Windows.FAQ - Windows が強制シャットダウンされる (Blaster)

■

Windows.FAQ - Windows が強制シャットダウンされる (Blaster 対策ページ)

以下のような症状が発生した場合、RPC (Remote Procedure Call) サービスが異常終了したことを示しています。
この場合「MS03-026: RPC インターフェイスのバッファオーバーランによりコードが実行される (823980)」の脆弱性を利用する Blaster ワームに感染している可能性があります。

Windows XP/Windows Server 2003 の場合
Windows の初期設定で、RPC サービスが停止すると Windows 自体を再起動するようになっているため、以下のメッセージが表示され再起動が行われます。
システムのシャットダウン
システムはシャットダウンされます。進行中の作業をすべて保存し、ログオフしてください。保存されていない情報は失われます。シャットダウンは NT AUTHORITY\SYSTEM によって開始されました。
シャットダウンまで 00:00:59

メッセージ
Remote Procedure Call (RPC) サービスが異常終了したため Windows を再起動する必要があります。
Windows 2000 の場合
Windows の初期設定で、RPC サービスが停止しても何もしないため、メッセージが表示されるだけですが、RPC 停止に伴い副作用が発生します。
svchost - アプリケーションエラー
"0xa9375832" の命令が "0xa937ae43" のメモリを参照しました。メモリが "read" になることはできませんでした。
プログラムを終了するには [OK] をクリックしてください。
または
アプリケーションエラー
エラーが発生したため、svchost.exe を終了します。プログラムをもう一度開始する必要があります。
エラーログを作成しています。
注：このエラーは、RPC サービスをホストしている svchost.exe が異常終了したことを示しています。

RPC サービスが停止すると (RPC サービスをホストしている svchost.exe が異常終了すると) 以下のような現象が発生します。

Internet Explorer でリンクをクリックしても反応しない。
Ctrl+F などを押しても検索画面が表示されない。
「メモリー不足」や「RPC エラー」で特定のアプリケーションが起動しない。
Excel で「OLE は現在使用できません」といわれてファイルを開けない。
コピー＆ペーストやドラッグ＆ドロップができない。
「アプリケーションの追加と削除」の中身が表示されない
システム情報 (msinfo32) にシステムの情報が表示されない。
%Systemroot% や Program Files フォルダを開いても中身が表示されない。

応急処置

マイクロソフトの「MS03-026 に関する情報」からお使いの Windows に対応した修正プログラムをダウンロードします。
ネットワークケーブルを抜き、ダウンロードした修正プログラムをインストールします。
Ctrl+Shift+ESC キーを同時に押し、タスクマネージャを起動します。
[プロセス] タブをクリックし、msblast.exe を選択してから DEL キーをクリックします。
msblast.exe が存在しなければ、以下の措置は不要です。
警告に「はい(Y)」をクリックします。
[スタート]－[ファイル名を指定して実行] から del %Systemroot%\System32\msblast.exe を実行します。
[スタート]－[ファイル名を指定して実行] から regedit を起動します。
HKEY_LOCAL_MACHINE \SOFTWARE \Microsoft \Windows \CurrentVersion \Run を開き、右側に windows auto update 値があれば削除します。
Windows を再起動し、ネットワークケーブルを接続します。

応急処置後の対応

アンチウィルスソフトウェアの定義ファイル/パターンファイルを最新版に更新後、システム全体をスキャンします。
参照：[FAQ] ウィルスやスパイウェアをチェックするには
Windows Update に接続し、すべてのセキュリティ修正を適用します。
マイクロソフト「Blaster に関する情報」に提示された「回避策」のうち、お使いの環境で実施できるものを実行します。

すぐシャットダウンされて修正プログラムが適用できません

Blaster ワームに感染した場合、数分で強制シャットダウンが実行され、対策ができない場合があります。
この場合、以下の手順でシャットダウンを停止してください。

[スタート]－[ファイル名を指定して実行] をクリックし、名前(O)に shutdown -a と記入します。
シャットダウンのカウントダウンが始まるのを待ちます。
ファイル名を指定して実行の「OK」ボタンを押します。

また、次の手順で再起動オプションを変更すると、再起動までの猶予時間を調整できます。

[スタート]－[ファイル名を指定して実行] から services.msc を起動します。
一覧から Remote Procedure Call (RPC) サービスをダブルクリックします。
[回復] タブをクリックし、「コンピュータの再起動オプション(R)」ボタンをクリックします。
猶予時間を調整して「OK」します。

修正のインストール時、Update.inf の整合性を確認できないといわれます

暗号化サービスが正しく動作していない場合、以下のメッセージが表示されます。

Update.infの整合性が確認できませんでした。
暗号化サービスがこのコンピュータで実行されていることを確認してください

暗号化サービスは RPC に依存しているため、RPC が停止した状態では正しい動作は期待できません。ネットワークケーブルを抜き、Windows を再起動してから修正をインストールしてください。それでも問題が継続する場合、以下の FAQ を参照してください。

[FAQ] XP で SP や Hotfix 適用時「Update.inf の整合性を確認できません」エラーが発生します

prefech フォルダに MSBLAST.EXE が残るのですが

Windows XP を使用している場合、アンチウィルス製品による駆除を行っても、%Systemroot%\prefech フォルダに BLAST.EXE-09FF84F2.pf のようなファイルが残る場合があります。
これは、プログラムの起動を高速化するためのプリフェッチファイルなので、削除しなくても問題はありませんが削除してもかまいません。