Archives

All posts for the day August 31st, 2015

Es kommt immer wieder mal vor das ein Zugriff auf die Netzwerkfreigaben, auf einem mal nicht mehr funktioniert. Verursachen können das nicht nur kaputte Dateien, oder defekte Datenträger, welche dann zu defekten Dateien führen, sondern auch Trojaner/Viren/Würmer und auch der falsche Umgang mit dem Registry-Editor.

In meinem Fall, bzw. in dem Fall in dem ich als IT-Mensch hinzugezogen wurde, hat ein Trojaner die Miesere verursacht.  Eigentlich klang es ziemlich harmlos, als ich um Hilfe gebeten wurde. Von einer Stunde auf die andere Stunde hat ein Rechner den Zugriff auf die bisher verfügbaren Netzwerkfreigaben verweigert. “Es hat vor 1 Stunde aber noch funktioniert!” wurde mir gesagt. Das stimmte auch, denn auf dem Speicherort im Netzwerk wurde tatsächlich noch zu dem besagten Zeitpunkt eine Datei gespeichert.

Was also war in der Zwischenzeit passiert?
Die Benutzerin war eine Zeitlang nicht am Platz. Bevor sie ihren Platz verlassen hat, hat der Zugriff noch funktioniert, danach nicht mehr. Hexenwerk? Weder noch, gefunden habe ich folgendes im Verlauf des Virenscanners. Eine Datei mit dem Namen “aptwcfnxn.dll” wurde im Verzeichnis “C:\Windows\System32\” als Trojaner erkannt und entfernt.
Mediyes!rfn_vom_29.08.2015_001
Doch nicht nur die Datei wurde entfernt. Leider hat der Virenscanner auch einen entsprechend wichtigen Registry-Schlüssel entfernt und nicht mit dem korrekten Wert wieder hergestellt.
Das Resultat war dann das der Arbeitsstationsdienst beendet wurde und nach einem Neustart auch definitiv nicht mehr gestartet wird. Das bedeutet, kein Zugriff auf die Netzwerkfreigaben. Die üblichen Tests mit Ping “Servername” lassen einem auch erst glauben, das auf der Netzwerkseite alles in Ordnung ist. Es gibt immer noch den Irrglauben, das wenn ein Test mit Ping keinen Fehler aufwirft, das dann alles in Ordnung mit dem Netzwerk ist. Wie geschrieben, ein seltsamer Irrglaube. Das muss ich jetzt aber nicht weiter ausführen, solche Mythen sind einfach nicht totzukriegen.

Ein kurzer Aufruf von “services.msc” reicht um sich zu vergewissern ob der Arbeitsstationsdienst läuft, oder nicht. Ist der Dienst gestartet, dann ist alles gut, wenn der Dienst fehlt, dann sieht es schon mal schlecht aus. Da der Virenscanner (Microsoft Security Essentials) den Schlüssel ebenfalls gleich entfernt hat, war’s das mit dem Dienst.
Zur Überprüfung der Dienste kann man auch Autoruns aus den Sysinternals benutzen. Damit kann man auch gleich per Rechtsklick zum entsprechenden Registry-Schlüssel springen.
Netzwerkfreigaben_nicht_verfügbar_001
Auf dem obigen Bild kann man dies ganz gut erkennen, was ich meine. In dem gelb markierten Bereich stand anstatt des korrekten Wertes die Datei “aptwcfnxn.dll”. Kurz gesagt, wenn in dem gelb markierten Bereich irgendwas anderes steht, als “wkssvc.dll” dann solltet ihr euer System unbedingt überprüfen.
Mit Rechtsklick kommt man dann direkt zum Registry-Schlüssel, wo ihr dann den Eintrag wieder korrigieren könnt.
Netzwerkfreigaben_nicht_verfügbar_002
Bevor ihr dies aber macht, muss die dort eingetragene Datei auch entfernt worden sein, falls nicht schon geschehen. Wie in diesem Fall die DLL mit dem Namen “aptwcfnxn.dll”.

An dieser Stelle auch ein Hinweis an andere Hersteller, nicht nur der Virenscanner von Microsoft sorgt mit dem gnadenlosen entfernen der Registry-Schlüssel dafür das der Netzwerkzugriff auf einmal nicht mehr funktionert. Eine Recherche im Internet lässt auch Kaspersky und andere bekannte Vertreter zur fatalen Falle werden. Gut gemeint, leider zu gut und mehr als notwendig entfernt.

Wenn ihr Windows 10 im Einsatz habt, dann nennen sich die “Microsoft Security Essentials” auch “Windows Defender”. Es handelt sich aber jeweils um dasselbe Produkt.
Aus einer Sicherung habe ich mir übrigens die besagte DLL herausziehen können und unter Windows 7 und Windows 10 jeweils verifizieren können, das die Datei auch wirklich als schadhaft erkannt wird. Der Trojaner Mediyes ist jedenfalls schon ein alter Bekannter und hat es 2012, wenn ich mich recht erinnere, auch bis in die Presse geschafft.

_______
UweB
2015/08/31