【msblast】RPCの異常終了専用スレ3【カウントダウン】

このエントリーをはてなブックマークに追加
1ひよこ名無しさん
前スレ

【msblast】RPCの異常終了専用スレ2【カウントダウン】
http://pc2.2ch.net/test/read.cgi/pcqa/1060747587/
2ひよこ名無しさん:03/08/15 14:52 ID:???
2get
3ひよこ名無しさん:03/08/15 14:55 ID:???
なんだ立てたのかYO
4ひよこ名無しさん:03/08/15 14:56 ID:???
>>1
ちゃんとテンプレ貼れよ
5ひよこ名無しさん:03/08/15 14:58 ID:???
このスレは異常終了しました
カウントダウン 残り995
6こんにちは:03/08/15 15:05 ID:qhjGAmIq
素朴な疑問なんですが、このウイルス作った人が逮捕される
可能性はどのくらいありますか?
7340:03/08/15 15:11 ID:cmsX7xsH
おまえらまだやってんのか
いい加減にしろ嘘つきドモが!!!
8ひよこ名無しさん:03/08/15 15:11 ID:???
マイクロソフトの公式情報リンク(重い)

Windows Update
http://v4.windowsupdate.microsoft.com/ja/default.asp

Blaster に関する情報
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/virus/blaster.asp

修正パッチ
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-026ov.asp

画像付きの説明手順
Blaster ワームへの対策 - Windows XP 編
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/virus/blasterE_xp.asp
Blaster ワームへの対策 - Windows 2000/Windows NT 4.0 編
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/virus/blasterE_nt4w2k.asp

Windows 2000 コンポーネント負荷分散ルーティング サーバーの
Svchost でアクセス違反が発生する
http://support.microsoft.com/default.aspx?scid=kb;ja;320006
9ひよこ名無しさん:03/08/15 15:12 ID:???
http://gigazine.net/News/html/lg/000277.htmからコピペ
--
感染しているかは下記のような症状と動作で確認できます。
・勝手に再起動する
・Ctrl+Shift+Escでタスクマネージャを起動、プロセスタブにmsblast.exeがあるなら感染済み
・LANがやたら重く、ホームページが見れない(タイムアウトする)

とりあえずWindows2000/XPに感染するので、上記症状が出ていない人も出ている人も
下記のページに行って修正パッチをまずはダウンロードしましょう。

「MS03-026: RPC インターフェイスのバッファ オーバーランによりコードが実行される (823980)」
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-026ov.asp

ダウンロードしたら実行して即座に再起動。
未感染の人はこれでとりあえず感染は防げます。

感染済みの人は、まずCtrl+Shift+Escでタスクマネージャを起動、
プロセスタブにmsblast.exeがあるのを確認したらそれを停止させて終了させます。

次にレジストリエディタを起動し、
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
にある "windows auto update"="msblast.exeを削除してください。
例)
http://my.reset.jp/~gigazine/msblast/msblast01.png

で、再起動すれば一応完了。
最後に完璧を期するために、ウイルスがまだいないかどうかスキャンして完了です。
例)※C:\WINDOWS\SYSTEM32\の中にまだ残ってました。他のは保存してあったウイルスです。
http://my.reset.jp/~gigazine/msblast/msblast02.png
10ひよこ名無しさん:03/08/15 15:12 ID:???
>>9つづき。>>9の最後まで実行したら今度はこれをしておく。
W32.Blaster.Worm 駆除ツール
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.blaster.worm.removal.tool.html

感染してしまった悪い子のための直リン(164KB)
http://securityresponse.symantec.com/avcenter/FixBlast.exe

以下、簡単な使い方です。

ダウンロードしたらとりあえず実行
http://my.reset.jp/~gigazine/FixBlast/FixBlast01.png

「Start」をクリックすると猛烈な勢いで検索し始めます
http://my.reset.jp/~gigazine/FixBlast/FixBlast02.png

そして見つけたら駆除してくれます。簡単ですね…。

既に駆除されている場合はこのようなウインドウが出ます
http://my.reset.jp/~gigazine/FixBlast/FixBlast03.png

で、検索と駆除終了後、まだパッチを当てていない場合に備えてこのようなウインドウが出ます
http://my.reset.jp/~gigazine/FixBlast/FixBlast04.png

これが無理なら上記掲載元のhttp://gigazine.net/News/html/lg/000278.htmに行け
回避方法とか書いてある。
11ひよこ名無しさん:03/08/15 15:13 ID:???
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.blaster.worm.removal.tool.html より

注意:駆除の開始後、"the tool was not able to remove one or more files, run the tool in Safe mode.
(駆除ツールは、1つまたは1つ以上のファイルを除去することが出来ませんでした。
セーフモードで駆除ツールを実行してください)" というメッセージが表示された場合、
コンピュータをシャットダウンし、電源を切り、そして30秒間そのままにしておいてください。

30秒後、コンピュータをセーフモードで立上げ、再度、駆除ツールを実行してください。
Windows NT以外の全ての32ビットOSは、 セーフモードで再起動させることができます。
詳しくは、"Windows 9x または Windows Me をセーフモードで起動する方法",
"Windows XPをセーフモードで起動する方法", "Windows 2000 をセーフモードで起動する方法"
をご覧ください。
12ひよこ名無しさん:03/08/15 15:13 ID:???
XPでAdministratorでログオンする(セーフモードの起動)方法
http://arena.nikkeibp.co.jp/tec/winxp/20021003/102153/ より

1)Professional Editionの場合、「ログオン画面のセキュリティを強化する」で紹介した「クラシック ログオン プロンプト」表示すれば、
Administratorでログオンできる。ただし、上記テクニックのように設定を変更しなくても、
「ようこそ画面」で、[Ctrl]+[Alt]+[Delete]を2回押すと、このログオン画面が表示される。
この画面で、「ユーザー名」に「Administrator」と入力してパスワードを入力すればよい。


2)Home Editionでは、上記方法ではログオンできない。セーフモードで起動したとき以外は、
Administratorでログオンできない仕様になっている。そのため実質
Home EditionのAdministratorアカウントは意味が無い。

「F8」キー(機種によって異なる)を押してセーフモードでシステムを起動すると、
「ようこそ画面」に「Administorator」のアイコンが表示される。
パスワードは初期状態では未設定のため、
アイコンをクリックするとログオンすることができる。
13ひよこ名無しさん:03/08/15 15:16 ID:???
Q: 上の方法でもカウントダウンがとまらないんですが・・・
A: もし、カウントダウンが始まったら、「スタート」メニュー
 「ファイル名を指定して実行」で「shutdown -a」…で止まる。
「shutdown」と「 -a」の間は半角スペースで開けること。

Q: Symantec W32.Blaster.Warm Fix Tool 1.0.0 の途中で、
ウイルス発見メッセージが出ますが、駆除・削除 出来ないようなので、それは無視していいんですか?
A: 自分は「削除できません」と出た原因は
ゴミ箱にmsblastが残ったままで活動してたらしく妨害されてた(?)からでした。
ゴミ箱を空にしたら削除もでき、IEも開けました。

Q: レジストリの開きかた教えてください・・・
A: スタート→ファイル名指定のとこで regeditを入力

Q: svchost.exeもウィルス?
A: 違います。消してはいけません。

Q. コピペもできないし、リンク先にもいけません
A. アドレスをメモして手打ち。もしくは、以下の方法(以下マイクロソフト社の説明から引用)
パソコン再起動直後、Ctrl + Shift キーを押しながら Esc キーを押し、タスクマネージャを
実行します。 次に [プロセス] タブを表示します。
イメージ名の欄に、"msblast.exe" プログラムがあれば、そのファイル名をマウスでクリックし、[プロセスの終了] ボタンをクリックします。

タスクマネージャーの警告が表示されます。
[はい] をクリックします。

msblast.exe プログラムが消えたことを確認し、[×] ボタンをクリックしタスクマネージャーを終了します。(引用終わり)

その後リンク先のページを読み込んだ後すぐに対策1.を行いネット接続を切ります。
ページ内容のとおりに対策駆除します。
14ひよこ名無しさん:03/08/15 15:16 ID:???
※システムの復元オプションを無効にする (Windows XP)
Windows XPをお使いの場合は、駆除作業を行う前にシステムの復元オプションを
一時的にオフにしてください。
システムの復元機能は、Windows XPの機能の一つで、
標準では有効に設定されています。この機能は、Windowsがコンピュータ上のファイルが
破損した場合にそれらを自動的に復元するために使用されます。コンピュータがウイルス、
ワーム、またはトロイの木馬に感染した場合、ウイルス、ワーム、またはトロイの木馬の
バックアップファイルが_RESTOREフォルダ内に作成されている可能性があります。

○Windows XP システムの復元機能を無効にする手順:
1. 実行中のプログラムを全て停止させる。
2. デスクトップ上の[マイコンピュータ]アイコンを右クリックし、[プロパティ]を選択する。
3. [システムの復元]タブを選択し、[システムの復元を無効にする]にチェックを入れる。
4. [OK]ボタンをクリックする。
5. [閉じる]ボタンをクリックし、コンピュータを再起動する。

○Windows XP システムの復元機能を有効にする手順:
1. 実行中のプログラムを全て停止させる。
2. デスクトップ上の[マイコンピュータ]アイコンを右クリックし、[プロパティ]を選択する。
3. [システムの復元]タブを選択し、[システムの復元を無効にする]にチェックをはずす。
4. [OK]ボタンをクリックする。
5. [閉じる]ボタンをクリックし、コンピュータを再起動する
15ひよこ名無しさん:03/08/15 15:17 ID:???
※OSが2000の人は、先にSP4あててからWindowsUpdate等をするように。

Windows 2000 Service Pack 4 日本語版
http://www.microsoft.com/japan/windows2000/downloads/servicepacks/sp4/

上が混んでてできないなら、 直接
2000のPS4一括ダウンロード
ttp://download.microsoft.com/download/a/0/0/a008c376-a5fc-4219-9ba7-7b61d1236fc0/W2KSP4_ja.EXE
16340:03/08/15 15:17 ID:cmsX7xsH
うっせえうんこが
17ひよこ名無しさん:03/08/15 15:18 ID:???
DCOMを無効にする方法(msblastに感染しない方法)

dcomcnfg コマンドを起動します。スタートメニューの「ファイル名を指定して実行...」から
 dcomcnfg と入力し [OK] をクリックします。

dcomcnfg コマンドは、Windows NT 4.0 / 2000 と Windoows XP では様子が違います。

Windows NT 4.0 / 2000 の場合:
 分散 COM の構成のプロパティ」ウィンドウが表示されます。
 [既定のプロパティ] タブの [このコンピュータで分散 COM を有効にする] のチェックを外します。
 チェックを外した後で、[適用] をクリックし、さらに [OK] をクリックします。
 分散 COM の構成のプロパティ」ウィンドウが閉じます。


Windows XP 場合:
 コンポーネントサービス」ウィンドウが表示されます。

     コンソールルート
      コンポーネントサービス
       コンピュータ
        マイ コンピュータとたどり、[マイ コンピュータ]
         を右クリックして [プロパティ] を選択します。

すると「マイ コンピュータのプロパティ」ウィンドウが表示されます。
 [既定のプロパティ] タブの [このコンピュータで分散 COM を有効にする] のチェックを外します。
18ひよこ名無しさん:03/08/15 15:20 ID:???
pcの日付を進ませるのはだめかな?
19ひよこ名無しさん:03/08/15 15:21 ID:???
人がいないときなどはセキュ板の下のスレもどうぞ。

【流行中】msblast対策スレ【カウントダウン後再起動】
http://pc.2ch.net/test/read.cgi/sec/1060853614/
20340:03/08/15 15:22 ID:cmsX7xsH
>>18
好きにしやがれちんぽが