方法1:使用Internet Explorer重命名惡意驅動程序。
方法二:安全模式:用我的電腦重命名惡意驅動。
方法3:安全模式:使用命令提示符重命名惡意驅動程序。
涉及
本文中的信息適用於:
癥狀
我在藍屏上收到以下“停止”錯誤信息:
*** STOP:0x00000050 (0xeb7ff002,0x00000000,0x8054af32,0x 00000001)PAGE _ FAULT _ IN _ non paged _ AREA nt!ExFreePoolWithTag+237
在事件查看器中查看系統日誌時,您可能會看到壹個事件ID為1003的條目,類似於以下信息:
日期:日期
來源:系統
錯誤時間:時間
類別:(102)
類型:錯誤
活動編號:1003
用戶:不適用
電腦:電腦
描述:錯誤代碼0000050,參數1 eb7ff002,參數2 0000000,參數3 8054af32,參數40000001。有關更多信息,請參考幫助和支持中心:/fwlink/events . ASP(/fwlink/events . ASP)。
此錯誤信息是由間諜軟件安裝的以下已知內核驅動程序引起的:rootkit/spyware:Reloadmedude.exe,msupd5.exe。
目前,下列安全產品可以檢測此間諜軟件:產品名稱報告。
微軟反間諜軟件間諜軟件。Service.MiscrosoftUpdate(特洛伊)
Computer Associates Win32/Benuti!下載器!特洛伊
特洛伊博士。梅杜德
f-安全:特洛伊。Win32.Agent.aw
卡巴斯基實驗室AVPDOS32特洛伊。Win32.Agent.aw
McAfee Downloader-va
熊貓Trj/代理。信息和廣告軟件/恰當
趨勢科技VScan TROJ_LODMEDUD。A
要驗證您的計算機是否感染了此間諜軟件,請按照以下步驟操作:1。啟動Internet Explorer。
2.在Internet Explorer的地址欄中,鍵入%windir%\system32\drivers,然後按Enter。
3.啟用查看隱藏文件。為此,請按照下列步驟操作:a .在“工具”菜單上,單擊“文件夾選項”。
b .單擊“查看”,單擊以清除“隱藏受保護的操作系統文件(推薦)”復選框,如果您收到壹條警告消息,說明您已選擇顯示隱藏的操作系統文件,請單擊“是”。
c .單擊以選中“顯示所有文件和文件夾”復選框,然後單擊以清除“隱藏已知文件類型的擴展名”復選框。
d .單擊以清除“應用於所有文件夾”復選框,然後單擊“確定”。
4.按F5更新屏幕,然後查找任何。sys文件,其隨機生成的文件名由八個小寫字母組成。以下列表包含這些文件名的示例:?gbqxmhia.sys
upzvlbvv.sys
jsbmefvk.sys
5.找到可疑文件後,驗證可疑文件的屬性。右鍵單擊該文件,然後單擊屬性以查找以下內容:?文件日期為65438+2005年10月11。
文件大小為14 KB(13,824字節)。
已設置隱藏屬性(隱藏復選框中有壹個復選標記)
該文件沒有版本、產品名稱或制造商信息。
單擊確定關閉屬性對話框。
6.在Internet Explorer的地址欄中,鍵入%windir%\system32,然後按Enter。
7.搜索可執行文件(。exe)類似於下面的文件:?Msupd*。其中*可以是不同的數字。
Reloadmedude.exe
這些文件大小為60 KB(61,440字節),日期隨機。
此類文件的已知示例有:?msupd.exe
msupd4.exe
msupd5.exe
Reloadmedude.exe
如果有隨機命名的。sys文件和msupd*。exe或Reloadmedude.exe文件,您的計算機感染了此間諜軟件。
解決辦法
要解決此問題,請使用下列方法之壹。
方法1:使用Internet Explorer重命名惡意驅動程序。
1.在Internet Explorer的地址欄中,鍵入%windir%\system32\drivers並查找隨機命名的。sys文件。
2.右鍵單擊該文件並選擇重命名。將該文件重命名為malware.old,然後按Enter鍵。
3.在地址欄中,鍵入\WINDOWS\system32,然後按Enter。
4.查找並重命名以下文件(如果它們存在):?msupd5.old(重命名為msupd5.old)
msupd4.old(重命名為msupd4.old)
msupd.old(重命名為msupd.old)
Reloadmedude.old(改名為Reloadmedude.old)
5.關閉Internet Explorer。
6.重啟電腦。
7.確保防病毒/反間諜軟件已更新為最新簽名,然後執行完整的系統掃描。
方法二:安全模式:用我的電腦重命名惡意驅動。
1.在安全模式下啟動計算機。為此,請遵循以下步驟:a .重新啟動計算機。
當電腦啟動時,重復按F8鍵(每秒壹次)。這將顯示Microsoft Windows高級啟動菜單選項。
c .使用上下箭頭鍵突出顯示安全模式,然後按Enter鍵。
2.打開Internet Explorer並在地址欄中鍵入C:\WINDOWS\system32\drivers。
3.啟用查看隱藏文件。為此,請按照下列步驟操作:a .單擊開始,單擊我的電腦,單擊工具,然後單擊文件夾選項。
B.點擊“查看”。
c .單擊以清除隱藏受保護的操作系統文件(推薦)復選框。
d單擊選擇“顯示所有文件和文件夾”,然後單擊清除“隱藏已知文件類型的擴展名”。
e單擊選擇“應用於所有文件夾”,然後單擊“確定”。
4.找到名為C:\WINDOWS\system32\drivers的文件夾。
5.找到任何。具有以下特征的sys文件:a .隨機生成由八個小寫字母組成的文件名,如gbqxmhia.sys、upzvlbvv.sys或jsbmefvk.sys
b文件日期為65438+2005年10月11。
C.文件大小為14 KB(13,824字節)。
D.隱藏屬性已設置。
E.該文件沒有版本、產品名稱或制造商信息。
6.右鍵單擊該文件並選擇重命名。將該文件重命名為malware.old,然後按Enter鍵。
7.找到\WINDOWS\system32。
8.重命名以下文件(如果存在):msupd5.old(重命名為msupd5.old)
msupd4.old(重命名為msupd4.old)
msupd.old(重命名為msupd.old)
Reloadmedude.old(改名為Reloadmedude.old)
9.重啟電腦。
10.確保防病毒/反間諜軟件已更新為最新簽名,然後執行完整的系統掃描。
方法3:安全模式:使用命令提示符重命名惡意驅動程序。
1.在命令提示符下,以安全模式啟動計算機。為此,請遵循以下步驟:a .重新啟動計算機。
當電腦啟動時,重復按F8鍵(每秒壹次)。
C.這將顯示Microsoft Windows高級啟動菜單選項。
d .使用向上箭頭鍵和向下箭頭鍵選擇“帶命令提示符的安全模式”,然後按Enter鍵。
2.單擊開始,單擊運行,鍵入cmd,然後單擊確定。
3.在命令提示符下,鍵入CD %windir%\system32\drivers,然後按Enter鍵。
4.鍵入Dir /ah,然後按Enter。
5.您將看到類似如下的文本。sys文件名將隨機生成):
C:\WINDOWS\system32\drivers的目錄
01/11/2005 09:18AM 13,824 gbqxmhia.sys
1個文件13,824字節
0目錄961,425,408字節可用
6.鍵入Attrib–s–h,其中是的名稱。sys文件,然後按Enter鍵。例如,前面顯示的文件名命令如下:Attrib–s–hgbqxmhia . sys。這將從文件中刪除系統屬性和隱藏屬性。
7.鍵入Ren malware.old,其中是上面提到的文件名,然後按Enter鍵。這將重命名隨機命名的文件。
8.鍵入CD,然後按Enter。這將把命令行更改為\Windows\System32目錄。
9.逐行鍵入以下命令(每行壹次),並在鍵入完每壹行後按Enter鍵:
任msupd5.exe msupd 5 . old
任msupd4.exe msupd 4 . old
任msupd.exe msupd . old
任Reloadmedude.old
註意:如果您收到以下錯誤消息,您可以忽略它,因為它表示該文件不存在:
系統找不到指定的文件。
10.鍵入Exit,然後按Enter鍵。
11.重新啟動計算機。
12.確保防病毒/反間諜軟件已更新為最新簽名,然後執行完整的系統掃描。
涉及
有關Microsoft AntiSpyware產品的其他信息,請單擊下面的文章編號,以查看Microsoft知識庫中相應的文章:
892279 (/kb/892279/)如何獲得Microsoft Windows反間諜軟件(測試版)
892340(/KB/892340/)Microsoft Windows反間諜軟件(測試版)將程序識別為間諜軟件。
有關防病毒軟件供應商的其他信息,請單擊下面的文章編號,以查看Microsoft知識庫中相應的文章:
49500 (/kb/49500/)防病毒軟件供應商列表