Datorn kan startas om eller så visas ett meddelande om ett allvarligt fel eller stoppfel i Windows Server 2003 Windows XP eller Windows 2000


Sammanfattning


I denna artikel beskrivs flera symptom som kan uppträda om datorn är infekterad med spionprogrammet Spyware.Service.MiscrosoftUpdate (trojan). För att kunna ta bort denna trojan måste du först identifiera vilka filer som orsakar problemet och sedan byta namn på filerna.

Komponenterna i användarläge (spionprogram), Msupd*.exe och Reloadmedude.exe, kan tas bort med antivirusprogram och antispionprogram när du har bytt namn på den dolda drivrutinen. Den dolda drivrutinen kan ha namnet "gbqxhia.sys", "upzvlbvv.sys", "jsbmefvk.sys" eller något annat slumpmässigt namn med endast gemener.

I avsnittet "Mer information" finns flera antispionprogram som kan användas för att identifiera detta virus.

Symptom


Ett eller flera av följande problem uppstår:
  • Datorn startar automatiskt om.
  • Efter inloggning visas följande felmeddelande:
    Microsoft Windows

    Datorn har återställts efter ett allvarligt fel. En loggfil har skapats över det här felet. Informera Microsoft om problemet. Vi har skapat en felrapport som du kan skicka till oss för att hjälpa oss att förbättra Microsoft Windows. Rapporten behandlas konfidentiellt och anonymt. Om du vill se informationen i felrapporten klickar du här.
    Om felmeddelandet står kvar, och du vill se innehållet i felrapporten, klickar du på länken "klicka här" längst ned i meddelanderutan. Då visas information om felsignaturen som följande:
    BCCode: 00000050 BCP1 : 0xeb7ff002 BCP2 : 0x00000000 BCP3 : 0x8054af32 BCP4 : 0x00000001 OSVer : 5_1_2600 SP : 0_0 Product : 256_1
  • Ett stoppfelmeddelande av följande typ visas:
    Ett fel uppstod och Windows har stängts för att förebygga problem med din dator. Teknisk information: *** STOP: 0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237
  • En händelse av följande typ registreras i systemloggen:

Obs!

Resultatet av ett stoppfelmeddelande styrs av datorns inställningar för systemfel..Om du vill veta mer om hur du konfigurerar systemfelsalternativ klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:

307973 Konfigurera alternativ för systemfel och återställning i Windows

De fyra parametrarna i felsignaturinformationen (BCPn) och innanför parenteserna med den tekniska informationen för stoppfelmeddelandet kan variera efter datorns konfiguration.

Alla 0x00000050-felmeddelanden beror inte på problemet som beskrivs i avsnittet "Orsak" i den här artikeln.

Orsak


Det här felmeddelandet orsakas av en kernel-drivrutin som installeras av följande rootkit-spionprogram:
  • Msupd5.exe
  • Reloadmedude.exe

Lösning


Lös problemet med en eller flera av följande metoder i angiven ordning.

Metod 1: Byt namn på den skadliga drivrutinen med hjälp av Internet Explorer

  1. Öppna Internet Explorer.
  2. Skriv %windir%\system32\drivers i rutan Adress och tryck på RETUR.
  3. Leta upp SYS-filen med det slumpmässiga namnet, högerklicka på filen och välj Byt namn.
  4. Skriv malware.old och tryck på RETUR.
  5. Skriv \WINDOWS\system32 i rutan Adress och tryck på RETUR.
  6. Leta upp och byt namn på följande filer (om de finns):
    • Msupd5.exe. Byt namn på filen till Msupd5.old.
    • Msupd4.exe. Byt namn på filen till Msupd4.old.
    • Msupd.exe. Byt namn på filen till Msupd.old.
    • Reloadmedude.exe Byt namn på filen till Reloadmedude.old.
  7. Stäng Internet Explorer.
  8. Starta om datorn.
  9. Kontrollera att antivirus- och antispionprogrammen är uppdaterade med de senaste signaturerna, och gör en fullständig genomsökning av datorn.

Metod 2: Byt namn på den skadliga drivrutinen i felsäkert läge med hjälp av Den här datorn

  1. Starta datorn i felsäkert läge. Gör så här:
    1. Starta om datorn.
    2. Tryck en gång i sekunden på F8 medan datorn startar om.Då visas de avancerade startalternativen för Microsoft Windows.
    3. Markera Felsäkert läge med UPP- och NEDPIL och tryck på RETUR.
  2. Öppna Internet Explorer
  3. Skriv %windir%\system32\drivers i rutan Adress och tryck på RETUR.

  4. Aktivera visning av dolda filer Gör så här:
    1. Klicka på Start och sedan på Den här datorn.
    2. Klicka på MappalternativVerktyg-menyn.
    3. Klicka på fliken Visa, avmarkera kryssrutan Dölj skyddade operativsystemfiler (rekommenderas), och klicka på Ja om det visas en varning om att du har valt att visa dolda operativsystemfiler.
    4. Klicka på Visa dolda filer och mappar under Dolda filer och mappar.
    5. Avmarkera kryssrutan Dölj filnamnstillägg för kända filtyper.
    6. Klicka på Använd i alla mappar under Mappvyer och klicka sedan på OK.

  5. Leta reda på mappen C:\%windir%\System32\Drivers.
  6. Leta upp alla SYS-filer med följande egenskaper:
    1. Ett slumpmässigt genererat filnamn med åtta gemener, t ex "gbqxmhia.sys", "upzvlbvv.sys" eller "jsbmefvk.sys".
    2. Fildatum 11 januari 2005.
    3. Filstorlek 14 kB (13 824 byte).
    4. Ett angivet dolt attribut.

      Obs! Filer som har dolt attribut angivet visas med "HA" i kolumnen Attribut i Utforskaren. Det finns instruktioner om hur du visar kolumnen Attribut i steg 5a och 5b i avsnittet "Mer information".
    5. Filen saknar information om version, produktnamn och tillverkare.
  7. Högerklicka på alla filer du hittar och välj Byt namn.
  8. Skriv malware1.old för den första filen och tryck på RETUR.

    Obs! Skriv malware2.old för den andra filen, malware3.old för den tredje, och så vidare.
  9. Leta reda på mappen %windir%\System32.
  10. Byt namn på följande filer (om de finns).
    • Msupd5.exe. Byt namn på filen till Msupd5.old.
    • Msupd4.exe. Byt namn på filen till Msupd4.old.
    • Msupd.exe. Byt namn på filen till Msupd.old.
    • Reloadmedude.exe. Byt namn på filen till Reloadmedude.old.
  11. Starta om datorn.
  12. Kontrollera att antivirus- och antispionprogrammen är uppdaterade med de senaste signaturerna, och gör en fullständig genomsökning av datorn.

Metod 3: Byt namn på den skadliga drivrutinen i felsäkert läge med hjälp av kommandoraden

  1. Starta datorn i felsäkert läge. Gör så här:
    1. Starta om datorn.
    2. Tryck en gång i sekunden på F8 medan datorn startar om. Då visas de avancerade startalternativen för Microsoft Windows.
    3. Markera Felsäkert läge med kommandotolk med UPP- och NEDPILEN och tryck på RETUR.
  2. Klicka på Start, klicka på Kör, skriv cmd i rutan Öppna och klicka sedan på OK.
  3. Skriv CD %windir%\system32\drivers vid kommandotolken och tryck på RETUR.


  4. Skriv Dir /ah och tryck på RETUR.
  5. En text av följande slag visas: SYS-filnamnet genereras slumpmässigt.
    Innehåll i katalogen C:\WINDOWS\system32\drivers

    2005-01-11 09:18 13,824 gbqxmhia.sys
    1 fil(er) 13 824 byte
    0 katalog(er) 961 425 408 byte ledigt
  6. Skriv Attrib –s –h slumpmässigt_filnamn och tryck på RETUR. När du gör det tas systemattribut och dolda atrtibut bort från filen.

    Obs! Platshållaren slumpmässigt_filnamn motsvarar namnet på SYS-filen som visas när du har utfört steg 5. För exempelfilen i i steg 5 skulle du alltså skriva Attrib –s –h gbqxmhia.sys.
  7. Skriv Ren slumpmässigt_filnamn malware.old och tryck på RETUR. Detta ger den slumpmässigt namngivna filen ett nytt namn.
  8. Skriv CD och tryck på RETUR. Detta ändrar kommandoraden till katalogen %windir%\System32 folder.
  9. Skriv följande kommandon ett i taget och tryck på RETUR efter varje kommando:
    Ren msupd5.exe msupd5.old
    Ren msupd4.exe msupd4.old
    Ren msupd.exe msupd.old
    Ren reloadmedude.exe reloadmedude.old
    Obs! Om följande felmeddelande visas kan du ignorera det, eftersom det visar att filen inte finns:

    Det går inte att hitta filen.
  10. Skriv Exit och tryck på RETUR.
  11. Starta om datorn.
  12. Kontrollera att antivirus- och antispionprogrammen är uppdaterade med de senaste signaturerna, och gör en fullständig genomsökning av datorn.

Mer Information


Så här tar du reda på om datorn har angripits av detta spionprogram:
  1. Starta Internet Explorer.
  2. Skriv %windir%\system32\drivers i rutan Adress i Internet Explorer och tryck sedan på RETUR.
  3. Ändra visning av dolda filer och skyddade operativsystemfiler i Windows. Gör så här:
    1. Klicka på MappalternativVerktyg-menyn.
    2. Klicka på fliken Visa, avmarkera kryssrutan Dölj skyddade operativsystemfiler (rekommenderas), och klicka på Ja om det visas en varning om att du har valt att visa dolda operativsystemfiler.
    3. Klicka på Visa dolda filer och mappar under Dolda filer och mappar.
    4. Avmarkera kryssrutan Dölj filnamnstillägg för kända filtyper.
    5. Markera kryssrutan Visa innehållet i systemmappar och klicka på OK.

    6. Klicka på Detaljerad listaVisa-menyn.
  4. Uppdatera visningen i mappen Drivers genom att trycka på F5.
  5. Leta reda på alla systemfiler (filer med tillägget SYS) med angivet dolt attribut och som saknar information om produktnamn, företag och filversion.

    Obs! Filer som har dolt attribut angivet visas med "HA" i kolumnen Attribut i Utforskaren. Det finns instruktioner för hur du visar kolumnen Attribut i steg 5a och 5b.

    Gör så här:

    Obs! Spionprogramfilen kan ha ett slumpmässigt genererat namn med åtta gemener.
    1. Ändra visning av filinformation i Utforskaren. Gör så här:
      1. Klicka på Välj kolumnerVisa-menyn.
      2. Markera kryssrutan Attribut.
      3. Markera kryssrutan Produktnamn.
      4. Markera kryssrutan Företag.
      5. Markera kryssrutan Filversion.
    2. Sortera listan efter attribut genom att klicka på kolumnrubriken Attribut. Vanligtvis har filerna i mappen Drivers endast arkivattributet (A). Leta efter filer som även har det dolda attributet (HA).
      Följande lista innehåller exempel på namn på spionprogramfiler som kan orsaka problemet:
      • gbqxmhia.sys
      • upzvlbvv.sys
      • jsbmefvk.sys
      När du har hittat en misstänkt fil kan du kontrollera dess egenskaper med hjälp av dialogrutan Egenskaper. Högerklicka på filen, klicka på Egenskaper och leta efter följande information:
      • På fliken Allmänt:
        • Ändrad: 11 januari 2005
        • Storlek: 14 kB (13 824 byte)
        • Kryssrutan Dold är markerad
      • På fliken Version:
        • Filversion saknas
        • Ingen beskrivning
        • Copyright-information saknas
        • Företagsnamn saknas
        • Produktnamn saknas
    Datorn är infekterad med ett spionprogram om en fil är dold och saknar information om produktnamn, företag och filversion.
  6. Stäng dialogrutan Egenskaper genom att klicka på OK och lös problemet genom att följa instruktionerna för någon av metoderna som beskrivs i avsnittet "Lösning".
  7. Skriv %windir%\system32 i rutan Adress i Internet Explorer och tryck sedan på RETUR.
  8. Leta efter programfiler (filer med tillägget EXE) som har namn som liknar följande:
    • Msupd.exe.
    • Msupd*.exe

      Obs! Platshållaren * motsvarar en enstaka siffra.
    • Reloadmedude.exe
    Dessa filer har ett slumpmässigt datum och storleken 60 kB (61 440 byte).
    Följande namn är namn på kända spionprogramfiler:
    • Msupd.exe.
    • Msupd4.exe
    • Msupd5.exe
    • Reloadmedude.exe


  9. Datorn är infekterad av spionprogrammet om en eller flera av dessa filer finns. Lös problemet genom att följa instruktionerna för någon av metoderna som beskrivs i avsnittet "Lösning".

Säkerhetsprodukter som kan användas för identifiering av detta spionprogram

Det finns flera säkerhetsprodukter som kan användas för identifiering av detta spionprogram. Här följer exempel på produkter och namn på spionprogram som rapporteras i dem:
ProduktNamn på spionprogram
Microsoft AntiSpywareSpyware.Service.MiscrosoftUpdate (Trojan)
Computer AssociatesWin32/Benuti.61440!Downloader!Dr
Doctor Web DrWebCL Trojan.Medude
F-SecureTrojan.Win32.Agent.aw
Kaspersky Lab AVPDOS32Trojan.Win32.Agent.aw
McAfeeDownloader-va
PandaTrj/Agent.FO and Adware/Apropos
Trend Micro VScanTROJ_LODMEDUD.A
Symantec Trojan.Lodmeduod

Referenser


Om du vill veta mer om Microsoft AntiSpyware klickar du på följande artikelnummer och läser artiklarna i Microsoft Knowledge Base:

892279 Hämta Microsoft Windows AntiSpyware (Beta)

892340 Program identifieras felaktigt som spionprogram av Microsoft Windows AntiSpyware (Beta)


Om du vill veta mer om leverantörer av antivirusprogram klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:

49500 Lista över leverantörer av antivirusprogram