Re: 【求救】 rpc (remote procedure call)服务意 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: hawk (happyesen), 信区: Security
标  题: Re: 【求救】 rpc (remote procedure call)服务意外终止
发信站: 荔园晨风BBS站 (Wed Jun 28 09:26:15 2006), 站内

出现这种情况的根本原因是所有以NT技术为内核的操作系统（包括NT/2000/xp 32bit,6
4bit/Server 2003 32bit,64bit）的RPC都存在一个严重的漏洞。攻击者只要通过向这些
计算机的特定端口发送格式错误的RPC数据包，就会引起被攻击计算机的RPC服务崩溃并
强迫用户重新启动计算机。

目前，已经有越来越多的病毒和蠕虫开始利用微软的这个漏洞。早在近一个月前微软就
发现了这个漏洞并发布了补丁，但是仍然有大量用户对此漏洞的危害性认识不够。最近
两天，国内外大量用户纷纷受到利用这个漏洞的蠕虫程序的严重影响，个人用户轻则无
法正常使用计算机，重则导致windows服务器系统随意重启、导致网络瘫痪。在此我把我
个人遇到这个问题的解决经验与大家分享，希望您能对这个问题给予足够重视，赶快采
取相应措施！

如果您遇到自动关机提示框...

1.在自动重启前，立刻在“开始－运行”中输入命令"shutdown.exe -a"（不包括引号）
，强行禁止自动关机。

2.立刻去微软网站下载对应操作系统版本的补丁，安装后重启。您可以使用WindowsUpd
ate功能，下载补丁号为823980的关键更新。

3.去反病毒厂商网站下载此类蠕虫病毒专杀程序，删除在本地硬盘上的病毒残体。

3.如果您暂时不能下载到补丁程序，请采取如下措施做临时防护：

a.请在网络防火墙中屏蔽“135 139 445”三个端口，来防止病毒的攻击

b.进入“控制面板－管理工具－服务－Remote Procedure Call (RPC)”的属性－恢复中
，将其下所有选择框中的服务失败反应选择为“重新启动服务”，这样可以避免服务崩
溃后重启计算机。

再次提醒各位要给予这个问题足够重视，立刻下载补丁做好防范！

补丁下载地址（请注意相应的语言版本）

Windows 2000：

http://microsoft.com/downloads/details.aspx?FamilyId=C8B8A846-F541-4C15-8C9F
-220354449117&displaylang=en

Windows XP 32 bit Edition：

http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532
-3DE40F69C074&displaylang=en

WORM_MSBLAST.A

风险指数:

病毒种类:   蠕虫

具破坏性:   不会

别名:

仇恨者, W32.Blaster.Worm, W32/Lovsan.worm, Lovsan

说明:

这是一个利用RPC DCOM缓冲溢出漏洞的蠕虫。此缓冲溢出漏洞可以允许一个攻击者在目
标机器上获得完全的权限并且可以执行任意的代码。

此蠕虫会持续扫描具有漏洞的系统，并向具有漏洞的系统的135端口发送数据。在以下的
系统日期，该蠕虫会发动对windowsupdate.com的DDos攻击:

以下月份的16日至31日:

一月

二月

三月

4月

五月

六月

七月

八月

或是九月至十二月的任意一天

RPC DCOM缓冲溢出漏洞的详细信息, 请访问以下微软网页：

Microsoft Security Bulletin MS03-026

解决方案:

自动清除步骤

为从系统中自动删除该恶意程序，请使用 Trend Micro System Cleaner.

手动清除步骤

终止恶意程序

此步骤用于中止内存中运行的恶意程序进程。

打开Windows任务管理器

Windows 95/98/ME系统, 按

CTRL+ALT+DELETE

Windows NT/2000/XP系统, 按

CTRL+SHIFT+ESC,然后单击进程选项卡

在运行的程序清单中*, 查找如下进程:

MSBLAST.EXE

选择恶意程序进程，然后按“终止任务”或是“中止进程”按钮。

为确认恶意程序进程是否中止，请关闭任务管理器并再次打开

关闭任务管理器

删除注册表中的自启动项目

删除注册表中的自启动项目可以阻止恶意程序在系统启动时运行

单击开始>运行, 输入 Regedit, 然后按 Enter 键打开注册表管理器

在左边的列表中双击以下项目：

HKEY_LOCAL_MACHINE>Software>Microsoft>

Windows>CurrentVersion>Run

在右边的列表中查找并删除以下项目

Windows auto update" = MSBLAST.EXE

关闭注册表编辑器

注意: 如果之前没有终止恶意程序进程，请重启您的系统

【在 lifeng (蜜蜂) 的大作中提到: 】
: 最近,我的电脑遭遇了 rpc (remote procedure call)服务意外终止,系统将在60秒内重启
。重启时电脑很慢，大约4－5分钟才能启动。我尝试关闭remote procedure call 服务，但
是不能进行操作，被窜改了！
:   我重装系统都不能解决!!重装后我没有连网线，所以不存在再次中毒的可能。
: 哪位大侠救救我啊！！！！

--
许下我1001个愿望              ╔════╤════╗
                              ║我﹍    │永远    ║
                              ║  这┈┈│┇只┊┊║
wish亲爱的snow天天开心!       ║壹┈辈┈│┊爱┊┊║
                              ║┈子┈┈│  你    ║
                              ║命中注定⊥ 一个人 ║

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.39.21]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店