遺失系統管理共用時,可能會發生的問題概觀

文章翻譯 文章翻譯
文章編號: 842715 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

結論

這篇文章說明的徵狀,可能是因為一或多個隱藏的系統管理共用您的電腦如果遺失。本文也提供有關如何解決這個問題的資訊。

如果您已經確定電腦遺失一或多個隱藏的系統管理共用,請參閱 〈 原因 〉 和 〈 解決方案 〉 章節。請注意遺失系統管理共用通常表示有問題的電腦已經受到惡意軟體。我們建議使用者設定的格式,並在遭入侵的伺服器上重新安裝 Windows。

徵狀

當系統管理共用被移除,或者從您的電腦遺失了,可能會遭遇各種問題。

如果您使用net share命令或 MPSReports,輸出可能會顯示電腦遺失 IPC$、 ADMIN$ 或 C$ 共用。如果您重新建立遺失的共用,它可能會遺失下次啟動或登入之後。即使您設定 AutoShareServer 和 AutoShareWks 的登錄 DWORD 值為 1,可能會發生這個問題。

您可能會發現未知的處理程序,從 [Startup] 資料夾或
執行
登錄機碼。防毒軟體可能偵測病毒、 蠕蟲、 特洛伊木馬程式或後門程式。或者,在 Web 伺服器上的 FTP 根目錄也會充滿著未知的檔案。

下面是可能會與這個議題相關的問題狀況的完整清單。
  • 如果受影響的電腦是網域控制站,您可能會收到錯誤訊息,用戶端電腦上的,或當嘗試加入網域的時間期間的網路登入。某些情況下,您可以使用 Microsoft Windows 2000 或 Microsoft Windows XP 中,正在執行的用戶端電腦登入,但您無法登入,與 Microsoft Windows 95、 Microsoft Windows 98 中或 Microsoft 安裝程式即將執行的用戶端電腦。在 Windows 9x 為基礎的電腦,您可能會收到類似下列其中一項錯誤訊息:
    • 您所提供的網域密碼不正確,或登入伺服器的存取被拒。
    • 登入伺服器無法識別您的網域密碼,或至伺服器的存取被拒。
    當您嘗試登入 Windows 2000 或 Windows xp 電腦上網路時,您可能會收到類似下列的錯誤訊息:
    使用以服務登入要求沒有登入伺服器。
    當您嘗試加入網域時,您可能會收到類似下列的錯誤訊息:
    嘗試加入網域時,發生下列錯誤 'Domain_Name':找不到網路名稱。
  • 當您嘗試存取或使用 UNC 路徑、 對應磁碟機、 net use命令, net view命令,或藉由瀏覽網路,網路上的芳鄰] 或 [網路上的芳鄰,從遠端檢視受影響的電腦時,您可能會收到類似下列其中一項錯誤訊息:
    • 沒有設定異動的伺服器。
    • 發生系統錯誤 53。找不到網路路徑。
    • Domain_Name 無法存取。
  • 當您嘗試在網域控制站上執行系統管理工作時,您可能會收到錯誤。例如,像是 Active Directory 使用者和電腦或 Active Directory 站台及服務的 MMC 嵌入式管理單元無法啟動,而您可能會收到類似下列的錯誤訊息:
    找不到命名資訊,原因: 登入嘗試失敗。
  • 當您嘗試將使用者新增至安全性群組時,您可能會收到類似下列的錯誤訊息:
    無法開啟物件選取器,因為找不到沒有可供選擇的物件的位置。
  • 當您嘗試從 Windows 2000 支援工具,若要尋找的 FSMO 角色執行 Netdom.exe 時,您可能會收到類似下列的錯誤訊息:
    無法更新密碼。所提供的目前密碼數值不正確。
  • 當您嘗試從 Windows 2000 支援工具執行 Dcdiag.exe 時,您可能會收到類似下列的錯誤訊息:
    因為 67 而失敗: 找不到網路名稱
    來自 Dcdiag.exe 的結果可能也會列出與下列類似的 LDAP 繫結錯誤:
    LDAP 繫結失敗,錯誤碼 1323年。
  • 當您嘗試從 Windows 2000 支援工具執行 Netdiag.exe 時,您可能會收到類似下列的錯誤訊息:
    ...........DC 清單的測試: 失敗
    無法列舉網域控制站使用瀏覽器。[] NERR_BadTransactConfig
  • 如果您執行網路追蹤,當您嘗試連線到受影響的電腦時,可能會看到類似下列的結果:
    C session setup & X, Username = username, and C tree connect & X, Share = \\<Server_Name>\IPC$
    R session setup & X - DOS Error, (67) BAD_NET_NAME
    
  • 在伺服器上,WINS 服務可能無法啟動,或者 WINS 主控台可能會顯示一個紅色的 x,或同時顯示。
  • 在 [事件檢視器] 中,可能會記錄類似下列的 NetBT 4311 事件:

    事件識別碼: 4311
    事件來源: NetBT
    事件類型: 錯誤
    描述: 初始化失敗,因為無法建立驅動程式裝置

  • 「 終端機服務授權主控台可能無法啟動,而且您可能會收到類似下列的錯誤訊息:
    • 沒有終端機服務授權伺服器位於目前的網域或工作群組中。若要連線到另一部授權伺服器,請按一下 [授權,請按一下連線,並按一下 [伺服器名稱。
    • 網路位址不正確
  • Macintosh 服務可能無法啟動。當您嘗試啟動服務時,可能會記錄類似下列的事件,事件檢視器中:

    事件類型: 錯誤
    事件來源: MacFile
    事件類別: 無
    事件識別碼: 10021
    使用者: n/A
    描述:Macintosh 服務的檔案伺服器無法連絡網域控制站取得網域資訊。

    事件類型: 錯誤
    事件來源: MacFile
    事件類別: 無
    事件識別碼: 10027
    使用者: n/A
    描述:當起始設定 Macintosh 服務的檔案伺服器時發生錯誤。無法初始化伺服器協助程式執行緒。資料中,為特定的錯誤碼。

    事件類型: 錯誤
    事件來源: MacFile
    事件類別: 無
    事件識別碼: 10001
    使用者: n/A
    描述:無法啟動 Macintosh 服務的檔案伺服器。發生系統特定的錯誤。位在資料中的錯誤碼

    事件類型: 錯誤
    事件來源: 服務控制管理員
    事件類別: 無
    事件識別碼: 7024
    使用者: n/A
    描述:檔案伺服器 Macintosh 服務因服務特定錯誤 1722年。

發生的原因

惡意的程式將會移除在執行 Windows Server 2003,Windows XP,Windows 2000 中或 Windows NT 4.0 的電腦上的系統管理共用之後,可能會發生這些問題。

通常,惡意使用者連接到這些系統管理共用藉由運用易破解的密碼,遺漏的安全性更新,直接暴露到網際網路或綜合這些因素的電腦。惡意使用者便會安裝惡意程式,將影響擴及該電腦和上其他的電腦網路。在許多情況下,這些惡意程式會移除系統管理共用為防守目標以避免其他競爭的惡意使用者掌控受感染的系統。

這些惡意程式的一項感染途徑可能來自直接從網際網路或從另一台電腦,受到感染的區域網路上。這通常表示網路上的安全性的弱點。因此,如果您發現這些徵狀,我們建議您藉由使用防毒軟體和間諜軟體偵測工具,檢查惡性程式的網路上所有其他電腦。我們也建議您執行安全性分析,以找出網路上的弱點。如需有關如何偵測到惡意程式,以及如何分析網路安全性資訊的 〈 解決方案 〉 一節,請參閱。

以系統管理共用為目標的惡意程式的例子之一是 Win32.Agobot 程式。如需此程式的運作方式技術的詳細資訊,造訪下列的電腦將相關聯病毒資訊中心 」 網站:
http://www3.ca.com/securityadvisor/virusinfo/virus.aspx?id=37776
Microsoft 提供可協助您尋找技術支援的第三方連絡資訊。這份連絡資訊可能會變更恕不另行通知。Microsoft 不保證此第三方連絡資訊的正確性。附註Win32.Agobot 程式是僅為範例。惡意程式過時,防毒軟體廠商發現威脅,並將其新增至他們的病毒定義。然而,惡意的使用者卻經常開發新的程式和變種,以躲避偵測的防毒軟體。

解決方案

重要 這個章節、 方法或工作包含步驟告訴您如何修改登錄。不過,如果您不當修改登錄,可能會發生嚴重的問題。因此,請確定小心執行這些步驟。為加強保護,請先備份登錄再進行修改。然後,您可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視 「 Microsoft 知識庫 」 中的文件:
322756 如何備份及還原 Windows 中的登錄


如果要確認電腦是否受到這個問題,請依照下列步驟執行:
  1. 請檢查以確定它們並非設定為 0 的 AutoShareServer 和 AutoShareWks 登錄值:
    1. 按一下 啟動按一下 執行型別 regedit然後按 ENTER 鍵。
    2. 找出並按一下下列登錄子機: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters
    3. 如果 AutoShareServer 和 AutoShareWks DWORD 值置於
      LanmanServer\Parameters
      子設定為 0 的數值資料,將該值變更為 1。

      附註 這些值不存在,如果您沒有建立它們,因為預設行為是自動建立系統管理共用。
    4. 重新啟動電腦。
  2. 重新啟動電腦。一般來說,會自動執行 Windows Server 2003、 Windows XP,Windows 2000 中或 Windows NT 4.0 的電腦建立系統管理共用在啟動過程。
  3. 在電腦重新啟動之後,請確認系統管理共用為使用中。若要檢查共用資料夾,使用 net 共用 命令。執行這項操作,請依照下列步驟執行:
    1. 按一下 啟動按一下 執行型別 cmd然後按 ENTER 鍵。
    2. 在命令提示字元中,輸入 net 共用然後按 ENTER 鍵。
    3. 尋找 Admin$、 C$ 及 IPC$ 系統管理共用的共用資源清單中。
如果未列出的系統管理共用,電腦可能執行惡意程式會在啟動時移除這些共用。要尋找惡意程式,請依照下列步驟執行:
  1. 使用最新的病毒定義在電腦上執行完整的防毒掃描。您可以使用您的防毒軟體,或使用其中幾個免費病毒掃描服務可以在網際網路上使用。請參閱 〈 其他資訊 〉 一節的病毒定義更新和免費線上掃描防毒軟體廠商的連結。

    重要 如果您懷疑電腦感染惡意程式碼,我們建議您移除它與網路包括 [越快越好。我們建議您這樣因為惡意使用者可能正在使用受感染的電腦來啟動分散式拒絕服務 (DDoS) 的攻擊,傳送來路不明的商業電子郵件或共用軟體、 音樂和電影的非法版本。
  2. 如果防毒掃描可辨識系統上的惡意程式,請使用防毒軟體廠商的移除指示。此外,檢閱的威脅報告與技術的詳細資訊,您的防毒軟體廠商的網站上關於這些程式。特別是,請檢查該程式是否包含後門功能。後門功能是指程式提供一個方法,讓惡意的使用者,若要重新控制系統,如果程式是找出並移除。

    如果此計畫的相關技術的詳細資訊,指出它具有後門功能,我們建議您格式化電腦的硬碟,並安全地重新安裝 Windows。如需有關改善安全性的 windows 電腦和伺服器的資訊,請造訪下列 Microsoft 安全性指導中心網站:
    http://technet.microsoft.com/en-us/library/cc184906.aspx
  3. 如果防毒掃描無法辨識系統上的惡意程式,並不表示電腦已不受到惡意程式。通常,這可能表示這個惡意程式是新的程式或變種,以及最新的病毒定義不要偵測它。在此情況下,請連絡防毒軟體廠商回報問題,或尋求支援與 Microsoft 產品支援服務 」 (PSS) 以找出原因。
  4. 完成防毒掃描之後,請檢查電腦,讓其他惡意程式,例如間諜軟體或惡意的使用者工具。請參閱的 〈 其他資訊 〉 一節,以連結到間諜軟體和惡意使用者的偵測工具。
  5. 請檢查惡性程式的網路上所有其他電腦,執行安全性分析,以判斷網路上的弱點。若要分析網路安全性,我們建議您使用 Microsoft 基準線安全性分析程式 1.2.1 版的工具。如需有關這項工具的詳細資訊,請造訪下列 Microsoft 基準線安全性分析器 」 網站:
    http://technet.microsoft.com/en-us/security/cc184924.aspx

其他相關資訊

如需有關如何協助保護您的網路的技術資訊,請造訪下列 Microsoft TechNet 安全性網站:
http://www.microsoft.com/technet/security/default.mspx
若要取得防毒軟體廠商的病毒定義檔更新,請造訪下列協力廠商網站取得其中一種:若要從防毒軟體廠商,取得免費的線上掃描,請造訪下列協力廠商網站取得其中一種:若要取得間諜軟體和惡意使用者的偵測工具,請造訪下列協力廠商網站取得其中一種:Microsoft 提供可協助您尋找技術支援的第三方連絡資訊。這份連絡資訊可能會變更恕不另行通知。Microsoft 不保證此第三方連絡資訊的正確性。

屬性

文章編號: 842715 - 上次校閱: 2012年3月29日 - 版次: 0.1
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows XP Professional
  • Microsoft Windows XP Home Edition (家用版)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
  • Microsoft Windows 2000 Professional Edition
  • Microsoft Windows NT Server 4.0 Standard Edition
關鍵字:?
kb3rdparty kbtshoot kbprb kbmt KB842715 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:842715
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com