Комп'ютер автоматично перезавантажується, або з'являється повідомлення "серйозна помилка" або повідомлення про невиправну помилку у Windows Server 2003, Windows XP або Windows 2000

Застосовується до: Microsoft Windows Server 2003 Web EditionMicrosoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows Server 2003 Enterprise Edition (32-bit x86)

Загальні відомості


У цій статті описано в кількох ознаки, які можуть виникнути, якщо на комп'ютері інстальовано Spyware.Service.MiscrosoftUpdate (Троян) руткітів шпигунських програм. Щоб видалити троянський вірус, потрібно визначити файли, які викликають цю проблему і перейменувати файли.

Деякі антивірусні чи антишпигунські програми можуть чистити режиму користувача (spyware) компоненти Msupd*.exe і Reloadmedude.exe, як перейменовано приховані драйвера. Прихований драйвера може називатися "gbqxhia.sys," "upzvlbvv.sys," "jsbmefvk.sys", або деякі інші випадкові файлу ім'я, яке містить символи лише на малі літери.

Деякі антишпигунські програми, які виявляє цей вірус, перелічених у розділі "Додаткові відомості".

Причини


Можуть виникнути одна або кілька таких симптомів:
  • Автоматичне перезавантаження комп'ютера.
  • Після входу, з'являється таке повідомлення про помилку:
    Microsoft Windows

    Система, відновлена після серйозної помилки. Ця помилка у журналі створено. Повідомте про цю проблему корпорації Майкрософт. Створено звіт про помилку, надіславши який, ви допоможете нам удосконалити Microsoft Windows. Цей звіт розглядатиметься як конфіденційний та анонімний. Щоб переглянути дані звіту про помилку, клацніть тут.
    Якщо повідомлення про помилку, що залишається на екрані, натисніть посилання "натисніть тут" у нижній частині вікна повідомлення, щоб переглянути дані звіту про помилку. Якщо у цьому випадку відображається відомості про підпис помилки, які можуть бути приблизно такого вигляду:
    BCCode: 00000050-BCP1: 0xeb7ff002 BCP2: 0x00000000 BCP3: 0x8054af32 BCP4: 0x00000001 OSVer: 5_1_2600 SP: 0_0 продукту: 256_1
  • З'являється таке повідомлення про помилку:
    Виявлено проблему, а Windows завершить роботу, щоб запобігти пошкодженню комп'ютера технічні відомості: * * * STOP: 0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt! ExFreePoolWithTag + 237
  • До системного журналу, запису подій, подібне до такого:

Примітки

Симптоми невиправної помилки можуть відрізнятися залежно від параметри відмова системи комп'ютера. Щоб отримати додаткові відомості про те, як налаштувати параметри для відмова системи, клацніть номер статті в базі знань Microsoft Knowledge Base:

Як 307973 настроювання параметрів повідомлення про помилки та відновлення системи у Windows

Чотири параметри, які входять до складу відомості про підпис помилки (BCPn) а також містяться у круглих дужках, технічні дані, для фатальної помилки залежать від конфігурації комп'ютера.

Не всі невиправні помилки 0x00000050, які виникають через проблему, описану в розділі "Причина".

Причина


Це повідомлення про помилку, викликана драйвер ядра, установлений за таких відомих руткітів шпигунських програм:
  • Msupd5.exe
  • Reloadmedude.exe

Вирішення


Щоб вирішити цю проблему, використайте один із наведених нижче способів. Способи, перелічені в основний порядку.

Спосіб 1: Перейменування зловмисних драйверів, за допомогою Internet Explorer

  1. Відкрийте браузер Internet Explorer.
  2. У полі адреси введіть %windir%\system32\driversі натисніть клавішу ENTER.
  3. Знайдіть файл довільним ім'ям. sys файл, клацніть правою кнопкою миші та виберіть Перейменувати.
  4. Введіть malware.old , щоб перейменувати файл і натисніть клавішу ENTER.
  5. У полі адреси введіть \WINDOWS\system32і натисніть клавішу ENTER.
  6. Знайдіть і перейменуйте наступні файли, якщо вони існують:
    • Msupd5.exe., перейменуйте файл Msupd5.old.
    • Msupd4.exe., перейменуйте файл Msupd4.old.
    • Msupd.exe., перейменуйте файл Msupd.old.
    • Reloadmedude.exe., перейменуйте файл Reloadmedude.old.
  7. Закрийте браузер Internet Explorer.
  8. Перезавантажте комп'ютер.
  9. Переконайтеся, що антивірусне чи антишпигунське програмне забезпечення оновлено останні підписи і виконайте перевірку системи, завершено.

Спосіб 2: В безпечному режимі, перейменуйте зловмисних драйверів за допомогою мій комп'ютер

  1. У безпечному режимі, запустіть комп'ютер. Щоб це зробити, виконайте такі дії:
    1. Перезавантажте комп'ютер.
    2. Як комп'ютер починає, кілька разів натисніть клавішу F8 (за один раз на секунду). Ця дія призведе до Microsoft Windows Advanced меню завантаження параметри відображення.
    3. Використовуйте клавіші зі стрілкою вгору та стрілка вниз виділіть у Безпечному режиміі натисніть клавішу ENTER.
  2. Відкрийте браузер Internet Explorer
  3. У полі адреси введіть %windir%\system32\driversі натисніть клавішу ENTER.

  4. Увімкнути перегляд приховані файли. Щоб це зробити, виконайте такі дії:
    1. Натисніть кнопку Пуск і виберіть пункт Мій комп'ютер.
    2. У меню " Сервіс " натисніть кнопку " Властивості папки".
    3. На вкладці " вигляд " зніміть прапорець Приховувати захищені системні файли, (рекомендовано) і натисніть кнопку так , коли з'явиться попередження про те, що ви вибрали для відображення захищені системні файли.
    4. У розділі прихованих файлів і папокнатисніть кнопку Відображати приховані файли та папки.
    5. Клацніть, щоб зняти прапорець приховувати розширення для зареєстрованих типів файлів .
    6. В області подання у вигляді папок натисніть Застосувати до всіх папокі натисніть кнопку OK.

  5. Знайдіть папку з назвою C:\%windir%\System32\Drivers.
  6. Знайдіть файли. sys такими характеристиками:
    1. Випадкові ім'я файлу, який складається з восьми розкладка клавіатури, наприклад, "gbqxmhia.sys," "upzvlbvv.sys" або "jsbmefvk.sys"
    2. Дата 11 січня 2005 р.
    3. Розмір 14 КБ (13,824 байт)
    4. У атрибут "прихована" зі значенням

      Примітка. Файл із його атрибут "прихована" вибір атрибутів стовпця у провіднику Windows відображається "Є". Інструкції про те, щоб переглянути атрибути стовпець див. дії 5, а й 5b, процедури, описаної в розділі "Додаткові відомості".
    5. У ньому не версії, Назва продукту або постачальника інформації.
  7. Для кожного файлу, який вам вдалося знайти файл, клацніть правою кнопкою миші і виберіть Перейменувати.
  8. Введіть malware1.old , щоб перейменувати файл, що перше і натисніть клавішу ENTER.

    Примітка. Введіть malware2.old перейменувати другий файл, тип malware3.old , щоб перейменувати файл для третього і так далі.
  9. Знайдіть папку, %windir%\System32.
  10. Перейменуйте наступні файли, якщо вони існують:
    • Msupd5.exe., перейменуйте цей файл, msupd5.old.
    • Msupd4.exe., перейменуйте файл Msupd4.old.
    • Msupd.exe., перейменуйте файл Msupd.old.
    • Reloadmedude.exe., перейменуйте файл Reloadmedude.old.
  11. Перезавантажте комп'ютер.
  12. Переконайтеся, що антивірусне чи антишпигунське програмне забезпечення оновлено останні підписи і виконайте перевірку системи, завершено.

Спосіб 3: В безпечному режимі, перейменуйте зловмисних драйверів за допомогою командного рядка.

  1. У безпечному режимі, запустіть комп'ютер. Щоб це зробити, виконайте такі дії:
    1. Перезавантажте комп'ютер.
    2. Як комп'ютер починає, кілька разів натисніть клавішу F8 (за один раз на секунду). Ця дія призведе до Microsoft Windows Advanced меню завантаження параметри відображення.
    3. Використовуйте стрілки вгору та вниз, виберіть Безпечний режим із підтримкою командного рядкаі натисніть клавішу ENTER.
  2. Натисніть кнопку Пуск, натисніть запустити, введіть cmd в полі " Відкрити " і натисніть кнопку OK.
  3. У командному рядку введіть CD %windir%\system32\driversі натисніть клавішу ENTER.


  4. Введіть Dir /ahі натисніть клавішу ENTER.
  5. З'явиться текст, подібний до такого. Ім'я файлу. sys буде випадковим.
    Directory of C:\WINDOWS\system32\drivers
    01/11/2005 09:18 AM 13,824 gbqxmhia.sys
    1 File(s) 13,824 bytes
    0 Dir(s) 961,425,408 bytes free

  6. Введіть Attrib-s-h RandomFilenameі натисніть клавішу ENTER. Цю дію, буде видалено з файлу атрибутів системою і прихованих параметрів.

    Примітка. RandomFilename – це ім'я файлу. sys, яке відображається після виконання кроку 5. Наприклад, ім'я файлу, указаного у наведеному прикладі на кроці 5, потрібно ввести Attrib-s-h-gbqxmhia.sys.
  7. Введіть Ren, RandomFilename malware.oldі натисніть клавішу ENTER. Цю дію, перейменування файлу довільним ім'ям.
  8. Введіть компакт-дискі натисніть клавішу ENTER. Це змінює, командного рядка в папці %WINDIR%\system32..
  9. Введіть такі команди, один раз і натисніть клавішу ENTER після кожної команди:
    Ren msupd5.exe msupd5.old

    Ren msupd4.exe msupd4.old

    Ren msupd.exe msupd.old

    Ren reloadmedude.exe reloadmedude.old
    Примітка. Якщо з'являється таке повідомлення про помилку, можна пропустити повідомлення, у тому, що це означає, що цільовий файл не існує:

    Системі не вдалося знайти вказаний файл.
  10. Введіть Exitі натисніть клавішу ENTER.
  11. Перезавантажте комп'ютер.
  12. Переконайтеся, що антивірусне чи антишпигунське програмне забезпечення оновлено останні підписи і виконайте перевірку системи, завершено.

Додаткові відомості


Щоб перевірити, чи заражено комп'ютер це spyware, виконайте такі дії:
  1. Запустіть Internet Explorer.
  2. У вікні браузера Internet Explorer, адреси введіть %windir%\system32\driversі натисніть клавішу ENTER.
  3. Змінити спосіб, що Windows відображення прихованих файлів і захищені системні файли. Щоб це зробити, виконайте такі дії:
    1. У меню " Сервіс " натисніть кнопку " Властивості папки".
    2. На вкладці " вигляд " зніміть прапорець Приховувати захищені системні файли, (рекомендовано) і натисніть кнопку так , коли з'явиться попередження про те, що ви вибрали для відображення захищені системні файли.
    3. У розділі прихованих файлів і папокнатисніть кнопку Відображати приховані файли та папки.
    4. Клацніть, щоб зняти прапорець приховувати розширення для зареєстрованих типів файлів .
    5. Установіть прапорець поруч із пунктом відображення вмісту системні папки та натисніть кнопку OK.

    6. У меню Вигляд натисніть кнопку Докладно.
  4. Натисніть клавішу F5 папку драйвери відображення.
  5. Знайти системні файли (файли з розширенням. sys в імені), їх атрибут "прихована" вибір і докладну інформацію про назву продукту компанії та версія файлу відсутній.

    Примітка. Файли, які мають їх атрибут "прихована" вибір відображення "Є", у стовпці " атрибути " у провіднику Windows. Інструкції про те, щоб переглянути атрибути стовпець див. дії 5, а й 5b.

    Щоб це зробити, виконайте такі дії.

    Примітка. Файл шпигунських програм, може з'явитися, є випадковим ім'я файлу, який складається з восьми малі літери.
    1. Змінити спосіб, що провідник Windows, відображає докладні відомості про файли в папці. Щоб це зробити, виконайте такі дії:
      1. У меню " вигляд " клацніть на Вибір стовпців у таблиці.
      2. Клацніть прапорець атрибути .
      3. Виберіть, установіть прапорець біля Назви продукту .
      4. Клацніть прапорець компанії .
      5. Клацніть, щоб вибрати прапорець Версія файлу .
    2. Клацніть заголовок стовпця атрибути , щоб відсортувати список файлів атрибути. Зазвичай, драйвери папки містять лише атрибут Архів (A). Пошук файлів, які мають атрибут "прихований" (найвищої гарантії.).
      У наведеному нижче списку містяться в прикладі імена файлів шпигунських програм, які можуть викликати проблеми:
      • gbqxmhia.sys
      • upzvlbvv.sys
      • jsbmefvk.sys
      Вибравши файл, який ви підозрюєте, що файл шпигунських програм, перевірте властивості файлу за допомогою діалогового вікна властивостей . Файл, клацніть правою кнопкою миші, виберіть Властивостіі знайдіть таку інформацію:
      • На вкладці "Загальні":
        • Змінено: 11 січня 2005
        • Розмір: 14-КБ (13,824 байт)
        • Прапорець прихована позначка
      • На вкладці версії:
        • Немає версію
        • Опису
        • Ні авторських прав
        • Без назви компанії
        • Немає на найменування
    Якщо файл містить атрибут "прихована" вибір відсутній докладну інформацію про назву продукту компанії та версія файлу і комп'ютер заражено шпигунських програм.
  6. Натисніть кнопку "ОК" , щоб закрити діалогове вікно " Властивості " і дотримуйтесь інструкцій з одним із наведених способів, описаних у розділі "Вирішення", щоб вирішити цю проблему.
  7. У вікні браузера Internet Explorer, адреси введіть %windir%\system32і натисніть клавішу ENTER.
  8. Знайдіть застосунок файли (розширенням .exe ім'я), які мають імена, подібний до наведеного нижче:
    • Msupd.exe
    • Msupd*.exe

      Примітка. Покажчик місця заповнення * , являє собою один цифр
    • Reloadmedude.exe
    Ці файли мають випадкові дату і розмір 60 КБ (61,440 байт).
    Відомі шпигунські імена файлів, належать такі імена файлів:
    • Msupd.exe
    • Msupd4.exe
    • Msupd5.exe
    • Reloadmedude.exe


  9. Якщо один або декілька з цих файлів, комп'ютер заражено шпигунських програм. Виконайте один зі способів, описаних у розділі "Заходи усунення", для вирішення проблеми.

Продукти для захисту, які виявляє цей spyware

Кілька продуктів для системи безпеки, виявити це spyware. Приклади цих продуктів а також про spyware імена включають:
ПродуктПро spyware ім'я
Корпорація Майкрософт AntiSpywareSpyware.Service.MiscrosoftUpdate (Троянська)
Computer AssociatesWin32/Benuti.61440!Downloader!Dr
Доктор веб-DrWebCLTrojan.Medude
F-SecureTrojan.Win32.Agent.aw
Kaspersky Lab AVPDOS32Trojan.Win32.Agent.aw
McAfeeЗавантажувач, Віргінія
PandaTrj/Agent.FO та зловмисні програми/приводу
Trend Micro VScan.TROJ_LODMEDUD.A
SymantecTrojan.Lodmeduod

Посилання


Щоб отримати додаткові відомості про продукт Microsoft антишпигунське клацніть номер статті в базі знань Microsoft Knowledge Base:

892279 завантаження Microsoft-Windows AntiSpyware (бета-версія)

892340 Microsoft-Windows AntiSpyware (бета-версія) визначає програму як загрозу шпигунського ПЗ


Щоб отримати додаткові відомості про виробників антивірусного програмного забезпечення клацніть номер статті в базі знань Microsoft Knowledge Base:

49500 список постачальників антивірусного програмного забезпечення