โดยคุณ  `Innocent` (bestkung)  คับ
ปัญหาการปิดเครื่องอัติโนมัติ - RPC RPC EXPLOIT/REMOTELY RESTARTING
ผลสืบเนื่องมาจาก W32.Blaster.Worm ไวรัส!!!!!!!!
W32.Blaster.Worm เป็นไวรัสที่มีความสามารถเข้าถึง DCOM RPC โดยใช้ TCP port 135. โดยจะดาวน์โหลดตัวเอง และรัน msblast.exe
----------------------------------------------
กด CTRL+ALT+DELETE แล้วหา MSBLAST.EXE จาก Process List แล้วลบมันซะ -"-
จากนั้นไปที่ c:\windows\system32 หา MSBLAST.EXE แล้วเปลี่ยนชื่อเป็น BLASTMS.BAK (** เพิ่มเติมสำหรับคนที่แก้ไม่ได้ให้
ไปที่ Run พิมพ์ MsConfig ไปที่ Tap StartUp แล้วหา msblast.exe คลิกเครื่องหมายถูกออกแล้ว Reset เครื่องอีกครั้ง) แล้วลองมาปลี่ยน
หรือลบซะ - -"
จากนั้นเข้าไปที่ c:\windows\prefetch แล้วหา MSBLAST.EXE ลบมันซะ (หรือชื่อคล้ายๆ มันก็ลบทิ้งเลย นามสกุล .pf ก็มี)

ไวรัสตัวนี้อาจเข้าไปฝังใน Register ซึ่งเราสามารถแก้ได้โดย
1. ไปที่ Start > Run พิมพ์ Regedit
2. แล้วไปที่ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
(** หรือสำหรับคนที่ขี้เกียจหา ไปที่ Edit เลือก Find แล้วพิมพ์ msblast ลงไป)
3. ตรงช่องด้านขวาถ้าเจอ "windows auto update"="msblast.exe" ลบซะ (ดูด้านซ้ายด้วยก็ได้)

หลังจากนั้นไปโหลดตัวแก้ Bug นี้  เตรียมไว้แล้ว
สำหรับคนที่ไม่มี SP1 (Windows XP ธรรมดา) ไปที่
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en
สำหรับคนที่มี SP1 (Windows XP Service Pack 1) ไปที่
http://securityresponse.symantec.com/avcenter/security/Content/8205.html
(สำหรับคนที่ใช้นอร์ตันนี้ให้อัพเดตตัวไฟล์ชื่อไวรัสใหม่ด้วยคับไม่งั้นมันจะลบเวิร์มตัวนี้ไม่ได้แล้วค่อยโหลดตัวไฟล์นี้ไปลงอีกทีคับ)

ลักษณะอาการนี้เลยคับแสดงว่าโดนชัวร์แล้วให้ไป d/l patch มาแก้ที่นี่ครับ
http://www.msfn.org/
หรือที่นี่
http://microsoft.com/downloads/details.aspx?FamilyId=2354406C-C5B6-44AC-9532-3DE40F69C074&displaylang=en
อ้อ ขณะที่ต่อเนตอยู่และโหลดอยู่หากมันขึ้นมา ให้ คลิก run พิมพ์ shutdown -a แล้วก็กด OK มันจะหายไปคับ

เวิร์มตัวนี้คาดว่าต่อเนตไว้เฉยๆก็มีสิทธิโดนได้(เช่นผมเอง55555) ส่วนwindow อื่นๆยังไม่ได้ยินข่าวว่าโดนเวิร์มตัวนี้คับ

http://www.pantip.com/tech/software/topic/SA1314295.html

แหะๆ คุณ sam คับสแกนไปรอบนึงแล้วยังเจอมันอีกนี่ กรณีนี้ของผมก็ไม่ทราบเหมือนกันคับว่าจะแก้ยังไงต่อ แต่อยากแนะนำว่าให้ลองใช้นอร์ตัน2003อัพเดตไฟล์ข้อมูลไวรัสล่าสุดแล้วสแกนดูอีกครั้งคับเพราะของผมก้ต้องสแกน2ครั้งคับถึงกำจัดได้หมด เพราะเวิร์มมันเปลี่ยนชื่อตัวเองได้ด้วยคับแต่ว่าขอย้ำอีกนิดนึงคับ "ขณะที่ต่อเนตอยู่และโหลดอยู่หากมันขึ้นมา ให้ คลิก run พิมพ์ shutdown -a แล้วก็กด OK มันจะหายไปคับ "

http://thaicert.nectec.or.th/advisory/alert/blaster.php
การแก้ไขปัญหาอย่างค่อนข้างละเอียดคับ