在 Windows Server 2003、Windows 2000 或 Windows XP 中,诊断程序可能会立即关闭并且您可能会收到“STOP 0x00000050”或“STOP 0x0000000A”错误消息
察看本文应用于的产品
文章编号
:
897079
最后修改
:
2006年4月6日
修订
:
2.0
本页
症状
 
注意
原因
解决方案
参考
这篇文章中的信息适用于:
症状
当您尝试运行下列某个诊断程序时,程序可能会立即关闭:
注册表编辑器 ()
任务管理器 ()
系统配置实用程序 ()
系统信息 ()
您可能还会遇到下列某一症状:
计算机自动重新启动。
登录后,您收到以下错误消息:
Microsoft Windows
系统已经从一个严重错误中恢复。
创建了此错误的日志。
请将此问题告知 Microsoft。
我们已经创建了一个错误报告,您可以发送该报告,从而帮助我们改进 Microsoft Windows。我们将对此报告进行保密并做匿名处理。
要查看这个错误报告包含的数据,请单击此处。
当您单击消息框底部的“单击此处”链接时,会看到类似以下某个数据样本的错误签名信息:
回到顶端
数据样本 1
BCCode :00000050 BCP1 :ffffff60 BCP2 :00000000 BCP3 :804fa26f BCP4 :00000000 OSVer :5_1_2600 SP :0_0 Product :256_1
回到顶端
数据样本 2
BCCode :0000000A BCP1 :ffffff94 BCP2 :00000000 BCP3 : 00000000 BCP4 :804e15ef OSVer :5_1_2600 SP :0_0 Product :256_1
windows错误恢复
您会收到以下某个 Stop 错误消息:
回到顶端
消息 1
A problem has been detected and Windows has been shut down to prevent damage to
Technical information:
*** STOP:0x00000050 (0xffffff60, 0x00000000, 0x804fa26f, 0x00000000) PAGE_FAULT_IN_NONPAGED_AREA address 0x804fa26f in 0x50_nt!ObReferenceObjectSafe+e
回到顶端
消息 2
A problem has been detected and Windows has been shut down to prevent damage to
Technical information:
*** STOP:0x0000000A (0xffffff94, 0x00000000, 0x00000000, 0x804e15ef) IRQL_NOT_LESS_OR_EQUAL address 0x804fa26f in 0xA_nt!ExpCopyThreadInfo+a
当您在“事件查看器”中查看“系统日志”时,可能会看到与以下某个条目类似的条目:
回到顶端
条目 1
日期: date
来源: System
错误时间: time
类别: (102)
类型: 错误
事件 ID: 1003
用户: N/A
计算机: COMPUTER
描述: 错误代码 00000050, parameter1 ffffff60, parameter2 00000000, parameter3 804fa26f, parameter4 00000000。有关更多信息,请参阅在 go.microsoft/fwlink/events.asp 的帮助和支持中心。
数据: 0000: 53 79 73 74 65 6d 20 45 System E 0008:72 72 6f 72 20 20 45 72 rror Er 0010:72 6f 72 20 63 6f 64 65 ror code 0018:20 30 30 30 30 30 30 35 0000050 0020: 30 20 20 50 61 72 61 6d 0 Param 0028:65 74 65 72 73 20 66 66 eters ff 0030:66 66 66 66 64 31 2c
回到顶端
条目 2
日期: date
来源: System
错误时间: time
类别: (102)
类型: 错误
事件 ID: 1003
用户: N/A
计算机: COMPUTER
描述: 错误代码 0000000A, parameter1 ffffff94, parameter2 00000000, parameter3 00000000, parameter4 804e15ef。有关更多信息,请参阅在 go.microsoft/fwlink/events.asp 的帮助和支持中心。
数据: 0000: 53 79 73 74 65 6d 20 45 System E 0008:72 72 6f 72 20 20 45 72 rror Er 0010:72 6f 72 20 63 6f 64 65 ror code 0018:20 30 30 30 30 30 30 35 000000A 0020:30 20 20 50 61 72 61 6d 0 Param 0028:65 74 65 72 73 20 66 66 eters ff 0030:66 66 66 66 64 31 2c
回到顶端
注意
STOP 错误的症状因计算机的系统故障选项而异。 有关如何配置系统故障选项的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
307973 (support.microsoft/kb/307973/) 如何在 Windows 中配置系统故障和恢复选项
“Stop”错误消息的括号内的四个参数因计算机的配置而异。
并非所有“Stop 0x0000000A”错误都是由本文描述的问题引起的。 有关如何消除 Windows XP 中出现的“Stop 0x0000000A”错误的更多信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
314063 (support.microsoft/kb/314063/) 消除 Windows XP 中出现的“Stop 0x0000000A”错误
回到顶端
原因
如果计算机感染了 Sdbot 病毒的变体,就可能出现此问题。
Sdbot 病毒会创建一个隐藏的进程。此进程会关闭系统管理员用于进行诊断和配置的程序。还可能会阻止这些程序运行。
Sdbot 病毒的文件名会发生变化。该病毒的很多变体会在计算机上放置一个名为 Msdirectx.sys 或 Haxdrv.sys 的驱动程序。该驱动程序用来隐藏病毒进程。该病毒经常使用的文件名包括 和 。如果您删除了这些文件,则这些病毒变体可还原病毒。
回到顶端
解决方案
要解决此问题,请使用以下方法之一:
自动删除
要自动删除此病毒的某些版本,请运行 Microsoft 恶意软件删除工具。
四月份发布的此实用工具可删除该恶意软件的某些变体。您可以在以下位置到有关恶意软件删除工具的信息和下载内容:
www.microsoft/downloads/details.aspx?displaylang=zh-cn&FamilyId=AD724AE0-E72D-4F54-9AB3-75B8EB148356 (www.microsoft/downloads/details.aspx?displaylang=zh-cn&FamilyId=AD724AE0-E72D-4F54-9AB3-75B8EB148356)
www.microsoft/china/security/malwareremove/default.mspx (www.microsoft/china/security/malwareremove/default.mspx)
手动删除
重要说明:Sdbot 病毒的文件名会发生变化。根据 Sdbot 病毒在您的计算机上使用的文件名,可能需要修改这些步骤。
1.
请按照下列步骤操作,以安全模式启动计算机:
a.
重新启动计算机。
b.
在计算机启动时,反复按 F8 键(每秒一次)。
将会显示“Microsoft Windows 高级启动菜单”选项。
c.
使用向上键和向下键选择“安全模式”,然后按 Enter。
2.
单击“开始”,单击“运行”,在“打开”框中键入 regedit,然后单击“确定”。
3.
在下列注册表子项中,到并删除包含 或 文件名的所有项:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
例如,如果“Ms Sound Drivers”项的值为“”,则删除该项。
4.
在下列注册表子项中,到并删除包含 Msdirectx 或 Haxdrv 的所有项:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
5.
退出注册表编辑器。
6.
单击“开始”,单击“运行”,在“打开”框中键入 cmd,然后单击“确定”。
7.
在命令提示符处,键入下列命令。在输入每个命令后按 Enter。
attrib -r -h -s %systemroot%\system32\msdirectx.sys
attrib -r -h -s %systemroot%\system32\haxdrv.sys
attrib -r -h -s %systemroot%\
attrib -r -h -s %systemroot%\
注意:这些文件可能存在于计算机上的不同文件夹中。例如,已报告这些文件在下列文件夹中:
C:\
C:\system32\
C:\system32\drivers\
C:\Documents and Settings\UserName\
执行搜索以到 Msdirectx.sys 和 Haxdrv.sys 的所有实例。然后,在此步骤中键入命令,但是要将 %systemroot%\system32\ 路径替换为所到的每个文件的路径。
8.
键入下列命令以删除这些文件。在输入每个命令后按 Enter。
del %systemroot%\system32\msdirectx.sys
del %systemroot%\system32\haxdrv.sys
del %systemroot%\
del %systemroot%\
如果您在步骤 7 中到这些文件的其他实例,请使用所到的每个文件的路径重复这些命令。
9.
重新启动计算机。
10.
确保您的防病毒和反间谍软件程序已使用最新的定义进行了更新。然后,执行一次全面的系统扫描。从 2005 年 4 月 7 日起,以下程序会检测到下面这些文件:
程序
检测到的 Sdbot 病毒变体
Norman AV
PandaLabs
AVERT Labs
未检测到(未确定)
F-Secure
Backdoor.
Sophos
Troj/NtRootK-F (msdirectx.sys)、Troj/Rootkit-U (haxdrv.sys)、W32/Sdbot-WR、W32/Sdbot-VJ、W32/Sdbot-WK、W32/Sdbot-WD
Trend Micro
TROJ_ROOTKIT.H (msdirectx.sys)、WORM_RBOT.AXU、WORM_SDBOT.BDX
Msdirectx.sys
程序
检测到的 Sdbot 病毒变体
F-Secure
Trojan.Win32.Rootkit.h