遺漏系統管理共用時可能發生的問題概觀

本文提供系統管理共用遺失時可能發生之問題的解決方案。

原始 KB 編號： 842715

摘要

本文說明計算機上遺失一或多個隱藏系統管理共用時可能發生的徵兆。 本文也提供如何解決此問題的相關信息。

如果您已經判斷您的電腦遺漏了一或多個隱藏的系統管理共用，請參閱和一節。 發現遺漏的系統管理共用通常表示有問題的電腦已遭到惡意軟體入侵。 建議使用者在遭入侵的伺服器上格式化並重新安裝 Windows。

徵兆

當系統管理共用遭到移除或電腦遺失時，您可能會遇到各種問題。

如果您使用 net share 命令或 MPSReports，輸出可能會顯示您的電腦遺漏 IPC$、ADMIN$或 C$ 共用。 如果您重新建立遺失的共用，下一次啟動或登入之後可能會再次遺失該共用。 即使您將 AutoShareServer 和 AutoShareWks 登錄 DWORD 值設定為 1，也可能會發生此問題。

您可能會發現從 [啟動] 資料夾或 登入中的 [執行 ] 機碼開始的未知進程。 防病毒軟體可能會偵測病毒、蠕蟲、特洛伊木馬程式或後門。 或者網頁伺服器上的 FTP 根目錄可能會填入未知的檔案。

下列清單是與此問題相關聯的問題行為的完整清單。

• 如果受影響的計算機是域控制器，您可能會在網路登入期間或嘗試加入網域的期間，在用戶端電腦上收到錯誤訊息。 有時候，您可以使用用戶端電腦登入，但您可能會收到類似下列任一錯誤訊息：

  • 您提供的網域密碼不正確，或登入伺服器的存取遭到拒絕。

  • 登入伺服器無法辨識您的網域密碼，或拒絕存取伺服器。

  • 沒有登入伺服器可供服務登入要求。

    當您試著加入網域時，可能會收到類似下列的錯誤訊息：

    嘗試加入網域 『Domain_Name』時發生下列錯誤：找不到網路名稱。

• 當您嘗試使用 UNC 路徑、對應磁碟驅動器、net use 命令、net view 命令，或在網路鄰里或我的網路位置瀏覽網路，嘗試從遠端存取或檢視受影響的計算機時，您可能會收到類似下列其中一項的錯誤訊息：

  • 伺服器未針對交易進行設定。

  • 發生系統錯誤 53。 找不到網路路徑。

  • 無法存取Domain_Name 。

• 當您嘗試在域控制器上執行系統管理工作時，可能會收到錯誤。 例如，MMC 嵌入式管理單元，例如 Active Directory 使用者和電腦 或 Active Directory Sites and Services 可能無法啟動，而且您可能會收到類似下列錯誤訊息：

  無法找到命名信息，因為：登入嘗試失敗。

• 當您嘗試將使用者新增至安全組時，您可能會收到類似下列的錯誤訊息：

  對象選擇器無法開啟，因為找不到要從中選擇要選擇物件的位置。

• 當您嘗試執行Netdom.exe尋找 FSMO 角色時，您可能會收到類似下列錯誤訊息：

  無法更新密碼。 提供做為目前密碼的值不正確。

• 當您嘗試執行Dcdiag.exe時，您可能會收到類似下列錯誤訊息：

  失敗，67：找不到網路名稱

  來自Dcdiag.exe的結果也可能列出類似下列的LDAP系結錯誤：

  LDAP 系結失敗，錯誤 1323。

• 當您嘗試執行Netdiag.exe時，您可能會收到類似下列的錯誤訊息：

  DC 清單測試。 . . . . . . . . . . 失敗：
  無法使用瀏覽器列舉DC。 [NERR_BadTransactConfig]

• 如果您在嘗試連線到受影響的電腦時執行網路追蹤，您可能會看到類似下列結果：

  C session setup & X, Username = username, and C tree connect & X, Share = \\<Server_Name>\IPC$  
  R session setup & X - DOS Error, (67) BAD_NET_NAME
  

• 在伺服器上，WINS 服務可能無法啟動，或 WINS 控制台可能會顯示紅色 X 或兩者。

• 類似下列事件的 NetBT 4311 事件可能會記錄在 事件檢視器：

  事件標識碼：4311
  事件來源：NetBT
  事件類型：錯誤
  描述：初始化失敗，因為無法建立驅動程式裝置

• 終端機服務授權主控台可能無法啟動，而且您可能會收到類似下列的錯誤訊息：

  • 目前網域或工作組中沒有可用的終端機服務授權伺服器。 若要連線至另一部授權伺服器，請按兩下 [授權]，按兩下 [連線]，然後按兩下伺服器名稱。

  • 網路地址無效

原因

在惡意程式移除執行 Windows Server 之電腦上的系統管理共享之後，可能會發生這些問題。

惡意用戶經常會利用弱式密碼、遺失安全性更新、直接暴露計算機到因特網，或這些因素的組合，來連線到這些系統管理共用。 惡意使用者接著會安裝惡意程式，以擴大其對計算機和計算機網路其餘部分的影響。 在許多情況下，這些惡意程式會移除系統管理共用作為防禦性舉措，以防止其他競爭的惡意使用者控制受感染的系統。

其中一個惡意程式感染可以直接來自因特網，或來自受感染之局域網路上的另一部計算機。 它通常表示網路上的安全性很弱。 因此，如果您看到這些徵兆，建議您使用防病毒軟體和間諜軟體偵測工具，檢查網路上所有其他計算機是否有惡意程式。 我們也建議您執行安全性分析，以識別網路上的弱點。 如需如何偵測惡意程式以及如何分析網路安全性的資訊，請參閱一節。

以系統管理共用為目標的惡意程式範例是 Win32.Agobot 程式。

Microsoft 提供第三方連絡資訊，協助您尋找技術支援。 此連絡資訊可能會變更而不另行通知。 Microsoft 不保證此第三方連絡資訊的正確性。

解決方法

若要確認電腦是否受此問題影響，請遵循下列步驟：

1. 檢查 AutoShareServer 和 AutoShareWks 登錄值，以確定它們未設定為 0：

   1. 按兩下 [ 開始]，按兩下 [執行]，輸入 regedit，然後按 ENTER。
   2. 找出並按一下下列登錄子機碼：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
   3. 如果 LanmanServer\Parameters 子機碼中的 AutoShareServer 和 AutoShareWks DWORD 值已設定為 0 的值數據，請將該值變更為 1。

      注意

      如果這些值不存在，您就不需要建立它們，因為預設行為是自動建立系統管理共用。

   4. 結束登錄編輯程式。

2. 重新啟動電腦。 一般而言，執行 Windows Server 的電腦會在啟動期間自動建立系統管理共用。

3. 計算機重新啟動之後，請確認系統管理共用為使用中。 若要檢查共用，請使用 net share 命令。 如果要執行這項操作，請依照下列步驟執行：

   1. 按兩下 [ 開始]，按兩下 [執行]，輸入 cmd，然後按 ENTER。

   2. 在命令提示字元中，輸入 net share，然後按 ENTER。

   3. 在共用清單中尋找 Admin$、C$和 IPC$ 系統管理共用。

如果未列出系統管理共用，計算機可能會執行惡意程式，以在啟動期間移除共用。 若要尋找惡意程式，請遵循下列步驟：

1. 使用最新的病毒定義在計算機上執行完整的防毒掃描。 您可以使用防病毒軟體，或使用因特網上提供的數個免費病毒掃描服務之一。 如需病毒定義更新的連結，以及從防病毒軟體廠商免費在線掃描，請參閱一節。

   重要

   如果您懷疑計算機感染了惡意代碼，建議您儘快將其從網路中移除。 我們建議這樣做，因為惡意使用者可能會使用受感染的計算機來啟動分散式阻斷服務 （DDoS） 攻擊、傳送未經請求的商業電子郵件，或共用軟體、音樂和電影的非法副本。

2. 如果防毒掃描識別系統上的惡意程式，請使用防病毒軟體廠商的移除指示。 此外，請檢閱防毒廠商網站上的程式威脅評量和技術詳細數據。 特別是，請檢查程式是否包含後門功能。 Backdoor 功能表示，如果探索並移除程式，程式可讓惡意使用者重新取得系統的控制權。

   如果程式的技術詳細數據指出其具有後門功能，建議您格式化計算機的硬碟，並安全地重新安裝 Windows。 如需改善 Windows 計算機和伺服器安全性的相關信息，請流覽下列 Microsoft安全性指引中心

3. 如果防毒掃描無法識別系統上的惡意程式，則不表示計算機未受到惡意程式感染。 更可能的是，這可能表示惡意程式是新的程序或變體，而且最新的病毒定義不會偵測到它。 在此情況下，請連絡防毒廠商回報問題，或使用 Microsoft 產品支援服務 （PSS） 開啟支援事件以進行調查。

4. 完成防毒掃描之後，請檢查計算機是否有其他惡意程式，例如間諜軟體或惡意使用者工具。 如需間諜軟體和惡意使用者偵測工具的連結，請參閱一節。

5. Microsoft 提供第三方連絡資訊，協助您尋找技術支援。 此連絡資訊可能會變更而不另行通知。 Microsoft 不保證此第三方連絡資訊的正確性。