‹‹ 上一主题 | 下一主题 ››
发新话题
打印

[转载]系统Stop 0x00000050(停止 0x00000050)错误的解决

EvilOctal

团队执行官

Rank: 8Rank: 8

E.S.T社区执行帐号

帖子
9863 
精华
771 
积分
40912 
阅读权限
200 
性别
男 
在线时间
3985 小时 
注册时间
2004-7-4 
最后登录
2008-11-23 
楼主 发表于 2005-8-29 22:48  只看该作者

[转载]系统Stop 0x00000050(停止 0x00000050)错误的解决

信息来源:邪恶八进制信息安全团队(www.eviloctal.com

注意
注意:方法 2 和 3 的解决方案步骤要求您在安全模式下启动计算机以删除恶意核心模式驱动程序。
本页
症状 症状
原因 原因
更多信息 更多信息
解决方案 解决方案
方法 1:通过使用 Internet Explorer 重命名恶意驱动程序 方法 1:通过使用 Internet Explorer 重命名恶意驱动程序
方法 2:安全模式:通过使用“我的电脑”重命名恶意驱动程序 方法 2:安全模式:通过使用“我的电脑”重命名恶意驱动程序
方法 3:安全模式:通过使用命令提示符重命名恶意驱动程序 方法 3:安全模式:通过使用命令提示符重命名恶意驱动程序
参考 参考
这篇文章中的信息适用于: 这篇文章中的信息适用于:

症状

在蓝屏上收到下面的“Stop”错误信息:
*** STOP:0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237
当您在事件查看器中查看系统日志时,可能会看到事件 ID 1003 条目,该条目的信息与以下信息类似:
日期:日期
来源:系统
错误时间:时间
类别: (102)
类型:错误
事件 ID: 1003
用户:N/A
计算机:计算机
描述:错误代码 00000050,parameter1 eb7ff002,parameter2 00000000,parameter3 8054af32,parameter4 00000001。有关更多信息,请参阅帮助和支持中心:http://go.microsoft.com/fwlink/events.asp (http://go.microsoft.com/fwlink/events.asp)
回到顶端 回到顶端

原因

该错误信息是由以下已知的间谍软件安装的核心驱动程序引起的:Rootkit/Spyware:msupd5.exe Reloadmedude.exe。

目前下列安全产品可检测到此间谍软件:
产品 报告的名称
Microsoft AntiSpyware Spyware.Service.MiscrosoftUpdate (Trojan)
Computer Associates Win32/Benuti!Downloader!Trojan
Doctor Web DrWebCL Trojan.Medude
F-Secure :Trojan.Win32.Agent.aw
Kaspersky Lab AVPDOS32 Trojan.Win32.Agent.aw
McAfee Downloader-va
Panda Trj/Agent.FO 和 Adware/Apropos
Trend Micro VScan TROJ_LODMEDUD.A
回到顶端 回到顶端

更多信息

要验证您的计算机是否感染了此间谍软件,请按照下列步骤操作:
1. 启动 Internet Explorer。
2. 在 Internet Explorer 的“地址栏”中,键入 %windir%\system32\drivers,然后按 Enter 键。
3. 启用查看隐藏文件。为此,请按照下列步骤操作:
a. 在“工具”菜单上,单击“文件夹选项”。
b. 单击“查看”,单击以清除“隐藏受保护的操作系统文件(推荐)”复选框,如果收到说明您已选择要显示隐藏的操作系统文件的警告消息,请单击“是”。
c. 单击以选中“显示所有文件和文件夹”复选框,然后单击以清除“隐藏已知文件类型的扩展名”复选框。
d. 单击以清除“应用到所有文件夹”复选框,然后单击“确定”。
4. 按 F5 更新屏幕,然后查找已随机生成由八位小写字母组成的文件名的任何 .sys 文件。以下列表包含这些文件名的示例:
gbqxmhia.sys
upzvlbvv.sys
jsbmefvk.sys
5. 找到可疑文件后,验证可疑文件的属性。右键单击该文件,单击“属性”,查找下列内容:
文件日期为 2005 年 1 月 11 日
文件大小为 14 KB(13,824 字节)
已设置 hidden 属性(“隐藏”复选框中有复选标记)
文件没有版本、产品名称或制造商信息
单击“确定”以关闭“属性”对话框。
6. 在 Internet Explorer 的“地址栏”中,键入 %windir%\system32,然后按 Enter 键。
7. 搜索与以下文件类似的可执行文件 (.exe):
msupd*.exe,其中 * 可能为不同的数字
Reloadmedude.exe
这些文件的大小为 60 KB(61,440 字节),日期随机。
已知的此类文件的示例有:
msupd.exe
msupd4.exe
msupd5.exe
Reloadmedude.exe
如果存在随机命名的 .sys 文件和 msupd*.exe 或 Reloadmedude.exe 文件,则您的计算机已感染此间谍软件。
回到顶端 回到顶端

解决方案

要解决此问题,请使用下列方法之一。
回到顶端 回到顶端

方法 1:通过使用 Internet Explorer 重命名恶意驱动程序

1. 在 Internet Explorer 的“地址栏”中,键入 %windir%\system32\drivers,并查找随机命名的 .sys 文件。
2. 右键单击该文件,然后选择“重命名”。将该文件重命名为 malware.old,然后按 Enter 键。
3. 在地址栏中,键入 \WINDOWS\system32,然后按 Enter 键。
4. 查找并重命名下列文件(如果它们存在):
msupd5.exe (重命名为 msupd5.old)
msupd4.exe (重命名为 msupd4.old)
msupd.exe (重命名为 msupd.old)
Reloadmedude.exe (重命名为 Reloadmedude.old)
5. 关闭 Internet Explorer。
6. 重新启动计算机。
7. 确保已用最新签名更新了用于防病毒/防间谍软件 (antivirus/antispyware) 的软件,然后执行一次完整的系统扫描。
回到顶端 回到顶端

方法 2:安全模式:通过使用“我的电脑”重命名恶意驱动程序

1. 在安全模式下启动计算机。为此,请按照下列步骤操作:
a. 重新启动计算机。
b. 在计算机启动时,反复按 F8 键(每秒一次)。 这会显示 Microsoft Windows 高级启动菜单选项。
c. 使用上箭头键和下箭头键突出显示“安全模式”,然后按 Enter 键。
2. 打开 Internet Explorer 并在“地址栏”中键入 C:\WINDOWS\system32\drivers
3. 启用查看隐藏文件。为此,请按照下列步骤操作:
a. 依次单击“开始”、“我的电脑”、“工具”,然后单击“文件夹选项”。
b. 单击“查看”。
c. 单击以清除“隐藏受保护的操作系统文件(推荐)”复选框。
d. 单击以选择“显示所有文件和文件夹”,然后单击以清除“隐藏已知文件类型的扩展名”。
e. 单击以选择“应用到所有文件夹”,然后单击“确定”。
4. 查找命名为 C:\WINDOWS\system32\drivers 的文件夹。
5. 查找具有以下特征的任何 .sys 文件:
a. 随机生成由八位小写字母组成的文件名,例如 gbqxmhia.sys、upzvlbvv.sys 或 jsbmefvk.sys
b. 文件日期为 2005 年 1 月 11 日
c. 文件大小为 14 KB(13,824 字节)
d. 已设置 Hidden 属性
e. 文件没有版本、产品名称或制造商信息
6. 右键单击该文件,然后选择“重命名”。将该文件重命名为 malware.old,然后按 Enter 键。
7. 查找 \WINDOWS\system32。
8. 重命名下列文件(如果它们存在):
msupd5.exe (重命名为 msupd5.old)
msupd4.exe (重命名为 msupd4.old)
msupd.exe (重命名为 msupd.old)
Reloadmedude.exe (重命名为 Reloadmedude.old)
9. 重新启动计算机。
10. 确保已用最新签名更新了用于防病毒/防间谍软件 (antivirus/antispyware) 的软件,然后执行一次完整的系统扫描。
回到顶端 回到顶端

方法 3:安全模式:通过使用命令提示符重命名恶意驱动程序

1. 在命令提示符处,以安全模式启动计算机。为此,请按照下列步骤操作:
a. 重新启动计算机。
b. 在计算机启动时,反复按 F8 键(每秒一次)。
c. 这会显示 Microsoft Windows 高级启动菜单选项。
d. 使用上箭头键和下箭头键选择“带命令行提示的安全模式”,然后按 Enter 键。
2. 单击“开始”,单击“运行”,键入 cmd,然后单击“确定”。
3. 在命令提示符处,键入 CD %windir%\system32\drivers,然后按 Enter 键。
4. 键入 Dir /ah,然后按 Enter 键。
5. 您将看到与以下文本类似的文本(.sys 文件名将随机生成):
Directory of C:\WINDOWS\system32\drivers

01/11/2005  09:18 AM               13,824 gbqxmhia.sys
               1 File(s)            13,824 bytes
               0 Dir(s)     961,425,408 bytes free
6. 键入 Attrib –s –h ,其中 是前面显示的 .sys 文件的名称,然后按 Enter 键。例如,用于前面显示的文件名的命令如下所示:Attrib –s –h gbqxmhia.sys。这会从文件中删除 system 属性和 hidden 属性。
7. 键入 Ren malware.old,其中 是前面提到的文件名,然后按 Enter 键。这将重命名随机命名的文件。
8. 键入 CD,然后按 Enter 键。这会将命令行改为 \Windows\System32 目录。
9. 逐行键入下列命令(一行一次),然后在完成键入每行后按 Enter 键:
Ren msupd5.exe msupd5.old
Ren msupd4.exe msupd4.old
Ren msupd.exe msupd.old
Ren Reloadmedude.exe Reloadmedude.old
注意:如果收到以下错误信息,可将其忽略,因为它指示该文件不存在:
The system cannot find the file specified.
10. 键入 Exit,然后按 Enter 键。
11. 重新启动计算机。
12. 确保已用最新签名更新了用于防病毒/防间谍软件 (antivirus/antispyware) 的软件,然后执行一次完整的系统扫描。
回到顶端 回到顶端

参考

有关 Microsoft AntiSpyware 产品的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
892279 (http://support.microsoft.com/kb/892279/) 如何获取 Microsoft Windows AntiSpyware (Beta)
892340 (http://support.microsoft.com/kb/892340/) Microsoft Windows AntiSpyware (Beta) 将某程序识别为间谍软件

有关防病毒软件供应商的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
49500 (http://support.microsoft.com/kb/49500/) 防病毒软件供应商列表
回到顶端 回到顶端
这篇文章中的信息适用于:
Microsoft Windows Server 2003 Web Edition
Microsoft Windows Server 2003 Standard Edition
Microsoft Windows Server 2003 Enterprise Edition
Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
Microsoft Windows Server 2003 Datacenter Edition
Microsoft Windows Server 2003, Datacenter Edition for Itanium-based Systems
Microsoft Windows XP Professional Edition
Microsoft Windows XP Tablet PC Edition
Microsoft Windows XP Tablet PC Edition 2005
Microsoft Windows XP Home Edition
Microsoft Windows XP Professional 64-Bit Edition (Itanium)
Microsoft Windows XP Professional 64-Bit Edition (Itanium) 2003
Microsoft Windows XP Media Center Edition
Microsoft Windows XP Media Center Edition
Microsoft Windows XP Media Center Edition 2004
Microsoft Windows XP Media Center Edition 2005
Microsoft Windows XP 64-Bit Edition
Microsoft Windows XP 64-Bit Edition
Microsoft Windows 2000 Advanced Server
Microsoft Windows 2000 Datacenter Server
Microsoft Windows 2000 Professional Edition
Microsoft Windows 2000 Server
回到顶端 回到顶端
关键字:
 kbtshoot kbsecurity kbprb kbsecantivirus KB894278
回到顶端 回到顶端
Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的
曾几何时,有人对我说:装B遭雷劈。我说:去你妈的。于是,这个人又对我说:如果再说脏话,上帝会惩罚你的。我说:我操上帝。结论:彪悍的人生不需要上帝。

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题