現已提供可移除 Windows 2000 或 Windows XP 電腦上 Blaster 蠕蟲及 Nachi 蠕蟲感染的工具

文章翻譯 文章翻譯
文章編號: 833330 - 檢視此文章適用的產品。
注意事項
此工具不再提供使用, 因為此工具已經由 Microsoft Windows 惡意軟體移除工具所取代。 如需有關惡意軟體移除工具的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
890830 Microsoft Windows 惡意軟體移除工具協助移除 Windows Server 2003、Windows XP 或 Windows 2000 電腦中目前常見的特定惡意軟體
全部展開 | 全部摺疊

在此頁中

徵狀

在感染了 Blaster 蠕蟲或 Nachi 蠕蟲的電腦上安裝 823980 或 824146 安全性更新之後,該電腦可能會繼續在受感染的「傳輸控制通訊協定/使用者資料包通訊協定」(TCP/UDP) 連接埠上進行網路傳輸,並且透過「網際網路控制訊息通訊協定」(ICMP) 試圖將病毒感染擴散到其他有弱點的電腦。

如需有關 Blaster 蠕蟲和 Nachi 蠕蟲的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
826955 關於 Blaster 病蟲及其變種的病毒警告
826234 Nachi 病蟲的病毒警訊
如需有關 823980 安全性更新和 824146 安全性更新的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
824146 MS03-039:RPCSS 緩衝區滿溢可能會使攻擊者執行惡意的程式
823980 MS03-026:RPC 介面中的緩衝區滿溢可能會允許程式碼執行

發生的原因

之所以發生這個問題,是因為電腦中仍有 Blaster 蠕蟲或 Nachi 蠕蟲感染的情形。除了使用防火牆及安裝 823980 安全性更新或 824146 安全性更新之外,您也必須從所有受感染的電腦上移除 Blaster 蠕蟲和 Nachi 蠕蟲。雖然使用防火牆、823980 安全性更新及 824146 安全性更新可以防止蠕蟲感染您的電腦,但是在執行這些預防措施之前,您還是必須先採取步驟,以移除任何已存在的病毒感染。

解決方案

Microsoft 已經發行 Microsoft Windows Blaster Worm Removal Tool (KB833330),此工具可以從執行<適用於>一節所列任何一種產品的電腦中移除 Blaster 蠕蟲及 Nachi 蠕蟲。

注意 許多防毒軟體公司也提供可以移除這些蠕蟲的工具,而且最新的防毒軟體程式也都能移除這些蠕蟲。

下載與安裝資訊

如果要執行 Windows Blaster Worm Removal Tool,請造訪下列 Microsoft 網站,然後安裝 KB833330 重大更新 (如果有的話):
http://update.microsoft.com發行日期:2004 年 1 月 13 日
注意 如果您使用「自動更新」,就會自動安裝這項更新。您不需要採取任何額外的步驟。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
294871 Windows 自動更新功能的說明
您也可以使用 Microsoft Software Update Services (SUS)、Microsoft Systems Management Server (SMS) 及其他系統管理軟體來部署這個工具。如需有關如何使用 Microsoft SUS 或 Microsoft SMS 來部署軟體更新套件的詳細資訊,請造訪下列 Microsoft 網站:
Software Update Services 部署白皮書 (英文)
http://www.microsoft.com/windowsserversystem/sus/susdeployment.mspx
使用 Microsoft Systems Management Server 2003 的修補管理簡介 (英文)
http://www.microsoft.com/technet/solutionaccelerators/cits/mo/swdist/pmsms/2003/pusmscg1.mspx
重要 如果您使用 Microsoft SMS 或其他系統管理軟體來部署此更新,在您將部署延伸至整個組織之前,最好先在幾部測試電腦上測試更新的安裝及移除作業。Microsoft 特別建議您確認是否使用適當的權限來建立 %WINDIR%\$NTUNINSTALLKB833330\Blastcln 資料夾。網域系統管理員必須具有 %WINDIR%\$NTUNINSTALLKB833330\Blastcln 資料夾的完整控制權。如有必要,請在安裝 KB833330 重大更新套件之後,使用您的部署指令碼指定這些權限。例如,使用 Xcacls.exe 命令列工具來修改 %WINDIR%\$NTUNINSTALLKB833330\Blastcln 資料夾的 NTFS 檔案系統權限。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
318754 HOW TO:Use Xcacls.exe to Modify NTFS Permissions
網路系統管理員可以從「Microsoft 下載中心」或「Microsoft Windows Update 類別目錄」下載此工具,以部署至多部 Microsoft Windows XP 電腦或 Microsoft Windows 2000 電腦中。如果您想要稍後再將此工具安裝到一或多部電腦上,請利用 Windows Update 類別目錄中的「進階的搜尋選項」功能搜尋文件編號 323166。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
323166 如何從 Windows Update 類別目錄下載 Windows 更新程式及驅動程式
如需有關網路系統管理員可以用來安裝此工具的命令列參數的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
262841 Windows 軟體更新套件的命令列參數

先決條件

安裝 KB833330.exe 必須具備下列條件:
  • 您的電腦必須執行 Windows 2000 Service Pack 2 (SP2) 或更新的版本,或 32 位元版本的 Windows XP。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
    827218 HOW TO:Determine Whether Your Computer Is Running a 32-Bit Version or 64-Bit Version of Windows XP
  • 您必須以電腦系統管理員或系統管理員群組成員的身分登入。
  • 您必須安裝 823980 安全性更新或 824146 安全性更新。在 KB833330.exe 安裝期間,安裝程式會檢查電腦上的 Rpcss.dll 檔案版本,以確認是否已經安裝其中一個安全性更新。如果電腦上這支檔案的版本比「Microsoft 知識庫」文件 823980 所提及的版本還舊,就不會繼續安裝。
您必須完全符合這些先決條件,才能成功完成安裝,否則就會收到錯誤訊息。如需有關安裝失敗的詳細資訊,請檢閱 %windir%\KB833330.log 記錄檔。

注意 在某些 64 位元的作業系統上,安裝可能不會成功,而且您可能會收到不正確的錯誤訊息。例如,即使您已經安裝 823980 安全性更新,訊息仍可能指出您必須先安裝該安全性更新。

使用資訊

在 KB833330.exe 安裝期間,安裝程式會檢查電腦是否符合必要的先決條件。如果符合先決條件,安裝程式就會自動將 Blastcln.exe 複製到 %WINDIR%\$NtUninstallKB833330$\Blastcln 資料夾,然後執行 Blastcln.exe 以檢查是否感染了 Blaster 和 Nachi。如果受到感染了,Blastcln.exe 就會停用這些蠕蟲並加以移除。執行 Blastcln.exe 時就會執行下列工作,但不會顯示任何對話方塊或其他使用者介面:
  1. Blastcln.exe 會檢查記憶體中是否有 Blaster 感染及 Nachi 感染的跡象。如果找到了感染,就會結束蠕蟲程序,或停止並刪除服務,或是兩者皆採用。
  2. Blastcln.exe 會在磁碟上檢查已知的 Blaster 檔案及 Nachi 檔案,並檢查登錄中 Run 機碼的項目。如果發現這些檔案或項目,就會刪除蠕蟲檔案並移除登錄項目,但是,其他工具 (或蠕蟲) 可能只從磁碟中刪除蠕蟲檔案,而沒有刪除登錄值。在這種情況下,Blaster 登錄值不會再指向磁碟上的檔案 (所以,基本上是無害的),而 Blastcln.exe 也不會移除「被遺棄的」登錄值。
注意 如果符合先決條件,KB833330.exe 安裝程式就會自動執行 Blastcln.exe,所以您不必手動執行 Blastcln.exe。但是,您可以從 %WINDIR%\$NtUninstallKB833330$\Blastcln 資料夾手動執行 Blastcln.exe。請使用 -v 參數,將記錄資訊輸出到主控台。例如,在命令提示字元中輸入 blastcln -v

Blastcln.exe 只會在符合先決條件的電腦上執行。如需詳細資訊,請參閱本文的<先決條件>一節。

Blastcln.exe 會在 %WINDIR%\Debug 資料夾中建立名為 Blastcln.log 的記錄檔。如果沒有感染病毒,Blastcln.exe 就會在 Blastcln.log 中記錄下列行:
No Blaster/Nachi infection found. (找不到 Blaster/Nachi 感染)
如果找到感染,Blastcln.exe 就會在 Blastcln.log 中記錄下列行:
Worm_Name found and removed. (Worm_Name 已找到並加以移除)

重新啟動需求

安裝此工具之後,您不必重新啟動電腦。

移除資訊

如果要移除這個工具,請使用 [控制台] 中的 [新增或移除程式] 工具來移除 [Windows Blaster Worm Removal Tool (KB833330)]。系統管理員可以使用 Spunist.exe 公用程式來移除這個工具。Spuninst.exe 公用程式位於 %Windir%\$NTUninstallKB833330$\Spuninst 資料夾中,支援下列安裝參數:
  • /? 顯示安裝參數清單。
  • /u 使用自動安裝模式。
  • /f 當電腦關機時,強制其他程式結束。
  • /z 安裝完成時,不要重新啟動電腦。
  • /q 使用無訊息模式 (沒有使用者互動)。

其他相關資訊

Blastcln.exe 只能移除 Blaster 蠕蟲及 Nachi 蠕蟲,並不會移除其他造成遠端程序呼叫 (RPC)/DCOM 過度傳輸的已知蠕蟲。此外,Blastcln.exe 無法移除未來會造成 RPC/DCOM 過度傳輸的 RPC/DCOM 剝削使用或多數剝削使用蠕蟲。為了預防其他造成 RPC/DCOM 過度傳輸的蠕蟲、未來的 RPC/DCOM 剝削使用,或是造成 RPC/DCOM 過度傳輸的多數剝削使用蠕蟲,請使用防火牆和最新的防毒軟體程式,並且利用最新的安全性更新持續將您的 Windows 電腦保持在最新狀態。 如需詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
129972 電腦病毒:說明、預防和修復

常見問題集

問 1:這個工具可以保護我的電腦不會受到 Blaster 病毒的感染嗎?

答 1: 不會,因為這個工具是用來移除已安裝 823980 安全性更新或 824146 安全性更新的電腦上所感染的病毒。如果要預防病毒感染,您必須安裝 824146 安全性更新。 如需有關 823980 安全性更新和 824146 安全性更新的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
824146 MS03-039:RPCSS 緩衝區滿溢可能會使攻擊者執行惡意的程式
823980 MS03-026:RPC 介面中的緩衝區滿溢可能會允許程式碼執行


問 2:這個工具會移除何種 Blaster 病毒變種?

答 2: 這個工具會移除 Blaster 變種 A-F 和 Nachi/Welchia。

問 3: 這個工具如何運作?

答 3: 您可以在標準的 Microsoft Windows 軟體更新套件 (KB833330.exe) 中取得這個工具。執行 KB833330.exe 時,就會將 Blastcln.exe 檔案解壓縮到 %WINDIR%\$NtUninstallKB833330$ 資料夾中,然後加以執行。Blastcln.exe 會移除電腦上 Blaster 病毒或 Nachi 病毒的所有複本 (如果有的話)。如果電腦沒有受到病毒感染,Blastcln.exe 就不會採取任何動作。當 Blastcln.exe 執行這些動作時,軟體更新套件的安裝便會結束。Blastcln.exe 和相關檔案就會像每個 Windows 軟體更新一樣保留在電腦上。

問 4:我可以將 KB833330.exe 轉散佈給別人嗎?

答 4: 不可以。所有的客戶都必須從 Microsoft 網站下載 KB833330.exe。

問 5:我可以將 Blastcln.exe 轉散佈給別人嗎?

答 5: 不可以。Blastcln.exe 不能轉散佈。

問 6:安裝 KB833330.exe 並執行 Blastcln.exe 之後,還可以再次執行 Blastcln.exe 嗎?

答 6: 移除工具並非設計可以在單一電腦上重複執行。但是,如果安裝失敗時 (請參閱下面) 或技術支援工程師要求您再次執行時,您可以從 %WINDIR%\$NtUninstallKB833330$\Blastcln 資料夾執行 Blastcln.exe。

問 7:Microsoft 為什麼不直接散發不需使用 Windows 軟體更新套件安裝程式的獨立版本 Blastcln.exe?

答 7: 使用 Windows 軟體更新套件安裝程式,您可以輕鬆地在電腦上保有已安裝項目的詳細目錄。

問 8:這個工具有經過 Microsoft 數位簽署嗎?

答 8: 有的。Windows 軟體更新套件和 Blastcln.exe 都經過數位簽署。

問 9:如果已經安裝 824146 安全性更新,還需要執行這個工具嗎?

答 9: 是的。在安裝 824146 安全性更新之前,您的電腦可能已經被病毒感染了。在這種情況下,即使安裝了 824146 安全性更新,電腦還是會處於受感染的狀態。Blastcln.exe 就是設計用來在已安裝 824146 安全性更新的電腦上,偵測並移除病毒感染。

問 10:這個工具會對電腦設定進行任何變更嗎?

答 10: 不會。這個工具會移除 Blaster 病毒 (如果有的話),並將 Blastcln.exe 和相關檔案複製到硬碟上,不會對您的電腦設定進行任何變更。

問 11:我要如何安裝這個工具?

答 11:請參閱本文的<下載與安裝資訊>一節。

問 12:可以移除這個工具嗎 (解除安裝)?

答 12: 可以。請參閱本文的<移除資訊>一節。

問 13: 在執行 Windows 2000 Service Pack 1 (SP1) 的電腦上,可以安裝這個工具嗎?

答 13: 不能。針對 Blaster 會剝削使用的 RPC 弱點所提供的 823980 安全性更新或 824146 安全性更新,必須在 Windows 2000 Service Pack 2 (SP2) 上執行,而使用這項工具必須安裝 823980 安全性更新或 824146 安全性更新。

問 14:我的電腦是執行 Microsoft Windows Server 2003,需要安裝這個工具嗎?

答 14: 不用。Windows Server 2003 電腦不會直接受到 Blaster 和 Nachi 目前版本的感染。

問 15:我的電腦是執行 64 位元版本的 Windows XP,可以安裝這個工具嗎?

答 15: 不能。這個工具目前只支援 32 位元作業系統。

問 16: 我的電腦是執行 Microsoft Windows NT 4.0,需要安裝這個工具嗎?

答 16: 不用。Windows NT 4.0 電腦不會直接受到 Blaster 和 Nachi 目前版本的感染。

問 17: 這個工具有 Windows Installer 套件嗎?

答 17: 沒有。這個工具使用標準的 Windows 軟體更新套件安裝程式 (Update.exe)。

問 18:我已經執行防毒軟體廠商提供的 Blaster 移除工具,還需要安裝 KB833330.exe 嗎?

答 18: 一般而言,可以不用安裝。防毒軟體廠商提供的移除工具應該可以移除任何的 Blaster 病毒感染。不過,在沒有感染病毒的電腦上安裝 KB833330.exe 應該也不會有任何負面的影響。

問 19:這個工具會收集電腦上的資訊並傳送給 Microsoft 嗎?

答 19: 安裝或執行這個工具時,並不會將任何資訊傳送給 Microsoft。

問 20:執行這個工具之後,發現電腦上還在執行 Msblast.exe,為什麼這個工具沒有移除 Msblast.exe 檔案?

答 20: 這個工具會移除已知的普遍 Blaster 變種。但是可能不會移除某些蠕蟲執行個體。

問 21:如果這個工具沒有移除電腦上的 Blaster 病毒,我必須採取什麼行動?

答 21: 請在電腦上執行最新的防毒軟體程式。

問 22: 這個工具會顯示任何訊息,讓我知道是否發現或移除病毒嗎?

答 22: 不會。

問 23:這個工具會建立記錄檔,讓我知道是否發現或移除病毒嗎?如果有的話,記錄檔名稱叫什麼?記錄檔會放在哪兒?

答 23: 如需有關記錄檔的詳細資訊,請參閱本文的<使用資訊>一節。

問 24:如何知道這個工具已經在電腦上執行完成?

答 24: KB833330 安裝精靈完成時,Blastcln.exe 便已經完成執行。Blastcln.exe 會在幕後執行 (沒有任何使用者介面),您可以檢視 Blastcln.log 記錄檔,以檢查 Blastcln.exe 執行結果。如需詳細資訊,請參閱本文的<使用資訊>一節。

問 25:安裝這個工具期間收到了嚴重錯誤的訊息,這表示什麼?

答 25: 如需相關錯誤的詳細資訊,請檢視 Blastcln.log 記錄檔。如需有關 Blastcln.log 的詳細資訊,請參閱本文的<使用資訊>。一些常見的嚴重錯誤包括:
  • Out of memory when trying to allocate or when creating a small internal journal for the log (嘗試配置記錄檔,或為記錄檔建立小型內部日誌時,記憶體不足)
  • 檔案刪除失敗,以及無法設定要在下次重新啟動時刪除檔案的屬性
  • Failure to enumerate processes (無法列舉處理程序)
問 26:我可以執行這個工具而不安裝 823980 安全性更新或 824146 安全性更新嗎?

答 26: 不可以。使用這個工具必須先安裝 823980 安全性更新或 824146 安全性更新。

問 27:我可以在網路的遠端電腦上執行這個工具嗎?

答 27: 不可以。

問 28: 是否有命令列參數可以與 Blastcln.exe 搭配使用?

答 28: 如需有關參數的詳細資訊,請參閱本文的<使用資訊>一節。

問 29:可以使用這個工具取代防毒軟體產品嗎?

答 29: 不可以。請安裝並使用最新的防毒軟體程式。

問 30: 如何知道工具已經移除 Blaster 或 Nachi?

答 30: 請檢視 Blastcln.log 記錄檔,看看是否存有這些項目:
  • "No Blaster/Nachi infection found" 表示找不到病毒感染。
  • "Virus_Name found and removed" 表示 Virus_Name 已找到並加以移除。
  • "Virus_Name found and will be removed at next reboot" 表示 Virus_Name 已找到,並且當您重新啟動電腦時,便會加以移除。
問 31:我的防毒程式會干擾這個工具嗎?

答 31: 如果在受到感染的電腦上執行 Blastcln.exe 時,防毒軟體程式也正在執行,防毒軟體程式可能會偵測到 Blaster 病毒或 Nachi 病毒,並且可能會阻止 Blastcln.exe 移除病毒。在這種情況下,您可以使用防毒軟體程式來移除 Blaster 或 Nachi。Blastcln.exe 並不包含病毒,所以應該不會觸發您的防毒軟體程式。但是,如果在安裝最新的防毒軟體程式之前及停用排程 (或背景) 病毒掃描時,電腦就已經感染 Blaster 蠕蟲或 Nachi 蠕蟲,那麼直到 Blastcln.exe 嘗試移除病毒之前,您的防毒軟體程式可能都不會發現該病毒。除了這種情況之外,這個工具不會與您的防毒軟體程式產生衝突,也不會有干擾。安裝這個工具時,不需要停用或移除您的防毒軟體程式。

問 32:這個工具如何與 Windows XP 中的「系統還原」功能一同運作?

答 32: 與大多數的 Windows 軟體更新相同,KB833330.exe 會在安裝時建立還原點。工具移除病毒感染之後,如果您使用這個 (或更早的) 還原點,電腦可能會恢復為受感染的狀態。安裝這個工具之後,如果要使用「系統還原」,請特別注意這一點。

問 33:我可以使用 Microsoft Baseline Security Analyzer (MBSA) 來識別哪些電腦需要這個工具嗎?

答 33: 不可以。您可以使用 MBSA 來判斷電腦是否安裝了 823980 安全性更新或 824146 安全性更新。但是,MBSA 無法識別電腦是否感染到 Blaster 病毒或 Nachi 病毒。

問 34:我可以使用「Microsoft 知識庫」文件 827363 中提到的 KB 824146 掃描工具,來識別哪些電腦需要這些工具嗎?

答 34: 不可以。您可以使用 KB 824146 掃描工具來判斷電腦是否安裝了 823980 (MS03-026) 安全性更新或 824146 (MS03-039) 安全性更新,但是,KB 824146 掃描工具無法識別電腦是否感染到 Blaster 病毒或 Nachi 病毒。

問 35:必須具備何種使用者權限和其他先決條件,才能執行這個工具?

答 35: 如需有關先決條件的詳細資訊,請參閱本文的<先決條件>一節。

問 36:「自動更新」並未在我的電腦上安裝 KB833330 重大更新。此外,當我造訪 Windows Update 並掃描更新時,找不到可安裝的 KB833330 重大更新。為什麼?

答 36:
如果要讓 Windows Update 及「自動更新」搜尋到可用的 KB833330 重大更新,您的電腦必須符合本文<先決條件>一節中所描述的需求。此外,如果已安裝 KB833330 重大更新,或電腦並未顯示為已感染 Blaster 病毒或 Nachi 病毒,就無法從 Windows Update 或透過「自動更新」安裝 KB833330 重大更新。

問 37:當我嘗試使用「新增或移除程式」移除 KB833330 重大更新時,收到了 Access Denied (拒絕存取) 錯誤。我要如何移除 KB833330 重大更新?

答 37: 在此情況下,如果要移除 KB833330 重大更新,請以當初安裝工具時所使用的相同帳號登入,再使用「新增或移除程式」加以移除。

問 38:我已從「Microsoft 下載中心」下載 KB833330 重大更新。當我嘗試安裝時,收到了錯誤,指出 Blastcln.exe 檔案正在使用中。我要如何安裝這個工具?

答 38: 如果有不同的使用者在您的電腦上安裝了 KB833330 重大更新,可能就會發生這個問題。在此情況下,您不需要重新安裝 KB833330 重大更新。

問 39:這個工具會包含在 Windows XP Service Pack 2 (SP2) 中嗎?

答 39: 是的,KB833330 重大更新將會包含在 Windows XP SP2 安裝中。不過,KB833330 重大更新不會隨附於 Windows XP SP2 Beta 版中。此外,您也無法在 Windows XP SP2 Beta 版上安裝 KB833330 重大更新。

屬性

文章編號: 833330 - 上次校閱: 2011年5月11日 - 版次: 6.0
這篇文章中的資訊適用於:
  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Tablet PC Edition
  • Microsoft Windows XP Media Center Edition 2005 Update Rollup 2
關鍵字:?
atdownload kbvirus kbinfo KB833330
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com