Passa al contenuto

Il virus Blaster Worm e le sue varianti provocano l'arresto del computer con un messaggio di errore NT AUTHORITY\SYSTEM relativo al servizio Remote Procedure Call (RPC)

  • StampaStampa
Il virus "Blaster Worm" e le sue varianti si stanno diffondendo fra i computer di tutto il mondo e possono interessare qualsiasi sistema Microsoft Windows XP o Windows 2000.
Il presente documento consente di risolvere l'errore associato al virus, di rimuovere il virus dal sistema e di prevenire il ripresentarsi del virus nel futuro.
NOTA:Questi worm sono stati creati per aumentare il traffico web di specifici siti web. Se l'aumento del traffico web si verifica nel sito Microsoft Windows Update, gli aggiornamenti potrebbero richiedere più tempo per essere scaricati, oppure il sito web potrebbe non visualizzare tutti gli aggiornamenti una volta effettuato l'accesso. In tal caso, è necessario essere pazienti e provare a collegarsi al sito in un momento successivo.

Informazioni generali sul virus

Il sistema si arresta automaticamente e, prima dell'arresto del computer, viene visualizzato il seguente messaggio di errore o un messaggio simile:
Il sistema sta per essere arrestato. Salvare tutto il lavoro in corso e chiudere la sessione. Tutte le modifiche non salvate andranno perse. L'arresto è stato iniziato da NT AUTHORITY\SYSTEM. Tempo rimasto prima dell'arresto: Messaggio 00:00:XX: È necessario riavviare Windows perché il servizio Remote Procedure Call (RPC) è terminato in modo imprevisto .
Figura 1: questo è l'aspetto del messaggio di errore:
Potrebbero presentarsi altri sintomi che indicano la presenza del virus, come instabilità, arresti e vulnerabilità del sistema.
L'errore è probabilmente causato da un virus del tipo "worm" noto come Blaster, LoveSan, MSBlaster o Welchia (sebbene possa avere denominazioni diverse e variazioni). Il worm è in grado di sfruttare la vulnerabilità dei computer Microsoft Windows XP o Windows 2000 non protetti. Colpisce i sistemi in cui non è installata la patch di Microsoft MS03-039 . La presenza del file "Msblast.exe" è un'indicazione che il virus è attivo nel vostro computer. Tuttavia, questo file non è presente in tutte le variazioni del worm. Anche se questo file non si trova nel vostro computer, il worm potrebbe essere comunque presente nel sistema.
Per aggiornare il vostro computer con la più recente security patch di Microsoft ed eliminare il virus dal vostro sistema, utilizzare la seguente procedura.

Eliminazione del virus-worm

Utilizzare i passaggi elencati di seguito per impedire il riavvio del computer, per rimuovere il virus e per impedire che il virus infetti nuovamente il computer. HP non garantisce il successo di questa procedura, poiché il virus potrebbe esistere in forme diverse.
NOTA:Per eseguire i passaggi elencati di seguito è necessario un software di ricerca virus (Norton AntiVirus o McAfee VirusScan); è inoltre necessario che l'utente che avvia il processo disponga dei diritti di amministratore.
NOTA:Se il computer riceve assistenza tecnica specializzata o se è stato eseguito il ripristino del sistema, il software viene ripristinato alla configurazione originale. Ciò significa che il sistema torna alle condizioni originali d'acquisto. Tutti gli aggiornamenti per software e driver installati in seguito alla prima accensione andranno persi. Nella condizione di prodotto appena acquistato, il computer è più vulnerabile ai virus, dato che tutti gli aggiornamenti di sicurezza precedentemente installati sono stati rimossi. Attenersi alla procedura riportata in questa sezione, se il computer ha ricevuto assistenza specializzata o se è stato eseguito il ripristino del sistema.
  1. Fare clic su Start/Avvio , Esegui e quindi digitare: shutdown -a .
    Questa procedura impedisce che il sistema venga riavviato per il tempo necessario a scaricare e installare l'aggiornamento per la protezione di Microsoft Windows.
  2. Fare clic su OK .
  3. Se il comando "shutdown -a" non è sufficiente a impedire al computer di riavviarsi, utilizzare i passaggi elencati di seguito:
    1. Fare clic su Start/Avvio , Esegui e quindi digitare: services.msc .
    2. Fare clic su OK .
      Viene visualizzata la finestra Services.
    3. Fare doppio clic su Remote Procedure Call (RPC) e selezionare la scheda Recovery (Ripristino) . Fare attenzione a NON utilizzare erroneamente Remote Procedure Call (RPC) Locator.
      Figura 2: servizio Remote Procedure Call
    4. Impostare le voci First Failure (Primo Errore) , (Second Failure) Secondo Errore e Subsequent Failures (Errori successivi) su Take No Action (Nessuna azione) .
    5. Fare clic su OK per confermare queste impostazioni.
  4. Installare gli aggiornamenti rilevanti più recenti utilizzando Windows Update. Per ulteriori informazioni consultare il sito: Bollettino sulla protezione di Microsoft: MS03-039 e Come utilizzare Windows Update .
    NOTA:Questi worm sono stati creati per aumentare il traffico web di specifici siti web. Se l'aumento del traffico web si verifica nel sito Microsoft Windows Update, gli aggiornamenti potrebbero richiedere più tempo per essere scaricati, oppure il sito web potrebbe non visualizzare tutti gli aggiornamenti una volta effettuato l'accesso. In tal caso, è necessario essere pazienti e provare a collegarsi al sito in un momento successivo.
  5. Rimuovere il worm utilizzando il proprio software antivirus. Per procedere in questo modo, ottenere l'ultima definizione virus disponibile, quindi eseguire una scansione. Utilizzare i seguenti collegamenti per individuare gli strumenti per la rimozione del softare e informazioni più dettagliate sulla rimozione di questo worm e le relative varianti:
    Se la procedura è stata eseguita correttamente, il virus sarà ora stato rimosso e il computer sarà protetto. Se la procedura non risolve il problema, contattare Microsoft e il fornitore del proprio software antivirus per ulteriore assistenza.
  6. Se si è utilizzato il comando "services.msc" (nel modo illustrato al passaggio 3) per impedire il riavvio del computer, ripristinare le impostazioni originarie della scheda Ripristino della finestra RPC nel modo seguente:
    1. Fare clic su Start/Avvio , Esegui e quindi digitare: services.msc .
    2. Fare clic su OK .
    3. Fare doppio clic su Remote Procedure Call (RPC) e selezionare la scheda Recovery (Ripristino) . Fare attenzione a NON utilizzare erroneamente Remote Procedure Call (RPC) Locator.
      Figura 3: servizio Remote Procedure Call
    4. Impostare le voci First Failure (Primo Errore) , (Second Failure) Secondo Errore e Subsequent Failures (Errori successivi) su Restart the Computer (Riavvia il computer) .
    5. Fare clic su OK per confermare queste impostazioni.
      NOTA:Si suggerisce anche di aprire Ripristino configurazione di sistema e cancellare le date registrate mentre il virus era attivo. Questo accorgimento evita che il computer venga infettato nuovamente con l'utilizzo di Ripristino configurazione di sistema. Per aprire Ripristino configurazione di sistema, fare clic su Start/Avvio , Tutti i programmi , Accessori , Strumenti del sistema e quindiRipristino configurazione di sistema .

Informazioni di supporto correlate

NOTA:Alcuni dei precedenti collegamenti fanno riferimento a pagine esterne al sito Web di Hewlett-Packard. HP non esercita alcun controllo sulle informazioni esterne al proprio sito Web e non se ne assume alcuna responsabilità.

Collegamenti per il supporto

Forum dell'assistenza HP

Trova soluzioni e collabora con altri nel Forum dell'assistenza HP
    HP su YouTube