電腦可能會自動重新啟動,或您可能會在 Windows Server 2003、Windows XP 或 Windows 2000 中收到「嚴重錯誤」訊息或「停止」錯誤訊息

結論

本文將告訴您電腦在執行 Spyware.Service.MiscrosoftUpdate (Trojan) Rootkit 間諜程式時,可能會出現的數項徵狀。如果要移除特洛伊木馬程式病毒,必須先找出造成此問題的檔案,然後再予以重新命名。

某些防毒程式或反間諜功能程式可以在隱藏的驅動程式重新命名之後,清除使用者模式 (間諜程式) 元件 Msupd*.exe 與 Reloadmedude.exe。隱藏驅動程式的名稱可能是 "gbqxhia.sys"、"upzvlbvv.sys"、"jsbmefvk.sys" 或其他只以小寫字母命名的隨機檔案名稱。

<其他資訊>一節中會列出數種可以偵測到此病毒的反間諜功能程式。

徵狀

您可能會遇到下列一或多個徵狀:

  • 電腦自動重新啟動。

  • 登入之後,會收到下列錯誤訊息:

    Microsoft Windows

    The system has recovered from a serious error.A log of this error has been created.Please tell Microsoft about this problem.We have created an error report that you can send to help us improve Microsoft Windows.We will treat this report as confidential and anonymous.To see what data this error report contains, click here. (系統已從嚴重錯誤狀態中修復。已經建立這個錯誤的記錄檔。請向 Microsoft 回報此問題。已經建立錯誤報告供您傳送,以協助我們改善 Microsoft Windows 的品質。該報告將不具名並視為機密。如果要查看此錯誤報告所包含的資料,請按一下這裡。)

    如果錯誤訊息依然顯示在畫面上,而您想要查看此錯誤報告所含的資料,請按一下訊息方塊底部的 [請按這裡] 連結。執行這項操作i之後,會顯示類似下列的錯誤病毒碼資訊:

    BCCode :00000050 BCP1 :0xeb7ff002 BCP2 :0x00000000 BCP3 :0x8054af32 BCP4 :0x00000001 OSVer :5_1_2600 SP :0_0 Product :256_1

  • 您會收到下列「停止」錯誤訊息:

    A problem has been detected and Windows has been shut down to prevent damage to the computer Technical information: *** STOP:0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237 (偵測到問題,並已關閉 Windows,以避免您的電腦遭受損害: *** STOP: 0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237)

  • 系統記錄檔中會記錄類似下列的事件:

注意

「停止」錯誤的徵狀會因電腦系統的失敗選項而有所不同。 如需有關如何設定系統失敗選項的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件 :

307973HOW TO:在 Windows 中設定系統失敗和修復選項

錯誤病毒碼資訊 (BCPn) 與「停止」錯誤之技術資訊括弧內所含的四個參數,會因電腦組態而不同。

並非所有的停止 0x00000050 錯誤都是<原因>一節所述的問題所導致。

發生的原因

此錯誤訊息起因於下列已知之 Rootkit 間諜軟體程式所安裝的核心驅動程式造成:

  • Msupd5.exe

  • Reloadmedude.exe

解決方案

如果要解決這個問題,請使用下列一或多種方法。這些方法是依據慣用的順序列出。

方法 1:使用 Internet Explorer 重新命名惡意的驅動程式

  1. 開啟 Internet Explorer。

  2. [網址] 方塊中,輸入
    %windir%\system32\drivers,然後按下 ENTER。

  3. 找到隨機命名的 .sys 檔案,並用滑鼠右鍵按一下該檔案,然後選取 [重新命名]

  4. 輸入 malware.old,以重新命名檔案,然後按下 ENTER。

  5. [網址] 方塊中,輸入
    \WINDOWS\system32,然後按下 ENTER。

  6. 找出下列檔案 (如其存在),並予以重新命名:

    • Msupd5.exe。將此檔案重新命名為 Msupd5.old。

    • Msupd4.exe。將此檔案重新命名為 Msupd4.old。

    • Msupd.exe。將此檔案重新命名為 Msupd.old。

    • Reloadmedude.exe。將此檔案重新命名為 Reloadmedude.old。

  7. 關閉 Internet Explorer。

  8. 重新啟動電腦。

  9. 確定已使用最新的病毒碼更新防毒或反間諜功能軟體,然後再執行完整的系統掃描。

方法 2:在安全模式中,使用 [我的電腦] 重新命名惡意的驅動程式

  1. 以「安全模式」啟動電腦。如果要執行這項操作,請依照下列步驟執行:

    1. 重新啟動電腦。

    2. 於電腦啟動時重複按下 F8 鍵 (每秒一次)。此動作會顯示 Microsoft Windows 進階啟動功能表選項。

    3. 使用向上鍵與向下鍵反白顯示 [安全模式],然後按下 ENTER。

  2. 開啟 Internet Explorer

  3. [網址] 方塊中,輸入
    %windir%\system32\drivers,然後按下 ENTER。

  4. 啟用檢視隱藏檔案的功能。如果要執行這項操作,請依照下列步驟執行:

    1. 按一下 [開始],然後按一下
      [我的電腦]

    2. [工具] 功能表上,按一下
      [資料夾選項]

    3. [檢視] 索引標籤上,按一下以取消選取
      [隱藏保護的作業系統檔案 (建議使用)] 核取方塊,再於收到警告訊息,指出您已選擇顯示保護的作業系統檔案時,按一下
      [是]

    4. [隱藏檔案和資料夾] 下,按一下
      [顯示隱藏的檔案及資料夾]

    5. 按一下以取消選取 [隱藏已知檔案類型的副檔名] 核取方塊。

    6. [資料夾畫面] 區塊中,按一下
      [套用至所有資料夾],再按一下 [確定]

  5. 找出名為 C:\%windir%\System32\Drivers 的資料夾。

  6. 找出任何具有下列特性的 .sys 檔案:

    1. 由 8 個小寫字母組成的隨機產生檔案名稱,如 "gbqxmhia.sys"、"upzvlbvv.sys" 或 "jsbmefvk.sys"

    2. 日期為 2005 年 1 月 11 日

    3. 大小為 14 KB (13,824 個位元組)

    4. 設定了隱藏屬性

      注意 設有隱藏屬性的檔案在 [Windows 檔案總管] 的 [屬性] 欄中會顯示 "HA"。如需有關如何檢視 [屬性] 欄的指示,請參閱<其他資訊>一節所述之程序的步驟 5a 與 5b。

    5. 檔案不具版本、產品名稱或製造商資訊。

  7. 用滑鼠右鍵按一下所找到的每一個檔案,然後選取 [重新命名]

  8. 輸入 malware1.old,以重新命名第一個檔案,然後按下 ENTER。

    注意 輸入 malware2.old,以重新命名第二個檔案,接著再輸入
    malware3.old,以重新命名第三個檔案,依此類推。

  9. 找出 %windir%\System32 資料夾。

  10. 重新命名下列檔案 (如其存在):

    • Msupd5.exe。將此檔案重新命名為 msupd5.old。

    • Msupd4.exe。將此檔案重新命名為 Msupd4.old。

    • Msupd.exe。將此檔案重新命名為 Msupd.old。

    • Reloadmedude.exe。將此檔案重新命名為 Reloadmedude.old。

  11. 重新啟動電腦。

  12. 確定已使用最新的病毒碼更新防毒或反間諜功能軟體,然後再執行完整的系統掃描。

方法 3:在安全模式中,使用命令提示字元重新命名惡意的驅動程式

  1. 以「安全模式」啟動電腦。如果要執行這項操作,請依照下列步驟執行:

    1. 重新啟動電腦。

    2. 於電腦啟動時重複按下 F8 鍵 (每秒一次)。此動作會顯示 Microsoft Windows 進階啟動功能表選項。

    3. 使用向上鍵與向下鍵選取 [安全模式 (含命令提示字元)],然後按下 ENTER。

  2. 按一下 [開始],再按一下 [執行],並在
    [開啟] 方塊中輸入 cmd,然後按一下
    [確定]

  3. 在命令提示字元輸入 CD %windir%\system32\drivers,然後按下 ENTER。

  4. 輸入 Dir /ah,然後按下 ENTER。

  5. 會顯示類似下列的文字。.sys 檔案名稱是隨機產生。

    Directory of C:\WINDOWS\system32\drivers

    01/11/2005 09:18 AM 13,824 gbqxmhia.sys
    1 File(s) 13,824 bytes
    0 Dir(s) 961,425,408 bytes free
  6. 輸入 Attrib –s –h
    RandomFilename,然後按下 ENTER。此動作會移除檔案的系統屬性與隱藏屬性。

    注意 預留位置 RandomFilename 代表 .sys 檔案的名稱,會在執行步驟 5 之後顯示。以步驟 5 之範例中所指定的檔案名稱為例,應輸入 Attrib –s –h gbqxmhia.sys。

  7. 輸入 Ren RandomFilenamemalware.old,然後按下 ENTER。此動作會重新命名隨機命名的檔案。

  8. 輸入 CD,然後按下 ENTER。這會將命令列切換至 %windir%\System32 資料夾。

  9. 輸入下列的命令 (一次一個),並在每個命令之後按下 ENTER。
    Ren msupd5.exe msupd5.old
    Ren msupd4.exe msupd4.old
    Ren msupd.exe msupd.old
    Ren reloadmedude.exe reloadmedude.old
    注意您如果收到下列錯誤訊息,指出目標檔案不存在,可以放心地加以忽略:

    系統找不到指定的檔案。

  10. 輸入 Exit,然後按下 ENTER。

  11. 重新啟動電腦。

  12. 確定已使用最新的病毒碼更新防毒或反間諜功能軟體,然後再執行完整的系統掃描。

其他相關資訊

如果要確認電腦是否受到此間諜軟體的感染,請依照下列步驟執行:

  1. 啟動 Internet Explorer。

  2. 在 Internet Explorer 的 [網址] 方塊中,輸入
    %windir%\system32\drivers,然後按下 ENTER。

  3. 變更 Windows 顯示隱藏檔案與受保護作業系統檔案的方式。如果要執行這項操作,請依照下列步驟執行:

    1. [工具] 功能表上,按一下
      [資料夾選項]

    2. [檢視] 索引標籤上,按一下以取消選取
      [隱藏保護的作業系統檔案 (建議使用)] 核取方塊,再於收到警告訊息,指出您已選擇顯示保護的作業系統檔案時,按一下
      [是]

    3. [隱藏檔案和資料夾] 下,按一下
      [顯示隱藏的檔案及資料夾]

    4. 按一下以取消選取 [隱藏已知檔案類型的副檔名] 核取方塊。

    5. 按一下以選取 [顯示系統資料夾的內容] 核取方塊,再按一下
      [確定]

    6. [檢視] 功能表上,按一下
      [詳細資料]

  4. 按下 F5,以更新 Drivers 資料夾顯示。

  5. 找出所有設有隱藏屬性,並缺少產品名稱、公司與檔案版本之相關詳細資料的系統檔案 (副檔名為 .sys 的檔案)。

    注意 設有隱藏屬性的檔案會在 [Windows 檔案總管] 的 [屬性] 欄位中會顯示 "HA"。如需有關如何檢視 [屬性] 欄的指示,請參閱步驟 5a 與 5b。

    如果要執行這項操作,請依照下列步驟執行。

    注意 間諜軟體檔案是由 8 個小寫字母組成的隨機產生檔案名稱。

    1. 變更 [Windows 檔案總管] 在資料夾中顯示檔案詳細資料的方式。如果要執行這項操作,請依照下列步驟執行:

      1. [檢視] 功能表上,按一下
        [選擇詳細資料]

      2. 按一下以選取 [屬性] 核取方塊。

      3. 按一下以選取 [產品名稱] 核取方塊。

      4. 按一下以選取 [公司] 核取方塊。

      5. 按一下以選取 [檔案版本] 核取方塊。

    2. 按一下 [屬性] 欄標題,以依據屬性排序檔案清單。Drivers 資料夾中的檔案通常只含有保存屬性 (A)。請尋找所有同時具有隱藏屬性 (HA) 的檔案。
      下列清單是已知會造成此問題之間諜軟體檔案的範例名稱:

      • gbqxmhia.sys

      • upzvlbvv.sys

      • jsbmefvk.sys

      找出可疑的間諜軟體檔案之後,請使用 [內容] 對話方塊確認檔案的內容。用滑鼠右鍵按一下檔案,並按一下 [內容],再尋找下列資訊:

      • 在 [一般] 索引標籤上:

        • 修改日期:2005 年 1 月 11 日

        • 大小:14 KB (13,824 個位元組)

        • 已核取 [隱藏] 核取方塊

      • 在 [版本] 索引標籤上:

        • 無檔案版本

        • 無描述

        • 無版權

        • 無公司名稱

        • 無產品名稱

    檔案如已設定隱藏屬性,並缺少產品名稱、公司與檔案版本等詳細資料,即表示電腦已受到間諜軟體感染。

  6. 按一下 [確定],以關閉 [內容]對話方塊,然後依照<解決方案>一節所述方法之一中的步驟解決問題。

  7. 在 Internet Explorer 的 [網址] 方塊中,輸入
    %windir%\system32,然後按下 ENTER。

  8. 尋找類似下列名稱的應用程式檔案 (副檔名為 .exe 的檔案):

    • Msupd.exe

    • Msupd*.exe

      注意 預留位置 * 代表 1 位數的數字

    • Reloadmedude.exe

    這些檔案具有隨機日期,且檔案大小為 60 KB (61,440 個位元組)。
    已知的間諜軟體檔案名稱包括:

    • Msupd.exe

    • Msupd4.exe

    • Msupd5.exe

    • Reloadmedude.exe

  9. 如有上述一或多個檔案存在,即表示電腦已受到間諜軟體感染。請依照<解決方案>一節所述方法之一中的步驟解決問題。

偵測此間諜軟體的安全性產品

有數種安全性產品均可偵測此間諜軟體。這些產品與所報告之間諜軟體名稱的範例包括:

產品

報告的間諜軟體名稱

Microsoft AntiSpyware

Spyware.Service.MiscrosoftUpdate (特洛伊木馬程式)

Computer Associates

Win32/Benuti.61440!Downloader!Dr

Doctor Web DrWebCL

Trojan.Medude

F-Secure

Trojan.Win32.Agent.aw

Kaspersky Lab AVPDOS32

Trojan.Win32.Agent.aw

McAfee

Downloader-va

Panda

Trj/Agent.FO 與 Adware/Apropos

Trend Micro VScan

TROJ_LODMEDUD.A

Symantec

Trojan.Lodmeduod

参考

如需有關 Microsoft 反間諜功能產品的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:

892279How to obtain Microsoft Windows AntiSpyware (Beta)

892340 Microsoft Windows AntiSpyware (Beta) 識別某個程式為間諜軟體威脅


如需有關防毒軟體廠商的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:

49500防毒軟體廠商的清單

Need more help?

Expand your skills
Explore Training
Get new features first
Join Microsoft Insiders

Was this information helpful?

Thank you for your feedback!

Thank you for your feedback! It sounds like it might be helpful to connect you to one of our Office support agents.

×