Средство для удаления вирусов Blaster и Nachi с компьютеров под управлением Windows 2000 и Windows XP

Переводы статьи Переводы статьи
Код статьи: 833330
Внимание
Корпорация Майкрософт больше не предоставляет данное средство. Вместо него следует использовать программу «Средство удаления вредоносных программ». Дополнительные сведения о средстве удаления вредоносных программ см. в следующей статье базы знаний Майкрософт:
890830 Средство удаления вредоносных программ с компьютеров под управлением Windows Server 2003, Windows XP и Windows 2000
Развернуть все | Свернуть все

В этой статье

Проблема

После установки обновления безопасности 823980 или 824146 зараженный вирусом Blaster или Nachi компьютер продолжает распространять вирусы, отправляя соответствующие пакеты через открытые порты протоколов TCP (Transmission Control Protocol) и UDP (User Datagram Protocol), а также по протоколу ICMP (Internet Control Message Protocol).

Дополнительные сведения о вирусах Blaster и Nachi см. в следующих статьях базы знаний Майкрософт:
826955 Сообщение о черве Blaster и его разновидностях
826234 Сообщение о черве Nachi
Дополнительные сведения об обновлениях безопасности 823980 и 824146 см. в следующих статьях базы знаний Майкрософт:
824146 MS03-039: Переполнение буфера в RPCSS может допустить запуск враждебных программ
823980 MS03-026: Переполнение буфера RPC может допустить запуск кода

Причина

Такое поведение наблюдается, поскольку компьютер по-прежнему заражен вирусом Blaster или Nachi. Помимо использования брандмауэра и установки обновления безопасности 823980 или 824146, необходимо удалить вирусы с зараженного компьютера. Брандмауэр и обновления безопасности 823980 и 824146 предотвращают заражение компьютера данными вирусами, но для восстановления уже пораженной системы требуется принять дополнительные меры.

Решение

Для удаления вирусов Blaster и Nachi с компьютеров под управлением одной из операционных систем, перечисленных ниже в разделе Информация в данной статье применима к, корпорация Майкрософт разработала средство Microsoft Windows Blaster Worm Removal Tool (KB833330).

Примечание. Средства для удаления этих вирусов выпускаются и другими разработчиками программного обеспечения, а также входят в состав большинства современных антивирусных программ.

Загрузка и установка

Загрузите критическое обновление KB833330 с веб-узла Майкрософт под адресу:
http://update.microsoft.com Дата выпуска: 13 января 2004 г.
Примечание. В случае необходимости это обновление автоматически, без вмешательства пользователя устанавливается компонентом «Автоматическое обновление». Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
294871 Описание компонента «Автоматическое обновление» из состава операционных систем Windows
Кроме того, данное средство можно установить с помощью служб Microsoft Software Update Services (SUS), сервера Microsoft Systems Management Server (SMS) и другого программного обеспечения, предназначенного для управления системой. Дополнительные сведения о развертывании обновлений с помощью служб Microsoft SUS и Microsoft SMS см. на следующих страницах веб-узла Майкрософт.
Software Update Services Deployment White Paper (Развертывание служб Software Update Services)
http://www.microsoft.com/windowsserversystem/sus/susdeployment.mspx
Patch Management Using Microsoft Systems Management Server 2003 Introduction (Установка исправлений с помощью Microsoft Systems Management Server 2003. Введение.)
http://www.microsoft.com/technet/solutionaccelerators/cits/mo/swdist/pmsms/2003/pusmscg1.mspx
Внимание! Перед развертыванием этого обновления в рамках всей организации с помощью Microsoft SMS или другого программного обеспечения, предназначенного для управления системой, рекомендуется выполнить его установку и удаление на нескольких тестовых компьютерах. В частности, необходимо проверить, создается ли папка %WINDIR%\$NTUNINSTALLKB833330\Blastcln с соответствующими правами доступа. Администраторы домена должны обладать правом полного доступа к этой папке. Если необходимо, предоставьте это право с помощью сценария развертывания после установки критического обновления KB833330. Если папка %WINDIR%\$NTUNINSTALLKB833330\Blastcln находится на диске с файловой системой NTFS, то для изменения прав доступа к этой папке можно воспользоваться средством Xcacls.exe. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
318754 Изменение разрешений NTFS с помощью программы Xcacls.exe
Для развертывания на нескольких компьютерах под управлением Windows XP или Windows 2000 администраторы могут загрузить данное средство с веб-узла центра загрузки Майкрософт или из каталога Windows Update. Чтобы установить это средство на нескольких компьютерах, выполните с помощью дополнительных параметров каталога Windows Update поиск по номеру статьи 323166. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
323166 Как загрузить драйверы и обновления для Windows из каталога Windows Update
Дополнительные сведения о параметрах командной строки, которые используются для установки данного средства, см. в следующей статье базы знаний Майкрософт:
262841 Параметры командной строки, которые поддерживаются пакетами обновления для Windows

Требования

Для установки средства KB833330.exe необходимо соблюдение следующих условий.
  • Компьютер должен работать под управлением Windows 2000 с пакетом обновления 2 (SP2) или более поздней версии либо 32-разрядной версии Windows XP. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
    827218 Определение разрядности используемой версии Windows XP
  • Вход в систему должен быть произведен с помощью учетной записи «Администратор» или члена группы «Администраторы».
  • На компьютере должно быть установлено обновление безопасности 823980 или 824146. В процессе установки пакета KB833330.exe факт установки одного из этих обновлений проверяется по версии файла Rpcss.dll. Установка невозможна, если версия используемого файла ниже указанной в статье базы знаний Майкрософт 823980.
В случае несоблюдения одного из перечисленных требований появится сообщение об ошибке, и установка прекратится. Дополнительные сведения о возникшем сбое см. в файле %windir%\KB833330.log.

Примечание. На некоторых 64-разрядных операционных системах в случае неудачной установки появляется несоответствующее действительности сообщение об ошибке. Например, появляется сообщение о необходимости установить обновление безопасности 823980, хотя оно было установлено ранее.

Использование

При установке пакета KB833330.exe проверяется соблюдение необходимых условий. В случае их соблюдения программа установки автоматически копирует файл Blastcln.exe в папку %WINDIR%\$NtUninstallKB833330$\Blastcln и запускает его, чтобы проверить компьютер на наличие вирусов Blaster и Nachi. Обнаруженные вирусы обезвреживаются и удаляются. Программа Blastcln.exe выполняет следующие действия (без отображения диалоговых окон или других элементов пользовательского интерфейса).
  1. Проверяется наличие вирусов Blaster и Nachi в памяти. Если вирус обнаружен, программа останавливает соответствующий процесс, или останавливает и удаляет соответствующую службу, или выполняет оба эти действия.
  2. Проверяется наличие известных файлов вирусов Blaster и Nachi на жестком диске, а также соответствующих параметров в разделе Run системного реестра. Обнаруженные файлы и параметры реестра удаляются. Некоторые программы (или черви) производят удаление файлов вируса с жесткого диска, оставляя в неприкосновенности сопоставленные им параметры системного реестра. Программа Blastcln.exe не удаляет добавленные вирусами Blaster и Nachi параметры системного реестра, которые ссылаются на отсутствующий на жестком диске (и, следовательно, безвредный) файл.
Примечание. Запускать файл Blastcln.exe вручную нет необходимости, поскольку при выполнении перечисленных выше условий программа установки пакета KB833330.exe делает это автоматически. Однако в случае необходимости файл Blastcln.exe можно запустить из папки %WINDIR%\$NtUninstallKB833330$\Blastcln. Чтобы выводить на экран информацию, которая записывается в журнал, используйте параметр -v (например, введите в командной строке команду blastcln -v).

Программа Blastcln.exe запускается только на компьютерах, отвечающих перечисленным выше требованиям. Дополнительные сведения см. в разделе Требования данной статьи.

В папке %WINDIR%\Debug создается файл журнала Blastcln.log. В случае отсутствия вирусов в этот файл помещается следующее сообщение:
No Blaster/Nachi infection found.
В противном случае запись в файле выглядит следующим образом:
вирус found and removed.

Необходимость перезагрузки

После установки средства нет необходимости перезагружать компьютер.

Удаление

Для удаления программы Windows Blaster Worm Removal Tool (KB833330) используйте средство «Установка и удаление программ» панели управления. Кроме того, системные администраторы могут использовать с этой целью программу Spuninst.exe, которая расположена в папке %Windir%\$NTUninstallKB833330$\Spuninst. Программа Spuninst.exe поддерживает следующие параметры командной строки.
  • /? Показать список параметров установки.
  • /u Автоматический режим.
  • /f Завершить работу других программ перед выключением компьютера.
  • /z Не перезапускать компьютер после завершения установки.
  • /q Скрытый режим (без вывода пользовательского интерфейса).

Дополнительная информация

Программа Blastcln.exe не предназначена для удаления других известных вирусов (кроме Blaster и Nachi), которые используют уязвимости в механизме вызова удаленных процедур (RPC) и DCOM. Это же относится и ко всем вирусам данного типа, которые могут появиться в будущем, а также тем, которые способны использовать другие уязвимости. Для предотвращения заражения компьютера подобными вирусами необходимо использовать брандмауэр и антивирусные программы последних версий, а также своевременно устанавливать обновления безопасности. Дополнительные сведения см. в следующей статье базы знаний Майкрософт:
129972 Компьютерные вирусы — описание, меры безопасности и удаление

Вопросы и ответы

Вопрос 1. Обеспечивает ли данное средство защиту от вируса Blaster?

Ответ 1. Нет. Данное средство предназначено для удаления вируса с компьютера, на котором установлено обновление безопасности 823980 или 824146. Чтобы предотвратить заражение, необходимо установить обновление безопасности 824146. Дополнительные сведения об обновлениях безопасности 823980 и 824146 см. в следующих статьях базы знаний Майкрософт:
824146 MS03-039: Переполнение буфера в RPCSS может допустить запуск враждебных программ
823980 MS03-026: Переполнение буфера RPC может допустить запуск кода


Вопрос 2. Какие разновидности вируса Blaster удаляются с помощью данного средства?

Ответ 2. Версии A-F вируса Blaster и Nachi/Welchia.

Вопрос 3. Каков принцип работы средства?

Ответ 3. Средство поставляется в составе обновления KB833330.exe для Windows. В процессе установки пакета KB833330.exe файл Blastcln.exe извлекается в папку %WINDIR%\$NtUninstallKB833330$ и запускается. Blastcln.exe удаляет все имеющиеся на компьютере копии вирусов Blaster и Nachi. Если вирусы отсутствуют, программа не выполняет никаких действий. После этого установка обновления завершается. Программа Blastcln.exe и связанные с ней файлы остаются на компьютере в качестве обычного обновления Windows.

Вопрос 4. Можно ли распространять пакет KB833330.exe?

Ответ 4. Нет. Файл KB833330.exe необходимо загружать с веб-узла Майкрософт.

Вопрос 5. Можно ли распространять файл Blastcln.exe?

Ответ 5. Нет. Распространение файла Blastcln.exe не поддерживается.

Вопрос 6. Можно ли после установки обновления KB833330.exe и запуска программы Blastcln.exe использовать эту программу повторно?

Ответ 6. Программа не рассчитана на многократный запуск на одном компьютере. Однако файл Blastcln.exe из папки %WINDIR%\$NtUninstallKB833330$\Blastcln можно запускать, если установка завершилась с ошибками (см. ниже) или по рекомендации специалиста службы технической поддержки.

Вопрос 7. Почему корпорация Майкрософт не распространяет автономную версию программы Blastcln.exe, которая не использует установщик обновлений Windows?

Ответ 7. Использование установщика позволяет включать обновление в список установленных компонентов.

Вопрос 8. Содержит ли данная программа цифровую подпись корпорации Майкрософт?

Ответ 8. Да. Как само обновление, так и файл Blastcln.exe имеют цифровую подпись.

Вопрос 9. Нужно ли данное средство, если на компьютере уже установлено обновление безопасности 824146?

Ответ 9. Да. Компьютер мог быть заражен до установки обновления безопасности 824146. В этом случае вирус остается и после установки обновления безопасности 824146. Программа Blastcln.exe предназначена для обнаружения и удаления вирусов в таких системах.

Вопрос 10. Изменяет ли данная программа конфигурацию системы?

Ответ 10. Нет. Программа удаляет вирус Blaster (в случае наличия) и копирует на жесткий диск файл Blastcln.exe и связанные с ним файлы. Другие изменения не производятся.

Вопрос 11. Как установить данное средство?

Ответ 11. См. раздел Загрузка и установка данной статьи.

Вопрос 12. Предусмотрена ли возможность удаления средства?

Ответ 12. Да. См. раздел Удаление данной статьи.

Вопрос 13. Можно ли установить данную программу на компьютере под управлением Windows 2000 с пакетом обновления 1 (SP1)?

Ответ 13. Нет. Для работы данного средства требуются обновления безопасности 823980 или 824146, предназначенные для устранения уязвимости в механизме RPC, которую использует вирус Blaster. Для установки этих обновлений необходима операционная система Windows 2000 с пакетом обновления 2 (SP2).

Вопрос 14. Нужно ли устанавливать эту программу на компьютере под управлением Microsoft Windows Server 2003?

Ответ 14. Нет. Существующие версии вирусов Blaster и Nachi напрямую не заражают компьютеры под управлением этой операционной системы.

Вопрос 15. Можно ли установить данную программу на компьютере под управлением 64-разрядной версии Windows XP?

Ответ 15. Нет. Программа поддерживает только 32-разрядные операционные системы.

Вопрос 16. Нужно ли устанавливать эту программу на компьютере под управлением Windows NT 4.0?

Ответ 16. Нет. Существующие версии вирусов Blaster и Nachi напрямую не заражают компьютеры под управлением этой операционной системы.

Вопрос 17. Существует ли для этой программы пакет установщика Windows?

Ответ 17. Нет, программа использует стандартный пакет установщика обновлений Windows (Update.exe).

Вопрос 18. Нужно ли устанавливать обновление KB833330.exe, если было использовано средство удаления вируса Blaster стороннего разработчика антивирусного программного обеспечения?

Ответ 18. Как правило, использование таких средств приводит к удалению вируса. С другой стороны, установка обновления KB833330.exe на незараженный компьютер не имеет каких-либо негативных последствий.

Вопрос 19. Собирает ли данная программа сведения о компьютере для отправки в корпорацию Майкрософт?

Ответ 19. Нет. Это средство не отправляет данные в корпорацию Майкрософт.

Вопрос 20. Через некоторое время после запуска программы на компьютере обнаружился файл Msblast.exe. Почему он не был удален?

Ответ 20. Данная программа удаляет наиболее распространенные разновидности вируса Blaster. Некоторые экземпляры вируса могут остаться на компьютере.

Вопрос 21. Что делать, если данная программа не удалила вирус Blaster?

Ответ 21. Воспользуйтесь антивирусной программой одной из последних версий.

Вопрос 22. Отображаются ли при работе данного средства сообщения об обнаружении и удалении вирусов?

Ответ 22. Нет.

Вопрос 23. Создает ли программа файл журнала с информацией об обнаружении и удалении вирусов? Как называется этот файл, и где он расположен?

Ответ 23. Сведения о файле журнала см. в разделе Использование данной статьи.

Вопрос 24. Как узнать, что программа завершила свою работу?

Ответ 24. Об этом свидетельствует завершение программы установки обновления KB833330. Программа Blastcln.exe работает в автономном режиме, без вмешательства пользователя. Результаты ее работы заносятся в файл журнала Blastcln.log (см. раздел Использование данной статьи).

Вопрос 25. При установке программы появилось сообщение о неустранимой ошибке. Что это означает?

Ответ 25. Информация об ошибках содержится в файле Blastcln.log. Сведения об этом файле см. в разделе Использование данной статьи. Чаще всего встречаются следующие ошибки.
  • Out of memory when trying to allocate or when creating a small internal journal for the log
  • Failure of file deletion and failure to set the attribute to delete the file on the next restart
  • Failure to enumerate processes
Вопрос 26. Можно ли вместо установки обновлений безопасности 823980 и 824146 запустить данную программу?

Ответ 26. Нет. Для запуска программы необходимо наличие на компьютере обновления безопасности 823980 или 824146.

Вопрос 27. Можно ли запускать данную программу на удаленном компьютере в сети?

Ответ 27. Нет.

Вопрос 28. Какие параметры командной строки поддерживает программа Blastcln.exe?

Ответ 28. Сведения о параметрах командной строки см. в разделе Использование данной статьи.

Вопрос 29. Можно ли использовать данную программу вместо антивирусного программного обеспечения?

Ответ 29. Нет. Установите и используйте антивирусную программу одной из последних версий.

Вопрос 30. Как узнать, удалила ли программа вирус Blaster или Nachi?

Ответ 30. Файл Blastcln.log содержит одну из следующих записей.
  • «No Blaster/Nachi infection found» означает, что вирусы не обнаружены.
  • «имя_вируса found and removed» означает, что был обнаружен и удален вирус имя_вируса.
  • «имя_вируса found and will be removed at next reboot» означает, что вирус имя_вируса обнаружен и будет удален при следующей перезагрузке компьютера.
Вопрос 31. Может ли данная программа конфликтовать с используемым антивирусным программным обеспечением?

Ответ 31. Если при запуске файла Blastcln.exe на компьютере работает антивирусное программное обеспечение, оно может обнаружить вирус Blaster или Nachi и не позволить программе Blastcln.exe удалить его. В этом случае удаление вирусов Blaster и Nachi следует выполнить средствами антивирусной программы. Файл Blastcln.exe не содержит вирусов и не должен вызывать срабатывания антивирусных программ. Однако если компьютер был заражен вирусом Blaster или Nachi до установки антивирусной программы одной из последних версий и отключена регулярная (или фоновая) проверка, то эта антивирусная программа может не знать о наличии данных вирусов на компьютере, пока программа Blastcln.exe не попытается их удалить. В остальных случаях программа Blastcln.exe не должна конфликтовать с используемым антивирусным программным обеспечением, а, следовательно, нет необходимости отключать или удалять его при установке средства Blastcln.exe.

Вопрос 32. Как данное средство взаимодействует с компонентом «Восстановление системы» из состава Windows XP?

Ответ 32. Подобно большинству других обновлений, при установке пакета KB833330.exe создается контрольная точка восстановления. Если программа Blastcln.exe удаляет вирус, использование этой или предыдущих точек восстановления может привести к повторному заражению. Это необходимо учитывать при запуске компонента «Восстановление системы» после установки данной программы.

Вопрос 33. Можно ли для определения компьютеров, на которых необходимо установить эту программу, использовать средство Microsoft Baseline Security Analyzer (MBSA)?

Ответ 33. Нет. C помощью средства MBSA можно определять, установлены ли на компьютере обновления системы безопасности 823980 и 824146, но не факт заражения вирусом Blaster или Nachi.

Вопрос 34. Можно ли для определения компьютеров, на которых необходимо установить эту программу, использовать средство сканирования KB 824146, описанное в статье базы знаний Майкрософт 827363?

Ответ 34. Нет. С помощью средства сканирования KB 824146 можно обнаруживать компьютеры, на которых не установлены обновления безопасности 823980 (MS03-026) и 824146 (MS03-039), но не факт заражения вирусом Blaster или Nachi.

Вопрос 35. Какими полномочиями необходимо обладать для запуска этой программы?

Ответ 35. См. раздел Требования данной статьи.

Вопрос 36. Компонент «Автоматическое обновление» не устанавливает критическое обновление KB833330. Кроме того, данное обновление отсутствует в списке компонентов, предлагаемых для установки на веб-узле Windows Update. В чем причина?

Ответ 36.
Для установки критического обновления KB833330 с помощью веб-узла Windows Update или компонента «Автоматическое обновление» необходимо выполнение условий, перечисленных в разделе Требования этой статьи. Кроме того, подобное поведение наблюдается, если это обновление было установлено ранее или отсутствуют признаки заражения компьютера рассмотренными вирусами.

Вопрос 37. При попытке удалить обновление KB833330 с помощью средства «Установка и удаление программ» появляется сообщение «Отказано в доступе». Как удалить обновление в этой ситуации?

Ответ 37. Чтобы удалить критическое обновление KB833330, войдите в систему с помощью учетной записи, которая использовалась для его установки, и запустите средство «Установка и удаление программ».

Вопрос 38. При попытке установить обновление, полученное с веб-узла центра загрузки Майкрософт, появляется сообщение о том, что файл Blastcln.exe в данный момент используется. Как установить программу в этой ситуации?

Ответ 38. Такое поведение наблюдается, если критическое обновление KB833330 уже было установлено другим пользователем компьютера. Выполнять повторную установку не нужно.

Вопрос 39. Будет ли эта программа включена в состав пакета обновления 2 (SP2) для Windows XP?

Ответ 39. Да. В будущем критическое обновление KB833330 будет устанавливаться при установке пакета обновления 2 (SP2) для Windows XP. Однако это обновление не входит в состав бета-версии пакета обновления 2 (SP2) для Windows XP. Кроме того, обновление KB833330 нельзя установить на компьютере под управлением Windows XP с бета-версией пакета обновления 2 (SP2).

Свойства

Код статьи: 833330 - Последний отзыв: 3 февраля 2011 г. - Revision: 5.3
Ключевые слова: 
atdownload kbvirus kbinfo KB833330

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com