Verktyg för borttagning av maskarna Blaster och Nachi från datorer med Windows 2000 eller Windows XP

Artikelöversättning Artikelöversättning
Artikel-id: 833330 - Visa produkter som artikeln gäller.
Meddelande
Detta verktyg är inte längre tillgängligt. Det har ersatts av Windows-verktyget för borttagning av skadliga program. Om du vill veta mer om Windows-verktyget för borttagning av skadliga program klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
890830 Microsoft Windows-verktyget för borttagning av skadliga program hjälper till att ta bort vissa vanliga skadliga program från datorer med Windows 2000, Windows XP eller Windows Server 2003
Visa alla | Dölj alla

På den här sidan

Symptom

När du har installerat säkerhetsuppdatering 823980 eller 824146 på en dator som har angripits av masken Blaster eller Nachi, kan det förekomma fortsatt nätverkstrafik från datorn på vissa TCP/UDP-portar (Transmission Control Protocol/User Datagram Protocol) och via ICMP (Internet Control Message Protocol). På så vis sprids viruset till andra datorer.

Om du vill veta mer om maskarna Blaster och Nachi klickar du på artikelnumren nedan och läser artiklarna i Microsoft Knowledge Base:
826955 Virusvarning för masken Blaster med varianter
826234 Virusvarning för masken Nachi
Om du vill veta mer om säkerhetsuppdateringarna 823980 och 824146 klickar du på följande artikelnummer och läser artiklarna i Microsoft Knowledge Base:
824146 MS03-039: Buffertöverskridning i RPCSS möjliggör körning av skadliga program
823980 MS03-026: Buffertöverskridning i RPC möjliggör körning av kod

Orsak

Det här problemet beror på att datorn fortfarande är angripen av Blaster eller Nachi. Förutom att använda en brandvägg och installera säkerhetsuppdatering 823980 eller 824146 måste du också ta bort Blaster och Nachi från alla angripna datorer. En brandvägg och säkerhetsuppdateringen 823980 eller 824146 förhindrar att maskarna angriper datorn, men du måste också ta bort all viruskod som fanns på datorn innan du vidtog några förebyggande åtgärder.

Lösning

Microsoft har släppt Microsoft Windows Blaster Worm Removal Tool (KB833330), ett verktyg som tar bort Blaster och Nachi från datorer med produkterna i "Informationen i denna artikel gäller".

Obs! Många antivirusföretag har verktyg för att ta bort de här maskarna, och de kan också tas bort med de flesta uppdaterade antivirusprogram.

Information om hämtning och installation

Om du vill köra Windows Blaster Worm Removal Tool besöker du följande Microsoft-webbplats och installerar sedan den viktiga uppdateringen KB833330 om den är tillgänglig:
http://update.microsoft.com Utgivningsdatum: 13 januari 2004
Obs! Om du använder Automatiska uppdateringar installeras den här uppdateringen automatiskt, utan att du behöver göra något. Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
294871 Beskrivning av funktionen Automatiska uppdateringar i Windows
Det här verktyget kan också distribueras med hjälp av Microsoft SUS (Software Update Services), Microsoft SMS (Systems Management Server) och andra program för systemhantering. Mer information om distribution av programuppdateringspaket med hjälp av Microsoft SUS eller Microsoft SMS finns på följande Microsoft-webbplatser:
Software Update Services Deployment White Paper
http://www.microsoft.com/windowsserversystem/sus/susdeployment.mspx
Patch Management Using Microsoft Systems Management Server 2003 Introduction
http://www.microsoft.com/technet/solutionaccelerators/cits/mo/swdist/pmsms/2003/pusmscg1.mspx
Viktigt! När du använder Microsoft SMS eller något annat program för systemhantering för distribution av den här uppdateringen, är det bra att testa installation och borttagning av uppdateringen på flera datorer innan du utvidgar distributionen till hela organisationen. I synnerhet rekommenderar Microsoft att du kontrollerar att mappen %WINDIR%\$NTUNINSTALLKB833330\Blastcln skapas med lämpliga behörigheter. Domänadministratörer måste ha full kontroll över mappen %WINDIR%\$NTUNINSTALLKB833330\Blastcln. Vid behov tilldelar du de här behörigheterna med hjälp av ditt distributionsskript efter installation av den viktiga uppdateringen KB833330. Använd till exempel kommandoradsverktyget Xcacls.exe för att ändra NTFS-filsystemsbehörigheterna för mappen %WINDIR%\$NTUNINSTALLKB833330\Blastcln. Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
318754 Använda Xcacls.exe för att ändra NTFS-behörigheter (Länken kan leda till en webbplats som är helt eller delvis på engelska)
Nätverksadministratörer kan hämta det här verktyget från Microsoft Download Center eller Microsoft Windows Update-katalogen för distribution till flera datorer med Microsoft Windows XP eller 2000. Om du vill installera verktyget senare på en eller flera datorer, kan du söka efter artikelnumret 323166 med hjälp av den avancerade sökfunktionen i Windows Update-katalogen. Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
323166 Hämta uppdateringar och drivrutiner för Windows från Windows Update-katalogen
Om du vill veta mer om kommandoradsväxlarna som nätverksadministratörer kan använda för att installera det här verktyget, klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
262841 Kommandoradsväxlar för uppdateringspaket för Windows-program (Länken kan leda till en webbplats som är helt eller delvis på engelska)

Förutsättningar

KB833330.exe kräver följande:
  • Du måste använda Windows 2000 Service Pack 2 (SP2) eller senare eller en 32-bitarsversion av Windows XP. Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
    827218 Ta reda på om du har en 32- eller 64-bitarsversion av Windows XP
  • Du måste logga in som administratör eller medlem av gruppen administratörer.
  • Du måste ha installerat säkerhetsuppdatering 823980 eller 824146. Under installationen av KB833330.exe kontrolleras vilken version av Rpcss.dll som finns på datorn. Av versionen framgår om någon av säkerhetsuppdateringarna har installerats. Om versionen på datorn är tidigare än versionen i artikel 823980 i Microsoft Knowledge Base slutförs inte installationen.
Om någon av dessa förutsättningar inte uppfylls slutförs inte installationen, och ett felmeddelande visas. Mer information om felet finns i loggfilen %windir%\KB833330.log.

Obs! Ibland slutförs inte installationen på vissa 64-bitars operativsystem, och ett felaktigt felmeddelande visas. Meddelandet kan till exempel ange att du måste installera säkerhetsuppdatering 823980 trots att den redan är installerad.

Information om användning

Under installationen av KB833330.exe kontrolleras om datorn uppfyller de nödvändiga kraven. Om så är fallet kopieras automatiskt Blastcln.exe till mappen %WINDIR%\$NtUninstallKB833330$\Blastcln. Sedan körs BlastcIn.exe för att kontrollera om datorn är angripen av Blaster eller Nachi. Om datorn är angripen inaktiveras maskarna av BlastcIn.exe och tas bort. När Blastcln.exe körs utförs följande åtgärder utan att några dialogrutor eller andra användargränssnitt visas:
  1. Sökning efter tecken på angrepp från Blaster eller Nachi i minnet. Vid tecken på angrepp avslutas maskens process, eller så avslutas tjänsten och tas bort, eller så sker båda dessa saker.
  2. Sökning efter kända Blaster- och Nachi-filer på disken samt sökning efter poster i Run-nycklarna i registret. Om några maskfiler hittas tas både de och registerposterna bort. Andra verktyg (eller maskar) kan ta bort maskfilerna på disken utan att ta bort registervärdena. I sådana fall, då ett Blaster-registervärde inte längre pekar på en fil på disken (och därför i grunden är ofarligt), tas inte det "övergivna" registervärdet bort.
Obs! Eftersom Blastcln.exe körs automatiskt av installationsprogrammet för KB833330.exe om förutsättningarna är uppfyllda, behöver du inte köra Blastcln.exe manuellt. Du kan emellertid köra Blastcln.exe manuellt från mappen %WINDIR%\$NtUninstallKB833330$\Blastcln. Använd växeln -v för att mata ut logginformationen till konsolen. Skriv till exempel blastcln -v vid kommandotolken.

Blastcln.exe kan endast köras på datorer som uppfyller förutsättningarna. Mer information finns i "Förutsättningar" i den här artikeln.

Blastcln.exe skapar en loggfil med beteckningen Blastcln.log i mappen %WINDIR%\Debug. Om inget angrepp hittas loggas följande rad i Blastcln.log:
No Blaster/Nachi infection found.
Om ett angrepp hittas loggas följande rad i Blastcln.log:
Masknamn found and removed.

Krav på omstart

Du behöver inte starta om datorn när du har installerat det här verktyget.

Information om borttagning

Om du vill ta bort det här verktyget använder du Lägg till eller ta bort program på Kontrollpanelen för att ta bort Windows Blaster Worm Removal Tool (KB833330). Systemadministratörer kan ta bort verktyget med Spunist.exe. Spuninst.exe finns i mappen %Windir%\$NTUninstallKB833330$\Spuninst. Spuninst.exe stöder följande installationsväxlar:
  • /? Visa listan över installationsväxlar.
  • /u Använd oövervakat läge.
  • /f Tvinga andra program att avslutas när datorn stängs av.
  • /z Starta inte om datorn när installationen är klar.
  • /q Använd tyst läge (inga användaråtgärder).

Mer Information

Blastcln.exe kan endast användas för borttagning av maskarna Blaster och Nachi. Andra kända maskar som ger upphov till skadlig RPC(Remote Procedure Call)/DCOM-trafik tas inte bort. Dessutom kan Blastcln.exe inte användas för att ta bort framtida skadlig RPC/DCOM-kod eller flerfunktionsmaskar som ger upphov till skadlig RPC/DCOM-trafik. För att stoppa andra kända maskar som ger upphov till skadlig RPC/DCOM-trafik, framtida skadlig RPC/DCOM-kod eller flerfunktionsmaskar som ger upphov till skadlig RPC/DCOM-trafik, måste du använda en brandvägg och ett uppdaterat antivirusprogram samt installera de senaste säkerhetsuppdateringarna på datorn. Om du vill veta mer klickar du på artikelnumret nedan och läser artikeln i Microsoft Knowledge Base:
129972 Datavirus: beskrivning, förebyggande åtgärder och återställning

Vanliga frågor

F1: Skyddar det här verktyget datorn från att angripas av Blaster?

S1: Nej. Verktyget avlägsnar Blaster från en dator med säkerhetsuppdatering 823980 eller 824146. För att förhindra att datorn smittas måste du installera säkerhetsuppdatering 824146. Om du vill veta mer om säkerhetsuppdateringarna 823980 och 824146 klickar du på följande artikelnummer och läser artiklarna i Microsoft Knowledge Base:
824146 MS03-039: Buffertöverskridning i RPCSS möjliggör körning av skadliga program
823980 MS03-026: Buffertöverskridning i RPC möjliggör körning av kod


F2: Vilka varianter av Blaster tas bort med verktyget?

S2: Blastervarianterna A-F och Nachi/Welchia.

F3: Hur fungerar verktyget?

S3: Verktyget tillhandahålls i ett standarduppdateringspaket för Microsoft Windows (KB833330.exe). När KB833330.exe körs extraheras filen Blastcln.exe till mappen %WINDIR%\$NtUninstallKB833330$ och körs. Blastcln.exe tar bort alla förekomster av Blaster och Nachi på datorn. Om datorn inte är angripen händer ingenting. Efter de här åtgärderna avslutas installationen av programuppdateringspaketet. Blastcln.exe och tillhörande filer blir kvar på datorn som alla andra Windows-programuppdateringar.

F4: Får jag själv distribuera KB833330.exe?

S4: Nej. Alla kunder måste hämta KB833330.exe från Microsoft-webbplatsen.

F5: Får jag själv distribuera Blastcln.exe?

S5: Nej. Blastcln.exe får inte distribueras vidare.

F6: När jag har installerat KB833330.exe och Blastcln.exe har körts, kan jag då köra Blastcln.exe igen?

S6: Borttagningsverktyget är inte konstruerat för att köras flera gånger på samma dator. Du kan emellertid köra Blastcln.exe från mappen %WINDIR%\$NtUninstallKB833330$\Blastcln om installationen misslyckas (se nedan) eller om en supporttekniker ber dig göra det.

F7: Varför har inte Microsoft distribuerat en fristående version av Blastcln.exe utan installationsprogrammet för uppdateringspaket för Windows-program?

S7: När installationsprogrammet används är det lätt att hålla reda på vad som är installerat.

F8: Är verktyget digitalt signerat av Microsoft?

S8: Ja. Både uppdateringspaketet för Windows-program och Blastcln.exe är digitalt signerade.

F9: Behöver jag det här verktyget om jag redan har installerat säkerhetsuppdatering 824146?

S9: Ja. Datorn kan ha smittats innan du installerade säkerhetsuppdatering 824146. I så fall förblir datorn smittad också efter installationen av säkerhetsuppdateringen. Blastcln.exe är konstruerad för att identifiera och ta bort viruset från datorer med säkerhetsuppdatering 824146.

F10: Ändrar det här verktyget datorns konfiguration?

S10: Nej. Verktyget tar bort Blaster-viruset (om det finns) och kopierar Blastcln.exe med tillhörande filer till hårddisken. Datorns konfiguration ändras inte på något annat sätt.

F11: Hur installerar jag det här verktyget?

S11: Se avsnittet "Information om hämtning och installation" i den här artikeln.

F12: Kan det här verktyget tas bort (avinstalleras?)

S12: Ja. Se "Information om borttagning" i den här artikeln.

F13: Jag använder Windows 2000 Service Pack 1 (SP1). Kan jag installera det här verktyget?

S13: Nej. Säkerhetsuppdateringarna 823980 och 824146 för RPC-säkerhetsproblemet som utnyttjas i Blaster kräver Windows 2000 Service Pack 2 (SP2), och det här verktyget kräver att säkerhetsuppdatering 823980 eller 824146 är installerad.

F14: Jag använder Microsoft Windows Server 2003. Behöver jag installera det här verktyget?

S14: Nej. Aktuella versioner av Blaster och Nachi angriper inte datorer med Windows Server 2003 direkt.

F15: Jag använder en 64-bitarsversion av Windows XP. Kan jag installera det här verktyget?

S15: Nej. Verktyget stöder för närvarande endast 32-bitars operativsystem.

F16: Jag använder Microsoft Windows NT 4.0. Behöver jag installera det här verktyget?

S16: Nej. Aktuella versioner av Blaster och Nachi angriper inte datorer med Windows NT 4.0 direkt.

F17: Finns det ett Windows Installer-paket för det här verktyget?

S17: Nej. Standardinstallationsprogrammet för uppdateringspaket för Windows-program (Update.exe) används.

F18: Jag har kört ett borttagningsverktyg för Blaster från leverantören av mitt antivirusprogram. Behöver jag installera KB833330.exe också?

S18: I regel inte. Borttagningsprogram från leverantörer av antivirusprogram bör ta bort all Blaster-kod. Om du installerar KB833330.exe på en dator som inte är angripen bör det emellertid inte ha några negativa följder.

F19: Samlar verktyget in information från min dator och skickar den till Microsoft?

S19: Ingen information skickas tillbaka till Microsoft när du installerar eller kör det här verktyget.

F20: Jag har kört verktyget och sedan sett att Msblast.exe körs på datorn. Varför tar inte verktyget bort Msblast.exe?

S20: Verktyget tar bort kända, vanliga Blaster-varianter. Det kan finnas några maskar som inte tas bort.

F21: Vad gör jag om verktyget inte tar bort Blaster från datorn?

S21: Kör ett uppdaterat antivirusprogram.

F22: Visas några meddelanden så att jag vet om ett virus har hittats eller tagits bort?

S22: Nej.

F23: Skapas en loggfil så att jag vet om ett virus har hittats eller tagits bort? Vad heter i så fall loggfilen, och var finns den?

S23: Information om loggfilen finns i avsnittet "Information om användning" i den här artikeln.

F24: Hur vet jag att verktyget har körts färdigt?

S24: När installationsguiden för KB833330 är klar har Blastcln.exe körts klart. Blastcln.exe körs utan några meddelanden. Du kan se resultaten i loggfilen Blastcln.log. Mer information finns i "Information om användning" i den här artikeln.

F25: Ett meddelande om ett allvarligt fel visas vid installationen av det här verktyget. Vad innebär det?

S25: Information om felmeddelanden finns i loggfilen Blastcln.log. Information om loggfilen finns i avsnittet "Information om användning" i den här artikeln. Exempel på meddelanden om allvarliga fel är:
  • Out of memory when trying to allocate or when creating a small internal journal for the log
  • Failure of file deletion and failure to set the attribute to delete the file on the next restart
  • Failure to enumerate processes
F26: Kan jag köra det här verktyget i stället för att installera säkerhetsuppdateringen 823980 eller 824146?

S26: Nej. Det här verktyget kräver att säkerhetsuppdateringen 823980 eller 824146 är installerad.

F27: Kan jag köra det här verktyget på en fjärrdator i nätverket?

S27: Nej.

F28: Vilka kommandoradsväxlar kan jag använda tillsammans med Blastcln.exe?

S28: Information om växlar finns i "Information om användning" i den här artikeln.

F29: Ersätter verktyget ett antivirusprogram?

S29: Nej. Installera och använd ett uppdaterat antivirusprogram.

F30: Hur vet jag om Blaster eller Nachi har tagits bort av det här verktyget?

S30: Leta i loggfilen Blastcln.log efter de här posterna:
  • "No Blaster/Nachi infection found" anger att inget virus har hittats.
  • "Virusnamn found and removed" anger att Virusnamn har hittats och tagits bort.
  • "Virusnamn found and will be removed at next reboot" anger att Virusnamn har hittats och kommer att tas bort när du startar om datorn.
F31: Störs det här verktyget av antivirusprogram?

S31: Om antivirusprogrammet körs på en angripen dator samtidigt med Blastcln.exe kan det hända att Blaster eller Nachi identifieras av antivirusprogrammet, som förhindrar att de tas bort av BlastcIn.exe. I sådana fall kan du använda antivirusprogrammet för att ta bort Blaster eller Nachi. Blastcln.exe innehåller inte något virus och bör inte aktivera antivirusprogrammet. Om datorn angreps av Blaster eller Nachi innan ett uppdaterat antivirusprogram installerades, och om schemalagd virussökning (eller sökning i bakgrunden) har inaktiverats, blir antivirusprogrammet kanske inte "medvetet" om masken förrän ett försök görs att ta bort den med Blastcln.exe. För övrigt bör det här verktyget inte komma i konflikt med eller störa antivirusprogrammet. Du behöver inte inaktivera eller ta bort antivirusprogrammet när du installerar det här verktyget.

F32: Hur fungerar det här verktyget tillsammans med Systemåterställning i Windows XP?

S32: Som de flesta andra Windows-programuppdateringar skapar KB833330.exe en återställningspunkt när du installerar det. Om verktyget tar bort ett virus kan datorn angripas igen om du använder den här återställningspunkten (eller en tidigare). Tänk på det om du använder Systemåterställning efter att ha installerat det här verktyget.

F33: Kan jag använda MBSA (Microsoft Baseline Security Analyzer) för att identifiera datorer som behöver det här verktyget?

S33: Nej. Du kan använda MBSA för att ta reda på vilka datorer som har säkerhetsuppdateringen 823980 eller 824146. Du kan emellertid inte använda MBSA för att identifiera datorer som har angripits av Blaster eller Nachi.

F34: Kan jag använda sökverktyget KB 824146, som är dokumenterat i artikel 827363 i Microsoft Knowledge Base, för att hitta datorer som behöver det här verktyget?

S34: Nej. Du kan använda sökverktyget KB 824146 för att identifiera värddatorer som saknar säkerhetskorrigering 823980 (MS03-026) och 824146 (MS03-039). Du kan emellertid inte använda sökverktyget för att identifiera datorer som har angripits av Blaster eller Nachi.

F35: Vilka användarrättigheter och andra förutsättningar krävs för att köra verktyget?

S35: Information om förutsättningar finns i "Förutsättningar" i den här artikeln.

F36: Den viktiga uppdateringen KB833330 installerades inte på datorn av Automatiska uppdateringar. När jag besöker Windows Update och söker efter uppdateringar är KB833330 dessutom inte tillgänglig för installation. Varför?

S36:
För att KB833330 ska vara tillgänglig i Windows Update och genom Automatic Updates måste datorn uppfylla kraven i avsnittet "Förutsättningar" i den här artikeln. Dessutom är KB833330 inte tillgänglig för installation från Windows Update eller genom Automatiska uppdateringar, om den redan är installerad eller om datorn inte verkar vara smittad av Blaster eller Nachi.

F37: När jag försöker ta bort KB833330 med hjälp av Lägg till eller ta bort program visas felmeddelandet "Åtkomst nekad". Hur tar jag bort den viktiga uppdateringen KB833330?

S37: Logga in med samma användarkonto som användes för att installera verktyget, och ta sedan bort det med Lägg till eller ta bort program.

F38: Jag har hämtat den viktiga uppdateringen KB833330 från Microsoft Download Center. När jag försöker installera den visas ett felmeddelande om att filen Blastcln.exe används. Hur installerar jag verktyget?

S38: Det här problemet kan uppstå om KB833330 redan har installerats av en annan användare på datorn. I så fall behöver du inte installera KB833330 igen.

F39: Kommer det här verktyget att ingå i Windows XP Service Pack 2 (SP2)?

S39: Ja. KB833330 ingår emellertid inte i Windows XP SP2 Beta och kan heller inte installeras i Windows XP SP2 Beta.

Egenskaper

Artikel-id: 833330 - Senaste granskning: den 10 maj 2011 - Revision: 7.0
Informationen i denna artikel gäller:
  • Microsoft Windows XP Home Edition
  • Microsoft Windows XP Professional Edition
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Media Center Edition 2005 Update Rollup 2
Nyckelord: 
atdownload kbvirus kbinfo KB833330

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com