help

紫色蝙蝠

我的电脑是装的XP操作系统,最近老是出现一个问题，并且是居域网内机子都是出现这个毛病.
毛病是:
出现一个对话筐,说 你的电脑将在一分钟之内重新启动,重新启动是由NT AUTHORITY/SYSTEM初始引起的,
REMOTE PROCEDURE CALL(PRC)出现问题,请尽快保留程序,以免丢失.
请问个位高手,这是怎么回事,怎么解决.
谢谢!

孤独穷少爷

我是用金山毒霸关的，杀毒软件一般都可以查看端口开放跟关闭

2434

冲击波病毒，去微软主页下载补丁。

天人侠

打补丁就可以了

紫色蝙蝠

去那里下，请告诉详细地址.

孤独穷少爷

8月3日严重病毒通告(有关XP自动重启)
8月3日该病毒开始大规模传播并且发作,现象是(2000Server/WinXp/Server2003)出现Rpc错误,计算机强制重新启动

此病毒传播较快，可能上千人了,各个反病毒厂商正在努力斗争中……
请大家立即安装补丁程序或关闭DCOM组件（看 http://www.antivirus-china.org.cn/content/rpc.htm ）
请按照操作系统版本下载相应的补丁，如果已经中毒，请杀毒
金山毒霸组已经推出专杀，看 http://www.duba.net/download/3/91.shtml
瑞星专杀工具：http://it.rising.com.cn/service/technology/RS_blaster.htm
再后说明一下今天我升级了诺顿,已可查杀此病毒

有人在水区反应这样马上防止重启，再说明一下
使机器不再重启（这步很重要，否则只要一上网，系统无休止的重启）：
1、右键单击“我的电脑”－“管理”－“服务”

2、在其中找到Remoter Procedure Call(RPC)项，在此项上点击右键，在弹出菜单中选择属性，再选择“恢复”卡片，在“第一次失败”、“第二次失败”和“后续失败”的下拉框中选择“不操作”，再单击确定。

3：裝了补丁后再恢复原来
病毒对应的补丁程序
http://microsoft.com/downloads/details.aspx?displaylang=zh-cn&FamilyID=2354406C-C5B6-44AC-9532-3DE40F69C074
如果你没有能下到补丁，请看下面的补救方法，或者用网络防火墙关闭“135 139 445”三个端口，来防止病毒的攻击
还有一个不好的解决方案是：“先在“运行”中输入“Dcomcnfg.exe”，确定后点击“组件服务”，再双击“计算机”，出现“我的电脑”，右键“我的电脑”属性，在“默认属性”中取消在此计算机上启用分布式COM（E）。
金山公司通告
　　金山毒霸反病毒中心于8月3日截获最新蠕虫病毒，命名为“流言”(Worm.SdBotRPC)。蠕虫病毒利用微软操作系统平台上RPC系统服务的漏洞正在大规模传播。
　　据金山毒霸反病毒工程师介绍：该蠕虫病毒利用RPC的DCOM接口的漏洞，向远端系统上的RPC系统服务所监听的端口发送攻击代码，从而达到传播的目的。受感染的系统向。IRC是比较常用的聊天工具，这次它又成为了病毒攻击的对象和帮凶。蠕虫会利用IRC聊天工具在受感染的机器上留后门，等待远端控制者的命令，或是通过IRC进行病毒的升级等操作。
　　金山毒霸反病毒工程师提醒：请赶快到以下地址下载微软的补丁程序，避免此漏洞带来的危害：
　　http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-026.asp（我打不开，还是用上面给的吧）
中国计算机病毒处理中心通告
微软公司发布关于RPC 接口中 远程任意可执行代码漏洞（823980）通告 　 国家计算机病毒应急处理中心根据微软公司发布的通告，即关于RPC 接口中远程任意可执行代码漏洞（823980），向计算机用户发出预警。如果成功利用此漏洞，攻击者就有可能获得对远程计算机的完全控制，并以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作，如安装程序、查看或更改、删除数据、重新格式化硬盘或建立系统管理员权限的帐户.
Microsoft RPC接口远程任意代码可执行漏洞受影响的软件：
Microsoft Windows NT 4.0 .
Microsoft Windows NT 4.0 Terminal Services Edition .
Microsoft Windows 2000 .
Microsoft Windows XP Microsoft Windows Server 2003 .
漏洞描述.
RPC（Remote Procedure Call）是 Windows 操作系统使用的一个远程过程调用协议。RPC 提供了一种进程间的通信机制，通过这一机制，允许在某台计算机上运行的程序顺畅地在远程系统上执行代码。协议本身源自OSF（开放式软件基础）RPC 协议，但增加了一些 Microsoft 特定的扩展 。.
RPC 中处理通过 TCP/IP 的消息交换的部分有一个漏洞。此问题是由错误地处理格式不正确的消息造成的。这种特定的漏洞影响DCOM （分布式组件对象模型） 与 RPC 间的一个接口，该接口侦听TCP/IP 端口135，用于处理由客户端机器发送给服务器的DCOM对象激活请求（如UNC路径）。.
该漏洞实际上是一个缓冲区溢出漏洞，成功利用此漏洞的攻击者有可能获得对远程计算机的完全控制，可以以本地系统权限执行任意指令。攻击者可以在系统上执行任意操作，如安装程序、查看或更改、删除数据、重新格式化硬盘或建立系统管理员权限的帐户。.
在利用该漏洞时，攻击者需要发送特殊形式的请求到远程机器上的135端口。从而造成目标计算机受制于人，攻击者可以在它上面执行任意代码。 .
不同于以往发现的安全漏洞，该漏洞不仅影响作为服务器的Windows系统，同样也会影响个人电脑，所以潜在的受害者数量非常多。 .
DCOM （分布式对象模型） .
分布式对象模型（DCOM））是一种能够使软件组件通过网络直接进行通信的协议。DCOM 以前叫做“网络 OLE”，它能够跨越包括 Internet 协议（例如 HTTP）在内的多种网络传输。可以从以下网站查阅有关 DCOM 的详细信息：http://www.microsoft.com/com/tech/dcom.asp .
RPC（远程过程调用） .
远程过程调用（RPC）是一种协议，程序可使用这种协议向网络中的另一台计算机上的程序请求服务。由于使用 RPC 的程序不必了解支持通信的网络协议的情况，因此 RPC 提高了程序的互操作性。在 RPC 中，发出请求的程序是客户程序，而提供服务的程序是服务器。 .
防范措施： .
下载安装相应的补丁程序： .
Microsoft已经为此发布了一个安全公告（MS03-026）以及相应补丁，请尽快下载安装。 http://www.microsoft.com/technet/security/bulletin/.
MS03-026.asp 您也可以到我们的网站上下载相关的安全补丁： .
winnt .
win2000 .
winxp .
win2003 .
在防火墙上封堵 不必要的端口.
135端口用于启动与远程计算机的 RPC 连接。连接到Internet的计算机应当在防火墙上封堵 135 端口，用以帮助防火墙内的系统防范通过利用此漏洞进行的攻击。 .
使用防火墙关闭所有不必要的端口，漏洞不仅仅影响135端口，还影响到大部分调用DCOM函数的服务端口，建议用户使用网络或是个人防火墙过滤以下端口： .
135/TCP epmap .
135/UDP epmap .
139/TCP netbios-ssn .
139/UDP netbios-ssn .
445/TCP microsoft-ds .
445/UDP microsoft-ds .
593/TCP http-rpc-epmap .
593/UDP http-rpc-epmap .
有关为客户端和服务器保护 RPC 的详细信息，请访问： http://msdn.microsoft.com/library/default.asp?url= /library/en-us/rpc/rpc/ writing_a_secure_rpc_client_or_server.asp .
有关 RPC 使用的端口的详细信息，请访问： http://www.microsoft.com/technet/prodtechnol/ windows2000serv/reskit/tcpip/part4/tcpappc.asp .
手动为计算机启用（或禁用） DCOM： .
运行 Dcomcnfg.exe。 .
如果您在运行 Windows XP 或 Windows Server 2003，则还要执行下面这些步骤： 单击“控制台根节点”下的“组件服务”。 .
打开“计算机”子文件夹。 .
对于本地计算机，请以右键单击“我的电脑”，然后选择“属性”。 .
对于远程计算机，请以右键单击“计算机”文件夹，然后选择“新建”，再选择“计算机”。.
输入计算机名称。以右键单击该计算机名称，然后选择“属性”。.
选择“默认属性”选项卡。 .
选择（或清除）“在这台计算机上启用分布式 COM”复选框。

就是这么回事，你自己琢磨吧！！！！有什么不懂再来OK

紫色蝙蝠

谢谢,非常感谢1

紫色蝙蝠

那个DOC分布什么的，到底是要起用还是禁用啊,还有，如何设置防火墙的端口过滤呢，我用的是天网

Rose

那种方法不是很管用，我也碰到过，你试一下这种方法：首先在启动计算机时进入安全模式，然后打开C盘，搜索“msblast.exe"，然后将这文件删掉，再到微软网站下载补丁程序。然后再去瑞星网站下载专门的RPC蠕虫病毒杀毒程序，若你安装了瑞星个人防火墙，则要再进行设置。若是只在RPC里修改，虽然不会关机，但病毒不会清除，你使用计算机还是会受到很大影响。你也可以去瑞星网站看具体操作方法。

孤独穷少爷

to:Rose你说的太不具体了!我来给你做个补充.
冲击波病毒手工解决法
1进安全模式,打开任务管理器，找到名为：“msblast.exe”的进程，然后将之终止；然后到系统目录下直接删除该病毒文件；最后利用注册表编辑工具进入HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项，删除掉 “windows auto update”键值即可完全清除该病毒。
清除了病毒还要打rpc漏洞补丁,为了不再让病毒进入关掉端口135.139.445.
因为有这三个端口,仍旧可以远程溢出rpc漏洞,所以光打补丁还是没用的

紫色蝙蝠

能不能告诉我怎么关这些端口呢,是不是要加什么新的规则进防火墙.

紫色蝙蝠

谢谢!

飘

呵,这里高手如云!!!
我们这的电脑也被冲击波骚扰过,
幸好只有一台!!!!

孤独穷少爷

高手不敢当大家交流交流而已！！！