關於部落格
這個部落落是到處拍和聚會的記錄

開始接拍活動紀錄,人像攝影,有興趣可留言^^
  • 101922

    累積人氣

  • 9

    今日人氣

    4

    追蹤人氣

2010.02.20 Stop 0x00000050


文章編號 : 894278
上次校閱 : 2005年4月6日
版次 : 1.1
注意事項
注意 方法 2 和 3 的解決步驟會要求您在安全模式中啟動 Windows,以移除惡意的核心模式驅動程式。
在此頁中
徵狀
發生的原因
   其他相關資訊
解決方案
   方法 1:使用 Internet Explorer 重新命名惡意的驅動程式
   方法 2:安全模式:使用 [我的電腦] 重新命名惡意的驅動程式
   方法 3:安全模式:使用命令提示字元重新命名惡意的驅動程式
参考
這篇文章中的資訊適用於:


徵狀
您在藍色畫面上收到 Stop 錯誤訊息:
*** STOP: (*** 停止:0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237
在「事件檢視器」中檢視系統記錄時,您可能會注意到有一個事件 ID 1003 的項目所具有的資訊類似於下列資訊:
日期:日期
來源:系統
時間:time
類別:(102)
類型:錯誤
事件 ID:1003
使用者:N/A
電腦:COMPUTER
描述:Error code 00000050, parameter1 eb7ff002, parameter2 00000000, parameter3 8054af32, parameter4 00000001 (錯誤碼 00000050, 參數1 eb7ff002, 參數2 00000000, 參數3 8054af32, 參數4 00000001)。如需詳細資訊,請參閱 http://go.microsoft.com/fwlink/events.asp 網站上的說明和支援中心。
此頁最上方
 

發生的原因
這個錯誤訊息是由於下列已知間諜軟體所安裝的核心驅動程式所造成:Rootkit/Spyware:msupd5.exe Reloadmedude.exe。
 

下列安全性產品目前已經偵測到這個間諜軟體: 產品 回報的名稱
Microsoft AntiSpyware  Spyware.Service.MiscrosoftUpdate (Trojan)
Computer Associates Win32/Benuti!Downloader!Trojan 
Doctor Web DrWebCL  Trojan.Medude
F-Secure  :Trojan.Win32.Agent.aw
Kaspersky Lab AVPDOS32 Trojan.Win32.Agent.aw 
McAfee Downloader-va
Panda  Trj/Agent.FO 和 Adware/Apropos
Trend Micro VScan TROJ_LODMEDUD.A
 

其他相關資訊
如果要確認您的電腦是否受到這個間諜軟體的感染,請依照下列步驟執行:
 

1. 啟動 Internet Explorer。


2. 在 Internet Explorer [網址列] 中,輸入 %windir%system32drivers,然後按下 ENTER。


3. 啟用檢視隱藏檔案的功能。如果要執行這項操作,請依照下列步驟執行:
a.  按一下 [工具] 功能表上的 [資料夾選項]。
b.  按一下 [檢視],按一下以清除 [隱藏保護的作業系統檔案 (建議使用)] 核取方塊,然後在您收到警告訊息說明您已經選擇顯示隱藏的作業系統檔案時,按一下 [是]。
c.  按一下以選取 [顯示隱藏的檔案及資料夾] 核取方塊,然後按一下以清除 [隱藏已知檔案類型的副檔名] 核取方塊。
d.  按一下以清除 [套用到所有資料夾] 核取方塊,然後按一下 [確定]。

4. 按下 F5 更新畫面,然後再找出任何會隨機產生檔案名稱的 .sys 檔案,這些隨機產生的檔案名稱都是由 8 個小寫字母組成的。下列清單包含這些檔案名稱的範例: • gbqxmhia.sys 
• upzvlbvv.sys
• jsbmefvk.sys
 

5. 找到懷疑的檔案之後,請驗證懷疑檔案的內容。在檔案上按一下滑鼠右鍵,再按一下 [內容],然後尋找下列資訊: • 檔案日期:2005 年 1 月 11 日
• 檔案大小:14 KB (13,824 位元組) 
• 已經設定為隱藏的屬性 (在 [隱藏] 核取方塊中有核取記號)
• 此檔案沒有版本、產品名稱或製造商資訊
按一下 [確定],關閉 [內容] 對話方塊。
 

6. 在 Internet Explorer [網址列] 中,輸入 %windir%system32,然後按下 ENTER。


7. 搜尋類似下列檔案的可執行檔 (.exe 檔): • msupd*.exe,其中 * 可能是不同的數字
• Reloadmedude.exe
這些檔案會有隨機的日期,且檔案大小為 60 KB (61,440 位元組)。
這些檔案的已知範例包含下列檔案: • msupd.exe 
• msupd4.exe 
• msupd5.exe 
• Reloadmedude.exe 

如果顯示了隨機命名的 .sys 檔案和 msupd*.exe 或 Reloadmedude.exe 檔案,則表示您的電腦已經受到間諜軟體的感染。
此頁最上方

解決方案
如果要解決這個問題,請使用下列其中一種方法。
方法 1:使用 Internet Explorer 重新命名惡意的驅動程式
1. 在 Internet Explorer [網址列] 中,輸入 %windir%system32drivers,並找出隨機命名的 .sys 檔案。
2. 在檔案上按一下滑鼠右鍵,並選取 [重新命名]。將檔案重新命名為 malware.old,然後按下 ENTER。
3. 在 [網址列] 中,輸入 WINDOWSsystem32,然後按下 ENTER:
4. 如果下列檔案存在的話,請找出這些檔案並予以重新命名: • msupd5.exe (重新命名為 msupd5.old) 
• msupd4.exe (重新命名為 msupd4.old) 
• msupd.exe (重新命名為 msupd.old) 
• Reloadmedude.exe (重新命名為 Reloadmedude.old)

5. 關閉 Internet Explorer。
6. 重新啟動您的電腦。
7. 請確定您的防毒/反間諜軟體已經使用最新的簽章加以更新,然後再執行完整的系統掃描。

方法 2:安全模式:使用 [我的電腦] 重新命名惡意的驅動程式
1. 以「安全模式」啟動電腦。如果要執行這項操作,請依照下列步驟執行: a.  重新啟動您的電腦。
b.  啟動電腦時,重複地按下 F8 鍵 (每秒按一次)。這會顯示 Microsoft Windows [進階啟動功能表] 選項。
c.  使用向上鍵或向下鍵以反白顯示 [安全模式],然後按下 ENTER。

2. 開啟 Internet Explorer 並在 [網址列] 中輸入 C:WINDOWSsystem32drivers。
3. 啟用檢視隱藏檔案的功能。如果要執行這項操作,請依照下列步驟執行: a.  依序按一下 [開始]、[我的電腦]、[工具] 和 [資料夾選項]。
b.  按一下 [檢視]。
c.  按一下以清除 [隱藏保護的作業系統檔案 (建議使用)] 核取方塊。
d.  按一下以選取 [顯示隱藏的檔案及資料夾],然後按一下以清除 [隱藏已知檔案類型的副檔名]。
e.  按一下以選取 [套用到所有資料夾],然後按一下 [確定]。

4. 找出名為 C:WINDOWSsystem32drivers 的資料夾。
5. 找出任何具有下列特性的 .sys 檔案: a.  隨機產生的檔案名稱通常是由 8 個小寫字母組成的,例如 gbqxmhia.sys、upzvlbvv.sys 或 jsbmefvk.sys
b.  檔案日期:2005 年 1 月 11 日 
c.  檔案大小:14 KB (13,824 位元組)
d.  已經設定為隱藏的屬性。
e.  檔案沒有版本、產品名稱或製造商資訊 

6. 在檔案上按一下滑鼠右鍵,並選取 [重新命名]。將檔案重新命名為 malware.old,然後按下 ENTER。
7. 找出 WINDOWSsystem32。
8. 如果下列檔案存在的話,請予以重新命名: • msupd5.exe (重新命名為 msupd5.old) 
• msupd4.exe (重新命名為 msupd4.old)
• msupd.exe (重新命名為 msupd.old)
• Reloadmedude.exe (重新命名為 Reloadmedude.old)

9. 重新啟動電腦。
10. 請確定您的防毒/反間諜軟體已經使用最新的簽章加以更新,然後再執行完整的系統掃描。

方法 3:安全模式:使用命令提示字元重新命名惡意的驅動程式
1. 在命令提示字元中,以「安全模式」啟動電腦。如果要執行這項操作,請依照下列步驟執行: a.  重新啟動您的電腦。
b.  啟動電腦時,重複地按下 F8 鍵 (每秒按一次)。
c.  這會顯示 Microsoft Windows [進階啟動功能表] 選項。
d.  使用向上鍵或向下鍵以選取 [安全模式 (含命令提示字元)],然後按下 ENTER。

2. 按一下 [開始],再按一下 [執行],輸入 cmd,再按一下 [確定]。
3. 在命令提示字元中,輸入 CD %windir%system32drivers,然後按下 ENTER。
4. 輸入 Dir /ah,然後按下 ENTER。
5. 您會看到類似下列文字 (將會隨機產生 .sys 檔案名稱):
Directory of C:WINDOWSsystem32drivers

01/11/2005  09:18 AM               13,824 gbqxmhia.sys
               1 File(s)            13,824 bytes
               0 Dir(s)     961,425,408 bytes free


6. 輸入 Attrib -s -h<randomfilename.sys>,其中 <randomfilename.sys> 是之前顯示的 .sys 檔案名稱,然後按下 ENTER。例如,先前檔案名稱的命令將如下所示:Attrib -s -h gbqxmhia.sys 這會從檔案中移除系統和隱藏的屬性。
7. 輸入 Ren<randomfilename.sys> malware.old,其中 <randomfilename.sys> 是稍早所提及的檔案名稱,然後按下 ENTER。這會對隨機命名的檔案進行重新命名。
8. 輸入 CD,再按下 ENTER。這會將命令列變更為 WindowsSystem32 目錄。
9. 一次輸入一個下列的命令,然後在每一行後面按下 ENTER。
Ren msupd5.exe msupd5.old
Ren msupd4.exe msupd4.old
Ren msupd.exe msupd.old
Ren Reloadmedude.exe Reloadmedude.old
注意如果您收到下列錯誤訊息,請予以忽略,因為它指出檔案不存在:
系統找不到指定的檔案。
10. 輸入 Exit,然後按下 ENTER。
11. 重新啟動電腦。
12. 請確定您的防毒/反間諜軟體已經使用最新的簽章加以更新,然後再執行完整的系統掃描。



轉載至[風簷小築]
http://blog.yam.com/otherworld/article/12264498


-------------------------------------------------------


不過後來發現那台電腦的問題是...


裝了一條DDR400的RAM



跟一條DDR433的RAM



跋掉舊的DDR433後就可以正常執行哩 = ="




相簿設定
標籤設定
相簿狀態