deze spyware detecteren

Deze spyware wordt door verschillende beveiligingsproducten gedetecteerd. Voorbeelden van deze producten en de gemelde spywarenamen zijn:
ProductGemelde spywarenaam
Microsoft AntiSpywareSpyware.Service.MiscrosoftUpdate (Trojaans paard)
Computer AssociatesWin32/Benuti.61440!Downloader!Dr
Doctor Web DrWebCL Trojan.Medude
F-secureTrojan.Win32.Agent.aw
Kaspersky Lab AVPDOS32Trojan.Win32.Agent.aw
McAfeeDownloader-va
PandaTrj/Agent.FO en Adware/Apropos
Trend Micro VScanTROJ_LODMEDUD.A
Symantec Trojan.Lodmeduod

Referenties


Als u meer informatie wilt over Microsoft AntiSpyware, klikt u op de volgende artikelnummers in de Microsoft Knowledge Base:

892279 Microsoft Windows AntiSpyware (Beta) ophalen
892340 Microsoft Windows AntiSpyware (Beta) wijst programma's aan als spyware-probleem

Voor meer informatie over leveranciers van antivirussoftware klikt u op het volgende artikelnummer in de Microsoft Knowledge Base:

49500 Lijst met leveranciers van antivirussoftware