斌斌小站

> 記事簿

www.binbin.net

斌斌小站

記事簿-Windows XP

發表日期 2003/08/13
更新日期 2004/03/13

Windows 現在必須重新啟動，因為 Remote Procedure Call 已經意外終止

適用範圍： Windows XP、Windows 2000

提醒：

本例狀況為病毒，病毒改版很快，本例已成歷史，僅供參考。隨時更新病毒碼與修補作業系統漏洞，才是好習慣。

　

問題：

我的Windows XP 在開機幾分鐘後，就會出現下面這樣的訊息，然後就新開機，我重灌之後還是一樣會發生，請問是什麼原因？是硬體故障嗎？

The system is shutting down. Please save all work in process and log off. Any unsaved changes will be lost. This shutdown was initated by NT AUTHORY\SYSTEM

Message
Windows 現在必須重新啟動，因為 Remote Procedure Call 已經意外終止

回答：

這是Blaster病毒（W32.Blaster.Worm，依 Symantec 定義）的影響，他用RPC，Remote Procedure Call 的漏洞進行攻擊（註一）。

已感染電腦的主要之症狀：

無預期的重新開機

在電腦裡可以找到 mcblast.exe、penis32.exe、teekids.exe 其中之一的病毒檔案

新增/移除程式內一片空白

剪下、貼上無法使用

開啟 Microsoft Office 軟體可能出現 DLL 錯誤

系統極不穩定

電腦速度變慢，經常出現記憶體不足。

也可能會出現 svchost 錯誤，windows 即將關閉這一類的訊息，重新開機後，可短暫恢復正常，但不就又出現 svchost 錯誤。如果僅出現一次，表示你的電腦雖然沒有修補，但病毒攻擊失敗，病毒以感染XP方式攻擊2000的電腦（他沒有能力知道遠端的作業系統，他只是靠猜測），雖造成 svchost 當掉，但並未感染。若此時你仍無警覺，仍不修補，待下次病毒猜對了你的作業系統，就會感染成功了。

這個病毒只會影響以Windows NT 技術為核心的作業系統（Windows NT、2000、XP、Server 2003），Windows 95、98、Me 不受影響。

解決方法：

目前 Symantec 已經推出移除工具，可以到 Symantec 網站下載執行這個工具：
http://securityresponse.symantec.com/avcenter/venc/
data/w32.blaster.worm.removal.tool.html

原則上，直接執行 FixBlast.exe 就可了，但還是建議你還是看一下 Symantec 網頁上的說明，Windows XP 的使用者請先關閉系統還原功能。

移除後，務必安裝最新的安全性更新，否則一切等於做白工，因為這個 blaster 病毒是利用系統漏洞進行攻擊，你不把洞補起來，是永遠躲不掉他的。

由於已被感染，可能會沒有辦法透過網路下載修正檔，或是不停的出現重新開機的現象導致無法下載或順利執行修復程式，如果你已經沒有辦法下載移除工具或新的病毒定義來移除的話，只好手動移除。

手動移除方法：

為安全起見，在掃描病毒時請拔下網路線，需要下載更新檔案時再接回網路線。

開始>>執行，輸入 services.msc 按確定，找到「Remote Procedure Call (RPC)」（註二），在上面按滑鼠右鍵選內容，到「修復」，將第一次、第二次、後續失敗全部改成「重新啟動服務」（原本是重新啟動電腦），按確定。這個動作的目的是避免不斷重新開機，讓你有時間進行修復的動作。

若你的作業系統是 Windows XP，請關閉系統還原的功能。如何關閉 Windows XP 的系統還原功能：

在我的電腦圖示上按滑鼠右鍵選內容，到「系統還原」頁，勾「關閉所有磁碟上的系統還原」，按確定。

同時按 CTRL、ALT、DEL 三鍵，按工作管理員，以便叫出工作管理員，到「處理程序」頁，去找「msblast.exe」（或 penis32.exe、或 teekids.exe 這些是變種），你可以按一下上面的「影像名稱」，這樣就會照字母排序，會比較容易找到。

找到「msblast.exe」後（或 penis32.exe、或 teekids.exe ），用滑鼠在上面點一下（代表選取的意思），按「結束處理程序」

關閉工作管理員。

搜尋病毒檔 msblast.exe，應該是在 windows 或 winnt 的system32 資料夾下，把他刪除。

執行登錄編輯程式，刪除被病毒加入的登錄碼。按「開始」，到「執行」，輸入 regedit 按確定。

到：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run

一開機就載入的程式名單會放在這邊，所以病毒名單也是放在這裡，一開機就會載入執行，我們要把他從名單中清除。

在 windows auto update 上按滑鼠右鍵選刪除。

關閉登錄編輯程式。

下載微軟在2003年七月份所發佈的 MS03-026 號重大安全性更新，非常重要，關鍵性的漏洞，病毒利用此缺陷進行攻擊。

http://www.microsoft.com/technet/treeview/default.asp?
url=/technet/securit
y/bulletin/MS03-026.asp

如有安裝防毒軟體，請下載最新病毒碼，並徹底掃描，再檢查一次電腦以策安全。

至 Windows Update 網站下載所有重大更新，並養成定期檢查重大更新的習慣，修補系統漏洞，以預防變種病毒或其他病毒利用系統的安全性瑕疵進行攻擊。

若是XP，建議開啟 Windopws XP 防火牆可降低被這類病毒的攻擊的機率，其他作業系統可安裝 Zone Alarm ( www.zonelabs.com )這套免費的防火牆軟體，或是其他品牌的防火牆軟體，有些防毒軟體內附防火牆的功能，這也是可以使用的。

最後還是要提醒大家，一定要經常利用「自動更新」（註三）或 Windows Update 下載最新的重大更新，這也是我一直強調的一件事。

如果平常就透過自動更新的功能，下載安全性更新，則在「新增/移除程式」裡會找到一項「Windows XP (或 2000) Hotfix-KB823980 」，這就是編號為MS03-026 的安全性更新。若你在你的新增移除程式裡，可以找到這一項，表示你的習慣很好，都有留意 Windows XP 自動更新的提醒。

MS03-026 並不算是最新的漏洞，修補程式已經推出快一個月了，在七月中旬就已經放上 Windows Update 網站，同時 Windows XP （或 Windows 2000）作業系統的「自動更新」也會提醒你要安裝他。

但仍有太多的人都無視安全性更新的重要性，所以仍有不少電腦受到這隻病毒的侵襲。如果你有養成經常到 Windows Update 網站下載安全性新的話，或是利用自動更新的功能安裝這些修補程式，這隻病毒就與你絕緣了。

　

註一：

關於RPC安全性漏洞，請參考為微軟網站的說明：http://support.microsoft.com/?kbid=823980

註二：

「Remote Procedure Call (RPC)」與「Remote Procedure Call (RPC) Locator」是不一樣的，請不要更動「Remote Procedure Call (RPC) Locator」的內容設定。

註三：

在 Windows XP 中，要如何開啟「自動更新」的功能？

按「開始」，在我的電腦圖示上按滑鼠右鍵選內容，到「自動更新」。

勾「將我的電腦保持在最新狀態....」

選擇「自動下載更新並在準備好安裝時通知我」

　
　
　
意見或問題請寄至：

版權所有，本站文、圖未經授權，請勿任意轉載與節錄，作者：車成斌