0x80070035 Не найден сетевой путь.
 

Всем добрый день (вечер)

У меня возникла проблема с доступом на локальные папки через windows 7,8,10 - имеется сервер 2008 R2 есть парк ПК около 30 - 40, ОС везде разная от XP до 10 везде установлены хомяки (home edition) доступ к локальным ресурсам пропал только на 7,8,10 на XP все работает отлично.

При различных тестах я понял что скорее всего проблема с портом 445 вроде как через него работает SMB и netBios. причем если проверять порты на сервере telnetом писать 192.168.1.55 445 выдает что порт закрыт а если тестировать 127.0.0.1 то там уже порт открыт (данное тестирование проводилось на самом сервере) (ip сервера в сети 192.168.1.55) естественно правила брандмауэра выставлены, так же пробовал его отключать это не помогает.

С локальной сети с любого ПК сервер пингуется.

Если не сложно не могли бы Вы помочь в данной ситуации. Заранее очень благодарен.

Николай_Кравченко@vk, приведите содержимое раздела реестра
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters

Готово.
Файл 146014

Николай_Кравченко@vk, покажите содержимое с проблемного клиента:

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb10
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mrxsmb20

Готово. Все тестирование проводилось на Windows 7 Home.

Файл 146017

Файл 146018

Файл 146019

Файл 146020

Николай_Кравченко@vk, в разделе
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\LanmanWorkstation
неправильные параметры.

Должно быть так:
ImagePath = %SystemRoot%\System32\svchost.exe -k NetworkService
ObjectName = NT AUTHORITY\NetworkService

и отсутствует параметр RequiredPrivileges
тип: REG_MULTI_SZ
значение:

При диагностике с Windows 8 у меня все как у вас указано но доступа нету =(
Файл 146032

Николай_Кравченко@vk, на сервере и на проблемном клиенте:

1. убедитесь, что в свойствах сетевого подключения включены флажки:
   • Клиент для сетей Microsoft
   • Служба доступа к файлам и принтерам сетей Microsoft
2. нажмите Win+R -> введите services.msc -> работают ли службы:
   • Рабочая станция
   • Сервер
   • Модуль поддержки NetBIOS через TCP/IP
3. если установлен сторонний антивирус, удалите для эксперимента;
4. посмотрите в свойствах сетевого подключения, нет ли сторонних клиентов/протоколов;
5. выложите результаты выполнения в командной строке (cmd.exe)
   
   Код:

   ---

   ipconfig /all
nbtstat -n

   ---

К сожалению я сейчас не на работе и вменяемую диагностику провести не получится только через vpn до серва. но у меня все равно предчувствие что проблема на серваке так как отключились разом более 30 ПК. ещё 1 уточнение все ПК между собой доступны, с сервера они тоже доступны а вот сам сервер доступен только с XP

Николай_Кравченко@vk, попробуйте в командной строке (cmd.exe) от имени Администратора выполнить:
и перезагрузиться.
Если не поможет, то:
и перезагрузиться.
Учтите, что вторая команда сбросит настройки TCP/IP.

К сожалению это не помогло =( проблема актуальна и я подозреваю что связано это с закрытым 445 портом (брандмауэр выключал, антивирус удалял). Сегодня подключал рабочую машину напрямую патчкордом к серваку изменений нет.

Николай_Кравченко@vk, если бы 445 порт был закрыт, XP тоже не могла бы подключаться.
А тут такая загадочная ситуация.

Поправка: если 445 порт закрыт, Windows XP использует 139 порт (при включенном NetBIOS через TCP/IP), поэтому ей это не мешает.

В связи с недавней эпидемией предпринимались ли какие-либо действия на сервере и/или клиентах, которые могли бы повлиять на доступ, блокирование порта?

Была установка dr web server но после установки неделю все ещё работало. Так же я его удалял это не помогло.

Николай_Кравченко@vk, зачистите "хвосты" от Dr.Web с помощью drw_remover.exe.

Выложите содержимое (в Regedit -> меню Файл -> Экспорт) разделов реестра

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Winsock
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2

Данные реестра выкладываю сейчас. Файл 146054
По поводу хвостов Dr.Web чуть чуть попозже так как сейчас он опять установлен и что бы его удалить требуется перезагрузка но у нас ещё работают сотрудники.

drw_remover.exe так же не помог =(

Насколько я вижу. проблема актуальная и , наверное, связана либо с др. вебом. либо с вирусом.
Заметил, что и у меня в Бредмауере кто-то запрещает порт 445. Но отключением бредмауера проблема не решается.

А почему тестирование на самом сервере? С клиента же надо telnet'ом до сервера.

В общем, я перебрал все известные мне способы отключения SMB (как отдельно v1 и v2, так и в целом).

Остался последний вариант: проверьте политики IPsec, не задано ли чего-нибудь в ветке
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local

Да действительно это помогло.
Удалил все что было в HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local и все заработало.

Подтверждаю. и мне помогло решение с удалением всего из HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local.
Но все же интересно, какая программа туда записала эти хвосты?
Из последнего установленного и сделанного перед этой бедой - установка нода4, проверка cureit на вируса. Сам вирус?

Gollem
Николай_Кравченко@vk
Ура, товарищи!

А что конкретно в той ветке было? Не сохранили ради интереса?

Я об этом подумал только тогда, когда очистил ветку. :(
Но кроказябры там было на доп. 10 веток.

а я подумал вдруг станет хуже и сохранил )
Файл 146083
Petya V4sechkin Огромная тебе благодарность если бы не ты я бы сам ума не дал )

Николай_Кравченко@vk, посмотрел, там была активна политика с именем netbc и временем последнего изменения 25.05.2017 8:39:54 (видимо, тогда вирус её и внедрил).

P.S. Поиск в Интернете по запросу "netbc" "ipsec" выдал описание этого вируса:
Adylkuzz Cryptocurrency Mining Malware Spreading for Weeks Via EternalBlue/DoublePulsar

Проблема повторилась, в папке локал снова появились хвосты. В карантине нода есть пара заблокированных ИП.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local
Добавил вложение. Кюрейтом сканировал - ничего лишнего не нашел.
Бредмауере были прописаны лишние порты, видно в следствии работы вируса - убрал ( порт 445) .

Gollem, почитайте ссылку в предыдущем сообщении, этот вирус распространяется через уязвимость EternalBlue - значит, вам необходимо установить обновление MS17-010 (в таблице левая колонка Operating System).

Ну и включить брандмауэр на внешнем интерфейсе (который в Интернет смотрит).

Благодарю. Испробую.

Мне тоже помогло, спасибо!

Но оно снова появляется.

puvlon, если снова появляется, это означает, что вы не закрыли уязвимость (не установили патч MS17-010) и/или не долечили вирус.

Добрый день. Такая же проблема.
Вроде всё вычистил. Накатил на ОС все обновления.
Всё равно, периодически HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local появляются правила на закрытия портов.
FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH вот эта фигня появляется в Просмотр событий/Приложение, и что-то устанавливает , и идёт обмен с разными IP внешними по разным портам.
Найти эту заразу не могу(((