O computador pode reiniciar automaticamente e a mensagem "erro grave" ou a mensagem de erro Stop pode ser exibida no Windows Server 2003, no Windows XP ou no Windows 2000

Sumário

Este artigo descreve vários sintomas possíveis caso o computador esteja executando o spyware rootkit Spyware.Service.MiscrosoftUpdate (Trojan). Para remover o vírus Trojan, é preciso identificar os arquivos que causam esse problema e renomeá-los.

Os componentes em modo usuário (spyware) Msupd*.exe e Reloadmedude.exe podem ser limpos por algum antivírus ou anti-spyware assim que o driver oculto é renomeado. O driver oculto pode se chamar "gbqxhia.sys," "upzvlbvv.sys," "jsbmefvk.sys" ou qualquer outro nome de arquivo aleatório que contenha apenas letras minúsculas.

Vários programas anti-spyware que são capazes de detectar esse vírus estão relacionados na seção "Informações adicionais".

Sintomas

Você pode enfrentar um ou mais dos seguintes sintomas:

  • O computador é reiniciado automaticamente.

  • Após fazer logon, a seguinte mensagem de erro é exibida:

    Microsoft Windows
    O sistema se recuperou de um erro grave. Foi criado um log deste erro. Informe a Microsoft sobre este problema. Criamos um relatório de erros que você pode nos enviar para ajudar a melhorar o Microsoft Windows. Esse relatório será considerado confidencial e anônimo. Para ver quais dados este relatório de erros contém, clique aqui.

    Se a mensagem de erro ainda estiver sendo exibida, clique no link "clique aqui" na parte inferior da caixa de mensagem caso queira ver os dados contidos no relatório de erros. Assim, você verá as informações sobre a assinatura do erro que podem ser similares às seguintes:

    BCCode: 00000050 BCP1 : 0xeb7ff002 BCP2 : 0x00000000 BCP3 : 0x8054af32 BCP4 : 0x00000001 OSVer : 5_1_2600 SP : 0_0 Product : 256_1

  • A seguinte mensagem de erro Stop é exibida:

    Um problema foi detectado e o Windows foi desligado para impedir danos ao computador. *** STOP: 0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237

  • O log do Sistema pode conter um evento semelhante ao seguinte:

Observações

Os sintomas de um erro Stop variam de acordo com as opções de falha do sistema do computador. Para obter informações adicionais sobre como configurar as opções de falha do sistema, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):

307973 Como configurar as opções de falha e recuperação do sistema no Windows

Os quatros parâmetros incluídos nas informações de assinatura do erro (BCPn) e dentro dos parênteses das informações técnicas para o erro Stop podem variar de acordo com a configuração do computador.

Nem todos os erros Stop 0x00000050 são causados pelo problema descrito na seção "Causa" deste artigo.

Causa

Essa mensagem de erro é causada por um driver de kernel instalado pelo seguinte spyware rootkit:

  • Msupd5.exe

  • Reloadmedude.exe

Resolução

Para resolver esse problema, use um ou alguns dos seguintes métodos. Os métodos são relacionados na ordem de preferência.

Método 1: Renomear o driver mal-intencionado usando o Internet Explorer

  1. Abra o Internet Explorer.

  2. Na caixa Endereço, digite
    %windir%\system32\drivers e pressione ENTER.

  3. Localize o nome de arquivo aleatório .sys, clique com o botão direito do mouse no arquivo e selecione Renomear.

  4. Digite malware.old para renomear o arquivo e pressione ENTER.

  5. Na caixa Endereço, digite
    \WINDOWS\system32 e pressione ENTER.

  6. Localize e renomeie os seguintes arquivos, caso eles existam:

    • Msupd5.exe. Renomeie esse arquivo para Msupd5.old.

    • Msupd4.exe. Renomeie esse arquivo para Msupd4.old.

    • Msupd.exe. Renomeie esse arquivo para Msupd.old.

    • Reloadmedude.exe. Renomeie esse arquivo para Reloadmedude.old.

  7. Feche o Internet Explorer.

  8. Reinicie o computador.

  9. Certifique-se de que o software de antivírus/anti-spyware esteja atualizado com as assinaturas mais recentes e faça uma verificação completa do sistema.

Método 2: No Modo de segurança, renomeie o driver mal-intencionado usando Meu computador

  1. Inicie o computador no Modo seguro. Para fazer isso, execute as seguintes etapas:

    1. Reinicie o computador.

    2. Quando o computador iniciar, pressione a tecla F8 repetidamente (uma vez por segundo). Isso irá exibir as opções do menu Opções de inicialização avançadas do Microsoft Windows.

    3. Use as teclas SETA PARA CIMA e SETA PARA BAIXO para selecionar Modo de segurança e pressione ENTER.

  2. Abra o Internet Explorer.

  3. Na caixa Endereço, digite
    %windir%\system32\drivers e pressione ENTER.

  4. Ative a exibição dos arquivos ocultos. Para fazer isso, execute as seguintes etapas:

    1. Clique em Iniciar e em Meu computador.

    2. No menu Ferramentas, clique em
      Opções de pasta.

    3. Na guia Modo de exibição, desmarque a caixa de seleção Ocultar arquivos protegidos do sistema operacional (recomendado) e clique em Sim quando receber uma mensagem de aviso informando que você optou por exibir arquivos de sistema operacional protegidos.

    4. Em Pastas e arquivos ocultos, clique em Mostrar pastas e arquivos ocultos.

    5. Desmarque a caixa de seleção Ocultar as extensões dos tipos de arquivo conhecidos.

    6. Na área Modos de exibição de pasta, clique em Aplicar a todas as pastas e em OK.

  5. Localize a pasta C:\%windir%\System32\Drivers.

  6. Localize todos os arquivos .sys que tenham as seguintes características:

    1. Nome de arquivo gerado aleatoriamente com até oito letras minúsculas, como "gbqxmhia.sys," "upzvlbvv.sys" ou "jsbmefvk.sys"

    2. Data de 11 de janeiro de 2005

    3. Arquivo de 14 KB (13.824 bytes)

    4. Um atributo oculto configurado

      Observação Um arquivo com atributo oculto configurado exibe um "HA" na coluna Atributos do Windows Explorer. Para obter instruções sobre como visualizar a coluna Atributos, consulte as etapas 5a e 5b do procedimento descrito na seção "Mais informações".

    5. Arquivo sem informações sobre versão, nome do produto ou fabricante.

  7. Para cada arquivo localizado, clique com o botão direito do mouse e selecione Renomear.

  8. Digite malware1.old para renomear o arquivo e pressione ENTER.

    Observação Digite malware2.old para renomear o segundo arquivo, digite malware3.old para o terceiro e assim por diante.

  9. Localize a pasta %windir%\System32.

  10. Renomeie os seguintes arquivos, caso eles existam.

    • Msupd5.exe. Renomeie esse arquivo para msupd5.old.

    • Msupd4.exe. Renomeie esse arquivo para Msupd4.old.

    • Msupd.exe. Renomeie esse arquivo para Msupd.old.

    • Reloadmedude.exe. Renomeie esse arquivo para Reloadmedude.old.

  11. Reinicie o computador.

  12. Certifique-se de que o software de antivírus/anti-spyware esteja atualizado com as assinaturas mais recentes e faça uma verificação completa do sistema.

Método 3: No Modo de segurança, renomeie o driver mal-intencionado usando o prompt de comando

  1. Inicie o computador no Modo seguro. Para fazer isso, execute as seguintes etapas:

    1. Reinicie o computador.

    2. Quando o computador iniciar, pressione a tecla F8 repetidamente (uma vez por segundo). Isso irá exibir as opções do menu Opções de inicialização avançadas do Microsoft Windows.

    3. Use as teclas SETA PARA CIMA e SETA PARA BAIXO para selecionar Modo seguro com prompt de comando e pressione ENTER.

  2. Clique em Iniciar, em
    Executar, digite cmd na caixa
    Abrir e clique em OK.

  3. No prompt de comando, digite CD %windir%\system32\drivers e pressione ENTER.

  4. Digite Dir /ah e pressione ENTER.

  5. Você verá um texto similar ao seguinte: O nome do arquivo .sys será gerado aleatoriamente.

    Directory of C:\WINDOWS\system32\drivers

    01/11/2005 09:18 AM 13,824 gbqxmhia.sys
    1 File(s) 13,824 bytes
    0 Dir(s) 961,425,408 bytes free
  6. Digite Attrib –s –h
    Nome_Arquivo_Aleatório e pressione ENTER. Essa ação remove os atributos de sistema e os ocultos do arquivo.

    Observação O espaço reservado para o nome
    Nome_Arquivo_Aleatório representa o nome do arquivo .sys exibido após a execução da etapa 5. Por exemplo, para o nome de arquivo especificado no exemplo 5, você digitaria Attrib –s –h gbqxmhia.sys.

  7. Digite Ren
    Nome_Arquivo_Aleatório malware.old e pressione ENTER. Essa ação renomeia o arquivo com nome aleatório.

  8. Digite CD e pressione ENTER. Isso altera a linha de comando para a pasta %windir%\System32.

  9. Digite os seguintes comandos, um por vez, e pressione ENTER após cada um deles:
    Ren msupd5.exe msupd5.old
    Ren msupd4.exe msupd4.old
    Ren msupd.exe msupd.old
    Ren reloadmedude.exe reloadmedude.old
    Observação Se a seguinte mensagem de erro for exibida, é possível ignorá-la porque ela indica que o arquivo não existe:

    O sistema não pôde encontrar o arquivo especificado.

  10. Digite Exit e pressione ENTER.

  11. Reinicie o computador.

  12. Certifique-se de que o software de antivírus/anti-spyware esteja atualizado com as assinaturas mais recentes e faça uma verificação completa do sistema.

Mais Informações

Para verificar se o computador está infectado por esse spyware, execute as seguintes etapas:

  1. Inicie o Internet Explorer.

  2. Na caixa Endereço do Internet Explorer, digite %windir%\system32\drivers e pressione ENTER.

  3. Alterar a forma como o Windows exibe arquivos ocultos e arquivos protegidos do sistema operacional. Para fazer isso, execute as seguintes etapas:

    1. No menu Ferramentas, clique em
      Opções de pasta.

    2. Na guia Modo de exibição, desmarque a caixa de seleção Ocultar arquivos protegidos do sistema operacional (recomendado) e clique em Sim quando receber uma mensagem de aviso informando que você optou por exibir arquivos de sistema operacional protegidos.

    3. Em Pastas e arquivos ocultos, clique em Mostrar pastas e arquivos ocultos.

    4. Desmarque a caixa de seleção Ocultar as extensões dos tipos de arquivo conhecidos.

    5. Marque a caixa de seleção Exibir o conteúdo das pastas de sistema e clique em OK.

    6. No menu Exibir, clique em
      Detalhes.

  4. Pressione F5 para atualizar a exibição da pasta Drivers.

  5. Localize os arquivos de sistema (arquivos com uma extensão .sys no nome) com o atributo oculto configurado e que não têm detalhes quanto ao nome do produto, empresa e versão do arquivo.

    Observação Arquivos com atributo oculto configurado exibem um "HA" na coluna
    Atributos do Windows Explorer. Para obter instruções sobre como visualizar a coluna Atributos, consulte as etapas 5a e 5b.

    Para fazer isso, execute as seguintes etapas:

    Observação O arquivo do spyware pode aparecer como um arquivo com nome gerado aleatoriamente formado por oito letras minúsculas.

    1. Alterar a forma como o Windows Explorer exibe os detalhes dos arquivos na pasta. Para fazer isso, execute as seguintes etapas:

      1. No menu Exibir, clique em
        Detalhes.

      2. Marque a caixa de seleção
        Atributos.

      3. Marque a caixa de seleção Nome do produto.

      4. Marque a caixa de seleção
        Empresa.

      5. Marque a caixa de seleção Versão do arquivo.

    2. Clique no cabeçalho da coluna
      Atributos para classificar a lista dos arquivos por atributos. Arquivos na pasta Drivers normalmente contêm apenas o atributo de arquivo (A). Procure arquivos que também tenham o atributo oculto (HA).
      A seguinte lista contém nomes de exemplo de arquivos de spyware conhecidos por causarem esse problema:

      • gbqxmhia.sys

      • upzvlbvv.sys

      • jsbmefvk.sys

      Depois de localizar um arquivo de que suspeita ser um spyware, verifique as propriedades do arquivo, usando a caixa de diálogo
      Propriedades. Clique com o botão direito do mouse no arquivo, clique em Propriedades e verifique as seguintes informações:

      • Na guia Geral:

        • Modificado: 11 de janeiro de 2005

        • Tamanho: 14 KB (13.824 bytes)

        • Marca de seleção na caixa
          Oculto

      • Na guia Versão:

        • Sem versão do arquivo

        • Sem descrição

        • Sem direitos autorais

        • Sem o nome da empresa

        • Sem o nome do produto

    Se um arquivo tiver o atributo oculto definido e também não tiver detalhes quanto ao nome do produto, empresa e versão do arquivo, o computador está infectado pelo spyware.

  6. Clique em OK para fechar a caixa de diálogo Propriedades e execute as etapas de um dos métodos descritos na seção "Resolução" para resolver o problema.

  7. Na caixa Endereço do Internet Explorer,digite %windir%\system32 e pressione ENTER.

  8. Procure arquivos de aplicativo (arquivos com uma extensão .exe no nome) com nomes similares aos seguintes:

    • Msupd.exe

    • Msupd*.exe

      Observação O espaço reservado para o nome * representa um número com oito dígitos

    • Reloadmedude.exe

    Esses arquivos terão uma data aleatória e um tamanho de 60 KB (61.440 bytes).
    Entre os nomes conhecidos de arquivos de spyware estão os seguintes:

    • Msupd.exe

    • Msupd4.exe

    • Msupd5.exe

    • Reloadmedude.exe

  9. Se houver um ou mais desses arquivos, é sinal de que o computador está infectado pelo spyware. Execute as etapas de um dos métodos descritos na seção "Resolução" para resolver o problema.

Produtos de segurança que detectam esse spyware

Vários produtos de segurança detectam esse spyware. Entre alguns desses produtos e nomes de spyware estão os seguintes:

Produto

Nome relatado do spyware

Microsoft AntiSpyware

Spyware.Service.MiscrosoftUpdate (Trojan)

Computer Associates

Win32/Benuti.61440!Downloader!Dr

Doctor Web DrWebCL

Trojan.Medude

F-Secure

Trojan.Win32.Agent.aw

Kaspersky Lab AVPDOS32

Trojan.Win32.Agent.aw

McAfee

Downloader-va

Panda

Trj/Agent.FO e Adware/Apropos

Trend Micro VScan

TROJ_LODMEDUD.A

Symantec

Trojan.Lodmeduod

Referências

Para obter informações adicionais sobre o Microsoft AntiSpyware, clique nos números abaixo para ler os artigos na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):

892279 Como obter o Microsoft Windows AntiSpyware (Beta)

892340 Microsoft Windows AntiSpyware (Beta) identifica um programa como uma ameaça de spyware


Para obter informações adicionais sobre os fornecedores de software antivírus, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):

49500 Lista de fornecedores de software antivírus

Precisa de mais ajuda?

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Microsoft Insider

Estas informações foram úteis?

Obrigado por seus comentários!

Agradecemos pelos seus comentários! Parece que pode ser útil conectar você a um de nossos agentes de suporte do Office.

×