来源：邪恶八进制

注意
注意：方法 2 和 3 的解决方案步骤要求您在安全模式下启动计算机以删除恶意核心模式驱动程序。
本页
 症状
 原因
   更多信息
 解决方案
   方法 1：通过使用 Internet Explorer 重命名恶意驱动程序
   方法 2：安全模式：通过使用“我的电脑”重命名恶意驱动程序
   方法 3：安全模式：通过使用命令提示符重命名恶意驱动程序
 参考
 这篇文章中的信息适用于:

症状
在蓝屏上收到下面的“Stop”错误信息：
*** STOP:0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237
当您在事件查看器中查看系统日志时，可能会看到事件 ID 1003 条目，该条目的信息与以下信息类似：
日期:日期
来源:系统
错误时间:时间
类别: (102)
类型:错误
事件 ID: 1003
用户:N/A
计算机:计算机
描述:错误代码 00000050，parameter1 eb7ff002，parameter2 00000000，parameter3 8054af32，parameter4 00000001。有关更多信息，请参阅帮助和支持中心：asp">http://go.microsoft.com/fwlink/events.asp (http://go.microsoft.com/fwlink/events.asp)。
 回到顶端

原因
该错误信息是由以下已知的间谍软件安装的核心驱动程序引起的：Rootkit/Spyware：msupd5.exe Reloadmedude.exe。

目前下列安全产品可检测到此间谍软件： 产品 报告的名称
Microsoft AntiSpyware  Spyware.Service.MiscrosoftUpdate (Trojan)
Computer Associates Win32/Benuti!Downloader!Trojan 
Doctor Web DrWebCL  Trojan.Medude
F-Secure  :Trojan.Win32.Agent.aw
Kaspersky Lab AVPDOS32 Trojan.Win32.Agent.aw 
McAfee Downloader-va
Panda  Trj/Agent.FO 和 Adware/Apropos
Trend Micro VScan TROJ_LODMEDUD.A

 回到顶端

更多信息
要验证您的计算机是否感染了此间谍软件，请按照下列步骤操作： 1. 启动 Internet Explorer。
2. 在 Internet Explorer 的“地址栏”中，键入 %windir%system32drivers，然后按 Enter 键。
3. 启用查看隐藏文件。为此，请按照下列步骤操作： a.  在“工具”菜单上，单击“文件夹选项”。
b.  单击“查看”，单击以清除“隐藏受保护的操作系统文件(推荐)”复选框，如果收到说明您已选择要显示隐藏的操作系统文件的警告消息，请单击“是”。
c.  单击以选中“显示所有文件和文件夹”复选框，然后单击以清除“隐藏已知文件类型的扩展名”复选框。
d.  单击以清除“应用到所有文件夹”复选框，然后单击“确定”。 
 
4. 按 F5 更新屏幕，然后查找已随机生成由八位小写字母组成的文件名的任何 .sys 文件。以下列表包含这些文件名的示例： • gbqxmhia.sys 
• upzvlbvv.sys
• jsbmefvk.sys
 
5. 找到可疑文件后，验证可疑文件的属性。右键单击该文件，单击“属性”，查找下列内容： • 文件日期为 2005 年 1 月 11 日
• 文件大小为 14 KB（13,824 字节） 
• 已设置 hidden 属性（“隐藏”复选框中有复选标记）
• 文件没有版本、产品名称或制造商信息
单击“确定”以关闭“属性”对话框。
 
6. 在 Internet Explorer 的“地址栏”中，键入 %windir%system32，然后按 Enter 键。
7. 搜索与以下文件类似的可执行文件 (.exe)： • msupd*.exe，其中 * 可能为不同的数字
• Reloadmedude.exe
这些文件的大小为 60 KB（61,440 字节），日期随机。
已知的此类文件的示例有： • msupd.exe 
• msupd4.exe 
• msupd5.exe 
• Reloadmedude.exe 
 
如果存在随机命名的 .sys 文件和 msupd*.exe 或 Reloadmedude.exe 文件，则您的计算机已感染此间谍软件。
 回到顶端

解决方案
要解决此问题，请使用下列方法之一。
 回到顶端

方法 1：通过使用 Internet Explorer 重命名恶意驱动程序
1. 在 Internet Explorer 的“地址栏”中，键入 %windir%system32drivers，并查找随机命名的 .sys 文件。 
2. 右键单击该文件，然后选择“重命名”。将该文件重命名为 malware.old，然后按 Enter 键。
3. 在地址栏中，键入 WINDOWSsystem32，然后按 Enter 键。
4. 查找并重命名下列文件（如果它们存在）： • msupd5.exe （重命名为 msupd5.old） 
• msupd4.exe （重命名为 msupd4.old） 
• msupd.exe （重命名为 msupd.old） 
• Reloadmedude.exe （重命名为 Reloadmedude.old）
 
5. 关闭 Internet Explorer。
6. 重新启动计算机。
7. 确保已用最新签名更新了用于防病毒/防间谍软件 (antivirus/antispyware) 的软件，然后执行一次完整的系统扫描。

 回到顶端

方法 2：安全模式：通过使用“我的电脑”重命名恶意驱动程序
1. 在安全模式下启动计算机。为此，请按照下列步骤操作： a.  重新启动计算机。
b.  在计算机启动时，反复按 F8 键（每秒一次）。 这会显示 Microsoft Windows 高级启动菜单选项。
c.  使用上箭头键和下箭头键突出显示“安全模式”，然后按 Enter 键。
 
2. 打开 Internet Explorer 并在“地址栏”中键入 C:WINDOWSsystem32drivers。 
3. 启用查看隐藏文件。为此，请按照下列步骤操作： a.  依次单击“开始”、“我的电脑”、“工具”，然后单击“文件夹选项”。
b.  单击“查看”。
c.  单击以清除“隐藏受保护的操作系统文件(推荐)”复选框。
d.  单击以选择“显示所有文件和文件夹”，然后单击以清除“隐藏已知文件类型的扩展名”。
e.  单击以选择“应用到所有文件夹”，然后单击“确定”。 
 
4. 查找命名为 C:WINDOWSsystem32drivers 的文件夹。
5. 查找具有以下特征的任何 .sys 文件： a.  随机生成由八位小写字母组成的文件名，例如 gbqxmhia.sys、upzvlbvv.sys 或 jsbmefvk.sys
b.  文件日期为 2005 年 1 月 11 日 
c.  文件大小为 14 KB（13,824 字节）
d.  已设置 Hidden 属性 
e.  文件没有版本、产品名称或制造商信息 
 
6. 右键单击该文件，然后选择“重命名”。将该文件重命名为 malware.old，然后按 Enter 键。
7. 查找 WINDOWSsystem32。
8. 重命名下列文件（如果它们存在）： • msupd5.exe （重命名为 msupd5.old） 
• msupd4.exe （重命名为 msupd4.old）
• msupd.exe （重命名为 msupd.old）
• Reloadmedude.exe （重命名为 Reloadmedude.old）
 
9. 重新启动计算机。
10. 确保已用最新签名更新了用于防病毒/防间谍软件 (antivirus/antispyware) 的软件，然后执行一次完整的系统扫描。

 回到顶端

方法 3：安全模式：通过使用命令提示符重命名恶意驱动程序
1. 在命令提示符处，以安全模式启动计算机。为此，请按照下列步骤操作： a.  重新启动计算机。
b.  在计算机启动时，反复按 F8 键（每秒一次）。
c.  这会显示 Microsoft Windows 高级启动菜单选项。 
d.  使用上箭头键和下箭头键选择“带命令行提示的安全模式”，然后按 Enter 键。
 
2. 单击“开始”，单击“运行”，键入 cmd，然后单击“确定”。
3. 在命令提示符处，键入 CD %windir%system32drivers，然后按 Enter 键。 
4. 键入 Dir /ah，然后按 Enter 键。
5. 您将看到与以下文本类似的文本（.sys 文件名将随机生成）：

Directory of C:WINDOWSsystem32drivers

01/11/2005  09:18 AM               13,824 gbqxmhia.sys
               1 File(s)            13,824 bytes
               0 Dir(s)     961,425,408 bytes free

6. 键入 Attrib –s –h ，其中 是前面显示的 .sys 文件的名称，然后按 Enter 键。例如，用于前面显示的文件名的命令如下所示：Attrib –s –h gbqxmhia.sys。这会从文件中删除 system 属性和 hidden 属性。
7. 键入 Ren malware.old，其中 是前面提到的文件名，然后按 Enter 键。这将重命名随机命名的文件。
8. 键入 CD，然后按 Enter 键。这会将命令行改为 WindowsSystem32 目录。
9. 逐行键入下列命令（一行一次），然后在完成键入每行后按 Enter 键：
Ren msupd5.exe msupd5.old
Ren msupd4.exe msupd4.old
Ren msupd.exe msupd.old
Ren Reloadmedude.exe Reloadmedude.old
注意：如果收到以下错误信息，可将其忽略，因为它指示该文件不存在：
The system cannot find the file specified.
10. 键入 Exit，然后按 Enter