从运行 Windows 2000 或 Windows XP 的计算机中删除感染的 Blaster 蠕虫和 Nachi 蠕虫的工具已推出

注意
此工具已不再可用。它已被 Microsoft Windows 恶意软件清除工具取代。 有关该恶意软件清除工具的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
890830Microsoft Windows 恶意软件清除工具帮助从运行 Windows Server 2003、Windows XP 或 Windows 2000 的计算机中清除特定的流行恶意软件
本文已归档。它按“原样”提供,并且不再更新。
症状
在感染了 Blaster 蠕虫(冲击波)或 Nachi 蠕虫(冲击波杀手)的计算机上安装 823980 安全更新或 824146 安全更新后,计算机可能会继续在受影响的传输控制协议/用户数据报协议 (TCP/UDP) 端口中并通过 Internet 控制消息协议 (ICMP) 生成网络通信,试图将感染的病毒传播到其他容易受到攻击的计算机中。

有关 Blaster 蠕虫和 Nachi 蠕虫的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
826955关于冲击波蠕虫及其变种的病毒警报
826234 关于 Nachi 蠕虫的病毒警报
有关 823980 安全更新和 824146 安全更新的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824146MS03-039:RPCSS 中的缓冲区溢出使攻击者可以运行恶意程序
823980 MS03-026:RPC 中的缓冲区溢出可能允许执行代码
原因
出现此问题的原因是您的计算机仍然感染有 Blaster 蠕虫或 Nachi 蠕虫。除了使用防火墙和安装 823980 安全更新或 824146 安全更新外,您还必须从任何受感染的计算机中删除 Blaster 蠕虫和 Nachi 蠕虫。防火墙、823980 安全更新和 824146 安全更新可以阻止这些蠕虫感染您的计算机,但是在实施这些预防措施之前,您还必须采取措施来删除已存在的任何病毒感染。
解决方案
Microsoft 已发布了 Microsoft Windows Blaster 蠕虫删除工具 (KB833330),该工具可以从运行本文“适用于”一节中列出的任一产品的计算机中删除 Blaster 蠕虫和 Nachi 蠕虫。

注意:许多防病毒公司也提供删除这些蠕虫的工具,并且大多数最新的防病毒程序也可以删除这些蠕虫。

下载和安装信息

要运行 Windows Blaster 蠕虫删除工具,请访问以下 Microsoft 网站,然后安装 KB833330 关键更新(如果可以获得):
http://update.microsoft.com 发布日期:2004 年 1 月 13 日
注意:如果您使用“自动更新”,此更新程序会根据需要自动安装。您不需要采取其他任何措施。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
294871Windows 中的“自动更新”功能的说明
该工具也可以通过使用 Microsoft 软件更新服务 (SUS)、Microsoft Systems Management Server (SMS) 和其他系统管理软件来部署。有关如何使用 Microsoft SUS 或 Microsoft SMS 部署软件更新程序包的其他信息,请访问下面的 Microsoft 网站:
使用 Microsoft Systems Management Server 2003 管理修补程序介绍
http://www.microsoft.com/technet/solutionaccelerators/cits/mo/swdist/pmsms/2003/pusmscg1.mspx
重要说明:当您使用 Microsoft SMS 或其他系统管理软件部署此更新程序时,最好先在几台测试机上对此更新程序的安装和删除进行测试,然后将部署扩展到整个组织范围。特别是,Microsoft 建议您验证 %WINDIR%\$NTUNINSTALLKB833330\Blastcln 文件夹是否已创建以及是否具有适当的权限。域管理员必须具有 %WINDIR%\$NTUNINSTALLKB833330\Blastcln 文件夹的完全控制权限。如有必要,请在安装 KB833330 关键更新软件包之后使用您的部署脚本分配这些权限。例如,使用 Xcacls.exe 命令行工具修改 %WINDIR%\$NTUNINSTALLKB833330\Blastcln 文件夹的 NTFS 文件系统权限。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
318754如何使用 Xcacls.exe 修改 NTFS 权限
网络管理员可以从 Microsoft 下载中心或 Microsoft Windows Update 目录下载此工具,并将其部署到多台基于 Microsoft Windows XP 的计算机或多台基于 Microsoft Windows 2000 的计算机中。如果您想以后将此工具安装到一台或多台计算机中,请使用 Windows Update 目录中的“高级搜索选项”功能搜索文章 ID 号为 323166 的文章。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
323166如何从 Windows Update 目录下载 Windows 更新和驱动程序
有关网络管理员可用来安装此工具的命令行开关的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
262841用于 Windows 软件更新程序包的命令行开关

先决条件

KB833330.exe 要求满足以下条件:
  • 您必须运行 Windows 2000 Service Pack 2 (SP2) 或更高版本或者 32 位版本的 Windows XP。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
    827218如何确定计算机是在运行 Windows XP 的 32 位版本还是 64 位版本
  • 必须以计算机管理员或管理员组成员的身份登录。
  • 您必须已安装 823980 安全更新或 824146 安全更新。在安装 KB833330.exe 的过程中,安装程序会检查您计算机中 Rpcss.dll 文件的版本,以验证是否已安装这两个安全更新中的一个。如果您计算机中该文件的版本低于 Microsoft 知识库文章 823980 中说明的版本,安装将不会成功。
如果不满足上述任一先决条件,安装将不会成功,并且您将收到相应的错误信息。有关该失败的其他信息,请查看 %windir%\KB833330.log 日志文件。

注意:在有些 64 位操作系统中,此安装可能不会成功,并且您可能会收到不准确的错误信息。例如,错误信息可能指出您必须安装 823980 安全更新,而实际上您已经安装了此更新。

用法信息

在安装 KB833330.exe 的过程中,安装程序会检查您的计算机是否满足必需的先决条件。如果满足先决条件,安装程序会自动将 Blastcln.exe 复制到 %WINDIR%\$NtUninstallKB833330$\Blastcln 文件夹,然后运行 Blastcln.exe 以检查计算机是否感染了 Blaster 和 Nachi 蠕虫。如果存在感染,Blastcln.exe 将禁用这些蠕虫并将它们删除。当 Blastcln.exe 运行时,它将执行以下任务,而且不显示任何对话框或其他用户界面:
  1. Blastcln.exe 会检查内存中是否有感染了 Blaster 和 Nachi 病毒的迹象。如果它发现病毒感染,它将终止蠕虫进程或停止并删除服务,或者同时执行这两项操作。
  2. Blastcln.exe 会检查磁盘中是否存在已知的 Blaster 文件和已知的 Nachi 文件,并检查注册表的 Run 项中是否存在这些条目。如果它发现这些项,它将删除蠕虫文件,然后删除相应的注册表条目。其他工具(或蠕虫)可能删除了磁盘上的蠕虫文件,但没有删除相应的注册表值。在这种情况下,Blaster 注册表值将不再指向磁盘上的文件(因此基本上是无害的),所以 Blastcln.exe 不删除“孤立的”注册表值。
注意:由于在满足先决条件的情况下 KB833330.exe 安装程序会自动运行 Blastcln.exe,因此您不必手动运行 Blastcln.exe。不过,您可以从 %WINDIR%\$NtUninstallKB833330$\Blastcln 文件夹中手动运行 Blastcln.exe。使用 -v 开关将日志信息输出到控制台。例如,在命令提示符处键入 blastcln -v

Blastcln.exe 只在满足先决条件的计算机上运行。有关其他信息,请参阅“先决条件”一节。

Blastcln.exe 会在 %WINDIR%\Debug 文件夹中创建一个名为 Blastcln.log 的日志文件。如果没有发现病毒感染,Blastcln.exe 会在 Blastcln.log 中记录下面一行:
No Blaster/Nachi infection found.(未发现 Blaster/Nachi 感染。)
如果发现病毒感染,Blastcln.exe 会在 Blastcln.log 中记录下面一行:
Worm_Name found and removed.(已发现并已删除 Worm_Name。)

重新启动要求

安装此工具后,不需要重新启动计算机。

删除信息

要删除此工具,请使用“控制面板”中的“添加或删除程序”工具来删除“Windows Blaster 蠕虫删除工具 (KB833330)”。系统管理员可以使用 Spunist.exe 实用工具来删除此工具。Spuninst.exe 实用工具位于 %Windir%\$NTUninstallKB833330$\Spuninst 文件夹中。Spuninst.exe 支持以下安装开关:
  • /? 显示安装开关列表。
  • /u 使用无人参与模式。
  • /f 当计算机关闭时强制其他程序退出。
  • /z 完成安装时不重新启动计算机。
  • /q 使用安静模式(无用户交互)。
更多信息
Blastcln.exe 只能删除 Blaster 蠕虫和 Nachi 蠕虫。其他已知的、生成远程过程调用 (RPC)/DCOM 攫取通信的蠕虫不会被删除。此外,Blastcln.exe 也无法删除将来出现的 RPC/DCOM 攫取蠕虫或生成 RPC/DCOM 攫取通信的多重攫取蠕虫。要预防其他已知的生成 RPC/DCOM 攫取通信的蠕虫、将来出现的 RPC/DCOM 攫取蠕虫或生成 RPC/DCOM 攫取通信的多重攫取蠕虫,请使用防火墙和最新的防病毒程序,并在您基于 Windows 的计算机中安装最新的安全更新以使其保持最新状态。 有关其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
129972计算机病毒:说明、预防和恢复

常见问题

问题 1:此工具可以保护我的计算机不感染 Blaster 病毒吗?

解答 1:不可以。此工具只从安装了 823980 安全更新或 824146 安全更新的计算机中删除感染的 Blaster 病毒。要预防感染,您必须安装 824146 安全更新。有关 823980 安全更新和 824146 安全更新的其他信息,请单击下面的文章编号,以查看 Microsoft 知识库中相应的文章:
824146MS03-039:RPCSS 中的缓冲区溢出使攻击者可以运行恶意程序
823980 MS03-026:RPC 中的缓冲区溢出可能允许执行代码


问题 2:此工具可以删除 Blaster 病毒的哪些变种?

解答 2:此工具可以删除 Blaster 的变种 A-F 和 Nachi/Welchia。

问题 3:此工具的工作原理是什么?

解答 3:此工具是在标准的 Microsoft Windows 软件更新程序包 (KB833330.exe) 中提供的。当您运行 KB833330.exe 时,它会将 Blastcln.exe 文件解压缩到 %WINDIR%\$NtUninstallKB833330$ 文件夹中,然后运行它。如果您的计算机中存在 Blaster 病毒或 Nachi 病毒的任何副本,Blastcln.exe 会将它们删除。如果您的计算机没有被感染,Blastcln.exe 不会采取任何操作。在 Blastcln.exe 完成这些操作后,软件更新程序包安装将结束。Blastcln.exe 及关联的文件将与任何 Windows 软件更新一样保留在您的计算机中。

问题 4:我可以重新分发 KB833330.exe 吗?

解答 4:不可以。所有客户都必须从 Microsoft 网站下载 KB833330.exe。

问题 5:我可以重新分发 Blastcln.exe 吗?

解答 5:不可以。不支持重新分发 Blastcln.exe。

问题 6:安装 KB833330.exe 并运行 Blastcln.exe 后,我可以再次运行 Blastcln.exe 吗?

解答 6:此删除工具未设计为在一台计算机中反复运行。不过,如果安装失败(请参阅下面的内容)或者支持专业人员要求这么做,则您可以从 %WINDIR%\$NtUninstallKB833330$\Blastcln 文件夹中运行 Blastcln.exe。

问题 7:Microsoft 为什么不分发不使用 Windows 软件更新程序包安装程序的独立版本的 Blastcln.exe?

解答 7:当您使用 Windows 软件更新程序包安装程序时,您可以很容易地保留计算机中已安装项目的清单。

问题 8:此工具是否经过 Microsoft 数字签名?

解答 8:是。Windows 软件更新程序包和 Blastcln.exe 都已经过数字签名。

问题 9:如果我已经安装了 824146 安全更新,还需要此工具吗?

解答 9:需要。在您安装 824146 安全更新之前,您的计算机可能已经被感染。这种情况下,在您安装 824146 安全更新之后,您的计算机仍然处于受感染状态。Blastcln.exe 可以检测已经安装 824146 安全更新的计算机中的病毒并将其删除。

问题 10:此工具会更改我的计算机的配置吗?

解答 10:不会。此工具只删除 Blaster 病毒(如果存在的话)并将 Blastcln.exe 及关联文件复制到您的硬盘上。不会更改您计算机的任何其他配置。

问题 11:如何安装此工具?

解答 11:请参阅“下载和安装信息”一节。

问题 12:是否可以删除(卸载)此工具?

解答 12:可以。请参阅“删除信息”一节。

问题 13: 我正在运行 Windows 2000 Service Pack 1 (SP1)。我是否可以安装此工具?

解答 13:不可以。针对 Blaster 利用的 RPC 漏洞的 823980 安全更新或 824146 安全更新需要 Windows 2000 Service Pack 2 (SP2),而此工具要求安装 823980 安全更新或 824146 安全更新。

问题 14:我正在运行 Microsoft Windows Server 2003。需要安装此工具吗?

解答 14:不需要。Blaster 和 Nachi 的当前版本不会直接感染基于 Windows Server 2003 的计算机。

问题 15:我的计算机运行的是 64 位版本的 Windows XP。我是否可以安装此工具?

解答 15:不可以。此工具目前只支持 32 位的操作系统。

问题 16:我正在运行 Microsoft Windows NT 4.0。需要安装此工具吗?

解答 16:不需要。Blaster 和 Nachi 的当前版本不会直接感染基于 Windows NT 4.0 的计算机。

问题 17: 此工具是否有 Windows Installer 程序包?

解答 17:没有,此工具使用标准的 Windows 软件更新程序包安装程序 (Update.exe)。

问题 18:我运行过防病毒软件供应商提供的 Blaster 删除工具。还需要安装 KB833330.exe 吗?

解答 18:通常情况下不需要。防病毒软件供应商提供的删除工具应该可以删除任何 Blaster 病毒感染。不过,在未受感染的计算机上安装 KB833330.exe 应该不会造成负面影响。

问题 19:此工具是否会收集我计算机中的信息并将其发送给 Microsoft?

解答 19: 在您安装或运行此工具时,它不会向 Microsoft 发送任何信息。

问题 20:我运行了此工具,后来发现我的系统中运行着 Msblast.exe。此工具为什么没有删除 Msblast.exe 文件?

解答 20:此工具只删除已知的、较普遍的 Blaster 变种。此工具可能无法删除某些蠕虫实例。

问题 21:如果此工具无法删除计算机中的 Blaster 病毒,我该怎么办?

解答 21:在计算机上运行最新的防病毒程序。

问题 22:此工具会显示消息以便让我知道是否找到或删除了感染的病毒吗?

解答 22:不会。

问题 23:此工具会创建一个日志文件以便让我知道是否找到或删除了感染的病毒吗?如果会,该日志文件的名称是什么?该日志文件存放在什么位置?

解答 23:有关日志文件的信息,请参阅“用法信息”一节。

问题 24:我如何知道此工具什么时候在我的计算机中运行完毕?

解答 24:当 KB833330 安装向导完成时,Blastcln.exe 也完成运行。Blastcln.exe 以静默方式运行(没有任何用户界面)。您可以通过查看 Blastcln.log 日志文件来验证运行 Blastcln.exe 的结果。请参阅“用法信息”一节了解其他信息。

问题 25:在安装此工具的过程中,出现了致命错误。这意味着什么?

解答 25:有关这些错误的信息,请查看 Blastcln.log 日志文件。有关 Blastcln.log 的其他信息,请参阅“用法信息”一节。一些常见的致命错误包括:
  • 尝试为日志文件分配内存或为日志文件创建小型内部日志时,内存不足
  • 在下次重新启动时,无法删除文件而且无法设置属性以删除文件
  • 无法枚举进程
问题 26:我可以运行此工具而不安装 823980 安全更新或 824146 安全更新吗?

解答 26:不可以。此工具要求安装 823980 安全更新或 824146 安全更新。

问题 27:我是否可以在网络中的远程计算机上运行此工具?

解答 27:不可以。

问题 28: 我可以对 Blastcln.exe 使用哪些命令行开关?

解答 28:有关命令行开关的信息,请参阅“用法信息”一节。

问题 29:该工具可以代替防病毒产品吗?

解答 29:不可以。应安装和使用最新的防病毒程序。

问题 30:我如何知道此工具是否删除了 Blaster 或 Nachi?

解答 30:请查看 Blastcln.log 日志文件中是否有以下项:
  • “No Blaster/Nachi infection found”(未发现 Blaster/Nachi 感染)表示没有发现病毒。
  • ““Virus_Name”(已发现并已删除 Worm_Name)表示已找到并删除了 Virus_Name
  • Virus_Name found and will be removed at next reboot”(发现了 Virus_Name 并将在下次重新启动时删除它)表示发现了 Virus_Name 并将在重新启动计算机时将其删除。
问题 31:我的防病毒程序是否会与此工具发生冲突?

解答 31:如果受感染的计算机在运行 Blastcln.exe 的同时还运行防病毒程序,防病毒程序可能会检测到 Blaster 病毒或 Nachi 病毒并且可能阻止 Blastcln.exe 删除该病毒。在这种情况下,您可以使用您的防病毒程序来删除 Blaster 或 Nachi。Blastcln.exe 不会携带病毒,因此它本身不会触发您的防病毒程序。但是,如果在安装最新的防病毒程序之前,您的计算机已经感染了 Blaster 蠕虫或 Nachi 蠕虫,并且预定的(或后台)病毒扫描被禁用,则在 Blastcln.exe 尝试删除此蠕虫之前,您的防病毒程序可能不会“意识到”此蠕虫的存在。除了这种情况之外,此工具应该不会与防病毒程序相冲突或干扰防病毒程序。在安装该工具时,不必禁用或删除防病毒程序。

问题 32:该工具如何与 Windows XP 中的“系统还原”功能一起使用?

解答 32:与大多数其他 Windows 软件更新一样,KB833330.exe 在安装时会创建一个还原点。在此工具删除感染的病毒后,如果您使用此(或以前的)还原点,您的计算机可能再次被感染。如果您要在安装此工具后使用“系统还原”功能,请牢记这一点。

问题 33:我可以使用 Microsoft Baseline Security Analyzer (MBSA) 来识别需要此工具的计算机吗?

解答 33:不可以。您可以使用 MBSA 来帮助确定计算机是否安装了 823980 安全更新或 824146 安全更新。但是,MBSA 不能识别感染 Blaster 病毒或 Nachi 病毒的计算机。

问题 34:我可以使用 Microsoft 知识库文章 827363 中介绍的 KB 824146 扫描工具来帮助识别需要此工具的计算机吗?

解答 34:不可以。您可以使用 KB 824146 扫描工具来识别没有安装 823980 (MS03-026) 安全更新或 824146 (MS03-039) 安全更新的计算机。但是,KB 824146 扫描工具不能识别感染 Blaster 病毒或 Nachi 病毒的计算机。

问题 35:运行此工具需要哪些用户权限和其他先决条件?

解答 35:有关先决条件的信息,请参阅“先决条件”一节。

问题 36:“自动更新”未在我的计算机上安装 KB833330 关键更新。另外,我访问 Windows Update 并扫描是否有更新时,KB833330 关键更新不可用于安装。为什么?

解答 36:
为了使 KB833330 关键更新在 Windows Update 上可用并通过“自动更新”安装,您的计算机必须满足本文“先决条件”一节中描述的先决条件。另外,如果已安装 KB833330 关键更新或您的计算机似乎并未感染 Blaster 病毒或 Nachi 病毒,则无法从 Windows Update 或通过“自动更新”安装 KB833330 关键更新。

问题 37:当我尝试使用“添加或删除程序”删除 KB833330 关键更新时,我收到“拒绝访问”错误。如何删除 KB833330 关键更新?

解答 37:在这种情况下,要删除 KB833330 关键更新,请使用安装此工具时所用的用户帐户登录,然后使用“添加或删除程序”删除此工具

问题 38:我从 Microsoft 下载中心下载了 KB833330 关键更新。当我尝试安装它时收到了一个错误,指出 Blastcln.exe 文件正在使用中。我如何安装此工具?

解答 38:如果其他用户已在您的计算机上安装了 KB833330 关键更新,则会出现此问题。在这种情况下,您不必重新安装 KB833330 关键更新。

问题 39:此工具是否将包含在 Windows XP Service Pack 2 (SP2) 中?

解答 39:是的,KB833330 关键更新将作为 Windows XP SP2 安装的一部分运行。但是,Windows XP SP2 Beta 中不包含 KB833330 关键更新。另外,在 Windows XP SP2 Beta 上无法安装 KB833330 关键更新。
MS03-039-based malware uninstaller Windows Blaster Worm Removal Tool (KB833330)
属性

文章 ID:833330 - 上次审阅时间:12/08/2015 05:42:18 - 修订版本: 6.0

, , ,

  • kbnosurvey kbarchive atdownload kbvirus kbinfo KB833330
反馈