Salte al contenido

El gusano-virus Blaster o sus variantes fuerzan el apagado del equipo mostrar un mensaje de error del servicio de llamada a procedimiento remoto (RPC) NT AUTHORITY\SYSTEM

  • ImprimirImprimir
El gusano-virus "Blaster" y sus variantes afectan a la industria de equipos personales al completo y puede ejecutarse en cualquier sistema informático que utilice Microsoft Windows XP o Windows 2000.
Este documento le ayudará a solucionar el error provocado por el virus, eliminar el virus del sistema y evitar que el virus vuelva a infectar el sistema.
NOTA:Estos gusanos están diseñados para aumentar el tráfico de Web a sitios Web objetivos. Si en el sitio de Actualizaciones de Microsoft Windows ocurre un aumento en el tráfico de Web, puede tardar bastante tiempo descargar sus actualizaciones o es posible que el sitio Web no se abra cuando intente acceder a él. Si esto sucede, sea paciente e intente conectarse al sitio en otro momento.

Descripción general del gusano-virus

El siguiente mensaje de error u otro similar aparecerá antes de producirse el apagado automático del sistema:
Se está apagando el sistema. Guarde todo trabajo en curso y cierre la sesión. Se perderá cualquier cambio que no haya sido guardado. El apagado ha sido iniciado por NT AUTHORITY\SYSTEM. Tiempo restante para el apagado: 00:00:XX Mensaje: Windows debe reiniciar ahora porque el servicio de llamada a procedimiento remoto (RPC) terminó de forma inesperada.
figura 1: Mensaje de error que aparecerá
Otros síntomas posibles pueden ser inestabilidad, caída y vulnerabilidad del sistema.
Es probable que este error sea provocado por un virus de tipo gusano llamado Blaster, LoveSan, MSBlaster o Welchia (también puede tener otros nombres y variaciones). Este gusano puede aprovecharse de una vulnerabilidad de seguridad en equipos no protegidos que utilicen Microsoft Windows XP o Windows 2000. Afecta sistemas sin el parche Microsoft: MS03-039 (en inglés) instalado. Si encuentra el archivo "Msblast.exe" es un indicador de que el virus está activo en el equipo. Sin embargo, este archivo no está presente en todas las variantes del gusano. Si no encuentra este archivo en su equipo, es posible que el gusano resida de todas maneras en el sistema.
Use los pasos que se indican a continuación para actualizar su equipo con los parches de seguridad más recientes de Microsoft y para eliminar el virus del sistema.

Cómo deshacerse del gusano-virus

Utilice los pasos siguientes para evitar que se reinicie el ordenador, para eliminar el virus y evitar que vuelva a infectar el equipo. HP no garantiza el éxito de este procedimiento, ya que el virus puede existir en diferentes formas.
NOTA:Los pasos siguientes requieren que tenga instalado un software de exploración contra virus (Norton AntiVirus o McAfee VirusScan) y que el usuario conectado al sistema tenga privilegios administrativos de Windows XP.
NOTA:Cuando el equipo recibe servicio o cuando se ejecuta una recuperación de sistema, the software regresa a su configuración original, es decir, se ajusta a la misma condición que tenía cuando el equipo fue adquirido. Se pierden todas las actualizaciones de software y controladores que ha instalado en su equipo desde que lo encendió por primera vez. En esta condición como nuevo, el equipo es más susceptible a los virus porque se han extraído todas la actualizaciones instaladas previamente. Lleve a cabo los pasos que se indican en esta sección después de que el equipo regrese del servicio o luego de ejecutar una recuperación de sistema.
  1. Haga clic en Inicio, Ejecutar y escriba: shutdown -a
    Esto evitará que el sistema se reinicie de forma automática para darle tiempo suficiente para descargar e instalar la actualización de seguridad de Microsoft.
  2. Haga clic en OK.
  3. Si el comando "shutdown -a" no evita que el equipo se reinicie, siga los pasos siguientes:
    1. Haga clic en Inicio, Ejecutar y escriba: services.msc.
    2. Haga clic en OK.
      Aparecerá una ventana de Servicios.
    3. Haga doble clic en Llamada a procedimiento remoto (RPC) y seleccione la ficha Recuperación. Asegúrese de no utilizar el elemento Remote Procedure Call (RPC) Locator o Localizador de llamadas a procedimiento remoto.
      figura 2: Servicio Llamada a procedimiento remoto (RPC)
    4. Configure los elementos First Failure(Primera falla), Second Failure(Segunda falla), y Subsequent Failures (Siguientes fallas) en Take No Action(No realizar acciones).
    5. Haga clic en OK (Aceptar) para aplicar la configuración.
  4. Instale las actualizaciones más recientes utilizando Windows Update. Para obtener más información, consulte las siguientes páginas: Boletín de seguridad de Microsoft: MS03-039 (en inglés) y Cómo utilizar Windows Update.
    NOTA:Estos gusanos están diseñados para aumentar el tráfico de Web a sitios Web objetivos. Si en el sitio de Actualizaciones de Microsoft Windows ocurre un aumento en el tráfico de Web, puede tardar bastante tiempo descargar sus actualizaciones o es posible que el sitio Web no se abra cuando intente acceder a él. Si esto sucede, sea paciente e intente conectarse al sitio en otro momento.
  5. Elimine el gusano con su software antivirus. Para ello, obtenga las definiciones de virus más recientes y realice una exploración. Para conocer las herramientas de eliminación de software y obtener información más detallada sobre cómo eliminar este gusano y sus variantes, use los siguientes enlaces:
    El equipo debería ahora estar limpio y protegido. Si los pasos anteriores no solucionan el problema, póngase en contacto con Microsoft y con su proveedor de software antivirus para obtener más asistencia técnica.
  6. Si utilizó el comando "services.msc" (como describe el Paso 3 anterior) para evitar que el equipo se reinicie, restaure la configuración de recuperación de RPC para dejarla como estaba del siguiente modo:
    1. Haga clic en Inicio, Ejecutar y escriba: services.msc.
    2. Haga clic en OK.
    3. Haga doble clic en Llamada a procedimiento remoto (RPC) y seleccione la ficha Recuperación. Asegúrese de no utilizar el elemento Remote Procedure Call (RPC) Locator o Localizador de llamadas a procedimiento remoto.
      figura 3: Servicio Llamada a procedimiento remoto (RPC)
    4. Configure los elementos First Failure(Primera falla), Second Failure(Segunda falla), y Subsequent Failures (Siguientes fallas) en Restart the Computer(Reiniciar el equipo).
    5. Haga clic en OK (Aceptar) para aplicar la configuración.
      NOTA:También es buena idea abrir System Restore (Restauración de sistema) y eliminar las fechas que transcurrieron mientras el virus estuvo activo. Esto evita que el equipo se vuelva a infectar cuando se utilice Restauración de sistema. Para abrir System Restore, haga clic en Inicio, Todos los programas, Accesorios, Herramientas del sistema y luego Restauración de sistema.
NOTA:Uno o varios de los enlaces anteriores harán que salga del sitio Web de Hewlett-Packard. HP no controla ni se hace responsable de la información encontrada fuera del sitio Web de HP.

Los clientes que han consultado esta solución también encontraron útiles los siguientes documentos

Enlaces de soporte relacionados

Foros de HP Support

Encuentre soluciones y colabore con otras personas en el Foro de usuarios de HP
    HP en YouTube