0x00000050


AGE_FAULT_IN_NONPAGED+AREA

錯誤分析:有問題的記憶體(包括屋裡記憶體、二級緩存、顯存)、不相容的軟體(主要是遠端控制和殺毒軟體)、損壞的NTFS卷以及有問題的硬體(比如CI插卡本身已損壞)等都會引發這個錯誤.

 


 

解決方案:
1.卸掉所有的新近安裝的硬體.
2.運行由電腦製造商提供的所有系統診斷軟體.尤其是記憶體檢查.
3.檢查是否正確安裝了所有新硬體或軟體,如果這是一次全新安裝,請與硬體或軟體製造商聯繫,獲得可能需要的任何Windows更新或驅動程式.
4.禁用或卸載所有的反病毒程式.
5.禁用BIOS記憶體選項,例如cache或shadow
方案裡並非每一條都要做,只是每一條都有可能!藍屏代碼50

 

到目前為止處理最麻煩的錯誤代碼大概就這個!!引起的原因非常多!即使上述原因都做了可能都解決不了,但是一定要先測試過!!

 

微軟解釋

 

您可能會遇到下列一或多個徵狀:

  • 電腦自動重新啟動。
  • 登入之後,會收到下列錯誤訊息:

    Microsoft Windows
    The system has recovered from a serious error.A log of this error has been created.Please tell Microsoft about this problem.We have created an error report that you can send to help us improve Microsoft Windows.We will treat this report as confidential and anonymous.To see what data this error report contains, click here. (系統已從嚴重錯誤狀態中修復。已經建立這個錯誤的記錄檔。請向 Microsoft 回報此問題。已經建立錯誤報告供您傳送,以協助我們改善 Microsoft Windows 的品質。該報告將不具名並視為機密。如果要查看此錯誤報告所包含的資料,請按一下這裡。)

    如果錯誤訊息依然顯示在畫面上,而您想要查看此錯誤報告所含的資料,請按一下訊息方塊底部的 [請按這裡] 連結。執行這項操作i之後,會顯示類似下列的錯誤病毒碼資訊:

    BCCode :00000050 BCP1 :0xeb7ff002 BCP2 :0x00000000 BCP3 :0x8054af32 BCP4 :0x00000001 OSVer :5_1_2600 SP :0_0 Product :256_1

  • 您會收到下列「停止」錯誤訊息:

    A problem has been detected and Windows has been shut down to prevent damage to the computer Technical information: *** STOP:0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237 (偵測到問題,並已關閉 Windows,以避免您的電腦遭受損害: *** STOP: 0x00000050 (0xeb7ff002, 0x00000000, 0x8054af32, 0x00000001) PAGE_FAULT_IN_NONPAGED_AREA nt!ExFreePoolWithTag+237)

  • 系統記錄檔中會記錄類似下列的事件:

    日期:date
    來源:系統錯誤
    時間:time
    類別: (102)
    類型:錯誤
    事件識別碼: 1003
    使用者:N/A
    電腦:computer
    描述:錯誤碼 00000050、parameter1 0xeb7ff002、parameter2 0x00000000、parameter3 0x8054af32、parameter4 0x00000001。如需詳細資訊,請參閱「說明及支援中心」,網址是: http://support.microsoft.com。資料: 0000: 53 79 73 74 65 6d 20 45 System E 0008:72 72 6f 72 20 20 45 72 rror Er 0010:72 6f 72 20 63 6f 64 65 ror code 0018:20 30 30 30 30 30 30 35 00000MN 0020:30 20 20 50 61 72 61 6d 0 Param 0028:65 74 65 72 73 20 66 66 eters ff 0030:66 66 66 66 64 31 2c

 

注意
「停止」錯誤的徵狀會因電腦系統的失敗選項而有所不同。 如需有關如何設定系統失敗選項的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件 :

307973 HOW TO:在 Windows 中設定系統失敗和修復選項

錯誤病毒碼資訊 (BCPn) 與「停止」錯誤之技術資訊括弧內所含的四個參數,會因電腦組態而不同。
並非所有的停止 0x00000050 錯誤都是<原因>一節所述的問題所導致。

 

發生的原因

此錯誤訊息起因於下列已知之 Rootkit 間諜軟體程式所安裝的核心驅動程式造成:

  • Msupd5.exe
  • Reloadmedude.exe

 

解決方案

如果要解決這個問題,請使用下列一或多種方法。這些方法是依據慣用的順序列出。

 

方法 1:使用 Internet Explorer 重新命名惡意的驅動程式
  1. 開啟 Internet Explorer。
  2. [網址] 方塊中,輸入 %windir%\system32\drivers,然後按下 ENTER。
  3. 找到隨機命名的 .sys 檔案,並用滑鼠右鍵按一下該檔案,然後選取 [重新命名]
  4. 輸入 malware.old,以重新命名檔案,然後按下 ENTER。
  5. [網址] 方塊中,輸入 \WINDOWS\system32,然後按下 ENTER。
  6. 找出下列檔案 (如其存在),並予以重新命名:
    • Msupd5.exe。將此檔案重新命名為 Msupd5.old。
    • Msupd4.exe。將此檔案重新命名為 Msupd4.old。
    • Msupd.exe。將此檔案重新命名為 Msupd.old。
    • Reloadmedude.exe。將此檔案重新命名為 Reloadmedude.old。
  7. 關閉 Internet Explorer。
  8. 重新啟動電腦。
  9. 確定已使用最新的病毒碼更新防毒或反間諜功能軟體,然後再執行完整的系統掃描。

 

方法 2:在安全模式中,使用 [我的電腦] 重新命名惡意的驅動程式
  1. 以「安全模式」啟動電腦。如果要執行這項操作,請依照下列步驟執行:
    1. 重新啟動電腦。
    2. 於電腦啟動時重複按下 F8 鍵 (每秒一次)。此動作會顯示 Microsoft Windows 進階啟動功能表選項。
    3. 使用向上鍵與向下鍵反白顯示 [安全模式],然後按下 ENTER。
  2. 開啟 Internet Explorer
  3. [網址] 方塊中,輸入 %windir%\system32\drivers,然後按下 ENTER。
  4. 啟用檢視隱藏檔案的功能。如果要執行這項操作,請依照下列步驟執行:
    1. 按一下 [開始],然後按一下 [我的電腦]
    2. [工具] 功能表上,按一下 [資料夾選項]
    3. [檢視] 索引標籤上,按一下以取消選取 [隱藏保護的作業系統檔案 (建議使用)] 核取方塊,再於收到警告訊息,指出您已選擇顯示保護的作業系統檔案時,按一下 [是]
    4. [隱藏檔案和資料夾] 下,按一下 [顯示隱藏的檔案及資料夾]
    5. 按一下以取消選取 [隱藏已知檔案類型的副檔名] 核取方塊。
    6. [資料夾畫面] 區塊中,按一下 [套用至所有資料夾],再按一下 [確定]
  5. 找出名為 C:\%windir%\System32\Drivers 的資料夾。
  6. 找出任何具有下列特性的 .sys 檔案:
    1. 由 8 個小寫字母組成的隨機產生檔案名稱,如 "gbqxmhia.sys"、"upzvlbvv.sys" 或 "jsbmefvk.sys"
    2. 日期為 2005 年 1 月 11 日
    3. 大小為 14 KB (13,824 個位元組)
    4. 設定了隱藏屬性
      注意 設有隱藏屬性的檔案在 [Windows 檔案總管] 的 [屬性] 欄中會顯示 "HA"。如需有關如何檢視 [屬性] 欄的指示,請參閱<其他資訊>一節所述之程序的步驟 5a 與 5b。
    5. 檔案不具版本、產品名稱或製造商資訊。
  7. 用滑鼠右鍵按一下所找到的每一個檔案,然後選取 [重新命名]
  8. 輸入 malware1.old,以重新命名第一個檔案,然後按下 ENTER。
    注意 輸入 malware2.old,以重新命名第二個檔案,接著再輸入 malware3.old,以重新命名第三個檔案,依此類推。
  9. 找出 %windir%\System32 資料夾。
  10. 重新命名下列檔案 (如其存在):
    • Msupd5.exe。將此檔案重新命名為 msupd5.old。
    • Msupd4.exe。將此檔案重新命名為 Msupd4.old。
    • Msupd.exe。將此檔案重新命名為 Msupd.old。
    • Reloadmedude.exe。將此檔案重新命名為 Reloadmedude.old。
  11. 重新啟動電腦。
  12. 確定已使用最新的病毒碼更新防毒或反間諜功能軟體,然後再執行完整的系統掃描。

 

方法 3:在安全模式中,使用命令提示字元重新命名惡意的驅動程式
  1. 以「安全模式」啟動電腦。如果要執行這項操作,請依照下列步驟執行:
    1. 重新啟動電腦。
    2. 於電腦啟動時重複按下 F8 鍵 (每秒一次)。此動作會顯示 Microsoft Windows 進階啟動功能表選項。
    3. 使用向上鍵與向下鍵選取 [安全模式 (含命令提示字元)],然後按下 ENTER。
  2. 按一下 [開始],再按一下 [執行],並在 [開啟] 方塊中輸入 cmd,然後按一下 [確定]
  3. 在命令提示字元輸入 CD %windir%\system32\drivers,然後按下 ENTER。
  4. 輸入 Dir /ah,然後按下 ENTER。
  5. 會顯示類似下列的文字。.sys 檔案名稱是隨機產生。

    Directory of C:\WINDOWS\system32\drivers
    
    01/11/2005  09:18 AM               13,824 gbqxmhia.sys
                   1 File(s)            13,824 bytes
                   0 Dir(s)     961,425,408 bytes free
    
  6. 輸入 Attrib –s –h RandomFilename,然後按下 ENTER。
  7. 此動作會移除檔案的系統屬性與隱藏屬性。
    注意 預留位置 RandomFilename 代表 .sys 檔案的名稱,會在執行步驟 5 之後顯示。以步驟 5 之範例中所指定的檔案名稱為例,應輸入 Attrib –s –h gbqxmhia.sys。
  8. 輸入 Ren RandomFilename malware.old,然後按下 ENTER。此動作會重新命名隨機命名的檔案。
  9. 輸入 CD,然後按下 ENTER。這會將命令列切換至 %windir%\System32 資料夾。
  10. 輸入下列的命令 (一次一個),並在每個命令之後按下 ENTER。
    Ren msupd5.exe msupd5.old
    Ren msupd4.exe msupd4.old
    Ren msupd.exe msupd.old
    Ren reloadmedude.exe reloadmedude.old
    注意您如果收到下列錯誤訊息,指出目標檔案不存在,可以放心地加以忽略:

    系統找不到指定的檔案。

  11. 輸入 Exit,然後按下 ENTER。
  12. 重新啟動電腦。
  13. 確定已使用最新的病毒碼更新防毒或反間諜功能軟體,然後再執行完整的系統掃描。

 

如果要確認電腦是否受到此間諜軟體的感染,請依照下列步驟執行:

  1. 啟動 Internet Explorer。
  2. 在 Internet Explorer 的 [網址] 方塊中,輸入 %windir%\system32\drivers,然後按下 ENTER。
  3. 變更 Windows 顯示隱藏檔案與受保護作業系統檔案的方式。如果要執行這項操作,請依照下列步驟執行:
    1. [工具] 功能表上,按一下 [資料夾選項]
    2. [檢視] 索引標籤上,按一下以取消選取 [隱藏保護的作業系統檔案 (建議使用)] 核取方塊,再於收到警告訊息,指出您已選擇顯示保護的作業系統檔案時,按一下 [是]
    3. [隱藏檔案和資料夾] 下,按一下 [顯示隱藏的檔案及資料夾]
    4. 按一下以取消選取 [隱藏已知檔案類型的副檔名] 核取方塊。
    5. 按一下以選取 [顯示系統資料夾的內容] 核取方塊,再按一下 [確定]
    6. [檢視] 功能表上,按一下 [詳細資料]
  4. 按下 F5,以更新 Drivers 資料夾顯示。
  5. 找出所有設有隱藏屬性,並缺少產品名稱、公司與檔案版本之相關詳細資料的系統檔案 (副檔名為 .sys 的檔案)。
    注意 設有隱藏屬性的檔案會在 [Windows 檔案總管] 的 [屬性] 欄位中會顯示 "HA"。如需有關如何檢視 [屬性] 欄的指示,請參閱步驟 5a 與 5b。
    如果要執行這項操作,請依照下列步驟執行。
    注意 間諜軟體檔案是由 8 個小寫字母組成的隨機產生檔案名稱。
    1. 變更 [Windows 檔案總管] 在資料夾中顯示檔案詳細資料的方式。如果要執行這項操作,請依照下列步驟執行:
      1. [檢視] 功能表上,按一下 [選擇詳細資料]
      2. 按一下以選取 [屬性] 核取方塊。
      3. 按一下以選取 [產品名稱] 核取方塊。
      4. 按一下以選取 [公司] 核取方塊。
      5. 按一下以選取 [檔案版本] 核取方塊。
    2. 按一下 [屬性] 欄標題,以依據屬性排序檔案清單。Drivers 資料夾中的檔案通常只含有保存屬性 (A)。請尋找所有同時具有隱藏屬性 (HA) 的檔案。
      下列清單是已知會造成此問題之間諜軟體檔案的範例名稱:
      • gbqxmhia.sys
      • upzvlbvv.sys
      • jsbmefvk.sys
      找出可疑的間諜軟體檔案之後,請使用 [內容] 對話方塊確認檔案的內容。用滑鼠右鍵按一下檔案,並按一下 [內容],再尋找下列資訊:
      • 在 [一般] 索引標籤上:
        • 修改日期:2005 年 1 月 11 日
        • 大小:14 KB (13,824 個位元組)
        • 已核取 [隱藏] 核取方塊
      • 在 [版本] 索引標籤上:
        • 無檔案版本
        • 無描述
        • 無版權
        • 無公司名稱
        • 無產品名稱
    檔案如已設定隱藏屬性,並缺少產品名稱、公司與檔案版本等詳細資料,即表示電腦已受到間諜軟體感染。
  6. 按一下 [確定],以關閉 [內容] 對話方塊,然後依照<解決方案>一節所述方法之一中的步驟解決問題。
  7. 在 Internet Explorer 的 [網址] 方塊中,輸入 %windir%\system32,然後按下 ENTER。
  8. 尋找類似下列名稱的應用程式檔案 (副檔名為 .exe 的檔案):
    • Msupd.exe
    • Msupd*.exe
      注意 預留位置 * 代表 1 位數的數字
    • Reloadmedude.exe
    這些檔案具有隨機日期,且檔案大小為 60 KB (61,440 個位元組)。
    已知的間諜軟體檔案名稱包括:
    • Msupd.exe
    • Msupd4.exe
    • Msupd5.exe
    • Reloadmedude.exe
  9. 如有上述一或多個檔案存在,即表示電腦已受到間諜軟體感染。請依照<解決方案>一節所述方法之一中的步驟解決問題。

 

偵測此間諜軟體的安全性產品
有數種安全性產品均可偵測此間諜軟體。這些產品與所報告之間諜軟體名稱的範例包括:

產品
報告的間諜軟體名稱

Microsoft AntiSpyware
Spyware.Service.MiscrosoftUpdate (特洛伊木馬程式)

Computer Associates
Win32/Benuti.61440!Downloader!Dr

Doctor Web DrWebCL
Trojan.Medude

F-Secure
Trojan.Win32.Agent.aw

Kaspersky Lab AVPDOS32
Trojan.Win32.Agent.aw

McAfee
Downloader-va

Panda
Trj/Agent.FO 與 Adware/Apropos

Trend Micro VScan
TROJ_LODMEDUD.A

Symantec
Trojan.Lodmeduod

arrow
arrow
    文章標籤
    0x00000050 錯誤訊息
    全站熱搜

    台北電腦維修 發表在 痞客邦 留言(0) 人氣()