::. Uwe Brandt .::

Netzwerk-/Systemadministrator

  • Home
  • über Uwe
  • Hardware-Zoo
  • impressum

Kein Zugriff auf die Netzwerkfreigaben (nach Trojaner Mediyes!rfn)

Posted by UweB on 2015-08-31
Posted in: Internet, Tipp. Tagged: Mediyes, Trojaner, Windows 10, Windows 7.

Es kommt immer wieder mal vor das ein Zugriff auf die Netzwerkfreigaben, auf einem mal nicht mehr funktioniert. Verursachen können das nicht nur kaputte Dateien, oder defekte Datenträger, welche dann zu defekten Dateien führen, sondern auch Trojaner/Viren/Würmer und auch der falsche Umgang mit dem Registry-Editor.

In meinem Fall, bzw. in dem Fall in dem ich als IT-Mensch hinzugezogen wurde, hat ein Trojaner die Miesere verursacht.  Eigentlich klang es ziemlich harmlos, als ich um Hilfe gebeten wurde. Von einer Stunde auf die andere Stunde hat ein Rechner den Zugriff auf die bisher verfügbaren Netzwerkfreigaben verweigert. “Es hat vor 1 Stunde aber noch funktioniert!” wurde mir gesagt. Das stimmte auch, denn auf dem Speicherort im Netzwerk wurde tatsächlich noch zu dem besagten Zeitpunkt eine Datei gespeichert.

Was also war in der Zwischenzeit passiert?
Die Benutzerin war eine Zeitlang nicht am Platz. Bevor sie ihren Platz verlassen hat, hat der Zugriff noch funktioniert, danach nicht mehr. Hexenwerk? Weder noch, gefunden habe ich folgendes im Verlauf des Virenscanners. Eine Datei mit dem Namen “aptwcfnxn.dll” wurde im Verzeichnis “C:\Windows\System32\” als Trojaner erkannt und entfernt.
Mediyes!rfn_vom_29.08.2015_001
Doch nicht nur die Datei wurde entfernt. Leider hat der Virenscanner auch einen entsprechend wichtigen Registry-Schlüssel entfernt und nicht mit dem korrekten Wert wieder hergestellt.
Das Resultat war dann das der Arbeitsstationsdienst beendet wurde und nach einem Neustart auch definitiv nicht mehr gestartet wird. Das bedeutet, kein Zugriff auf die Netzwerkfreigaben. Die üblichen Tests mit Ping “Servername” lassen einem auch erst glauben, das auf der Netzwerkseite alles in Ordnung ist. Es gibt immer noch den Irrglauben, das wenn ein Test mit Ping keinen Fehler aufwirft, das dann alles in Ordnung mit dem Netzwerk ist. Wie geschrieben, ein seltsamer Irrglaube. Das muss ich jetzt aber nicht weiter ausführen, solche Mythen sind einfach nicht totzukriegen.

Ein kurzer Aufruf von “services.msc” reicht um sich zu vergewissern ob der Arbeitsstationsdienst läuft, oder nicht. Ist der Dienst gestartet, dann ist alles gut, wenn der Dienst fehlt, dann sieht es schon mal schlecht aus. Da der Virenscanner (Microsoft Security Essentials) den Schlüssel ebenfalls gleich entfernt hat, war’s das mit dem Dienst.
Zur Überprüfung der Dienste kann man auch Autoruns aus den Sysinternals benutzen. Damit kann man auch gleich per Rechtsklick zum entsprechenden Registry-Schlüssel springen.
Netzwerkfreigaben_nicht_verfügbar_001
Auf dem obigen Bild kann man dies ganz gut erkennen, was ich meine. In dem gelb markierten Bereich stand anstatt des korrekten Wertes die Datei “aptwcfnxn.dll”. Kurz gesagt, wenn in dem gelb markierten Bereich irgendwas anderes steht, als “wkssvc.dll” dann solltet ihr euer System unbedingt überprüfen.
Mit Rechtsklick kommt man dann direkt zum Registry-Schlüssel, wo ihr dann den Eintrag wieder korrigieren könnt.
Netzwerkfreigaben_nicht_verfügbar_002
Bevor ihr dies aber macht, muss die dort eingetragene Datei auch entfernt worden sein, falls nicht schon geschehen. Wie in diesem Fall die DLL mit dem Namen “aptwcfnxn.dll”.

An dieser Stelle auch ein Hinweis an andere Hersteller, nicht nur der Virenscanner von Microsoft sorgt mit dem gnadenlosen entfernen der Registry-Schlüssel dafür das der Netzwerkzugriff auf einmal nicht mehr funktionert. Eine Recherche im Internet lässt auch Kaspersky und andere bekannte Vertreter zur fatalen Falle werden. Gut gemeint, leider zu gut und mehr als notwendig entfernt.

Wenn ihr Windows 10 im Einsatz habt, dann nennen sich die “Microsoft Security Essentials” auch “Windows Defender”. Es handelt sich aber jeweils um dasselbe Produkt.
Aus einer Sicherung habe ich mir übrigens die besagte DLL herausziehen können und unter Windows 7 und Windows 10 jeweils verifizieren können, das die Datei auch wirklich als schadhaft erkannt wird. Der Trojaner Mediyes ist jedenfalls schon ein alter Bekannter und hat es 2012, wenn ich mich recht erinnere, auch bis in die Presse geschafft.

_______
UweB
2015/08/31

Posts navigation

← Windows Home Server und Windows 10
HP OfficeJet Pro 8610 Firmware upgrade →
  • Are you using IPv6?

    Oh no :( Connected via IPv4: 18.97.14.90
    Widget by IPv6 Blog
  • August 2015
    M T W T F S S
     12
    3456789
    10111213141516
    17181920212223
    24252627282930
    31  
    « Jul   Jul »
  • Recent Posts

    • Boot from VHD – Virtuelle Harddisk vergrößern
    • The terminal server has exceeded the maximum number of allowed connections.
    • HP OfficeJet Pro 8610 Firmware upgrade
    • Kein Zugriff auf die Netzwerkfreigaben (nach Trojaner Mediyes!rfn)
    • Windows Home Server und Windows 10
  • Recent Comments

    • Mark-Hendrik Jahnke on Erstellen eines bootfähigen Flashdrives/USB-Sticks
    • Paul on Erstellen eines bootfähigen Flashdrives/USB-Sticks
  • Archives

    • July 2016
    • August 2015
    • July 2015
    • December 2014
    • November 2014
    • June 2014
    • April 2014
    • March 2014
    • February 2014
    • January 2014
    • December 2013
    • October 2013
    • September 2013
    • June 2013
    • February 2013
    • January 2013
    • December 2012
    • October 2012
    • July 2012
    • April 2012
    • September 2011
    • March 2011
    • January 2011
    • October 2010
    • June 2010
    • May 2010
    • April 2010
    • February 2010
    • November 2009
    • October 2009
    • August 2009
    • July 2009
    • February 2009
    • January 2009
    • November 2008
    • May 2008
    • April 2008
    • February 2008
    • January 2008
    • December 2007
  • Categories

    • Batch
    • Company
    • DataKill
    • Facebook
    • Firmware
    • Freeware
    • Games
    • Gedanken
    • Gedichte
    • Hardware
    • Internet
    • Kino
    • Meine-Deine-Unsere
    • Music
    • Notizen
    • OpenSource
    • Patch
    • Smartphone
    • Software
    • Tipp
    • Uncategorized
    • Update
    • Video
    • Weisheiten
    • Zitate
  • Acquaintances and friends

    • Norman Hundert
    • Tatjana Varchmin Photography
  • Blogroll

    • Lumières dans la nuit
    • Henning Uhle
    • Affenblog
    • Markus Vocke – Webdesign
    • Wollbiene
    • Alarmknopf
  • Bulletin Boards

    • FlashFXP Forums
    • Division-M Community
    • IP-Phone-Forum
    • XDA Developers Forum
    • OpenVPN.eu
  • Microsoft Office

    • Planet Outlook
    • DocOutlook.de
  • Microsoft Windows

    • FAQ-O-MATIC
    • MSXFAQ.DE
    • Gruppenrichtlinien
    • Paul Thurrott’s SuperSite for Windows
    • ISA FAQ
    • Windows Sysinternals
  • Musiker

    • Chris Huelsbeck @ Bandcamp
    • Turrican Soundtrack Anthology
    • Chris Huelsbeck
  • RemoteSharing

    • WebEx
    • spreed – Web-Meetings
    • Citrix Online
    • pcvisit
    • TeamViewer
    • NetViewer
  • Security

    • spl0it
    • ReVuln
    • metasploit
    • Luigi Auriemma
  • Useful

    • Processor Spec Finder
    • free-codecs.com
    • TRVX
    • FlashFXP
  • ViP

    • mekkafee
    • puhstiggers Home
    • Sannes Bastelreich
  • Windows Home Server

    • Home Server Hacks
    • Home Server Plus
    • We Got Served
    • MediaSmartHome.com
    • Home Server Land
    • Home Server Blog
    • MediaSmartServer.net
    • MS Windows Home Server
    • Windows Home Server Add-Ins
    • WHS addins
  • WordPress Related

    • A-kis-met
    • WP Suggest Ideas
    • Jetpack
    • WP Support Forum
    • WordPress DE
    • WordPress Planet
    • WordPress DE Themes
    • Automattic
    • WP Plugins
    • WordPress
    • WP Documentation
    • WP Development Blog
    • WordPress MU
    • WordPress Deutschland
    • WP Themes
  • Worked for

    • Transcend (DE)
    • TRANSCEND Blog
    • C.U.S.S. GmbH & Co. KG
    • TRANSCEND Germany
  • xyz oder 0815

    • Marks IT-Blog
    • WordPress CMS System
    • Germany – Hackerspace
    • Hackerspaces
    • W&K netpublishing
  • Meta

    • Register
    • Log in
    • Entries feed
    • Comments feed
    • WordPress.org
Proudly powered by WordPress Theme: Parament by Automattic.