Komputer automatycznie uruchamia się ponownie, jest wyświetlany komunikat o poważnym błędzie bądź jest wyświetlany komunikat o błędzie zatrzymania w systemie Windows Server 2003, Windows XP lub Windows 2000

Streszczenie

W tym artykule opisano kilka symptomów wskazujących, że na komputerze jest uruchomione oprogramowanie inwigilujące sterowniki jądra o nazwie Spyware.Service.MiscrosoftUpdate (Trojan). Aby usunąć ten wirus typu koń trojański, należy zidentyfikować pliki powodujące ten problem, a następnie zmienić ich nazwy.

Składniki trybu użytkownika (oprogramowanie inwigilujące), pliki Msupd*.exe i Reloadmedude.exe, można wyczyścić za pomocą niektórych programów antywirusowych lub programów usuwających oprogramowanie inwigilujące, gdy tylko zostanie zmieniona nazwa ukrytego sterownika. Ukryty sterownik może mieć nazwę gbqxhia.sys, upzvlbvv.sys, jsbmefvk.sys lub podobną, utworzoną losowo nazwę pliku, która zawiera wyłącznie małe litery.

Kilka programów usuwających oprogramowanie inwigilujące, które mogą wykryć tego wirusa, przedstawiono w sekcji „Więcej informacji”.

Symptomy

Może wystąpić jeden lub kilka z następujących symptomów:

  • Komputer automatycznie uruchamia się ponownie.

  • Po zalogowaniu pojawia się następujący komunikat o błędzie:

    Microsoft Windows

    System odzyskał sprawność działania po poważnym błędzie. Utworzono dziennik tego błędu. Przekaż informacje o tym problemie firmie Microsoft. Został utworzony raport o błędach, który możesz wysłać, aby pomóc w ulepszeniu systemu Microsoft Windows. Raport ten będzie traktowany jako poufny i anonimowy. Aby zobaczyć, co zawiera ten raport o błędach, kliknij tutaj.

    Jeżeli ten komunikat o błędzie jest nadal wyświetlany i chcesz obejrzeć dane, które znajdują się w raporcie o błędzie, kliknij łącze „kliknij tutaj” u dołu okna komunikatu. Po kliknięciu tego łącza zostaną wyświetlone informacje dotyczące sygnatury błędu podobne do następujących:

    BCCode : 00000050 BCP1 : 0xeb7ff002 BCP2 : 0x00000000 BCP3 : 0x8054af32 BCP4 : 0x00000001 OSVer : 5_1_2600 SP : 0_0 Product : 256_1

  • Pojawia się następujący komunikat o błędzie zatrzymania:

    Pojawił się problem i system Windows został zamknięty, aby zapobiec uszkodzeniu komputera. Informacje techniczne: *** STOP: 0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237

  • W dzienniku zdarzeń jest rejestrowana informacja o zdarzeniu podobna do następującej:

Uwagi:

Symptomy błędu zatrzymania różnią się w zależności od ustawień opcji awarii systemu na danym komputerze.Aby uzyskać więcej informacji dotyczących sposobu konfigurowania opcji zachowania komputera w przypadku awarii systemu, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

307973 JAK: Konfigurowanie opcji awarii i odzyskiwania systemu Windows

Cztery parametry, które znajdują się w informacjach o sygnaturze błędu (BCP n) i wewnątrz nawiasów w informacjach technicznych dotyczących błędu zatrzymania, zależą od konfiguracji komputera.

Nie wszystkie błędy zatrzymania 0x00000050 są spowodowane problemem, który opisano w sekcji „Przyczyna”.

Przyczyna

Przyczyną wyświetlania tego komunikatu o błędzie jest sterownik jądra zainstalowany przez następujące znane programy inwigilujące jądro:

  • Msupd5.exe

  • Reloadmedude.exe

Rozwiązanie

Aby rozwiązać ten problem, należy użyć jednej lub kilku z następujących metod. Metody są wymienione w kolejności preferowanego użycia.

Metoda 1: Zmiana nazwy szkodliwego sterownika przy użyciu programu Internet Explorer

  1. Otwórz program Internet Explorer.

  2. W polu Adres wpisz ścieżkę %windir%\system32\drivers, a następnie naciśnij klawisz ENTER.

  3. Zlokalizuj plik sys o losowej nazwie, kliknij go prawym przyciskiem myszy, a następnie kliknij polecenie Zmień nazwę.

  4. Zmień nazwę pliku na malware.old, a następnie naciśnij klawisz ENTER.

  5. W polu Adres wpisz ścieżkę \WINDOWS\system32, a następnie naciśnij klawisz ENTER.

  6. Zlokalizuj następujące pliki (jeżeli istnieją), a następnie zmień ich nazwy:

    • Msupd5.exe Zmień nazwę tego pliku na Msupd5.old.

    • Msupd4.exe. Zmień nazwę tego pliku na Msupd4.old.

    • Msupd.exe. Zmień nazwę tego pliku na Msupd.old.

    • Reloadmedude.exe Zmień nazwę tego pliku na Reloadmedude.old.

  7. Zamknij program Internet Explorer.

  8. Ponownie uruchom komputer.

  9. Upewnij się, że używane programy antywirusowe lub programy usuwające oprogramowanie inwigilujące zostały zaktualizowane przy użyciu najnowszych sygnatur, a następnie wykonaj pełne skanowanie systemu.

Metoda 2: Zmiana nazwy szkodliwego sterownika w trybie awaryjnym przy użyciu okna Mój komputer

  1. Uruchom komputer w trybie awaryjnym. Aby to zrobić, wykonaj następujące kroki:

    1. Ponownie uruchom komputer.

    2. Po uruchomieniu komputera wielokrotnie naciśnij klawisz F8 (co sekundę).Ta czynność spowoduje wyświetlenie zawansowanych opcji menu uruchamiania systemu Microsoft Windows.

    3. Korzystając z klawiszy STRZAŁKA W GÓRĘ i STRZAŁKA W DÓŁ, wyróżnij opcję Tryb awaryjny, a następnie naciśnij klawisz ENTER.

  2. Otwórz program Internet Explorer.

  3. W polu Adres wpisz ścieżkę %windir%\system32\drivers, a następnie naciśnij klawisz ENTER.

  4. Włącz funkcję wyświetlania plików ukrytych. Aby to zrobić, wykonaj następujące kroki:

    1. Kliknij przycisk Start, a następnie kliknij polecenie Mój komputer.

    2. W menu Narzędzia kliknij polecenie Opcje folderów.

    3. Kliknij kartę Widok, wyczyść pole wyboru Ukryj chronione pliki systemu operacyjnego (zalecane), a następnie kliknij przycisk Tak, gdy zostanie wyświetlone ostrzeżenie dotyczące wybrania opcji wyświetlania chronionych plików systemu operacyjnego.

    4. W obszarze Ukryte pliki i foldery kliknij opcję Pokaż ukryte pliki i foldery.

    5. Wyczyść pole wyboru Ukryj rozszerzenia plików znanych typów.

    6. W obszarze Widoki folderu kliknij przycisk Zastosuj do wszystkich folderów, a następnie kliknij przycisk OK.

  5. Zlokalizuj folder o nazwie C:\%windir%\System32\Drivers.

  6. Zlokalizuj dowolny plik .sys o następujących cechach:

    1. Losowo wygenerowana nazwa pliku składająca się z maksymalnie ośmiu małych liter, np. gbqxmhia.sys, upzvlbvv.sys lub jsbmefvk.sys.

    2. Data utworzenia: 11 stycznia 2005.

    3. Rozmiar pliku: 14 KB (13 824 bajty).

    4. Ustawiony atrybut Ukryty.

      Uwaga: W przypadku pliku, który ma ustawiony atrybut Ukryty, w kolumnie Atrybuty w Eksploratorze Windows jest wyświetlany napis „HA”. Aby uzyskać instrukcje wyświetlania kolumny Atrybuty, zobacz kroki 5a i 5b procedury opisanej w sekcji „Więcej informacji”.

    5. Brak wersji pliku, nazwy produktu lub informacji dotyczących producenta.

  7. Kliknij prawym przyciskiem myszy każdy znaleziony plik, a następnie kliknij polecenie Zmień nazwę.

  8. Zmień nazwę pierwszego pliku na malware1.old, a następnie naciśnij klawisz ENTER.

    Uwaga: Zmień nazwę drugiego pliku na malware2.old, nazwę trzeciego pliku na malware3.old itd.

  9. Zlokalizuj folder %windir%\System32.

  10. Zmień nazwy następujących plików, jeżeli te pliki istnieją:

    • Msupd5.exe Zmień nazwę tego pliku na msupd5.old.

    • Msupd4.exe. Zmień nazwę tego pliku na Msupd4.old.

    • Msupd.exe. Zmień nazwę tego pliku na Msupd.old.

    • Reloadmedude.exe. Zmień nazwę tego pliku na Reloadmedude.old.

  11. Ponownie uruchom komputer.

  12. Upewnij się, że używane programy antywirusowe lub programy usuwające oprogramowanie inwigilujące zostały zaktualizowane przy użyciu najnowszych sygnatur, a następnie wykonaj pełne skanowanie systemu.

Metoda 3: Zmiana nazwy szkodliwego sterownika w trybie awaryjnym przy użyciu wiersza polecenia

  1. Uruchom komputer w trybie awaryjnym. Aby to zrobić, wykonaj następujące kroki:

    1. Ponownie uruchom komputer.

    2. Po uruchomieniu komputera wielokrotnie naciśnij klawisz F8 (co sekundę). Ta czynność spowoduje wyświetlenie zawansowanych opcji menu uruchamiania systemu Microsoft Windows.

    3. Korzystając z klawiszy STRZAŁKA W GÓRĘ i STRZAŁKA W DÓŁ, zaznacz opcję Tryb awaryjny z wierszem polecenia, a następnie naciśnij klawisz ENTER.

  2. Kliknij przycisk Start, kliknij polecenie Uruchom, w polu Otwórz wpisz polecenie cmd, a następnie kliknij przycisk OK.

  3. W wierszu polecenia wpisz polecenie CD %windir%\system32\drivers, a następnie naciśnij klawisz ENTER.


  4. Wpisz polecenie Dir /ah, a następnie naciśnij klawisz ENTER.

  5. Zostanie wyświetlony tekst podobny do następującego. Nazwa pliku sys będzie nazwą wygenerowaną losowo.

    Katalog C:\WINDOWS\system32\drivers

    01/11/2005 09:18 AM 13 824 gbqxmhia.sys
    Plików: 1 13 824 bajtów
    Katalogów: 0 961 425 408 bajtów wolnych
  6. Wpisz polecenie Attrib –s –h wygenerowana_losowo_nazwa_pliku, a następnie naciśnij klawisz ENTER. Ta czynność spowoduje usunięcie z pliku atrybutów Systemowy i Ukryty.

    Uwaga: Symbol zastępczy wygenerowana_losowo_nazwa_pliku reprezentuje nazwę pliku .sys wyświetlonego po wykonaniu kroku 5. Na przykład dla pliku o nazwie określonej w przykładzie w kroku 5 należy wpisać polecenie Attrib –s –h gbqxmhia.sys.

  7. Wpisz polecenie Ren wygenerowana_losowo_nazwa_pliku malware.old, a następnie naciśnij klawisz ENTER. Ta czynność spowoduje zmianę losowo wygenerowanej nazwy pliku.

  8. Wpisz polecenie CD, a następnie naciśnij klawisz ENTER. Ta czynność spowoduje przeniesienie wiersza polecenia do folderu %windir%\System32.

  9. Wpisz kolejno następujące polecenia, naciskając klawisz ENTER po wpisaniu każdego z nich:
    Ren msupd5.exe msupd5.old
    Ren msupd4.exe msupd4.old
    Ren msupd.exe msupd.old
    Ren reloadmedude.exe reloadmedude.old
    Uwaga: Jeżeli zostanie wyświetlony następujący komunikat o błędzie, można go zignorować, ponieważ informuje on o braku pliku docelowego:

    Nie można odnaleźć określonego pliku.

  10. Wpisz polecenie Exit, a następnie naciśnij klawisz ENTER.

  11. Ponownie uruchom komputer.

  12. Upewnij się, że używane programy antywirusowe lub programy usuwające oprogramowanie inwigilujące zostały zaktualizowane przy użyciu najnowszych sygnatur, a następnie wykonaj pełne skanowanie systemu.

Więcej informacji

Aby sprawdzić, czy dany komputer jest zainfekowany przez to oprogramowanie inwigilujące, należy wykonać następujące kroki:

  1. Uruchom program Internet Explorer.

  2. W polu Adres programu Internet Explorer wpisz ścieżkę %windir%\system32\drivers, a następnie naciśnij klawisz ENTER.

  3. Zmień sposób wyświetlania w systemie Windows plików ukrytych i chronionych plików systemu operacyjnego. Aby to zrobić, wykonaj następujące kroki:

    1. W menu Narzędzia kliknij polecenie Opcje folderów.

    2. Kliknij kartę Widok, wyczyść pole wyboru Ukryj chronione pliki systemu operacyjnego (zalecane), a następnie kliknij przycisk Tak, gdy zostanie wyświetlone ostrzeżenie dotyczące wybrania opcji wyświetlania chronionych plików systemu operacyjnego.

    3. W obszarze Ukryte pliki i foldery kliknij opcję Pokaż ukryte pliki i foldery.

    4. Wyczyść pole wyboru Ukryj rozszerzenia plików znanych typów.

    5. Zaznacz pole wyboru Wyświetl zawartość folderów systemowych, a następnie kliknij przycisk OK.

    6. W menu Widok kliknij polecenie Szczegóły.

  4. Naciśnij klawisz F5, aby zaktualizować zawartość wyświetlaną w folderze Drivers.

  5. Zlokalizuj pliki systemowe (pliki z rozszerzeniem sys), które mają ustawiony atrybut Ukryty i które nie mają szczegółowych informacji dotyczących nazwy produktu, firmy i wersji pliku.

    Uwaga: W przypadku plików, które mają ustawiony atrybut Ukryty, w kolumnie Atrybuty w Eksploratorze Windows jest wyświetlany napis „HA”. Aby uzyskać instrukcje dotyczące wyświetlania kolumny Atrybuty, zobacz kroki 5a i 5b.

    Aby to zrobić, wykonaj następujące kroki.

    Uwaga: Plik oprogramowania inwigilującego może mieć wygenerowaną losowo nazwę składającą się z maksymalnie ośmiu małych liter.

    1. Zmień sposób wyświetlania w Eksploratorze Windows szczegółów plików w folderze. Aby to zrobić, wykonaj następujące kroki:

      1. W menu Widok kliknij polecenie Wybierz szczegóły.

      2. Kliknij, aby zaznaczyć pole wyboru Atrybuty.

      3. Kliknij, aby zaznaczyć pole wyboru Nazwa produktu.

      4. Kliknij, aby zaznaczyć pole wyboru Firma.

      5. Kliknij, aby zaznaczyć pole wyboru Wersja pliku.

    2. Kliknij nagłówek kolumny Atrybuty, aby posortować listę plików według atrybutów. Pliki w folderze Drivers zazwyczaj mają tylko atrybut Archiwalny (A). Wyszukaj pliki mające także atrybut Ukryty (HA).
      Na poniższej liście przedstawiono przykładowe znane nazwy plików oprogramowania inwigilującego, które powoduje ten problem:

      • gbqxmhia.sys

      • upzvlbvv.sys

      • jsbmefvk.sys

      Jeśli istnieje podejrzenie, że dowolny ze znalezionych plików jest plikiem oprogramowania inwigilującego, zweryfikuj jego właściwości za pomocą okna dialogowego Właściwości. Kliknij ten plik prawym przyciskiem myszy, kliknij polecenie Właściwości, a następnie wyszukaj następujące informacje:

      • Na karcie Ogólne:

        • Zmodyfikowany: 11 stycznia 2005

        • Rozmiar: 14 KB (13 824 bajtów)

        • Znacznik wyboru w polu wyboru Ukryty

      • Na karcie Wersja:

        • Brak wersji pliku

        • Brak opisu

        • Brak informacji o prawach autorskich

        • Brak nazwy firmy

        • Brak nazwy produktu

    Jeśli dany plik ma ustawiony atrybut Ukryty, a ponadto nie ma szczegółów dotyczących nazwy produktu, firmy i wersji pliku, komputer jest zainfekowany oprogramowaniem inwigilującym.

  6. Kliknij przycisk OK, aby zamknąć okno dialogowe Właściwości, a następnie w celu rozwiązania tego problemu wykonaj kroki wchodzące w skład jednej z metod opisanych w sekcji „Rozwiązanie”.

  7. W polu Adres programu Internet Explorer wpisz ścieżkę %windir%\system32, a następnie naciśnij klawisz ENTER.

  8. Wyszukaj pliki aplikacji (pliki mające po nazwie rozszerzenie exe), których nazwy są podobne do następujących:

    • Msupd.exe

    • Msupd*.exe

      Uwaga: Symbol zastępczy * reprezentuje jednocyfrową liczbę.

    • Reloadmedude.exe

    W przypadku tych plików data jest generowana losowo, a rozmiar jest równy 60 KB (61 440 bajtów).
    Znane nazwy plików oprogramowania inwigilującego to m.in.:

    • Msupd.exe

    • Msupd4.exe

    • Msupd5.exe

    • Reloadmedude.exe


  9. Jeżeli na komputerze znajduje się jeden lub kilka z tych plików, komputer jest zainfekowany oprogramowaniem inwigilującym. Aby rozwiązać ten problem, wykonaj kroki wchodzące w skład jednej z metod opisanych w sekcji „Rozwiązanie”.

Programy zabezpieczeń, które wykrywają to oprogramowanie inwigilujące

Kilka programów zabezpieczeń wykrywa to oprogramowanie inwigilujące. Przykłady tych programów oraz zgłaszane nazwy oprogramowania inwigilującego to m.in.:

Produkt

Zgłaszana nazwa oprogramowania inwigilującego

Microsoft AntiSpyware

Spyware.Service.MiscrosoftUpdate (Trojan)

Computer Associates

Win32/Benuti.61440!Downloader!Dr

Doctor Web DrWebCL

Trojan.Medude

F-Secure

Trojan.Win32.Agent.aw

Kaspersky Lab AVPDOS32

Trojan.Win32.Agent.aw

McAfee

Downloader-va

Panda

Trj/Agent.FO i Adware/Apropos

Trend Micro VScan

TROJ_LODMEDUD.A

Symantec

Trojan.Lodmeduod

Materiały referencyjne

Aby uzyskać więcej informacji dotyczących produktu Microsoft AntiSpyware, kliknij następujące numery artykułów w celu wyświetlenia tych artykułów z bazy wiedzy Microsoft Knowledge Base:

892279 Jak wejść w posiadanie programu Microsoft Windows AntiSpyware (Beta)

892340 Microsoft Windows AntiSpyware (Beta) identifies a program as a spyware threat


Aby uzyskać więcej informacji dotyczących dostawców oprogramowania antywirusowego, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:

49500 Lista dostawców oprogramowania antywirusowego

Potrzebna dalsza pomoc?

Rozwijaj swoje umiejętności
Poznaj szkolenia
Uzyskuj nowe funkcje w pierwszej kolejności
Dołącz do niejawnych testerów firmy Microsoft

Czy te informacje były pomocne?

Dziękujemy za opinię!

Dziękujemy za opinię! Wygląda na to, że połączenie Cię z jednym z naszych agentów pomocy technicznej pakietu Office może być pomocne.

×