Chương trình chẩn đoán có thể đóng ngay lập tức và bạn có thể nhận được một "Stop mã lỗi 0x00000050" (PAGE_FAULT_IN_NONPAGED_AREA) hoặc "Stop mã lỗi 0x0000000A" thông báo lỗi (IRQL_NOT_LESS_OR_EQUAL) trong Windows Server 2003, Windows 2000 hoặc Windows XP

Áp dụng cho: Microsoft Windows Server 2003 Web EditionMicrosoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows Server 2003 Enterprise Edition (32-bit x86)

Triệu chứng


Khi bạn cố gắng chạy một trong các chương trình chẩn đoán sau, chương trình có thể đóng ngay lập tức:
  • Registry Editor (Regedit.exe)
  • Trình quản lý tác vụ (Taskmgr.exe)
  • Tiện ích cấu hình hệ thống (Msconfig.exe)
  • Thông tin hệ thống (Msinfo32.exe)
Bạn cũng có thể gặp bất kỳ hiện tượng sau:
  • Máy tính tự động khởi động lại.
  • Sau khi bạn đăng nhập, bạn nhận được thông báo lỗi sau:
    Microsoft Windows
    Hệ thống đã khôi phục từ lỗi nghiêm trọng.
    Nhật ký lỗi này đã được tạo ra.
    Vui lòng cho Microsoft về vấn đề này.
    Chúng tôi đã tạo một báo cáo lỗi mà bạn có thể gửi để giúp chúng tôi cải thiện Microsoft Windows. Chúng tôi sẽ coi báo cáo này là mật và vô danh.
    Để xem báo cáo lỗi này chứa dữ liệu gì, hãy bấm vào đây.
    Khi bạn bấm vào đây liên kết ở dưới cùng của hộp thư, bạn thấy thông tin chữ ký lỗi có thể tương tự như một trong các mẫu dữ liệu sau:

    Dữ liệu mẫu 1

    BCCode : 00000050 BCP1 : ffffff60 BCP2 : 00000000 BCP3 : 804fa26f 
    BCP4 : 00000000 OSVer : 5_1_2600 SP : 0_0 Product : 256_1

    Dữ liệu mẫu 2

    BCCode : 0000000A BCP1 : ffffff94 BCP2 : 00000000 BCP3 : 00000000 
    BCP4 : 804e15ef OSVer : 5_1_2600 SP : 0_0 Product : 256_1
  • Bạn nhận được một thông báo lỗi dừng sau:

    Thông báo 1

    Sự cố đã được phát hiện và Windows đã được tắt để tránh hỏng hóc cho máy tính của bạn.
    Thông tin kỹ thuật:


    STOP: 0x00000050 (0xffffff60, 0x00000000, 0x804fa26f, 0x00000000) PAGE_FAULT_IN_NONPAGED_AREA địa chỉ 0x804fa26f 0x50_nt. ObReferenceObjectSafe + e

    Thông báo 2

    Sự cố đã được phát hiện và Windows đã được tắt để tránh hỏng hóc cho máy tính của bạn.
    Thông tin kỹ thuật:


    DỪNG: 0x0000000A (0xffffff94, 0x00000000, 0x00000000, 0x804e15ef) IRQL_NOT_LESS_OR_EQUAL địa chỉ 0x804fa26f 0xA_nt. ExpCopyThreadInfo + a
  • Khi bạn xem Nhật ký hệ thống trong trình xem sự kiện, bạn có thể thấy một mục giống như sau:

    Mục 1

    Mục 2

Lưu ý:

  • Dấu hiệu của một lỗi dừng thay đổi theo tùy chọn lỗi hệ thống máy tính.
    Để biết thêm thông tin về cách đặt cấu hình tuỳ chọn lỗi hệ thống, bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    307973 làm thế nào để đặt cấu hình tuỳ chọn lỗi và khôi phục Hệ thống trong Windows

  • Bốn tham số trong dấu ngoặc đơn thông báo lỗi dừng thay đổi theo cấu hình máy tính.
  • Không phải tất cả "Stop 0x0000000A" lỗi do sự cố được mô tả trong bài viết này.
    Để biết thêm thông tin về cách khắc phục Stop 0x0000000A lỗi trong Windows XP, hãy bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
    314063 khắc phục sự cố lỗi Stop 0x0000000A trong Windows XP

Nguyên nhân


Sự cố này có thể xảy ra nếu máy tính bị nhiễm một biến thể của vi-rút Sdbot.

Vi-rút Sdbot tạo trình ẩn. Quá trình này đóng chương trình quản trị hệ thống sử dụng cho mục đích chẩn đoán và cấu hình. Quá trình này cũng có thể khiến các chương trình chạy.

Tên tệp của vi-rút Sdbot khác nhau. Nhiều phiên bản của vi rút này đặt trình điều khiển được đặt tên Msdirectx.sys hoặc Haxdrv.sys trên máy tính. Trình điều khiển này được sử dụng để ẩn trình vi-rút. Tên tập tin vi-rút thường sử dụng bao gồm Msdrv.exe và Sdkcore.exe. Các phiên bản vi-rút có thể khôi phục virus nếu bạn xoá các tệp.

Giải pháp


Để khắc phục sự cố này, sử dụng một trong các phương pháp sau:

Tự động loại bỏ

Để tự động loại bỏ một số phiên bản của vi rút này, chạy nguy hiểm Microsoft Software Removal Tool.

Ngày phát hành của tiện ích này có thể loại bỏ một số phiên bản của phần mềm độc hại này. Bạn có thể biết thông tin và tải xuống công cụ loại bỏ phần mềm nguy hiểm ở các vị trí sau:
Loại bỏ thủ công

Quan trọng Tên tệp của vi-rút Sdbot khác nhau. Bạn có thể phải sửa đổi các bước theo tên tập tin vi-rút Sdbot sử dụng trên máy tính của bạn.
  1. Hãy làm theo các bước sau để khởi động máy tính ở chế độ an toàn:
    1. Khởi động lại máy tính.
    2. Khi máy tính khởi động, nhấn phím F8 liên tục ở tốc độ một lần mỗi giây.

      Hiển thị tùy chọn trình đơn khởi động nâng cao của Microsoft Windows.
    3. Sử dụng các phím mũi tên lên và xuống mũi tên để chọn chế độ an toàn, và sau đó nhấn ENTER.
  2. Bấm Bắt đầu, bấm Chạy, nhập regedit trong ô Mở , và sau đó bấm OK.
  3. Trong khoá con đăng ký sau, định vị và xoá bất kỳ mục có tên tập tin Msdrv.exe hoặc tên tệp Sdkcore.exe:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
    Ví dụ: nếu mục "Trình điều khiển âm thanh Ms" có giá trị "msdrv.exe", xoá mục.
  4. Trong khoá con đăng ký sau, định vị và xoá bất kỳ mục có chứa Msdirectx hoặc Haxdrv:
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
  5. Thoát khỏi Trình soạn Sổ đăng ký.
  6. Bấm Bắt đầu, bấm Chạy, gõ cmd trong hộp Mở và sau đó bấm OK.
  7. Tại dấu nhắc lệnh, gõ lệnh sau. Nhấn ENTER sau mỗi lệnh.
    ATTRIB - r -s -h %systemroot%\system32\msdirectx.sys
    ATTRIB - r -s -h %systemroot%\system32\haxdrv.sys
    ATTRIB - r -s -h %systemroot%\system32\msdrv.exe
    ATTRIB - r -s -h %systemroot%\system32\sdkcore.exe
    Lưu ý Các tệp này có thể tồn tại trong các thư mục trên máy tính. Ví dụ: các tệp đã được báo cáo trong thư mục sau:
    • C:\
    • C:\system32\
    • C:\system32\drivers\
    • C:\Documents and Settings\UserName\

    Thực hiện tìm kiếm để tìm mọi phiên bản của Msdirectx.sys và Haxdrv.sys. Sau đó, gõ lệnh trong bước này, nhưng thay thế đường %systemroot%\system32\ đường dẫn của mỗi tệp mà bạn tìm thấy.
  8. Nhập các lệnh sau để xoá các tệp. Nhấn ENTER sau mỗi lệnh.
    del %systemroot%\system32\msdirectx.sys
    del %systemroot%\system32\haxdrv.sys
    del %systemroot%\system32\msdrv.exe
    del %systemroot%\system32\sdkcore.exe
    Nếu bạn tìm thấy các phiên bản khác của các tệp trong bước 7, hãy lặp lại các lệnh bằng cách sử dụng đường dẫn của mỗi tệp mà bạn tìm thấy.
  9. Khởi động lại máy tính.
  10. Đảm bảo rằng chương trình chống vi-rút và chống phần mềm gián điệp của bạn được Cập Nhật với các định nghĩa mới nhất. Sau đó, thực hiện quét hệ thống hoàn chỉnh. Ngày 7 tháng 4 năm 2005, các tệp sau đây được phát hiện bởi các chương trình sau:

    Msdrv.exe
    Chương trìnhPhiên bản virus SDBot phát hiện
    Norman AVW32/MEWpacked.gen
    PandaLabsW32/MEWpacked.gen
    Ngăn chặn phòng thí nghiệmKhông phát hiện (không quyết định)
    Bảo mật FBackdoor.Win32.SdBot.gen
    SophosTroj/NtRootK-F (msdirectx.sys), Troj/Rootkit-U (haxdrv.sys), W32/Sdbot-WR, W32/Sdbot-VJ, W32/Sdbot-WK, W32/Sdbot-WD
    Trend MicroTROJ_ROOTKIT.H (msdirectx.sys), WORM_RBOT.AXU, WORM_SDBOT.BDX
    Msdirectx.sys
    Chương trìnhPhiên bản virus SDBot phát hiện
    Bảo mật FTrojan.Win32.Rootkit.h

Tham khảo


Để biết thêm thông tin về công cụ loại bỏ Microsoft nguy hiểm phần mềm, ghé thăm Web site sau của Microsoft:Để biết thêm thông tin về sản phẩm của Microsoft AntiSpyware, bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
892279 cách tải Microsoft Windows AntiSpyware (Beta)

892340 Microsoft Windows AntiSpyware (Beta) xác định chương trình là một mối đe dọa phần mềm gián điệp

Để biết thêm thông tin về nhà cung cấp phần mềm chống vi-rút, hãy bấm vào số bài viết sau để xem bài viết trong cơ sở kiến thức Microsoft:
49500 danh sách các nhà cung cấp phần mềm chống vi-rút