Sintomas

Poderá detectar um ou mais dos seguintes sintomas num computador baseado no Microsoft Windows Server 2003, Microsoft Windows XP ou Microsoft Windows 2000:

  • O computador é automaticamente reiniciado.

  • Depois de iniciar sessão, recebe a seguinte mensagem de erro:

    Microsoft Windows O sistema recuperou de um erro grave. Foi criado um registo deste erro. Informe a Microsoft sobre este problema. Criámos um relatório de erros que pode enviar para ajudar-nos a melhorar o Microsoft Windows. Este relatório é confidencial e anónimo. Para ver os dados que este relatório de erros contém, clique aqui.

    Para ver os dados que este relatório de erros contém, clique aqui. Se clicar na hiperligação clique aqui existente na parte inferior da caixa da mensagem, serão apresentadas informações de assinatura de erro semelhantes às dos seguintes exemplos.Exemplo de dados 1BCCode : 00000050 BCP1 : f8655000 BCP2 : 00000001 BCP3 : fc7cc465 BCP4 : 00000000 OSVer : 5_1_2600 SP : 0_0 Product : 256_1 Exemplo de dados 2BCCode : 0000008e BCP1 : c0000005 BCP2 : 00000120 BCP3 : fd28eaa4 BCP4 : 00000000 OSVer : 5_1_2600 SP : 0_0 Product : 256_1

  • Recebe uma das seguintes mensagens de erro do tipo "Stop".Mensagem 1

    Foi detectado um problema e o Windows foi encerrado para evitar que o computador fique danificado.Informações técnicas: STOP: 0x00000050 (0xf8655000, 0x00000001, 0xfc7cc465, 0x00000000)PAGE_FAULT_IN_NONPAGED_AREA (50)

    Mensagem 2

    Foi detectado um problema e o Windows foi encerrado para evitar que o computador fique danificado.Informações técnicas: STOP: 0x0000008e (0xc0000005, 0x00000120, 0xfd28eaa4, 0x00000000)KERNEL_MODE_EXCEPTION_NOT_HANDLED_M (1000008e)

  • São registadas mensagens de erro semelhantes às seguintes no registo de eventos do sistema:

    Data: dataOrigem: Sistema Hora do erro: horaCategoria: (102) Tipo: Erro ID do Evento: 1003 Utilizador: N/D Computador: COMPUTADORDescrição: Código de erro 00000050, parâmetro1 f8655000, parâmetro2 00000001, parâmetro3 fc7cc465, parâmetro4 00000000. Para obter mais informações, consulte o 'Centro de ajuda e suporte' em http://support.microsoft.com. Dados: 0000: 53 79 73 74 65 6d 20 45 System E 0008: 72 72 6f 72 20 20 45 72 rror Er 0010: 72 6f 72 20 63 6f 64 65 ror code 0018: 20 30 30 30 30 30 30 35 0000050 0020: 30 20 20 50 61 72 61 6d 0 Param 0028: 65 74 65 72 73 20 66 66 eters ff 0030: 66 66 66 66 64 31 2c

    Data: dataOrigem: Sistema Hora do erro: horaCategoria: (102) Tipo: Erro ID do Evento: 1003 Utilizador: N/D Computador: COMPUTADORDescrição: Código de erro 0000008e, parâmetro1 c0000005, parâmetro2 00000120, parâmetro3 fd28eaa4, parâmetro4 00000000. Para obter mais informações, consulte o 'Centro de ajuda e suporte' em http://support.microsoft.com. Dados: 0000: 53 79 73 74 65 6d 20 45 System E 0008: 72 72 6f 72 20 20 45 72 rror Er 0010: 72 6f 72 20 63 6f 64 65 ror code 0018: 20 30 30 30 30 30 30 35 000008e 0020: 30 20 20 50 61 72 61 6d 0 Param 0028: 65 74 65 72 73 20 66 66 eters ff 0030: 66 66 66 66 64 31 2c

Notas

  • Os sintomas de um erro do tipo Stop variam de acordo com as opções de falha do computador. Para mais informações sobre como configurar as opções de falha do sistema, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:

    307973 COMO: Configurar técnicas de recuperação no Windows XP

  • Os quatro parâmetros dentro dos parênteses da mensagem de erro "Stop" variam consoante a configuração do computador.

Causa

Este problema poderá ocorrer se o computador estiver infectado com uma variante do vírus HaxDoor. O vírus HaxDoor cria um processo oculto. Além disso, o vírus oculta ficheiros e chaves do registo. O nome do ficheiro executável do vírus HaxDoor pode variar, mas é frequentemente Mszx23.exe. Muitas variantes deste vírus colocam um controlador denominado Vdmt16.sys ou Vdnt32.sys no computador. Este controlador é utilizado para ocultar o processo do vírus. As variantes do vírus HaxDoor conseguem restaurar estes ficheiros se o utilizador os eliminar.

Resolução

Importante: esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo de forma incorrecta. Assim, certifique-se de que segue estes passos cuidadosamente. Para uma maior segurança, efectue uma cópia de segurança do registo antes de o modificar. Deste modo, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar uma cópia de segurança e restaurar o registo, clique no número de artigo que se segue para visualizar o artigo na Base de Dados de Conhecimento da Microsoft:

322756 Como efectuar cópias de segurança e restaurar o registo no WindowsPara resolver este problema, siga estes passos:

  1. Imprima o seguinte artigo da Base de Dados de Conhecimento da Microsoft. Utilize este artigo como um manual para este procedimento.

    307654 Como instalar e utilizar a 'Consola de recuperação' no Windows XP

  2. Clique em Iniciar, clique em Executar, escreva regedit e clique em OK.

  3. Localize a seguinte subchave do registo:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

  4. Localize e elimine todas as entradas da subchave de registo que referenciem "drct16" ou "draw32".Por exemplo, poderá ver entradas semelhantes às seguintes:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\draw32

  5. Insira o CD de instalação do Windows XP e reinicie o computador a partir do CD.

  6. No ecrã Bem-vindo ao Programa de Configuração prima R (reparar) para iniciar a Consola de Recuperação do Windows.

  7. Seleccione o número que corresponde à instalação do Windows que pretende reparar. Normalmente, o número 1.

  8. Se solicitado, escreva a palavra-passe de administrador. Se não existir uma palavra-passe de administrador, prima ENTER.

  9. Na linha de comandos, passe para a pasta C:\Windows\System32. Por exemplo, escreva cd C:\Windows\System32.

  10. Utilize o comando ren (rename) para mudar o nome dos seguintes ficheiros, conforme mostrado a seguir. Prima ENTER após cada comando. Caso visualize uma mensagem "Ficheiro não encontrado", passe para o ficheiro seguinte da lista.ren 1.a3d 1.a3d.bad ren cm.dll cm.dll.bad ren cz.dll cz.dll.bad ren draw32.dll draw32.dll.bad ren drct16.dll drct16.dll.bad ren dt163.dt dt163.dt.bad ren fltr.a3d fltr.a3d.bad ren hm.sys hm.sys.bad ren hz.dll hz.dll.bad ren hz.sys hz.sys.bad ren i.a3d i.a3d.bad ren in.a3d in.a3d.bad ren klo5.sys klo5.sys.bad ren klogini.dll klogini.dll.bad ren memlow.sys memlow.sys.bad ren mszx23.exe mszx23.exe.bad ren p2.ini p2.ini.bad ren ps.a3d ps.a3d.bad ren redir.a3d redir.a3d.bad ren tnfl.a3d tnfl.a3d.bad ren vdmt16.sys vdmt16.sys.bad ren vdnt32.sys vdnt32.sys.bad ren w32tm.exe w32tm.exe.bad ren WD.SYS WD.SYS.bad ren winlow.sys winlow.sys.bad ren wmx.a3d wmx.a3d.bad ren wz.dll wz.dll.bad ren wz.sys wz.sys.bad Se pretender eliminar estes ficheiros quando terminar, escreva del *.bad.

  11. Remova o CD de instalação do Windows XP e escreva Exit para reiniciar o computador.

  12. Quando o computador for reiniciado, clique em Iniciar, clique em Executar, escreva regedit e clique em OK.

  13. Localize e elimine as seguintes subchaves do registo e todas as entradas que possam existir em cada subchave. Se qualquer subchave de registo desta lista não existir, passe para a subchave seguinte.HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdnt32HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winlowHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\memlowHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdmt16HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdnt32HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winlowHKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\memlowHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_VDMT16HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_VDNT32HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_WINLOWHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_MEMLOW

  14. Localize e elimine todas as entradas que contenham o nome de ficheiro Mszx23.exe nas seguintes subchaves do registo:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunHKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices

  15. Saia do Editor de Registo.

  16. Certifique-se de que os programas antivírus e anti-spyware estão actualizados com as definições mais recentes e execute uma verificação completa do sistema.

O software malicioso que se segue foi identificado por fornecedores de antivírus.

Symantec:

Backdoor.Haxdoor.D

Trend Micro:

BKDR_HAXDOOR.BC, BKDR_HAXDOOR.BN, BKDR_HAXDOOR.BA, BKDR_HAXDOOR.AL

PandaLabs:

HAXDOOR.AW

F-Secure:

Backdoor.Win32.Haxdoor, Backdoor.Win32.Haxdoor.al

Sophos:

Troj/Haxdoor-AF, Troj/Haxdoor-CN, Troj/Haxdoor-AE

Kaspersky Lab:

Backdoor.Win32.Haxdoor.bg

McAfee:

BackDoor-BAC

Precisa de mais ajuda?

Quer mais opções?

Explore os benefícios da subscrição, navegue em cursos de formação, saiba como proteger o seu dispositivo e muito mais.

As comunidades ajudam-no a colocar e a responder perguntas, a dar feedback e a ouvir especialistas com conhecimentos abrangentes.