【0x00000050 PAGE_FAULT_IN_NONPAGED_AREA】
■エラー原因
・要求されたデータがメモリ内に存在しない
・メモリモジュール自体に欠陥がある
・HaxDoor ウイルスの亜種に感染している
・トロイの木馬型ウイルスに感染している
・既知の rootkit スパイウェア プログラムによってインストールされるカーネル ドライバが原因 ⇒ Msupd5.exe Reloadmedude.exe
■トラブルシューティング
※スパイウェアに感染しているかどうかを確認する
1)Internet Explorer を起動し、 [アドレス] ボックスに %windir%\system32\drivers と入力し、Enter キーを押す
2)隠しファイルおよび保護されたオペレーティング システム ファイルの表示方法を変更する
a. [ツール] メニューの [フォルダ オプション] をクリック
b. [表示] タブをクリックし、[保護されたオペレーティング システム ファイルを表示しない (推奨)] チェック ボックスをオフにする
c. 保護されているオペレーティング システムを表示するように選択したことを通知する警告メッセージが表示されたら、[はい] をクリック
d. [ファイルとフォルダの表示] の下の [すべてのファイルとフォルダを表示する] をクリック
e. [登録されている拡張子は表示しない] チェック ボックスをオフにする
f. [システム フォルダの内容を表示する] チェック ボックスをオンにし、確認のメッセージが表示されたら [はい] をクリックし、[OK] をクリックする
g. [表示] メニューの [詳細] をクリックする
3)F5 キーを押して、Drivers フォルダの表示を更新する
4)隠しファイル属性が設定されていて、製品名、会社名、ファイルのバージョンの情報がない、システム ファイルを見つける
・システム ファイルには、ファイル名に .sys という拡張子が付く
・隠しファイル属性が設定されているファイルは、エクスプローラの [属性] 列に 「HA」 と表示される
・Drivers フォルダのファイルには、通常、アーカイブ属性 (A) しか設定されていないはず
・スパイウェア ファイルには、8 つの小文字から構成されるランダムに生成されたファイル名が付けられている
・既知のスパイウェアファイルは gbqxmhia.sys upzvlbvv.sys jsbmefvk.sys など
5)[OK] をクリックして、プロパティのダイアログ ボックスを閉じる
6)「解決方法」に記載されている方法を実行して問題を解決する
7)Internet Explorer の [アドレス] ボックスに %windir%\system32 と入力し、Enter キーを押す
8)以下のアプリケーション ファイルを探す ⇒ Msupd.exe Msupd*.exe (* には、1 桁の数字が入る) Reloadmedude.exe
・これらのファイルの日付は一定ではなく、サイズは 60 KB (61,440 バイト)
・すでにスパイウェア ファイルであることがわかっているファイル名⇒ Msupd.exe Msupd4.exe Msupd5.exe Reloadmedude.exe
※これらのファイルが 1 つ以上存在する場合、コンピュータはスパイウェアに感染している
※問題を解決するには、以下の「解決方法」に記載されている方法を実行する
A 解決方法 1 : Internet Explorer を使用して、悪質なドライバの名前を変更する
1)Internet Explorer を起動する
2)[アドレス] ボックスに %windir%\system32\drivers と入力し、Enter キーを押す
3)ランダムに名前の付けられた悪質な .sys ファイルを見つけ、そのファイルを右クリックし、[名前の変更] をクリックする
4)malware.old と入力してファイル名を変更し、Enter キーを押す
5)[アドレス] ボックスに \WINDOWS\system32 と入力し、Enter キーを押す
6)以下のファイルを探し、存在する場合は、ファイル名を変更する
・Msupd5.exe : このファイル名を Msupd5.old に変更
・Msupd4.exe : このファイル名を Msupd4.old に変更
・Msupd.exe : このファイル名を Msupd.old に変更
・Reloadmedude.exe : このファイル名を Reloadmedude.old に変更
7)Internet Explorer を終了する
8)コンピュータを再起動
9)使用しているウイルス対策ソフトウェアまたはスパイウェア対策ソフトウェアの定義ファイルが最新のものであることを確認し、システムの完全スキャンを実行する
B 解決方法 2 : セーフ モードで、[マイ コンピュータ] を使用して悪質なドライバの名前を変更する
1)以下の手順を実行して、コンピュータをセーフ モードで起動する
a. コンピュータを再起動
b. コンピュータの起動中に (1 秒間隔で) F8 キーを繰り返し押す
c. Windows 拡張オプション メニューが表示される
上方向キーおよび下方向キーを使用して "セーフ モード" を選択し、Enter キーを押す
2)Internet Explorer を起動する
3)[アドレス] ボックスに C:\%windir%\system32\drivers と入力し、Enter キーを押す
4)以下の手順で、隠しファイルを表示させる
a. [スタート] ボタンをクリックし、[マイ コンピュータ] をクリック
b. [ツール] メニューの [フォルダ オプション] をクリック
c. [表示] タブをクリックし、[保護されたオペレーティング システム ファイルを表示しない (推奨)] チェック ボックスをオフにする
d. 保護されているオペレーティング システムを表示するように選択したことを通知する警告メッセージが表示されたら、[はい] をクリック
e. [ファイルとフォルダの表示] の下の [すべてのファイルとフォルダを表示する] をクリック
f. [登録されているファイルの拡張子は表示しない] チェック ボックスをオフにする
g. [フォルダの表示] の下の [すべてのフォルダに適用] をクリックし、確認のメッセージが表示されたら [はい] をクリックし、[OK] をクリック
5)C:\%windir%\System32\Drivers というフォルダを見つけ、以下の特徴を持つ .sys ファイルを探す
a. gbqxmhia.sys、upzvlbvv.sys、jsbmefvk.sys のように、8 つの小文字から構成されるランダムに生成されたファイル名
b. 更新日時が 2005 年 1 月 11 日
c. サイズが 14 KB (13,824 バイト)
d. 隠しファイル属性が設定されている
・隠しファイルは、エクスプローラの [属性] 列に 「HA」 と表示される
・[属性] 列が表示されるようにする方法については、この資料の「詳細」の手順 A-1~3 を参照
e. バージョン、製品名、会社名の情報がない
6)手順 6. に挙げた特徴を持つ最初のファイルを右クリックし、[名前の変更] をクリック
7)malware1.old と入力し、Enter キーを押す
(同様に、2 番目のファイルは malware2.old、3 番目のファイルは malware3.old に・・・と、該当するすべてのファイルの名前を変更する)
8)%windir%\System32 フォルダを見つける
9)以下のファイルが存在する場合は、ファイル名を変更する
・Msupd5.exe : msupd5.old という名前に変更
・Msupd4.exe : Msupd4.old という名前に変更
・Msupd.exe : Msupd.old という名前に変更
・Reloadmedude.exe : Reloadmedude.old という名前に変更
10)コンピュータを再起動
11)使用しているウイルス対策ソフトウェアまたはスパイウェア対策ソフトウェアの定義ファイルが最新であることを確認し、システムの完全スキャンを実行
C 解決方法 3 : セーフ モードで、コマンド プロンプトを使用して悪質なドライバの名前を変更する
1)以下の手順を実行して、コンピュータをセーフ モードで起動する
a. コンピュータを再起動
b. コンピュータの起動中に (1 秒間隔で) F8 キーを繰り返し押す
c. Windows 拡張オプション メニューが表示される
d. 上方向キーおよび下方向キーを使用して、"セーフ モードとコマンド プロンプト" を選択し、Enter キーを押す
2)コマンド プロンプトで CD %windir%\system32\drivers と入力し、Enter キーを押す
3)Dir /ah と入力し、Enter キーを押す
4)以下のようなテキストが表示される (.sys ファイルの名前はランダムに生成される)
Directory of C:\WINDOWS\system32\drivers
01/11/2005 09:18 AM 13,824 gbqxmhia.sys
1 File(s) 13,824 bytes
0 Dir(s) 961,425,408 bytes free"
5)Attrib –s –h RandomFilename と入力し、Enter キーを押すと、ファイルからシステム属性および隠しファイル属性が削除される
※RandomFilename には、手順 4. で表示される .sys ファイルの名前が入る
例) Attrib –s –h gbqxmhia.sys と入力する
6)Ren RandomFilename malware.old と入力して Enter キーを押す
7)ランダムに名前の付けられたファイルのファイル名が変更される
8)CD .. と入力し、Enter キーを押す
9)コマンド プロンプトが %windir%\System32 フォルダに変更される
10)以下の各コマンドを 1 行ずつ入力する
※各行の最後に Enter キーを押す
Ren msupd5.exe msupd5.old
Ren msupd4.exe msupd4.old
Ren msupd.exe msupd.old
Ren reloadmedude.exe reloadmedude.old
(「指定されたファイルが見つかりません」のメッセージは無視しても問題なし)
11)Exit と入力し、Enter キーを押す
12)コンピュータを再起動
13)使用しているウイルス対策ソフトウェアまたはスパイウェア対策ソフトウェアの定義ファイルが最新であることを確認し、システムの完全スキャンを実行
