【msblast】RPCの異常終了専用ｽﾚ2【ｶｳﾝﾄﾀﾞｳﾝ】

■ 現象 ■
Windows起動後1分程度で
「Remote Procedure Call (RPC) サービスが異常終了しました。」
などのメッセージが出て、カウントダウン後、再起動してしまう。
msblast.exe というプログラムが仕組まれる。これが外部と何かしている模様。

◆まず、質問する前に良く読んでください。
>>1-20

【緊急】パソコンが1分で再起動【告知】 １／４

■ 現象 ■
Windows起動後1分程度で
「Remote Procedure Call (RPC) サービスが異常終了しました。」
などのメッセージが出て、カウントダウン後、再起動してしまう。
msblast.exe というプログラムが仕組まれる。これが外部と何かしている模様。

■ 緊急対策　msblast.exe を停止する ■
0. もし、カウントダウンが始まったら、「スタート」メニュー
　「ファイル名を指定して実行」で「shutdown -a」…で止まる。

1. ctrl+alt+del で何か表示される。「タスクマネージャ」ならば→2.
　　「タスクマネージャ」というボタンを押す。
2. 「プロセス」タブをクリック。タブが無かったら、外枠をダブルクリック。
　　プロセスのリストに msblast という項目が有れば、それを選択して、
　　「プロセスの終了」。
3. タスクマネージャを閉じる

■ 応急対策 ■
ウィルス対策ソフト使用者はスキャンして駆除せよ。

msblast.exe を停止し、削除。
ファイアウォールで TCP 135、136、137、138、139、445 を閉じる。
MSCONFIG でスタートアップの msblast.exe を止める。
MS03-26用修正プログラムを適用。

【緊急】パソコンが1分で再起動【告知】　２／４

■ MSBLAST の検索・削除 ■
↓たぶんここにある。これを削除。
C:\Windows\System32\msblast.exe
または、
1. 「スタート」メニュー「検索」「ファイルと…」を選択。
　　左側の「ファイルと…」をクリック。
2. 左側の「ファイル名の…」に「msblast」と入力して、下の「検索」
3. 右側のリストに「msblast」が付いたファイルが表示されたら、それを「削除」する。

■ レジストリの修復 ■
　「ファイル名を指定して実行」「regedit」で
　　レジストリの msblast 関係の項目を削除。とりあえず放置可。
　　HKEY_LOCAL_MACHINE\SOFTWAREMicrosoft\Windows\CurrentVersion\Run の下の
　　　　windows auto update = msblast.exe　←これを削除。

■ MSBLAST の活動 ■
コマンドラインから netstat -n で様子が確認できる。特に確認不要。
(ファイル名を指定して実行に「cmd」と入力し、表示されたウィンドウにnetstat -nと入力、enter。

2ゲット

【緊急】パソコンが1分で再起動【告知】 　3／４

■ ポートを閉じる ■
ファイアウォール使用者はそちらで設定してもよい。

Win XP の場合
1. 「コントロールパネル」「ネットワーク接続」で、使用している接続、つまり
　　電話は「ダイアルアップ接続」、ADSL CATV などは「ローカルエリア接続」
　　無線LAN は「ワイアレス ネットワーク接続」のアイコンを右クリック、
　　「プロパティ」の画面を出す。
2. 「詳細設定」の画面で、上の「インターネット接続ファイアウォール」にチェックを付ける。
3. 下の「設定」をクリックし、「サービス」のリストで
　　TCP 135、136、137、138、139、445 などの項目が無いか、またはチェックが入っていない
　　ことを確認。[OK] で設定画面を閉じる。
または、
1.「スタート」−「ネットワーク接続」−「ローカルエリア接続」−「プロバティ」をクリックします。
2.「インターネットプロトコルTCP/IP」を選択して「プロバティ」を見ます。
3.「詳細設定」−「WINS」をクリックします。
4.「NetBIOS　over　TCP/IPを無効にする」をチェックする。

【緊急】パソコンが1分で再起動【告知】 ４／４
■ MSCONFIG ■
1. 「スタート」メニュー「ファイル名を指定して実行」に「msconfig」と入力して「OK」
X. 「サービス」タブをクリックし、リストから Remote Procedure Call (RPC) を見つけ
　　先頭のチェックマークをクリックしてオフにする。…オフにできない模様。
3. 「スタートアップ」タブをクリックし、
　　windows auto update | msblast.exe の項目を探し、先頭のチェックマークを外す。
4. 「OK」をクリックして、再起動せずに次の↓ステップへ。

■ MS03-26 対策プログラム ■
WindowsUpdate では、「セキュリティ問題の修正プログラム（８２３９８０）」
または
↓ Windows XP 版はここからダウンロード（32bit版）
http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=ja
↓他は、ここから、バージョンを確認してダウンロード（32bit版）
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-026ov.asp

>>1
乙

まだできないん・・くすん

感染しているかは下記のような症状と動作で確認できます。
・勝手に再起動する
・Ctrl+Shift+Escでタスクマネージャを起動、プロセスタブにmsblast.exeがあるなら感染済み
・LANがやたら重く、ホームページが見れない（タイムアウトする）

とりあえずWindows2000/XPに感染するので、上記症状が出ていない人も出ている人も
下記のページに行って修正パッチをまずはダウンロードしましょう。

「MS03-026: RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980)」
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-026ov.asp

ダウンロードしたら実行して即座に再起動。
未感染の人はこれでとりあえず感染は防げます。

感染済みの人は、まずCtrl+Shift+Escでタスクマネージャを起動、
プロセスタブにmsblast.exeがあるのを確認したらそれを停止させて終了させます。

次にレジストリエディタを起動し、
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
にある "windows auto update"="msblast.exeを削除してください。
例）
http://my.reset.jp/~gigazine/msblast/msblast01.png

で、再起動すれば一応完了。
最後に完璧を期するために、ウイルスがまだいないかどうかスキャンして完了です。
例）※C:\WINDOWS\SYSTEM32\の中にまだ残ってました。他のは保存してあったウイルスです。
http://my.reset.jp/~gigazine/msblast/msblast02.png

■ ツールを使用してMSBLAST の検索・削除 ■
http://securityresponse.symantec.com/avcenter/FixBlast.exeをDLして実行。
詳細はここ。
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.blaster.worm.removal.tool.html

>>9の続き

W32.Blaster.Worm 駆除ツール
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.blaster.worm.removal.tool.html

感染してしまった悪い子のための直リン（164KB）
http://securityresponse.symantec.com/avcenter/FixBlast.exe

以下、簡単な使い方です。

ダウンロードしたらとりあえず実行
http://my.reset.jp/~gigazine/FixBlast/FixBlast01.png

「Start」をクリックすると猛烈な勢いで検索し始めます
http://my.reset.jp/~gigazine/FixBlast/FixBlast02.png

そして見つけたら駆除してくれます。簡単ですね…。

既に駆除されている場合はこのようなウインドウが出ます
http://my.reset.jp/~gigazine/FixBlast/FixBlast03.png

で、検索と駆除終了後、まだパッチを当てていない場合に備えてこのようなウインドウが出ます
http://my.reset.jp/~gigazine/FixBlast/FixBlast04.png

これが無理なら上記掲載元のhttp://gigazine.net/News/html/lg/000278.htmに行け。
回避方法とか書いてある。

■ 現象 ■
Windows起動後「svchost.exeを終了します」 や
右クリックでの新しいウィンドウが開かない
コピペが出来ない
ネットが重い

■ 応急対策 ■
・MS03-26用パッチをあてる。(パッチはここで↓)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-026ov.asp
・msblast.exe が有れば、停止させ、実体、レジストリ、スタートアップとも削除。

【msblast.exeの停止の仕方】

ctrl+alt+delでタスクマネージャを起動
↓
「プロセス」のタブに切り替えてmsblast.exeを選択
↓
「プロセスの終了」を押す

後はC:\WINDOWS\system32かどこかのmsblast.exeをゴミ箱に捨てるだけ

　 　 ┏━━┓
　 　 ┗━┓┗━┓　 　 　 　 　 　 　 ┏┓　 　 　 　 　 　 　 　 　 　 ┏┓
　 　 　 　 ┗━━┛　 　 　 　 　 　 　 ┃┃　 　 　 　 　 　 　 　 　 　 ┃┃
　 　 ┏━━━━┓　 　 　 　 　 　 ┏┛┃　 　 　 　 　 　 ┏━━━┛┗━━┓
┏━┛┏━━┓┗┓　 　 　 　 　 ┃┏┛　 　 　 　 　 　 ┗━━┓┏━━━┛
┗━━┛　 　 ┗┓┗┓　 　 　 ┏┛┃　 　 　 　 　 　 　 　 　 ┏┛┃
　 　 　 　 　 　 　 ┗┓┃　 　 　 ┃┏┛　 　 　 　 　 　 　 　 　 ┃┏┛
　 　 　 　 　 　 　 　 ┃┃　 　 ┏┛┗━━┓　 　 　 　 　 　 ┏┛┗━━━━┓
　 　 　 　 　 　 　 　 ┃┃　 　 ┃┏━━┓┃　 　 　 　 　 ┏┛┏━━━━┓┗┓
　 　 　 　 　 　 　 ┏┛┃　 ┏┛┃　 　 ┃┃　 　 　 　 　 ┗━┛　 　 　 　 ┗┓┃
　 　 　 　 　 　 ┏┛┏┛　 ┃┏┛　 　 ┃┃　 　 　 ┏┓　 　 　 　 　 　 　 　 ┃┃
　 　 　 　 　 ┏┛┏┛　 ┏┛┃　 　 　 ┃┗┓　 ┏┛┃　 　 　 　 　 　 　 ┏┛┃
　 　 　 ┏━┛┏┛　 　 ┃┏┛　 　 　 ┗┓┗━┛┏┛　 　 　 ┏━━━┛┏┛
　 　 　 ┗━━┛　 　 　 ┗┛　 　 　 　 　 ┗━━━┛　 　 　 　 ┗━━━━┛

簡単に説明。

1、まず一度電源を切る。

2、カウントダウンを待つ

3、始まったら「ファイル名を指定して実行」で「shutdown -a」…で止まる。

4、>>13の【msblast.exeの停止の仕方】実行、停止させる。

5、>>3の■ MSBLAST の検索・削除 ■実行、削除させる。

6、ここで一度ゴミ箱を空にする

7、Windows Updateで重要な更新を全部入れる>>12の■ 応急対策 ■

8、再起動（ここまで来れば恐らく発病しない）

9、>>5を実行

10、>>6を実行

だからよ、１〜７位までこれは全部ねただって・・
だいたい６の書き込みの５行目（オフにできない模様）ってなんだよ？

とりあえず感染してどーしようもねぇよ〜ポートを塞ぐとかレジストリいぢるとか、判らんよ〜
って奴は

�@CTRL+ALT+DELでタスクマネージャ起動し、プロセスタブのmsblast.exeを終了
�A\windows\system32 配下にある、msblast.exeを削除
�BWindows Updateで重要な更新を全部入れる
�CPC再起動

で、どーにかなるかな・・・
�Bのサイトが重い時は、
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-026ov.asp
のパッチを手動で落として入れる。

とりあえず�Bまで無事終了してるなら、パッチ当たってるのでもう感染はしないはず。
あとは>>5のレジストリ修復を行えば、更にＯＫなんじゃないかな。やらんでも平気だけどさ。

とのこと。