Symptomy
Na komputerze z systemem Microsoft Windows Server 2003, Microsoft Windows XP lub Microsoft Windows 2000 mogą wystąpić dowolne z następujących symptomów:
-
Komputer zostaje automatycznie ponownie uruchomiony.
-
Po zalogowaniu pojawia się następujący komunikat o błędzie:
Microsoft Windows
System odzyskał sprawność działania po poważnym błędzie. Utworzono dziennik tego błędu. Przekaż informacje o tym problemie firmie Microsoft. Został utworzony raport o błędach, który możesz wysłać, aby pomóc w ulepszeniu systemu Microsoft Windows. Raport ten będzie traktowany jako poufny i anonimowy. Aby zobaczyć, co zawiera ten raport o błędach, kliknij tutaj.Aby zobaczyć, co zawiera ten raport o błędach, kliknij tutaj. Po kliknięciu łącza kliknij tutaj na dole okna komunikatu zobaczysz informacje o sygnaturze błędu, które są podobne do następujących danych przykładowych.
Dane przykładowe 1BCCode : 00000050 BCP1 : f8655000 BCP2 : 00000001 BCP3 : fc7cc465 BCP4 : 00000000 OSVer : 5_1_2600 SP : 0_0 Product : 256_1 Dane przykładowe 2BCCode : 0000008e BCP1 : c0000005 BCP2 : 00000120 BCP3 : fd28eaa4 BCP4 : 00000000 OSVer : 5_1_2600 SP : 0_0 Product : 256_1 -
Pojawia się jeden z następujących komunikatów o błędzie zatrzymania.
Komunikat 1Komunikat 2
Pojawił się problem i system Windows został zamknięty, aby zapobiec uszkodzeniu komputera.
Informacje techniczne: STOP: 0x0000008e (0xc0000005, 0x00000120, 0xfd28eaa4, 0x00000000) KERNEL_MODE_EXCEPTION_NOT_HANDLED_M (1000008e) -
W dzienniku zdarzeń systemu są zarejestrowane następujące lub podobne komunikaty o błędzie:
Data: data
Źródło: System Godzina wystąpienia błędu: godzina Kategoria: (102) Typ: Błąd Identyfikator zdarzenia: 1003 Użytkownik: Brak Komputer: nazwa_komputera Opis: Kod błędu 00000050, parametr1 f8655000, parametr2 00000001, parametr3 fc7cc465, parametr4 00000000. Aby uzyskać więcej informacji, zobacz Centrum pomocy i obsługi technicznej pod adresem http://support.microsoft.com. Dane: 0000: 53 79 73 74 65 6d 20 45 System E 0008: 72 72 6f 72 20 20 45 72 rror Er 0010: 72 6f 72 20 63 6f 64 65 ror code 0018: 20 30 30 30 30 30 30 35 0000050 0020: 30 20 20 50 61 72 61 6d 0 Param 0028: 65 74 65 72 73 20 66 66 eters ff 0030: 66 66 66 66 64 31 2cData: data
Źródło: System Godzina wystąpienia błędu: godzina Kategoria: (102) Typ: Błąd Identyfikator zdarzenia: 1003 Użytkownik: Brak Komputer: nazwa_komputera Opis: Kod błędu 0000008e, parametr1 c0000005, parametr2 00000120, parametr3 fd28eaa4, parametr4 00000000. Aby uzyskać więcej informacji, zobacz Centrum pomocy i obsługi technicznej pod adresem http://support.microsoft.com. Dane: 0000: 53 79 73 74 65 6d 20 45 System E 0008: 72 72 6f 72 20 20 45 72 rror Er 0010: 72 6f 72 20 63 6f 64 65 ror code 0018: 20 30 30 30 30 30 30 35 000008e 0020: 30 20 20 50 61 72 61 6d 0 Param 0028: 65 74 65 72 73 20 66 66 eters ff 0030: 66 66 66 66 64 31 2c
Uwagi:
-
Symptomy błędu zatrzymania mogą być różne i zależą od ustawień dotyczących zachowania komputera w przypadku awarii.
Aby uzyskać więcej informacji dotyczących sposobu konfigurowania opcji zachowania komputera w przypadku awarii systemu, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:307973 JAK: Konfigurowanie opcji awarii i odzyskiwania systemu Windows
-
Cztery parametry komunikatu o błędzie zatrzymania podane w nawiasach będą się różniły w zależności od konfiguracji komputera.
Przyczyna
Ten problem może wystąpić, jeśli komputer został zainfekowany przez odmianę wirusa HaxDoor.
Wirus HaxDoor tworzy ukryty proces. Ponadto wirus ukrywa pliki i klucze rejestru. Plik wykonywalny wirusa HaxDoor może mieć różne nazwy, ale często nazywa się Mszx23.exe. Wiele odmian tego wirusa umieszcza na komputerze sterownik o nazwie Vdmt16.sys lub Vdnt32.sys. Sterownik ten służy do ukrycia procesu wirusa. Pewne odmiany wirusa HaxDoor mogą przywracać usunięte pliki.Rozwiązanie
Ważne: W tej sekcji, metodzie lub w tym zadaniu podano informacje dotyczące modyfikowania rejestru. Niepoprawne zmodyfikowanie rejestru może jednak być przyczyną poważnych problemów. Dlatego należy uważnie wykonywać podane kroki. Aby zapewnić dodatkową ochronę, przed zmodyfikowaniem rejestru należy wykonać jego kopię zapasową. Dzięki temu będzie można przywrócić rejestr w wypadku wystąpienia problemu. Aby uzyskać więcej informacji dotyczących wykonywania kopii zapasowej i przywracania rejestru, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
322756 Jak wykonywać kopię zapasową rejestru i przywracać go w systemie Windows Aby rozwiązać ten problem, wykonaj następujące kroki:
-
Wydrukuj następujący artykuł bazy wiedzy Microsoft Knowledge Base. Wykorzystaj zawarte w nim instrukcje jako wskazówki do wykonywania tej procedury.
307654 JAK: Instalowanie i korzystanie z Konsoli odzyskiwania w systemie Windows XP
-
Kliknij przycisk Start, kliknij polecenie Uruchom, wpisz polecenie regedit, a następnie kliknij przycisk OK.
-
Odszukaj następujący podklucz rejestru:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
-
Zlokalizuj w tym podkluczu rejestru i usuń z niego wszystkie wpisy zawierające nazwy „drct16” i „draw32” .
Na przykład podklucz może zawierać wpisy podobne do następującego:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\draw32
-
Włóż instalacyjny dysk CD z systemem Windows XP, a następnie ponownie uruchom komputer z dysku CD.
-
Na ekranie Zapraszamy do programu instalacyjnego naciśnij klawisz R (naprawa), aby uruchomić Konsolę odzyskiwania.
-
Wybierz numer odpowiadający instalacji Windows, którą chcesz naprawić. Jest to zazwyczaj numer 1.
-
Jeśli zostanie wyświetlony odpowiedni monit, wpisz hasło administratora. Jeśli hasło administratora nie jest ustawione, naciśnij klawisz ENTER.
-
W wierszu polecenia przejdź do folderu C:\Windows\System32. Wpisz na przykład polecenie cd C:\Windows\System32.
-
Korzystając z polecenia ren (zmiana nazwy), zmień nazwy następujących plików w podany sposób. Pamiętaj, aby po wpisaniu każdego polecenia naciskać klawisz ENTER. Jeśli zostanie wyświetlony komunikat „Nie można odnaleźć pliku”, przejdź do następnego pliku z listy.ren 1.a3d 1.a3d.bad ren cm.dll cm.dll.bad ren cz.dll cz.dll.bad ren draw32.dll draw32.dll.bad ren drct16.dll drct16.dll.bad ren dt163.dt dt163.dt.bad ren fltr.a3d fltr.a3d.bad ren hm.sys hm.sys.bad ren hz.dll hz.dll.bad ren hz.sys hz.sys.bad ren i.a3d i.a3d.bad ren in.a3d in.a3d.bad ren klo5.sys klo5.sys.bad ren klogini.dll klogini.dll.bad ren memlow.sys memlow.sys.bad ren mszx23.exe mszx23.exe.bad ren p2.ini p2.ini.bad ren ps.a3d ps.a3d.bad ren redir.a3d redir.a3d.bad ren tnfl.a3d tnfl.a3d.bad ren vdmt16.sys vdmt16.sys.bad ren vdnt32.sys vdnt32.sys.bad ren w32tm.exe w32tm.exe.bad ren WD.SYS WD.SYS.bad ren winlow.sys winlow.sys.bad ren wmx.a3d wmx.a3d.bad ren wz.dll wz.dll.bad ren wz.sys wz.sys.bad
Jeśli następnie chcesz usunąć wszystkie pliki, wpisz polecenie del *.bad. -
Wyjmij instalacyjny dysk CD z systemem Windows XP i wpisz polecenie Exit, aby ponownie uruchomić komputer.
-
Po ponownym uruchomieniu komputera kliknij przycisk Start, kliknij polecenie Uruchom, wpisz regedit i kliknij przycisk OK.
-
Odszukaj i usuń następujące podklucze rejestru i wszystkie wpisy znajdujące się pod nimi. Jeśli w rejestrze nie byłoby któregokolwiek z podkluczy z listy, przejdź do następnego podklucza z listy.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdnt32 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winlow HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\memlow HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdmt16 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdnt32 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winlow HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\memlow HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_VDMT16 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_VDNT32 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_WINLOW HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_MEMLOW -
Odszukaj i usuń z następujących podkluczy rejestru wszystkie wpisy zawierające nazwę pliku Mszx23.exe:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices -
Zamknij Edytor rejestru.
-
Upewnij się, że używane programy zapewniające ochronę przed wirusami i inwigilacją zostały zaktualizowane przy użyciu najnowszych definicji, a następnie wykonaj pełne skanowanie systemu.
Producenci zabezpieczeń antywirusowych zidentyfikowali następujące oprogramowanie destrukcyjne.
Symantec: |
Backdoor.Haxdoor.D |
Trend Micro: |
BKDR_HAXDOOR.BC, BKDR_HAXDOOR.BN, BKDR_HAXDOOR.BA, BKDR_HAXDOOR.AL |
PandaLabs: |
HAXDOOR.AW |
F-Secure: |
Backdoor.Win32.Haxdoor, Backdoor.Win32.Haxdoor.al |
Sophos: |
Troj/Haxdoor-AF, Troj/Haxdoor-CN, Troj/Haxdoor-AE |
Kaspersky Lab: |
Backdoor.Win32.Haxdoor.bg |
McAfee: |
BackDoor-BAC |