Select the product you need help with
从运行 Windows 2000 或 Windows XP 的计算机中删除感染的 Blaster 蠕虫和 Nachi 蠕虫的工具已推出文章编号: 833330 - 查看本文应用于的产品 注意此工具已不再可用。它已被 Microsoft Windows 恶意软件清除工具取代。 有关该恶意软件清除工具的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:890830
(http://support.microsoft.com/kb/890830/
)
Microsoft Windows 恶意软件清除工具帮助从运行 Windows Server 2003、Windows XP 或 Windows 2000 的计算机中清除特定的流行恶意软件
本页症状在感染了 Blaster 蠕虫(冲击波)或 Nachi 蠕虫(冲击波杀手)的计算机上安装 823980 安全更新或 824146 安全更新后,计算机可能会继续在受影响的传输控制协议/用户数据报协议 (TCP/UDP) 端口中并通过 Internet 控制消息协议 (ICMP) 生成网络通信,试图将感染的病毒传播到其他容易受到攻击的计算机中。 有关 Blaster 蠕虫和 Nachi 蠕虫的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: 826955
(http://support.microsoft.com/kb/826955/
)
关于冲击波蠕虫及其变种的病毒警报
826234
有关 823980 安全更新和 824146 安全更新的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
(http://support.microsoft.com/kb/826234/
)
关于 Nachi 蠕虫的病毒警报
824146
(http://support.microsoft.com/kb/824146/
)
MS03-039:RPCSS 中的缓冲区溢出使攻击者可以运行恶意程序
823980
(http://support.microsoft.com/kb/823980/
)
MS03-026:RPC 中的缓冲区溢出可能允许执行代码
原因出现此问题的原因是您的计算机仍然感染有 Blaster 蠕虫或 Nachi 蠕虫。除了使用防火墙和安装 823980 安全更新或 824146 安全更新外,您还必须从任何受感染的计算机中删除 Blaster 蠕虫和 Nachi 蠕虫。防火墙、823980 安全更新和 824146 安全更新可以阻止这些蠕虫感染您的计算机,但是在实施这些预防措施之前,您还必须采取措施来删除已存在的任何病毒感染。 解决方案Microsoft 已发布了 Microsoft Windows Blaster 蠕虫删除工具 (KB833330),该工具可以从运行本文“适用于”一节中列出的任一产品的计算机中删除 Blaster 蠕虫和 Nachi 蠕虫。 注意:许多防病毒公司也提供删除这些蠕虫的工具,并且大多数最新的防病毒程序也可以删除这些蠕虫。 下载和安装信息要运行 Windows Blaster 蠕虫删除工具,请访问以下 Microsoft 网站,然后安装 KB833330 关键更新(如果可以获得):http://update.microsoft.com 注意:如果您使用“自动更新”,此更新程序会根据需要自动安装。您不需要采取其他任何措施。
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
(http://update.microsoft.com)
发布日期:2004 年 1 月 13 日294871 该工具也可以通过使用 Microsoft 软件更新服务 (SUS)、Microsoft Systems Management Server (SMS) 和其他系统管理软件来部署。有关如何使用 Microsoft SUS 或 Microsoft SMS 部署软件更新程序包的其他信息,请访问下面的 Microsoft 网站:
(http://support.microsoft.com/kb/294871/
)
Windows 中的“自动更新”功能的说明
软件更新服务部署白皮书 http://www.microsoft.com/windowsserversystem/sus/susdeployment.mspx
(http://www.microsoft.com/windowsserversystem/sus/susdeployment.mspx)
使用 Microsoft Systems Management Server 2003 管理修补程序介绍 重要说明:当您使用 Microsoft SMS 或其他系统管理软件部署此更新程序时,最好先在几台测试机上对此更新程序的安装和删除进行测试,然后将部署扩展到整个组织范围。特别是,Microsoft 建议您验证 %WINDIR%\$NTUNINSTALLKB833330\Blastcln 文件夹是否已创建以及是否具有适当的权限。域管理员必须具有 %WINDIR%\$NTUNINSTALLKB833330\Blastcln 文件夹的完全控制权限。如有必要,请在安装 KB833330 关键更新软件包之后使用您的部署脚本分配这些权限。例如,使用 Xcacls.exe 命令行工具修改 %WINDIR%\$NTUNINSTALLKB833330\Blastcln 文件夹的 NTFS 文件系统权限。
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
http://www.microsoft.com/technet/solutionaccelerators/cits/mo/swdist/pmsms/2003/pusmscg1.mspx
(http://www.microsoft.com/technet/solutionaccelerators/cits/mo/swdist/pmsms/2003/pusmscg1.mspx)
318754 网络管理员可以从 Microsoft 下载中心或 Microsoft Windows Update 目录下载此工具,并将其部署到多台基于 Microsoft Windows XP 的计算机或多台基于 Microsoft Windows 2000 的计算机中。如果您想以后将此工具安装到一台或多台计算机中,请使用 Windows Update 目录中的“高级搜索选项”功能搜索文章 ID 号为 323166 的文章。
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
(http://support.microsoft.com/kb/318754/
)
如何使用 Xcacls.exe 修改 NTFS 权限
323166
有关网络管理员可用来安装此工具的命令行开关的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
(http://support.microsoft.com/kb/323166/
)
如何从 Windows Update 目录下载 Windows 更新和驱动程序
262841
(http://support.microsoft.com/kb/262841/
)
用于 Windows 软件更新程序包的命令行开关
先决条件KB833330.exe 要求满足以下条件:
注意:在有些 64 位操作系统中,此安装可能不会成功,并且您可能会收到不准确的错误信息。例如,错误信息可能指出您必须安装 823980 安全更新,而实际上您已经安装了此更新。 用法信息在安装 KB833330.exe 的过程中,安装程序会检查您的计算机是否满足必需的先决条件。如果满足先决条件,安装程序会自动将 Blastcln.exe 复制到 %WINDIR%\$NtUninstallKB833330$\Blastcln 文件夹,然后运行 Blastcln.exe 以检查计算机是否感染了 Blaster 和 Nachi 蠕虫。如果存在感染,Blastcln.exe 将禁用这些蠕虫并将它们删除。当 Blastcln.exe 运行时,它将执行以下任务,而且不显示任何对话框或其他用户界面:
Blastcln.exe 只在满足先决条件的计算机上运行。有关其他信息,请参阅“先决条件”一节。 Blastcln.exe 会在 %WINDIR%\Debug 文件夹中创建一个名为 Blastcln.log 的日志文件。如果没有发现病毒感染,Blastcln.exe 会在 Blastcln.log 中记录下面一行: 如果发现病毒感染,Blastcln.exe 会在 Blastcln.log 中记录下面一行: 重新启动要求安装此工具后,不需要重新启动计算机。删除信息要删除此工具,请使用“控制面板”中的“添加或删除程序”工具来删除“Windows Blaster 蠕虫删除工具 (KB833330)”。系统管理员可以使用 Spunist.exe 实用工具来删除此工具。Spuninst.exe 实用工具位于 %Windir%\$NTUninstallKB833330$\Spuninst 文件夹中。Spuninst.exe 支持以下安装开关:
更多信息Blastcln.exe 只能删除 Blaster 蠕虫和 Nachi 蠕虫。其他已知的、生成远程过程调用 (RPC)/DCOM 攫取通信的蠕虫不会被删除。此外,Blastcln.exe 也无法删除将来出现的 RPC/DCOM 攫取蠕虫或生成 RPC/DCOM 攫取通信的多重攫取蠕虫。要预防其他已知的生成 RPC/DCOM 攫取通信的蠕虫、将来出现的 RPC/DCOM 攫取蠕虫或生成 RPC/DCOM 攫取通信的多重攫取蠕虫,请使用防火墙和最新的防病毒程序,并在您基于 Windows 的计算机中安装最新的安全更新以使其保持最新状态。
有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
129972
(http://support.microsoft.com/kb/129972/
)
计算机病毒:说明、预防和恢复
常见问题问题 1:此工具可以保护我的计算机不感染 Blaster 病毒吗?解答 1:不可以。此工具只从安装了 823980 安全更新或 824146 安全更新的计算机中删除感染的 Blaster 病毒。要预防感染,您必须安装 824146 安全更新。 有关 823980 安全更新和 824146 安全更新的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章: 824146
(http://support.microsoft.com/kb/824146/
)
MS03-039:RPCSS 中的缓冲区溢出使攻击者可以运行恶意程序
823980
(http://support.microsoft.com/kb/823980/
)
MS03-026:RPC 中的缓冲区溢出可能允许执行代码
问题 2:此工具可以删除 Blaster 病毒的哪些变种? 解答 2:此工具可以删除 Blaster 的变种 A-F 和 Nachi/Welchia。 问题 3: 此工具的工作原理是什么? 解答 3:此工具是在标准的 Microsoft Windows 软件更新程序包 (KB833330.exe) 中提供的。当您运行 KB833330.exe 时,它会将 Blastcln.exe 文件解压缩到 %WINDIR%\$NtUninstallKB833330$ 文件夹中,然后运行它。如果您的计算机中存在 Blaster 病毒或 Nachi 病毒的任何副本,Blastcln.exe 会将它们删除。如果您的计算机没有被感染,Blastcln.exe 不会采取任何操作。在 Blastcln.exe 完成这些操作后,软件更新程序包安装将结束。Blastcln.exe 及关联的文件将与任何 Windows 软件更新一样保留在您的计算机中。 问题 4:我可以重新分发 KB833330.exe 吗? 解答 4:不可以。所有客户都必须从 Microsoft 网站下载 KB833330.exe。 问题 5:我可以重新分发 Blastcln.exe 吗? 解答 5:不可以。不支持重新分发 Blastcln.exe。 问题 6:安装 KB833330.exe 并运行 Blastcln.exe 后,我可以再次运行 Blastcln.exe 吗? 解答 6:此删除工具未设计为在一台计算机中反复运行。不过,如果安装失败(请参阅下面的内容)或者支持专业人员要求这么做,则您可以从 %WINDIR%\$NtUninstallKB833330$\Blastcln 文件夹中运行 Blastcln.exe。 问题 7:Microsoft 为什么不分发不使用 Windows 软件更新程序包安装程序的独立版本的 Blastcln.exe? 解答 7:当您使用 Windows 软件更新程序包安装程序时,您可以很容易地保留计算机中已安装项目的清单。 问题 8:此工具是否经过 Microsoft 数字签名? 解答 8:是。Windows 软件更新程序包和 Blastcln.exe 都已经过数字签名。 问题 9:如果我已经安装了 824146 安全更新,还需要此工具吗? 解答 9:需要。在您安装 824146 安全更新之前,您的计算机可能已经被感染。这种情况下,在您安装 824146 安全更新之后,您的计算机仍然处于受感染状态。Blastcln.exe 可以检测已经安装 824146 安全更新的计算机中的病毒并将其删除。 问题 10:此工具会更改我的计算机的配置吗? 解答 10:不会。此工具只删除 Blaster 病毒(如果存在的话)并将 Blastcln.exe 及关联文件复制到您的硬盘上。不会更改您计算机的任何其他配置。 问题 11:如何安装此工具? 解答 11:请参阅“下载和安装信息”一节。 问题 12:是否可以删除(卸载)此工具? 解答 12:可以。请参阅“删除信息”一节。 问题 13: 我正在运行 Windows 2000 Service Pack 1 (SP1)。我是否可以安装此工具? 解答 13:不可以。针对 Blaster 利用的 RPC 漏洞的 823980 安全更新或 824146 安全更新需要 Windows 2000 Service Pack 2 (SP2),而此工具要求安装 823980 安全更新或 824146 安全更新。 问题 14:我正在运行 Microsoft Windows Server 2003。需要安装此工具吗? 解答 14:不需要。Blaster 和 Nachi 的当前版本不会直接感染基于 Windows Server 2003 的计算机。 问题 15:我的计算机运行的是 64 位版本的 Windows XP。我是否可以安装此工具? 解答 15:不可以。此工具目前只支持 32 位的操作系统。 问题 16:我正在运行 Microsoft Windows NT 4.0。需要安装此工具吗? 解答 16:不需要。Blaster 和 Nachi 的当前版本不会直接感染基于 Windows NT 4.0 的计算机。 问题 17: 此工具是否有 Windows Installer 程序包? 解答 17:没有,此工具使用标准的 Windows 软件更新程序包安装程序 (Update.exe)。 问题 18:我运行过防病毒软件供应商提供的 Blaster 删除工具。还需要安装 KB833330.exe 吗? 解答 18:通常情况下不需要。防病毒软件供应商提供的删除工具应该可以删除任何 Blaster 病毒感染。不过,在未受感染的计算机上安装 KB833330.exe 应该不会造成负面影响。 问题 19:此工具是否会收集我计算机中的信息并将其发送给 Microsoft? 解答 19: 在您安装或运行此工具时,它不会向 Microsoft 发送任何信息。 问题 20:我运行了此工具,后来发现我的系统中运行着 Msblast.exe。此工具为什么没有删除 Msblast.exe 文件? 解答 20:此工具只删除已知的、较普遍的 Blaster 变种。此工具可能无法删除某些蠕虫实例。 问题 21:如果此工具无法删除计算机中的 Blaster 病毒,我该怎么办? 解答 21:在计算机上运行最新的防病毒程序。 问题 22: 此工具会显示消息以便让我知道是否找到或删除了感染的病毒吗? 解答 22:不会。 问题 23:此工具会创建一个日志文件以便让我知道是否找到或删除了感染的病毒吗?如果会,该日志文件的名称是什么?该日志文件存放在什么位置? 解答 23:有关日志文件的信息,请参阅“用法信息”一节。 问题 24:我如何知道此工具什么时候在我的计算机中运行完毕? 解答 24:当 KB833330 安装向导完成时,Blastcln.exe 也完成运行。Blastcln.exe 以静默方式运行(没有任何用户界面)。您可以通过查看 Blastcln.log 日志文件来验证运行 Blastcln.exe 的结果。请参阅“用法信息”一节了解其他信息。 问题 25:在安装此工具的过程中,出现了致命错误。这意味着什么? 解答 25: 有关这些错误的信息,请查看 Blastcln.log 日志文件。有关 Blastcln.log 的其他信息,请参阅“用法信息”一节。一些常见的致命错误包括:
解答 26: 不可以。此工具要求安装 823980 安全更新或 824146 安全更新。 问题 27:我是否可以在网络中的远程计算机上运行此工具? 解答 27:不可以。 问题 28: 我可以对 Blastcln.exe 使用哪些命令行开关? 解答 28:有关命令行开关的信息,请参阅“用法信息”一节。 问题 29:该工具可以代替防病毒产品吗? 解答 29:不可以。应安装和使用最新的防病毒程序。 问题 30: 我如何知道此工具是否删除了 Blaster 或 Nachi? 解答 30:请查看 Blastcln.log 日志文件中是否有以下项:
解答 31:如果受感染的计算机在运行 Blastcln.exe 的同时还运行防病毒程序,防病毒程序可能会检测到 Blaster 病毒或 Nachi 病毒并且可能阻止 Blastcln.exe 删除该病毒。在这种情况下,您可以使用您的防病毒程序来删除 Blaster 或 Nachi。Blastcln.exe 不会携带病毒,因此它本身不会触发您的防病毒程序。但是,如果在安装最新的防病毒程序之前,您的计算机已经感染了 Blaster 蠕虫或 Nachi 蠕虫,并且预定的(或后台)病毒扫描被禁用,则在 Blastcln.exe 尝试删除此蠕虫之前,您的防病毒程序可能不会“意识到”此蠕虫的存在。除了这种情况之外,此工具应该不会与防病毒程序相冲突或干扰防病毒程序。在安装该工具时,不必禁用或删除防病毒程序。 问题 32:该工具如何与 Windows XP 中的“系统还原”功能一起使用? 解答 32:与大多数其他 Windows 软件更新一样,KB833330.exe 在安装时会创建一个还原点。在此工具删除感染的病毒后,如果您使用此(或以前的)还原点,您的计算机可能再次被感染。如果您要在安装此工具后使用“系统还原”功能,请牢记这一点。 问题 33:我可以使用 Microsoft Baseline Security Analyzer (MBSA) 来识别需要此工具的计算机吗? 解答 33:不可以。您可以使用 MBSA 来帮助确定计算机是否安装了 823980 安全更新或 824146 安全更新。但是,MBSA 不能识别感染 Blaster 病毒或 Nachi 病毒的计算机。 问题 34:我可以使用 Microsoft 知识库文章 827363 中介绍的 KB 824146 扫描工具来帮助识别需要此工具的计算机吗? 解答 34:不可以。您可以使用 KB 824146 扫描工具来识别没有安装 823980 (MS03-026) 安全更新或 824146 (MS03-039) 安全更新的计算机。但是,KB 824146 扫描工具不能识别感染 Blaster 病毒或 Nachi 病毒的计算机。 问题 35:运行此工具需要哪些用户权限和其他先决条件? 解答 35:有关先决条件的信息,请参阅“先决条件”一节。 问题 36:“自动更新”未在我的计算机上安装 KB833330 关键更新。另外,我访问 Windows Update 并扫描是否有更新时,KB833330 关键更新不可用于安装。为什么? 解答 36:为了使 KB833330 关键更新在 Windows Update 上可用并通过“自动更新”安装,您的计算机必须满足本文“先决条件”一节中描述的先决条件。另外,如果已安装 KB833330 关键更新或您的计算机似乎并未感染 Blaster 病毒或 Nachi 病毒,则无法从 Windows Update 或通过“自动更新”安装 KB833330 关键更新。 问题 37:当我尝试使用“添加或删除程序”删除 KB833330 关键更新时,我收到“拒绝访问”错误。如何删除 KB833330 关键更新? 解答 37:在这种情况下,要删除 KB833330 关键更新,请使用安装此工具时所用的用户帐户登录,然后使用“添加或删除程序”删除此工具 问题 38:我从 Microsoft 下载中心下载了 KB833330 关键更新。当我尝试安装它时收到了一个错误,指出 Blastcln.exe 文件正在使用中。我如何安装此工具? 解答 38:如果其他用户已在您的计算机上安装了 KB833330 关键更新,则会出现此问题。在这种情况下,您不必重新安装 KB833330 关键更新。 问题 39:此工具是否将包含在 Windows XP Service Pack 2 (SP2) 中? 解答 39:是的,KB833330 关键更新将作为 Windows XP SP2 安装的一部分运行。但是,Windows XP SP2 Beta 中不包含 KB833330 关键更新。另外,在 Windows XP SP2 Beta 上无法安装 KB833330 关键更新。 属性Microsoft和/或其各供应商对于为任何目的而在本服务器上发布的文件及有关图形所含信息的适用性,不作任何声明。 所有该等文件及有关图形均"依样"提供,而不带任何性质的保证。Microsoft和/或其各供应商特此声明,对所有与该等信息有关的保证和条件不负任何责任,该等保证和条件包括关于适销性、符合特定用途、所有权和非侵权的所有默示保证和条件。在任何情况下,在由于使用或运行本服务器上的信息所引起的或与该等使用或运行有关的诉讼中,Microsoft和/或其各供应商就因丧失使用、数据或利润所导致的任何特别的、间接的、衍生性的损害或任何因使用而丧失所导致的之损害、数据或利润不负任何责任。 | 文章翻译
 |
回到顶端
