诊断程序可能会立即关闭,您可能会收到"停止错误代码 0x00000050" (PAGE_FAULT_IN_NONPAGED_AREA) 或"停止错误代码 0x0000000A" 在 Windows Server 2003 中,Windows 2000 中,(IRQL_NOT_LESS_OR_EQUAL) 错误消息...

症状

当您尝试运行下列某个诊断程序时,程序可能会立即关闭:

  • 注册表编辑器 (Regedit.exe)

  • 任务管理器 (Taskmgr.exe)

  • 系统配置实用程序 (Msconfig.exe)

  • 系统信息 (Msinfo32.exe)

您可能还会遇到下列某一症状:

  • 计算机自动重新启动。

  • 登录后,您收到以下错误消息:

    Microsoft Windows
    系统已经从一个严重错误中恢复。
    创建了此错误的日志。
    请将此问题告知 Microsoft。
    我们已经创建了一个错误报告,您可以发送该报告,从而帮助我们改进 Microsoft Windows。我们将对此报告进行保密并做匿名处理。
    要查看这个错误报告包含的数据,请单击此处。

    单击消息框底部的点击这里链接,看到的错误签名信息可能类似下列数据样本之一:

    数据样本 1BCCode :00000050 BCP1 :ffffff60 BCP2 :00000000 BCP3 :804fa26f BCP4:00000000 OSVer :5_1_2600 SP :0_0 Product :256_1

    数据样本 2BCCode :0000000A BCP1 :ffffff94 BCP2 :00000000 BCP3 :00000000 BCP4 :804e15ef OSVer :5_1_2600 SP :0_0 Product :256_1

  • 您会收到以下停止错误消息之一:

    消息 1

    A problem has been detected and Windows has been shut down to prevent damage to your computer...
    Technical information:


    *** STOP:0x00000050 (0xffffff60, 0x00000000, 0x804fa26f, 0x00000000) PAGE_FAULT_IN_NONPAGED_AREA address 0x804fa26f in 0x50_nt!ObReferenceObjectSafe+e

    消息 2

    A problem has been detected and Windows has been shut down to prevent damage to your computer...
    技术信息:


    *** 停止:0x0000000A (0xffffff94, 0x00000000, 0x00000000, 0x804e15ef) IRQL_NOT_LESS_OR_EQUAL address 0x804fa26f in 0xA_nt!ExpCopyThreadInfo+a

  • 当您在事件查看器查看系统日志,您可能会看到类似以下之一的条目:

    条目 1

    条目 2

注意

  • STOP 错误的症状因计算机的系统故障选项而异。
    有关如何配置系统故障选项的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

    307973如何在 Windows 中配置系统故障和恢复选项

  • “Stop”错误消息的括号内的四个参数因计算机的配置而异。

  • 并非所有“Stop 0x0000000A”错误都是由本文描述的问题引起的。
    有关如何消除 Windows XP 中出现的“Stop 0x0000000A”错误的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

    314063消除 Windows XP 中出现的“Stop 0x0000000A”错误

原因

如果计算机感染了 Sdbot 病毒的变体,就可能出现此问题。

Sdbot 病毒会创建一个隐藏的进程。此进程会关闭系统管理员用于进行诊断和配置的程序。还可能会阻止这些程序运行。

Sdbot 病毒的文件名会发生变化。该病毒的很多变体会在计算机上放置一个名为 Msdirectx.sys 或 Haxdrv.sys 的驱动程序。该驱动程序用来隐藏病毒进程。该病毒经常使用的文件名包括 Msdrv.exe 和 Sdkcore.exe。如果您删除了这些文件,则这些病毒变体可还原病毒。

解决方案

要解决此问题,请使用以下方法之一:

自动删除

要自动删除此病毒的某些版本,请运行 Microsoft 恶意软件删除工具。

四月份发布的此实用工具可删除该恶意软件的某些变体。您可以在以下位置找到有关恶意软件删除工具的信息和下载内容:


手动删除

重要说明:Sdbot 病毒的文件名会发生变化。根据 Sdbot 病毒在您的计算机上使用的文件名,可能需要修改这些步骤。

  1. 请按照下列步骤操作,以安全模式启动计算机:

    1. 重新启动计算机。

    2. 在计算机启动时,反复按 F8 键(每秒一次)。

      将会显示“Microsoft Windows 高级启动菜单”选项。

    3. 使用向上键和向下键选择“安全模式”,然后按 Enter。

  2. 单击“开始”,单击“运行”,在“打开”框中键入 regedit,然后单击“确定”。

  3. 在下面的注册表子项中,找到并删除任何包含 Msdrv.exe 文件名或 Sdkcore.exe 文件名的条目:

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices例如,如果“Ms 声音驱动程序”条目的值为“msdrv.exe”,删除条目。

  4. 在下面的注册表子项中,找到并删除任何包含 Msdirectx 或 Haxdrv 的条目:

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

  5. 退出注册表编辑器。

  6. 单击“开始”,单击“运行”,在“打开”框中键入 cmd,然后单击“确定”。

  7. 在命令提示符处,键入下列命令。每条命令后按 ENTER。

    attrib-r-h-s %systemroot%\system32\msdirectx.sys
    attrib -r -h -s %systemroot%\system32\haxdrv.sys
    attrib -r -h -s %systemroot%\system32\msdrv.exe
    attrib-r-h-s %systemroot%\system32\sdkcore.exe注这些文件可能存在的计算机上的各个文件夹中。例如,已报告这些文件在下列文件夹中:

    • C:\

    • C:\system32\

    • C:\system32\drivers\

    • C:\Documents and Settings\UserName\


    执行搜索以找到 Msdirectx.sys 和 Haxdrv.sys 的所有实例。然后,在此步骤中键入命令,但是要将 %systemroot%\system32\ 路径替换为所找到的每个文件的路径。

  8. 键入下列命令以删除这些文件。每条命令后按 ENTER。

    删除 %systemroot%\system32\msdirectx.sys
    del %systemroot%\system32\haxdrv.sys
    del %systemroot%\system32\msdrv.exe
    del %systemroot%\system32\sdkcore.exe如果您在第 7 步发现这些文件的其他实例,使用找到的各文件路径重复这些命令。

  9. 重新启动计算机。

  10. 确保您的防病毒和反间谍软件程序已使用最新的定义进行了更新。然后,执行一次全面的系统扫描。从 2005 年 4 月 7 日起,以下程序会检测到下面这些文件:

    Msdrv.exe

    程序

    检测到的 Sdbot 病毒变体

    Norman AV

    W32/MEWpacked.gen

    PandaLabs

    W32/MEWpacked.gen

    AVERT Labs

    未检测到(未确定)

    F-Secure

    Backdoor.Win32.SdBot.gen

    Sophos

    Troj/NtRootK-F (msdirectx.sys)、Troj/Rootkit-U (haxdrv.sys)、W32/Sdbot-WR、W32/Sdbot-VJ、W32/Sdbot-WK、W32/Sdbot-WD

    Trend Micro

    TROJ_ROOTKIT.H (msdirectx.sys)、WORM_RBOT.AXU、WORM_SDBOT.BDX

    Msdirectx.sys

    程序

    检测到的 Sdbot 病毒变体

    F-Secure

    Trojan.Win32.Rootkit.h

参考

有关 Microsoft 恶意软件删除工具的更多信息,请访问下面的 Microsoft 网站:

http://www.microsoft.com/zh-cn/security/pc-security/malware-removal.aspx 有关 Microsoft AntiSpyware 产品的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

892279如何获取 Microsoft Windows AntiSpyware (Beta)

892340 Microsoft Windows AntiSpyware (Beta) 会将程序识别为间谍软件威胁

有关防病毒软件供应商的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:

49500防病毒软件供应商列表

需要更多帮助?

扩展你的技能
了解培训
抢先获得新功能
加入 Microsoft 内部人员

此信息是否有帮助?

你对翻译质量的满意程度如何?

哪些因素影响了你的体验?

是否还有其他反馈?(可选)

谢谢您的反馈意见!

×