【msblast】RPCの異常終了専用スレ2【カウントダウン】

このエントリーをはてなブックマークに追加
1ひよこ名無しさん
■ 現象 ■
Windows起動後1分程度で
「Remote Procedure Call (RPC) サービスが異常終了しました。」
などのメッセージが出て、カウントダウン後、再起動してしまう。
msblast.exe というプログラムが仕組まれる。これが外部と何かしている模様。

◆まず、質問する前に良く読んでください。
>>1-20
2ひよこ名無しさん:03/08/13 13:07 ID:???
【緊急】パソコンが1分で再起動【告知】 1/4

■ 現象 ■
Windows起動後1分程度で
「Remote Procedure Call (RPC) サービスが異常終了しました。」
などのメッセージが出て、カウントダウン後、再起動してしまう。
msblast.exe というプログラムが仕組まれる。これが外部と何かしている模様。

■ 緊急対策 msblast.exe を停止する ■
0. もし、カウントダウンが始まったら、「スタート」メニュー
 「ファイル名を指定して実行」で「shutdown -a」…で止まる。

1. ctrl+alt+del で何か表示される。「タスクマネージャ」ならば→2.
  「タスクマネージャ」というボタンを押す。
2. 「プロセス」タブをクリック。タブが無かったら、外枠をダブルクリック。
  プロセスのリストに msblast という項目が有れば、それを選択して、
  「プロセスの終了」。
3. タスクマネージャを閉じる

■ 応急対策 ■
ウィルス対策ソフト使用者はスキャンして駆除せよ。

msblast.exe を停止し、削除。
ファイアウォールで TCP 135、136、137、138、139、445 を閉じる。
MSCONFIG でスタートアップの msblast.exe を止める。
MS03-26用修正プログラムを適用。
3ひよこ名無しさん:03/08/13 13:08 ID:???
【緊急】パソコンが1分で再起動【告知】 2/4

■ MSBLAST の検索・削除 ■
↓たぶんここにある。これを削除。
C:\Windows\System32\msblast.exe
または、
1. 「スタート」メニュー「検索」「ファイルと…」を選択。
  左側の「ファイルと…」をクリック。
2. 左側の「ファイル名の…」に「msblast」と入力して、下の「検索」
3. 右側のリストに「msblast」が付いたファイルが表示されたら、それを「削除」する。

■ レジストリの修復 ■
 「ファイル名を指定して実行」「regedit」で
  レジストリの msblast 関係の項目を削除。とりあえず放置可。
  HKEY_LOCAL_MACHINE\SOFTWAREMicrosoft\Windows\CurrentVersion\Run の下の
    windows auto update = msblast.exe ←これを削除。

■ MSBLAST の活動 ■
コマンドラインから netstat -n で様子が確認できる。特に確認不要。
(ファイル名を指定して実行に「cmd」と入力し、表示されたウィンドウにnetstat -nと入力、enter。
4ひよこ名無しさん:03/08/13 13:08 ID:???
2ゲット
5ひよこ名無しさん:03/08/13 13:08 ID:???
【緊急】パソコンが1分で再起動【告知】  3/4

■ ポートを閉じる ■
ファイアウォール使用者はそちらで設定してもよい。

Win XP の場合
1. 「コントロールパネル」「ネットワーク接続」で、使用している接続、つまり
  電話は「ダイアルアップ接続」、ADSL CATV などは「ローカルエリア接続」
  無線LAN は「ワイアレス ネットワーク接続」のアイコンを右クリック、
  「プロパティ」の画面を出す。
2. 「詳細設定」の画面で、上の「インターネット接続ファイアウォール」にチェックを付ける。
3. 下の「設定」をクリックし、「サービス」のリストで
  TCP 135、136、137、138、139、445 などの項目が無いか、またはチェックが入っていない
  ことを確認。[OK] で設定画面を閉じる。
または、
1.「スタート」−「ネットワーク接続」−「ローカルエリア接続」−「プロバティ」をクリックします。
2.「インターネットプロトコルTCP/IP」を選択して「プロバティ」を見ます。
3.「詳細設定」−「WINS」をクリックします。
4.「NetBIOS over TCP/IPを無効にする」をチェックする。
6ひよこ名無しさん:03/08/13 13:09 ID:???
【緊急】パソコンが1分で再起動【告知】 4/4
■ MSCONFIG ■
1. 「スタート」メニュー「ファイル名を指定して実行」に「msconfig」と入力して「OK」
X. 「サービス」タブをクリックし、リストから Remote Procedure Call (RPC) を見つけ
  先頭のチェックマークをクリックしてオフにする。…オフにできない模様。
3. 「スタートアップ」タブをクリックし、
  windows auto update | msblast.exe の項目を探し、先頭のチェックマークを外す。
4. 「OK」をクリックして、再起動せずに次の↓ステップへ。

■ MS03-26 対策プログラム ■
WindowsUpdate では、「セキュリティ問題の修正プログラム(823980)」
または
↓ Windows XP 版はここからダウンロード(32bit版)
http://www.microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=ja
↓他は、ここから、バージョンを確認してダウンロード(32bit版)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-026ov.asp
7ひよこ名無しさん:03/08/13 13:09 ID:???
>>1

8ひよこ名無しさん:03/08/13 13:10 ID:SI0vvf1O
まだできないん・・くすん
9ひよこ名無しさん:03/08/13 13:10 ID:???
感染しているかは下記のような症状と動作で確認できます。
・勝手に再起動する
・Ctrl+Shift+Escでタスクマネージャを起動、プロセスタブにmsblast.exeがあるなら感染済み
・LANがやたら重く、ホームページが見れない(タイムアウトする)

とりあえずWindows2000/XPに感染するので、上記症状が出ていない人も出ている人も
下記のページに行って修正パッチをまずはダウンロードしましょう。

「MS03-026: RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980)」
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-026ov.asp

ダウンロードしたら実行して即座に再起動。
未感染の人はこれでとりあえず感染は防げます。

感染済みの人は、まずCtrl+Shift+Escでタスクマネージャを起動、
プロセスタブにmsblast.exeがあるのを確認したらそれを停止させて終了させます。

次にレジストリエディタを起動し、
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
にある "windows auto update"="msblast.exeを削除してください。
例)
http://my.reset.jp/~gigazine/msblast/msblast01.png

で、再起動すれば一応完了。
最後に完璧を期するために、ウイルスがまだいないかどうかスキャンして完了です。
例)※C:\WINDOWS\SYSTEM32\の中にまだ残ってました。他のは保存してあったウイルスです。
http://my.reset.jp/~gigazine/msblast/msblast02.png
10ひよこ名無しさん:03/08/13 13:11 ID:???
11ひよこ名無しさん:03/08/13 13:11 ID:???
>>9の続き

W32.Blaster.Worm 駆除ツール
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.blaster.worm.removal.tool.html

感染してしまった悪い子のための直リン(164KB)
http://securityresponse.symantec.com/avcenter/FixBlast.exe

以下、簡単な使い方です。

ダウンロードしたらとりあえず実行
http://my.reset.jp/~gigazine/FixBlast/FixBlast01.png

「Start」をクリックすると猛烈な勢いで検索し始めます
http://my.reset.jp/~gigazine/FixBlast/FixBlast02.png

そして見つけたら駆除してくれます。簡単ですね…。

既に駆除されている場合はこのようなウインドウが出ます
http://my.reset.jp/~gigazine/FixBlast/FixBlast03.png

で、検索と駆除終了後、まだパッチを当てていない場合に備えてこのようなウインドウが出ます
http://my.reset.jp/~gigazine/FixBlast/FixBlast04.png

これが無理なら上記掲載元のhttp://gigazine.net/News/html/lg/000278.htmに行け
回避方法とか書いてある。
12ひよこ名無しさん:03/08/13 13:13 ID:YTTPxFFj
■ 現象 ■
Windows起動後「svchost.exeを終了します」 や
右クリックでの新しいウィンドウが開かない
コピペが出来ない
ネットが重い

■ 応急対策 ■
・MS03-26用パッチをあてる。(パッチはここで↓)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-026ov.asp
・msblast.exe が有れば、停止させ、実体、レジストリ、スタートアップとも削除。
13ひよこ名無しさん:03/08/13 13:13 ID:???
【msblast.exeの停止の仕方】

ctrl+alt+delでタスクマネージャを起動

「プロセス」のタブに切り替えてmsblast.exeを選択

「プロセスの終了」を押す

後はC:\WINDOWS\system32かどこかのmsblast.exeをゴミ箱に捨てるだけ
14ひよこ名無しさん:03/08/13 13:13 ID:???
    ┏━━┓
    ┗━┓┗━┓              ┏┓                    ┏┓
        ┗━━┛              ┃┃                    ┃┃
    ┏━━━━┓            ┏┛┃            ┏━━━┛┗━━┓
┏━┛┏━━┓┗┓          ┃┏┛            ┗━━┓┏━━━┛
┗━━┛    ┗┓┗┓      ┏┛┃                  ┏┛┃
              ┗┓┃      ┃┏┛                  ┃┏┛
                ┃┃    ┏┛┗━━┓            ┏┛┗━━━━┓
                ┃┃    ┃┏━━┓┃          ┏┛┏━━━━┓┗┓
              ┏┛┃  ┏┛┃    ┃┃          ┗━┛        ┗┓┃
            ┏┛┏┛  ┃┏┛    ┃┃      ┏┓                ┃┃
          ┏┛┏┛  ┏┛┃      ┃┗┓  ┏┛┃              ┏┛┃
      ┏━┛┏┛    ┃┏┛      ┗┓┗━┛┏┛      ┏━━━┛┏┛
      ┗━━┛      ┗┛          ┗━━━┛        ┗━━━━┛
15ひよこ名無しさん:03/08/13 13:15 ID:???
簡単に説明。

1、まず一度電源を切る。

2、カウントダウンを待つ

3、始まったら「ファイル名を指定して実行」で「shutdown -a」…で止まる。

4、>>13の【msblast.exeの停止の仕方】実行、停止させる。

5、>>3の■ MSBLAST の検索・削除 ■実行、削除させる。

6、ここで一度ゴミ箱を空にする

7、Windows Updateで重要な更新を全部入れる>>12の■ 応急対策 ■

8、再起動(ここまで来れば恐らく発病しない)

9、>>5を実行

10、>>6を実行
16340:03/08/13 13:16 ID:zcWt1Pie
だからよ、1〜7位までこれは全部ねただって・・
だいたい6の書き込みの5行目(オフにできない模様)ってなんだよ?
17ひよこ名無しさん:03/08/13 13:17 ID:???
とりあえず感染してどーしようもねぇよ〜ポートを塞ぐとかレジストリいぢるとか、判らんよ〜
って奴は

@CTRL+ALT+DELでタスクマネージャ起動し、プロセスタブのmsblast.exeを終了
A\windows\system32 配下にある、msblast.exeを削除
BWindows Updateで重要な更新を全部入れる
CPC再起動

で、どーにかなるかな・・・
Bのサイトが重い時は、
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-026ov.asp
のパッチを手動で落として入れる。

とりあえずBまで無事終了してるなら、パッチ当たってるのでもう感染はしないはず。
あとは>>5のレジストリ修復を行えば、更にOKなんじゃないかな。やらんでも平気だけどさ。

とのこと。