DetailPage-MSS-KB

기술 자료

기술 자료: 903251 - 마지막 검토: 2009년 1월 8일 목요일 - 수정: 5.0

이 페이지에서

현상

Microsoft Windows Server 2003 기반, Microsoft Windows XP 기반 또는 Microsoft Windows 2000 기반 컴퓨터에서 다음 현상 중 하나 이상이 나타날 수 있습니다.
  • 컴퓨터가 자동으로 다시 시작됩니다.
  • 로그온하면 다음과 유사한 내용의 오류 메시지가 나타납니다.
    Microsoft Windows
    시스템이 심각한 오류로부터 복구되었습니다.
    이 오류에 대한 로그를 만들었습니다.
    이 문제에 대해 Microsoft에게 알려 주십시오.
    이 오류 보고서는 Microsoft Windows의 품질을 향상시키는 데 도움이 됩니다. 보고서 내용은 기밀로 간주되며 익명으로 처리됩니다.
    이 오류에 관한 자세한 정보를 보려면 여기를 클릭하십시오.
    오류 보고에 수록되어 있는 내용을 보려면 여기를 클릭하십시오.를 클릭하십시오. 메시지 상자의 맨 아래에 있는 여기를 클릭하십시오. 링크를 클릭하면 다음 데이터 예제 중 하나와 유사한 오류 서명 정보가 나타납니다.

    데이터 예제 1
    BCCode : 00000050 BCP1 : f8655000 BCP2 : 00000001 BCP3 : fc7cc465 BCP4 : 00000000 OSVer : 5_1_2600 SP: 0_0 Product: 256_1
    데이터 예제 2
    BCCode : 0000008e BCP1 : c0000005 BCP2 : 00000120 BCP3 : fd28eaa4 BCP4 : 00000000 OSVer : 5_1_2600 SP: 0_0 Product: 256_1
  • 다음과 같은 "중지" 오류 메시지 중 하나가 나타납니다.

    메시지 1

    A problem has been detected and Windows has been shut down to prevent damage to your computer...
    기술 정보:

    STOP: 0x00000050 (0xf8655000, 0x00000001, 0xfc7cc465, 0x00000000)
    PAGE_FAULT_IN_NONPAGED_AREA (50)
    메시지 2
    A problem has been detected and Windows has been shut down to prevent damage to your computer...
    기술 정보:

    STOP: 0x0000008e (0xc0000005, 0x00000120, 0xfd28eaa4, 0x00000000)
    KERNEL_MODE_EXCEPTION_NOT_HANDLED_M (1000008e)
  • 다음과 유사한 오류 메시지가 시스템 이벤트 로그에 기록됩니다.
    날짜: date
    원본: System
    오류 시간: 시간
    범주: (102)
    종류: 오류
    이벤트 ID: 1003
    사용자: 해당 없음
    컴퓨터: COMPUTER
    설명: 오류 코드 00000050, 매개 변수1 f8655000, 매개 변수2 00000001, 매개 변수3 fc7cc465, 매개 변수4 00000000. 자세한 정보는 http://support.microsoft.com에 있는 도움말 및 지원 센터를 참조하십시오. 데이터: 0000: 53 79 73 74 65 6d 20 45 System E 0008: 72 72 6f 72 20 20 45 72 rror Er 0010: 72 6f 72 20 63 6f 64 65 ror code 0018: 20 30 30 30 30 30 30 35 0000050 0020: 30 20 20 50 61 72 61 6d 0 Param 0028: 65 74 65 72 73 20 66 66 eters ff 0030: 66 66 66 66 64 31 2c
    날짜: date
    원본: System
    오류 시간: 시간
    범주: (102)
    종류: 오류
    이벤트 ID: 1003
    사용자: 해당 없음
    컴퓨터: COMPUTER
    설명: 오류 코드 0000008e, 매개 변수1 c0000005, 매개 변수2 00000120, 매개 변수3 fd28eaa4, 매개 변수4 00000000. 자세한 정보는 http://support.microsoft.com에 있는 도움말 및 지원 센터를 참조하십시오. 데이터: 0000: 53 79 73 74 65 6d 20 45 System E 0008: 72 72 6f 72 20 20 45 72 rror Er 0010: 72 6f 72 20 63 6f 64 65 ror code 0018: 20 30 30 30 30 30 30 35 000008e 0020: 30 20 20 50 61 72 61 6d 0 Param 0028: 65 74 65 72 73 20 66 66 eters ff 0030: 66 66 66 66 64 31 2c

참고

  • 중지 오류의 현상은 컴퓨터의 시스템 오류 옵션에 따라 다릅니다.

    시스템 오류 옵션을 구성하는 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
    307973  (http://support.microsoft.com/kb/307973/ ) Windows에서 시스템 오류 및 복구 옵션을 구성하는 방법
  • 중지 오류 메시지에서 괄호 안에 나와 있는 매개 변수 네 개는 해당 컴퓨터의 구성에 따라 다릅니다.

원인

이 문제는 컴퓨터가 HaxDoor 바이러스의 변종에 감염된 경우 발생할 수 있습니다.

HaxDoor 바이러스는 숨겨진 프로세스를 만듭니다. 또한 파일과 레지스트리 키를 숨깁니다. HaxDoor 바이러스의 실행 파일 이름은 다양할 수 있지만 대부분의 경우 Mszx23.exe입니다. 이 바이러스의 많은 변종은 컴퓨터에 Vdmt16.sys 또는 Vdnt32.sys라는 이름의 드라이버를 추가합니다. 이 드라이버는 바이러스 프로세스를 숨기는 데 사용됩니다. 이러한 파일을 삭제하더라도 HaxDoor 바이러스 변종이 파일을 복원할 수 있습니다.

해결 방법

중요 이 절, 방법 또는 작업에는 레지스트리를 수정하는 방법에 대한 단계가 포함되어 있습니다. 그러나 레지스트리를 잘못 수정하면 심각한 문제가 발생할 수도 있으므로 다음 단계를 주의하여 수행해야 합니다. 추가 보호 조치로 레지스트리를 수정하기 전에 해당 레지스트리를 백업하는 것이 좋습니다. 이렇게 하면 문제가 발생하는 경우 레지스트리를 복원할 수 있습니다. 레지스트리 백업 및 복원 방법에 대한 자세한 내용은 다음 문서 번호를 클릭하여 Microsoft 기술 자료 문서를 참조하십시오.
322756  (http://support.microsoft.com/kb/322756/ ) Windows XP 및 Windows Server 2003에서 레지스트리를 백업, 편집 및 복원하는 방법


이 문제를 해결하려면 다음과 같이 하십시오.
  1. 다음 Microsoft 기술 자료 문서를 인쇄합니다. 이 절차를 위한 가이드로 이 문서를 사용하십시오.

    307654  (http://support.microsoft.com/kb/307654/ ) Windows XP에서 복구 콘솔을 설치하고 사용하는 방법
  2. 시작, 실행을 차례로 클릭하고 regedit를 입력한 다음 확인을 클릭합니다.
  3. 다음 레지스트리 하위 키를 찾습니다.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
  4. 레지스트리 하위 키에서 "drct16" 또는 "draw32"를 가리키는 항목을 찾아서 모두 삭제합니다.

    예를 들어, 다음과 유사한 항목을 찾을 수 있습니다.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\drct16
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\draw32
  5. Windows XP 설치 CD를 삽입한 다음 CD에서 컴퓨터를 다시 시작합니다.
  6. 설치 프로그램을 시작합니다. 화면에서 R(복구) 키를 눌러 Windows 복구 콘솔을 시작합니다.
  7. 복구할 Windows 설치에 해당하는 번호를 선택합니다. 이 번호는 보통 1입니다.
  8. 프롬프트가 나타나면 관리자 암호를 입력합니다. 관리자 암호가 없으면 Enter 키를 누릅니다.
  9. 명령 프롬프트에서 C:\Windows\System32 폴더로 이동합니다. 예를 들어, cd C:\Windows\System32를 입력합니다.
  10. ren(이름 바꾸기) 명령을 사용하여 아래와 같이 다음 파일의 이름을 바꿉니다. 각 명령을 입력한 다음에는 Enter 키를 눌러야 합니다. "파일을 찾을 수 없습니다."라는 메시지가 나타나면 목록에서 다음 파일로 이동합니다.
    ren 1.a3d 1.a3d.bad ren cm.dll cm.dll.bad ren cz.dll cz.dll.bad ren draw32.dll draw32.dll.bad ren drct16.dll drct16.dll.bad ren dt163.dt dt163.dt.bad ren fltr.a3d fltr.a3d.bad ren hm.sys hm.sys.bad ren hz.dll hz.dll.bad ren hz.sys hz.sys.bad ren i.a3d i.a3d.bad ren in.a3d in.a3d.bad ren klo5.sys klo5.sys.bad ren klogini.dll klogini.dll.bad ren memlow.sys memlow.sys.bad ren mszx23.exe mszx23.exe.bad ren p2.ini p2.ini.bad ren ps.a3d ps.a3d.bad ren redir.a3d redir.a3d.bad ren tnfl.a3d tnfl.a3d.bad ren vdmt16.sys vdmt16.sys.bad ren vdnt32.sys vdnt32.sys.bad ren w32tm.exe w32tm.exe.bad ren WD.SYS WD.SYS.bad ren winlow.sys winlow.sys.bad ren wmx.a3d wmx.a3d.bad ren wz.dll wz.dll.bad ren wz.sys wz.sys.bad

    작업을 마친 후 이러한 파일을 삭제하려면 del *.bad를 입력합니다.
  11. Windows XP 설치 CD를 꺼낸 다음 Exit를 입력하여 컴퓨터를 다시 시작합니다.
  12. 컴퓨터가 다시 시작되면 시작, 실행을 클릭하고 regedit를 입력한 다음 확인을 클릭합니다.
  13. 다음 레지스트리 하위 키와 각 하위 키 아래에 있을 수 있는 항목을 찾아서 모두 삭제합니다. 아래 목록에서 레지스트리 하위 키 중에 없는 것이 있으면 다음 하위 키로 이동합니다.

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdmt16
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vdnt32
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winlow
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\memlow

    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdmt16
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vdnt32
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\winlow
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\memlow

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_VDMT16
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_VDNT32
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_WINLOW
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ENUM\ROOT\LEGACY_MEMLOW
  14. 다음 레지스트리 하위 키 아래에서 Mszx23.exe 파일 이름이 포함되어 있는 항목을 찾아서 모두 삭제합니다.

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
  15. 레지스트리 편집기를 종료합니다.
  16. 바이러스 백신 및 스파이웨어 백신 소프트웨어가 최신 정의로 업데이트되었는지 확인한 다음 전체 시스템 검색을 수행합니다.
다음과 같은 악성 프로그램(Malware)이 바이러스 백신 공급업체에서 확인되었습니다.
표 축소표 확대
Symantec:Backdoor.Haxdoor.D
Trend Micro:BKDR_HAXDOOR.BC, BKDR_HAXDOOR.BN, BKDR_HAXDOOR.BA, BKDR_HAXDOOR.AL
PandaLabs:HAXDOOR.AW
F-Secure:Backdoor.Win32.Haxdoor, Backdoor.Win32.Haxdoor.al
Sophos:Troj/Haxdoor-AF, Troj/Haxdoor-CN, Troj/Haxdoor-AE
Kaspersky Lab:Backdoor.Win32.Haxdoor.bg
McAfee:BackDoor-BAC

본 문서의 정보는 다음의 제품에 적용됩니다.
  • Microsoft Windows Server 2003, Web Edition
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition for Itanium-based Systems
  • Microsoft Windows Server 2003, Datacenter Edition for Itanium-Based Systems
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Media Center Edition
  • Microsoft Windows XP Home Edition
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Datacenter Server
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Professional Edition
키워드: 
kbresolve kbvirus kbprb kbtshoot kberrmsg KB903251
공유
추가 지원 옵션
Microsoft Community 지원 포럼
직접 문의하기
Microsoft Certified Partner 찾기
Microsoft Store