管理共享缺失时可能出现的问题概述

本文提供了有关缺少管理共享时可能出现的问题的解决方法。

原始 KB 数: 842715

总结

本文介绍在计算机上缺少一个或多个隐藏管理共享时可能出现的症状。 本文还提供了有关如何解决此问题的信息。

如果已确定计算机缺少一个或多个隐藏的管理共享,请参阅“原因”和“解决方法”部分。 意识到缺少的管理共享通常表明有问题的计算机已被恶意软件入侵。 建议用户在受攻击的服务器上格式化并重新安装 Windows。

现象

删除管理共享或者计算机中缺少管理共享时,可能会遇到各种问题。

如果使用 net share 命令或 MPSReports,输出可能会显示计算机缺少 IPC$、ADMIN$或 C$ 共享。 如果重新创建缺少的共享,则下次启动或登录后可能会再次丢失该共享。 即使将 AutoShareServer 和 AutoShareWk 注册表 DWORD 值设置为 1,也可能会出现此问题。

你可能会发现从启动文件夹或 注册表中的“运行 ”键开始的未知进程。 防病毒软件可能会检测病毒、蠕虫、特洛伊木马或后门。 或者 Web 服务器上的 FTP 根可能填充了未知文件。

以下列表是可能与此问题关联的有问题的行为的综合性列表。

  • 如果受影响的计算机是域控制器,可能会在网络登录期间或在尝试加入域的时间段内在客户端计算机上收到错误消息。 有时,可以使用客户端计算机登录,但可能会收到类似于以下任一错误消息:

    • 提供的域密码不正确,或者登录服务器的访问权限被拒绝。

    • 登录服务器无法识别域密码,或拒绝访问服务器。

    • 没有登录服务器可用于为登录请求提供服务。

      尝试加入域时,可能会收到类似于以下内容的错误消息:

      尝试加入域“Domain_Name时发生以下错误:找不到网络名称。

  • 尝试使用 UNC 路径、映射驱动器、net use 命令、net view 命令或浏览网络在“网络邻里”或“我的网络位置”中浏览网络来远程访问或查看受影响的计算机时,可能会收到如下所示的错误消息:

    • 服务器未针对事务进行配置。

    • 发生系统错误 53。 找不到网络路径。

    • Domain_Name不可访问。

  • 尝试在域控制器上执行管理任务时,可能会收到错误。 例如,MMC 管理单元(如 Active Directory 用户和计算机 或 Active Directory 站点和服务)可能不会启动,你可能会收到类似于以下错误消息:

    命名信息无法找到,因为:登录尝试失败。

  • 尝试将用户添加到安全组时,可能会收到类似于以下内容的错误消息:

    对象选取器无法打开,因为无法从中找到要从中选择对象的位置。

  • 尝试运行Netdom.exe查找 FSMO 角色时,可能会收到类似于以下角色的错误消息:

    无法更新密码。 作为当前密码提供的值不正确。

  • 尝试运行Dcdiag.exe时,可能会收到类似于以下错误消息:

    失败,67:找不到网络名称

    来自Dcdiag.exe的结果也可能列出类似于以下错误的 LDAP 绑定错误:

    LDAP 绑定失败,出现错误 1323。

  • 尝试运行Netdiag.exe时,可能会收到类似于以下内容的错误消息:

    DC 列表测试。 。 。 。 。 。 。 。 。 。 。 失败:
    无法使用浏览器枚举 DC。 [NERR_BadTransactConfig]

  • 如果在尝试连接到受影响的计算机时运行网络跟踪,可能会看到类似于以下结果:

    C session setup & X, Username = username, and C tree connect & X, Share = \\<Server_Name>\IPC$  
    R session setup & X - DOS Error, (67) BAD_NET_NAME
    
  • 在服务器上,WINS 服务可能无法启动,或者 WINS 控制台可能显示红色 X 或两者。

  • netBT 4311 事件(类似于以下事件)可能会记录在事件查看器:

    事件 ID:4311
    事件源:NetBT
    事件类型:错误
    说明:初始化失败,因为无法创建驱动程序设备

  • 终端服务许可控制台可能不会启动,你可能会收到类似于以下内容的错误消息:

    • 当前域或工作组中没有可用的终端服务许可证服务器。 若要连接到其他许可证服务器,请单击许可证,单击“连接”,然后单击服务器名称。

    • 网络地址无效

原因

恶意程序删除运行 Windows Server 的计算机上的管理共享后,可能会出现这些问题。

恶意用户经常利用弱密码、缺少安全更新、直接向 Internet 公开计算机或这些因素的组合来连接到这些管理共享。 然后,恶意用户安装恶意程序,以在计算机和计算机网络的其余部分扩展其影响力。 在许多情况下,这些恶意程序会删除管理共享作为防御措施,以防止其他竞争恶意用户控制受感染的系统。

其中一个恶意程序感染可以直接来自 Internet 或受感染的本地网络上的另一台计算机。 它通常表示网络上的安全性很弱。 因此,如果看到这些症状,建议使用防病毒软件和间谍软件检测工具检查网络上所有其他计算机是否存在恶意程序。 我们还建议执行安全分析来识别网络上的漏洞。 有关如何检测恶意程序以及如何分析网络安全的信息,请参阅“解决方法”部分。

针对管理共享的恶意程序的示例是 Win32.Agobot 该程序。

Microsoft 会提供第三方联系信息来帮助你查找技术支持。 此联系信息可能会更改,恕不另行通知。 Microsoft 不保证此第三方联系信息的准确性。

注意

程序 Win32.Agobot 只是一个示例。 恶意程序在防病毒供应商发现它们并将其添加到其病毒定义时变得过时。 但是,恶意用户经常开发新的程序和变体,以避免防病毒软件的检测。

解决方法

重要

此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,按以下步骤操作时请务必谨慎。 作为额外保护措施,请在修改注册表之前先将其备份。 如果之后出现问题,您就可以还原注册表。 有关如何备份和还原注册表的详细信息,请单击下面的文章编号,查看相应的 Microsoft 知识库文章:
322756 如何备份和还原 Windows 中的注册表

若要验证计算机是否受此问题影响,请执行以下步骤:

  1. 检查 AutoShareServer 和 AutoShareWks 注册表值,确保它们未设置为 0:

    1. 单击“开始”,单击“运行,键入 regedit,然后按 Enter。
    2. 找到并单击以下注册表子项:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
    3. 如果将 LanmanServer\Parameters 子项中的 AutoShareServer 和 AutoShareWks DWORD 值配置为值数据 0,请将该值更改为 1。

      注意

      如果这些值不存在,则无需创建它们,因为默认行为是自动创建管理共享。

    4. 退出注册表编辑器。
  2. 重新启动计算机。 通常,在启动期间运行 Windows Server 的计算机会自动创建管理共享。

  3. 计算机重启后,验证管理共享是否处于活动状态。 若要检查共享,请使用 net share 命令。 要执行此操作,请执行以下步骤:

    1. 单击“开始”,单击“运行”,键入 cmd,然后按 Enter。

    2. 在命令提示符下,键入 net share,然后按 Enter。

    3. 在共享列表中查找 Admin$、C$ 和 IPC$ 管理共享。

如果未列出管理共享,则计算机可能会运行一个恶意程序,在启动期间删除共享。 若要查找恶意程序,请执行以下步骤:

  1. 使用最新的病毒定义在计算机上运行完整的防病毒扫描。 可以使用防病毒软件或使用 Internet 上提供的多个免费病毒扫描服务之一。 有关病毒定义更新的链接以及来自防病毒软件供应商的免费联机扫描,请参阅“详细信息”部分。

    重要

    如果怀疑计算机感染了恶意代码,建议尽快将其从网络中删除。 建议这样做,因为恶意用户可能正在使用受感染的计算机启动分布式拒绝服务(DDoS)攻击、发送未经请求的商业电子邮件或共享软件、音乐和电影的非法副本。

  2. 如果防病毒扫描识别系统上的恶意程序,请使用防病毒供应商的删除说明。 此外,请查看有关防病毒供应商网站上的计划的威胁评估和技术详细信息。 具体而言,请检查程序是否包含后门功能。 Backdoor 功能意味着,如果发现并删除了程序,程序将为恶意用户重新获得对系统的控制权提供了一种方法。

    如果有关程序的技术详细信息指示它具有后门功能,我们建议你格式化计算机的硬盘并安全地重新安装 Windows。 有关提高基于 Windows 的计算机和服务器的安全性的信息,请访问以下 Microsoft安全指南中心

  3. 如果防病毒扫描未识别系统上的恶意程序,则并不意味着计算机不会受到恶意程序感染。 更可能意味着恶意程序是一个新的程序或变体,并且最新的病毒定义不会检测到它。 在这种情况下,请联系防病毒供应商报告问题,或使用 Microsoft 产品支持服务(PSS)提出支持事件进行调查。

  4. 完成防病毒扫描后,检查计算机是否存在其他恶意程序,例如间谍软件或恶意用户工具。 有关间谍软件和恶意用户检测工具的链接,请参阅“详细信息”部分。

  5. Microsoft 会提供第三方联系信息来帮助你查找技术支持。 此联系信息可能会更改,恕不另行通知。 Microsoft 不保证此第三方联系信息的准确性。