會被攻擊到一直重開機 相關資料請參考以下網址.... http://www.cert.org.tw/document/advisory/show.php?twcert_sn=TW-CA-2003-076 解藥~~:) 補丁for win2k http://download.microsoft.com/download/5/8/f/58fa7161-8db3-4af4-b576-0a56b0a9 d8e6/Windows2000-KB823980-x86-CHT.exe for winxp http://download.microsoft.com/download/2/3/6/236eaaa3-380b-4507-9ac2-6cec324b 3ce8/WindowsXP-KB823980-x86-CHT.exe 如果已經被植入蠕蟲(worm)的話, 1.先按Alt-Ctrl-Del叫出"Windows工作管理員"檢查是否有"msblast.exe"的程式在執行, 如果有請點那個程式後按"結束處理?程序". 2.下載RPC漏洞的更新程式作系統更新. 3.到"C:\WINDOWS\System32\"目錄下把"msblast.exe"檔案刪除. 4.在"開始"->"執行"處打"regedit"開啟"登錄編輯程式, 搜尋"msblast.exe", 找到後按Del將它刪除後重開機. 就可以刪除蠕蟲. ---------------------------------------------------------------------- 問題： 我的Windows XP 在開機幾分鐘後，就會出現下面這樣的訊息，然後就新開機 ，我重灌之後還是一樣會發生，請問是什麼原因？是硬體故障嗎？ The system is shutting down. Please save all work in process and log off. Any unsaved changes will be lost. This shutdown was initated by NT AUTHORY\SYSTEM Message Windows 現在必須重新啟動，因為 Remote Procedure Call 已經意外終止 回答： 這是Blaster病毒（W32.Blaster.Worm，依 Symantec 定義）的影響，他用RPC ，Remote Procedure Call 的漏洞進行攻擊（註一），這支病毒的特徵，除了 出現無預期的重新開機之外，也有可能產生新增/移除程式內一片空白、經常 出現記憶體不足等現象。 這個病毒只會影響以Windows NT 技術為核心的作業系統（Windows NT、2000 、XP、Server 2003），Windows 95、98、Me 不受影響。 解決方法： 現在 Symantec 已經推出移除工具，可以到 Symantec 網站下載執行這個工 具： http://securityresponse.symantec.com/avcenter/venc/ data/w32.blaster.worm.removal.tool.html 原則上，直接執行 FixBlast.exe 就可了，但還是建議你還是看一下 Symantec 網頁上的說明，Windows XP 的使用者請先關閉系統還原功能。 移除後，務必安裝最新的安全性更新，否則一切等於做白工，因為這個 blaster 病毒是利用系統漏洞進行攻擊，你不把洞補起來，是永遠躲不掉他的 由於已被感染，可能會沒有辦法透過網路下載修正檔，或是不停的出現重新開 機的現象導致無法下載或順利執行修復程式，如果你已經沒有辦法下載移除工 具或新的病毒定義來移除的話，只好手動移除。 手動移除的方法： 開始>>執行，輸入 services.msc 按確定，找到「Remote Procedure Call (RPC)」（註二），在上面按滑鼠右鍵選內容，到「修復」，將第一次、第二 次、後續失敗全部改成「重新啟動服務」（原本是重新啟動電腦），按確定。 這個動作的目的是避免不斷重新開機，讓你有時間進行修復的動作。 若你的作業系統是 Windows XP，請關閉系統還原的功能。如何關閉 Windows XP 的系統還原功能： 在我的電腦圖示上按滑鼠右鍵選內容，到「系統還原」頁，勾「關閉所有磁碟 上的系統還原」，按確定。 同時按 CTRL、ALT、DEL 三鍵，按工作管理員，以便叫出工作管理員，到「處 理程序」頁，去找「msblast.exe」，你可以按一下上面的「影像名稱」，這 樣就會照字母排序，會比較容易找到。 找到「msblast.exe」後，用滑鼠在上面點一下（代表選取的意思），按「結 束處理程序」 關閉工作管理員。 搜尋 msblast.exe，應該是在 windows 或 winnt 的system32 資料夾下，把 他刪除。 執行登錄編輯程式，刪除被病毒加入的登錄碼。按「開始」，到「執行」，輸 入 regedit 按確定。 到： HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsCurrentVersion\Run 在 windows auto update 上按滑鼠右鍵選刪除。 關閉登錄編輯程式。 下載微軟在2003年七月份所發佈的 MS03-026 號重大安全性更新，非常重要， 關鍵性的漏洞，病毒利用此缺陷進行攻擊。 http://www.microsoft.com/technet/treeview/default.asp?url=/technet/securit y/bulletin/MS03-026.asp 如有安裝防毒軟體，請下載最新病毒碼，並徹底掃描，再檢查一次電腦以策安 全。 上Windows Update網站下載所有重大更新，並養成定期檢查重大更新的習 慣，修補系統漏洞，以預防變種病毒或其他病毒利用系統的安全性瑕疵進行攻 擊。 若是XP，建議開啟 Windopws XP 防火牆可降低被這類病毒的攻擊的機率，其 他作業系統可安裝 Zone Alarm (www.zonelabs.com)這套免費的防火牆軟體， 或是其他品牌的防火牆軟體，有些防毒軟體內建防火牆功能，這也是可以使用 的。 最後還是要提醒大家，一定要經常利用「自動更新」或 Windows Update 下載 最新的重大更新，這也是我一直強調的一件事。 如果平常就透過自動更新的功能，下載安全性更新，則在「新增/移除程式」 裡會找到一項「Windows XP (或 2000) Hotfix-KB823980 」，這就是編號為 MS03-026 的安全性更新。若你在你的新增移除程式裡，可以找到這一項，表 示你的習慣很好，都有留意 Windows XP 自動更新的提醒。 MS03-026 並不算是最新的漏洞，修補程式已經推出快一個月了，在七月中旬 就已經放上 Windows Update 網站，同時作業系統的「自動更新」也會提醒你 要安裝他。 但仍有太多的人都無視安全性更新的重要性，所以仍有不少電腦受到這隻病毒 的侵襲。如果你有養成經常到 Windows Update 網站下載安全性新的話，或是 利用自動更新的功能安裝這些修補程式，這隻病毒就與你絕緣了。 　 註一： 關於RPC安全性漏洞，請參考為微軟網站的說明： http://support.microsoft.com/?kbid=823980 註二： 「Remote Procedure Call (RPC)」與「Remote Procedure Call (RPC) Locator」是不一樣的，請不要更動「Remote Procedure Call (RPC) Locator 」的內容設定ꄊ※ 編輯: kirk0107 來自: 202.178.153.26 (08/13 17:29)