Аннотация

В статье описано несколько признаков, показывающих, что компьютер может быть заражен шпионской программой Spyware.Service.MiscrosoftUpdate (троянский конь). Чтобы удалить вирус типа «троянский конь», требуется найти файлы, вызывающие проблему, и переименовать их.

Компоненты шпионской программы, которые выполняются в режиме пользователя (Msupd*.exe и Reloadmedude.exe), можно удалить средством удаления вирусов и шпионских программ сразу после переименования скрытого драйвера. Скрытый драйвер может иметь имя gbqxhia.sys, upzvlbvv.sys, jsbmefvk.sys или другое произвольное имя, состоящее только из букв нижнего регистра.

Несколько средств удаления шпионских программ, которые могут обнаружить этот вирус, перечислены в разделе «Дополнительные сведения».

Проблема

При работе возможно возникновение следующих неполадок.

  • Компьютер автоматически перезагружается.

  • После входа в систему появляется следующее сообщение об ошибке.

    Microsoft Windows

    Система восстановлена после серьезной ошибки. В журнале создана запись для данной ошибки. Сообщите о проблеме в Майкрософт. Был подготовлен отчет об ошибке, который вы можете отправить нам для улучшения Microsoft Windows. Этот отчет будет обрабатываться с сохранением конфиденциальности и анонимности. Для просмотра данных отчета об ошибке щелкните здесь.

    Пока сообщение отображается на экране, просмотреть сведения об ошибке можно, щелкнув ссылку «щелкните здесь» внизу окна. Отчет содержит примерно следующее описание ошибки.

    BCCode : 00000050 BCP1 : 0xeb7ff002 BCP2 : 0x00000001 BCP3 : 0x8054af32 BCP4 : 0x00000000 OSVer : 5_1_2600 SP : 0_0 Product : 256_1

  • Появляется следующее сообщение о фатальной ошибке:

    Обнаружена ошибка, для предотвращения повреждения компьютера Windows завершит работу. Технические данные: *** STOP: 0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237

  • В журнал системы заносится запись о событии следующего вида:

Примечания

. Симптомы неустранимой ошибки могут различаться в зависимости от установленных параметров восстановления системы.Для получения дополнительных сведений о настройке параметров восстановления щелкните следующий номер статьи базы знаний Майкрософт:

307973 Настройка механизма восстановления в Windows (Эта ссылка может указывать на содержимое полностью или частично на английском языке) Четыре параметра, которые включены в описание ошибки (BCPn), и технические данные, заключенные в круглые скобки, для фатальной ошибки зависят от конфигурации компьютера.

Не все неустранимые ошибки 0x00000050 возникают по причине, которая описана в разделе «Причина».

Причина

Появление этого сообщения вызывается драйвером ядра, установленного шпионскими программами:

  • Msupd5.exe

  • Reloadmedude.exe

Решение

Для решения этой проблемы используйте представленные ниже способы. Способы расположены в порядке предпочтения.

Способ 1. Переименование драйвера, установленного шпионской программой, с помощью Internet Explorer

  1. Запустите обозреватель Internet Explorer.

  2. В строке Адрес введите %windir%\system32\drivers и нажмите клавишу ВВОД.

  3. Найдите файл SYS с произвольным именем, щелкните его правой кнопкой мыши и выберите команду Переименовать.

  4. Введите malware.old, чтобы переименовать файл, и нажмите клавишу ВВОД.

  5. В поле Адрес введите \WINDOWS\system32 и нажмите клавишу ВВОД.

  6. Найдите и переименуйте следующие файлы, если они существуют:

    • Msupd5.exe Переименуйте этот файл в Msupd5.old.

    • Msupd4.exe. Переименуйте этот файл в Msupd4.old.

    • Msupd.exe Переименуйте этот файл в Msupd.old.

    • Reloadmedude.exe Переименуйте этот файл в Reloadmedude.old.

  7. Закройте Internet Explorer.

  8. Перезагрузите компьютер.

  9. Обновите описания вирусов в программном обеспечении для удаления вирусов и шпионских программ и выполните полное сканирование системы.

Способ 2. (В безопасном режиме) Переименование драйвера, установленного шпионской программой, в окне «Мой компьютер»

  1. Запустите компьютер в безопасном режиме. Для этого выполните следующие действия.

    1. Перезагрузите компьютер.

    2. В процессе перезагрузки несколько раз нажмите клавишу F8 (с интервалом 1 раз в секунду).Откроется меню дополнительных вариантов загрузки Windows.

    3. С помощью клавиш СТРЕЛКА ВВЕРХ и СТРЕЛКА ВНИЗ выберите Безопасный режим и нажмите клавишу ВВОД.

  2. Запустите обозреватель Internet Explorer.

  3. В строке Адрес введите %windir%\system32\drivers и нажмите клавишу ВВОД.

  4. Включите отображение скрытых папок. Для этого выполните следующие действия.

    1. Нажмите кнопку Пуск и выберите пункт Мой компьютер.

    2. В меню Сервис выберите команду Свойства папки.

    3. На вкладке Вид снимите флажок Скрывать защищенные системные файлы (рекомендуется) и нажмите кнопку Да в окне предупреждения о том, что выбрано отображение защищенных системных файлов.

    4. В группе Скрытые файлы и папки установите флажок Показывать скрытые файлы и папки.

    5. Снимите флажок Скрывать расширения для зарегистрированных типов файлов.

    6. В области Представления папки нажмите кнопку Применить ко всем папкам и нажмите кнопку .

  5. Найдите папку с именем C:\%windir%\System32\Drivers.

  6. Найдите все файлы SYS, которые соответствуют следующим характеристикам.

    1. Имя, представляющее собой случайную комбинацию из восьми букв нижнего регистра, например: gbqxmhia.sys, upzvlbvv.sys или jsbmefvk.sys.

    2. Создан: 11 января 2005 г.

    3. Размер: 14 кБ (13824 байт).

    4. Установлен атрибут «Скрытый».

      Примечание. Файл, имеющий атрибут «скрытый», отображается с параметром НА в столбце Атрибуты в проводнике Windows. Указания по просмотру столбца Атрибуты см. в шагах 5a и 5b процедуры, описанной в разделе «Дополнительные сведения».

    5. Сведений о версии файла, имени продукта или производителе нет.

  7. Щелкните каждый найденный файл правой кнопкой мыши и выберите команду Переименовать.

  8. Введите malware1.old, чтобы переименовать файл, и нажмите клавишу ВВОД.

    Примечание. Введите malware2.old, чтобы переименовать второй файл, malware3.old, чтобы переименовать третий файл, и т. д.

  9. Найдите папку %windir%\System32.

  10. Переименуйте следующие файлы (если они существуют).

    • Msupd5.exe Переименуйте этот файл в msupd5.old.

    • Msupd4.exe. Переименуйте этот файл в Msupd4.old.

    • Msupd.exe. Переименуйте этот файл в Msupd.old.

    • Reloadmedude.exe. Переименуйте этот файл в Reloadmedude.old.

  11. Перезагрузите компьютер.

  12. Обновите описания вирусов в программном обеспечении для удаления вирусов и шпионских программ и выполните полную проверку системы.

Способ 3. (В безопасном режиме) Переименование драйвера, установленного шпионской программой, из командной строки

  1. Запустите компьютер в безопасном режиме. Для этого выполните следующие действия.

    1. Перезагрузите компьютер.

    2. В процессе перезагрузки несколько раз нажмите клавишу F8 (с интервалом 1 раз в секунду). Откроется меню дополнительных вариантов загрузки Windows.

    3. С помощью клавиш СТРЕЛКА ВВЕРХ и СТРЕЛКА ВНИЗ выберите пункт Безопасный режим и нажмите клавишу ВВОД.

  2. Выберите в меню Пуск пункт Выполнить, введите в поле Открыть команду cmd и нажмите кнопку ОК.

  3. Введите в командной строке CD %windir%\system32\drivers и нажмите клавишу ВВОД.


  4. Введите Dir /ah и нажмите клавишу ВВОД.

  5. Результат выполнения команды выглядит примерно так. Имя файла SYS представляет собой случайный набор символов.

    Каталог C:\WINDOWS\system32\drivers

    01/11/2005 09:18 AM 13,824 gbqxmhia.sys
    1 File(s) 13,824 bytes
    0 Dir(s) 961,425,408 bytes free
  6. Введите Attrib –s –h СлучайноеИмяФайла и нажмите клавишу ВВОД. Это действие снимает с файла атрибут «системный» и «скрытый».

    Примечание. Замените СлучайноеИмяФайла на имя файла SYS, который отображается после выполнения шага 5. Например, для имени файла, указанного в примере в шаге 5, надо ввести Attrib –s –h gbqxmhia.sys.

  7. Введите команду Ren СлучайноеИмяФайла malware.old и нажмите клавишу ВВОД. Это действие приведет к переименованию файла с именем из случайного набора букв.

  8. Введите команду CD и нажмите клавишу ВВОД. Командная строка изменится, отображая папку %windir%\System32.

  9. Введите следующие команды, нажимая клавишу ВВОД после каждой из них.
    Ren msupd5.exe msupd5.old
    Ren msupd4.exe msupd4.old
    Ren msupd.exe msupd.old
    Ren reloadmedude.exe reloadmedude.old
    Примечание. Указанное ниже сообщение об ошибке можно проигнорировать (его появление говорит о том, что искомый файл не существует).

    Не удается найти указанный файл.

  10. Введите команду Exit и нажмите клавишу ВВОД.

  11. Перезагрузите компьютер.

  12. Обновите описания вирусов в программном обеспечении для удаления вирусов и шпионских программ и выполните полное сканирование системы.

Дополнительная информация

Чтобы проверить, установлена ли на компьютере эта шпионская программа, выполните следующие действия.

  1. Запустите Internet Explorer.

  2. В строке Адрес введите %windir%\system32\drivers и нажмите клавишу ВВОД.

  3. Измените способ представления скрытых и защищенных системных файлов. Для этого выполните следующие действия.

    1. В меню Сервис выберите команду Свойства папки.

    2. На вкладке Вид снимите флажок Скрывать защищенные системные файлы (рекомендуется) и нажмите кнопку Да в окне предупреждения о том, что выбрано отображение защищенных системных файлов.

    3. Для параметра Скрытые файлы и папки установите флажок Показывать скрытые файлы и папки.

    4. Установите флажок Скрывать расширения для зарегистрированных типов файлов.

    5. Установите флажок Показывать содержимое системных папок и нажмите кнопку ОК.

    6. В меню Вид выберите пункт Таблица.

  4. Нажмите клавишу F5, что обновить текущее отображение папки Drivers.

  5. Найдите системные файлы (файлы с расширением SYS), у которых установлен атрибут «скрытый» и отсутствуют имя продукта, название компании и версия файла.

    Примечание. Файлы с установленным атрибутом «скрытый» отображаются с параметром НА в столбце Атрибуты в проводнике Windows. Указания по просмотру столбца Атрибуты см. в шаге 5a и 5b.

    Выполните следующие действия.

    Примечание. Файл шпионской программы может иметь случайным образом созданное имя, состоящее максимум из восьми букв нижнего регистра.

    1. Измените способ представления в проводнике Windows данных о файлах в папке. Для этого выполните следующие действия.

      1. В меню Вид выберите пункт Таблица.

      2. Установите флажок Атрибуты.

      3. Установите флажок Имя продукта.

      4. Установите флажок Компания.

      5. Установите флажок Версия файла.

    2. Щелкните заголовок столбца Атрибуты, чтобы упорядочить файлы по атрибутам. Файлы в папке Drivers обычно имеют только атрибут «архивный» (A). Найдите файлы, у которых также установлен атрибут «скрытый» (HA).
      В следующем списке приведены проверенные примеры имен файлов шпионских программ, которые вызывают проблемы:

      • gbqxmhia.sys

      • upzvlbvv.sys

      • jsbmefvk.sys

      После обнаружения подозрительного файла проверьте его свойства с помощью диалогового окна Свойства. Щелкните файл правой кнопкой мыши, выберите пункт Свойства и попробуйте найти следующие данные.

      • На вкладке «Общие»:

        • Изменено: 11 января 2005 г.

        • Размер: 14 кБ (13,824 байт)

        • Установлен флажок Скрытый

      • На вкладке «Версия»:

        • Не указана версия файла

        • Нет описания

        • Нет уведомления об авторских правах

        • Нет имени компании

        • Нет имени продукта

    Если у файла установлен атрибут «Скрытый» и отсутствуют данные об имени продукта, компании и версии, компьютер заражен шпионской программой.

  6. Нажмите кнопку ОК, чтобы закрыть диалоговое окно Свойства. Чтобы устранить проблему, выполните действия одного из способов, приведенных в разделе «Решение».

  7. В строке Адрес обозревателя Internet Explorer введите %windir%\system32 и нажмите клавишу ВВОД.

  8. Найдите файлы приложения (с расширением EXE), имена которых похожи на следующие:

    • Msupd.exe

    • Msupd*.exe

      Примечание. Значение * представляет собой число, состоящее из одной цифры.

    • Reloadmedude.exe

    Файлы имеют произвольную дату создания и размер 60 кБ (61440 байт).
    Известные имена файлов шпионских программ:

    • Msupd.exe

    • Msupd4.exe

    • Msupd5.exe

    • Reloadmedude.exe


  9. Если существует один или несколько из этих файлов, компьютер заражен шпионской программой. Чтобы устранить проблему, выполните шаги одного из способов, приведенных в разделе «Решение».

Антивирусные продукты, которые обнаруживают эти шпионские программы

Эти шпионские программы обнаруживаются несколькими продуктами антивирусной защиты. К таким продуктам относятся (также указаны обнаруживаемые шпионские программы):

Продукт

Имя обнаруживаемой шпионской программы

Microsoft AntiSpyware

Spyware.Service.MiscrosoftUpdate (троян)

Computer Associates

Win32/Benuti.61440!Downloader!Dr

Doctor Web DrWebCL

Trojan.Medude

F-Secure

Trojan.Win32.Agent.aw

Kaspersky Lab AVPDOS32

Trojan.Win32.Agent.aw

McAfee

Downloader-va

Panda

Trj/Agent.FO и Adware/Apropos

Trend Micro VScan

TROJ_LODMEDUD.A

Symantec

Trojan.Lodmeduod

Ссылки

Для получения дополнительных сведений о средстве Microsoft AntiSpyware щелкните следующие номера статей базы знаний Майкрософт:

892279 Как получить средство Microsoft Windows AntiSpyware (Beta) (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

892340 Программа Microsoft Windows AntiSpyware (Beta) принимает приложение за шпионское программное обеспечение (Эта ссылка может указывать на содержимое полностью или частично на английском языке)
Для получения дополнительных сведений о разработчиках антивирусных программ щелкните следующий номер статьи базы знаний Майкрософт:

49500 Список производителей антивирусного программного обеспечения (Эта ссылка может указывать на содержимое полностью или частично на английском языке)

Нужна дополнительная помощь?

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединение к программе предварительной оценки Майкрософт

Были ли сведения полезными?

Насколько вы удовлетворены качеством перевода?
Что повлияло на вашу оценку?

Спасибо за ваш отзыв!

×