Administrator verbot den zugriff auf CD/DVD-ROM Laufwerke

[Axel.Teichmann]

habe den oben genannten fehler seit heute und kann mir nicht erklären warum... meines wissens habe ich nichts am system verändert, es handelt sich um XP pro inkl. SP2 und allen updates, beim bootvorgang kam zunächst unerwartet checkdisk welches eine platte untersuchte und bei einer datei attribute neu sortierte (?) danach XP gestartet und das problem war da, kein zugriff mehr auf floppy und DVD laufwerk!

siehe screenshot:

hat jemand eine idee?

mfg
Axel

 

[jni]

Irgendwie wurden wohl Richtlinien gesetzt - entweder lokal oder über den ADS. Ist der PC in einem ADS ? Wenn's nicht über den ADS kam kannst du das lokal richten, wenn du Admin bist. Das geht dann über gpedit.msc - mußt aber mal selber sehen, wo das steht.

Es könnte natürlich auch ein Virus/Trojaner/Rootkit sein.

Jens

 

[Axel.Teichmann]

mein konto hat admin rechte
wenn ich mich direkt als admin anmelde kommt das gleiche
virentest läuft noch...

mit ADS meinst Du sicherlich Active Directory?! damit habe ich nichts gemacht bzw. überhaupt zu tun! bin nur lokaler benutzer.
ich schau mal unter gpedit.msc

danke für die schnelle antwort

könnte es mit nero 7 in zusammenhang stehen?
das war glaub ich das letzte was ich installiert habe

mfg
Axel

 

[jni]

Also der PC ist nicht in einem (Firmen-)Netzwerk also Active-Directory drin.

Nero 7: ist nicht bekannt, daß das so was macht - wäre auch nicht sinnvoll.

Hast du vor dem Reboot mit checkdisk mit dem IE auf fragwürdigen Webseiten rumgesurft oder Software aus fragwürdiger Quelle gestartet ?

 

[Axel.Teichmann]

Also der PC ist nicht in einem (Firmen-)Netzwerk also Active-Directory drin.

Nero 7: ist nicht bekannt, daß das so was macht - wäre auch nicht sinnvoll.

Hast du vor dem Reboot mit checkdisk mit dem IE auf fragwürdigen Webseiten rumgesurft oder Software aus fragwürdiger Quelle gestartet ?

das system ist seit freitag abend aus gewesen... gehöre nicht zu einem AD netzwerk, bin nicht mehr sicher was ich genau gemacht habe, durchaus möglich dass ich kürzlichst eine serial gesucht habe, bin da aber immer extrem vorsichtig!

mfg
Axel

 

[jni]

Hattest du zu dem Zeitpunkt (Freitag) einen ordentlichen Virenscanner mit aktuellen Signaturen aktiv ?

 

[Axel.Teichmann]

Hattest du zu dem Zeitpunkt (Freitag) einen ordentlichen Virenscanner mit aktuellen Signaturen aktiv ?

nein, der ist noch nicht installiert... jaja nicht meckern bitte, aber ein virenbefall ist noch nicht sicher, trend micro scanner läuft noch

mfg
Axel
<br>
Hinzugefügter Post:<br>
in der gruppenrichtlinie steht überall nur "nicht konfiguriert" zum thema wechselmedien finde ich nichts... suche schon die ganze zeit! unter secpol.msc (lokale sicherheitsrichtlinie) steht unter

lokale richtlinien->sicherheitsoptionen->Geräte:zugriff auf disketten... [deaktiviert]

lokale richtlinien->sicherheitsoptionen->Geräte:zugriff auf CD... [deaktiviert]

auch wenn aktiviert+neustart das gleiche problem!

mfg
Axel

 

[jni]

Die Optionen "zugriff auf ... lokal angemeldete Benutzer beschränken" sind's natürlich nicht - du bist ja auch lokal angemeldet.

Aber ohne Virenscanner irgendwas von irgendwo laden und vielleicht noch starten - selbst dran schuld .

Falls der Virenscan nichts findet, kannst du mal den Rootkit-Revealer von Sysinternals bemühen. Wenn aber wirklich ein Rootkit drauf ist hilft nur neu installieren. Ein Adware-Scan kannst du natürlich auch noch mal machen - ich glaub aber nicht an einen Erfolg.

 

[Axel.Teichmann]

Die Optionen "zugriff auf ... lokal angemeldete Benutzer beschränken" sind's natürlich nicht - du bist ja auch lokal angemeldet.

Aber ohne Virenscanner irgendwas von irgendwo laden und vielleicht noch starten - selbst dran schuld .

Falls der Virenscan nichts findet, kannst du mal den Rootkit-Revealer von Sysinternals bemühen. Wenn aber wirklich ein Rootkit drauf ist hilft nur neu installieren. Ein Adware-Scan kannst du natürlich auch noch mal machen - ich glaub aber nicht an einen Erfolg.

trend micro und der revealer laufen jetzt parallel, mal sehn was kommt

mfg
Axel
<br>
Hinzugefügter Post:<br>
der revealer sagt: no discrepancies found.

ein gutes zeichen, oder? ich habe nochmal nachgedacht, den serial den ich suchte, da hab ich nichts geloaded, weil es meine gesuchte versionsnummer in einschlägigen suchmaschinen nicht gab!

mfg
Axel

 

[jni]

Naja die Scanner sollte man vielleicht nicht gleichzeitig laufen lassen, aber wenn der OK sagt, wird's wohl stimmen. Ich hätte vermutet, daß der Revealer falsche Meldungen ausspuckt oder das System abstürzt.

 

[Axel.Teichmann]

Naja die Scanner sollte man vielleicht nicht gleichzeitig laufen lassen, aber wenn der OK sagt, wird's wohl stimmen. Ich hätte vermutet, daß der Revealer falsche Meldungen ausspuckt oder das System abstürzt.

ich lass den revealer dann vorsichtshalber nocheinmal einzeln laufen!
hast Du ne idee wo ich in den gruppenrichtlinien nachschauen kann wegen der sperrung?

wenn trend micro endlich fertig ist deinstalliere ich nochmal meine brennsoftware... der reihe nach, angefangen bei nero

mfg
Axel

 

[jni]

Mmh...

Bei Sperrung über Gruppenrichtlinien kommt eine völlig andere Meldung. Auch hat wohl noch niemand anderes "deine" Meldung bekommen - zumindest in Deutsch. Kannst du eigentlich auf die Eingabeaufforderung zugreifen (also Ausführen -> cmd.exe) ? Und kannst du dann auf die Diskette/CD zugreifen (mal was einlegen und dann dir A: z. B.) ?

 

[Axel.Teichmann]

aktueller zwischenstand: trendmicro hat einiges gefunden, ich glaube aber dass es nur pipifax ist, ein paar reg einträge, aber nichts schlimmes?! hier ein screen:

rest probiere ich jetzt

mfg
Axel
<br>
Hinzugefügter Post:<br>
also in der konsole habe ich ebenfalls keinen zugriff "zugriff verweigert" das gleiche auch wenn ich die explorer.exe aus dem taskmanager kicke, unter datenträgerverwaltung ist das dvd laufwerk auch verschwunden, im gerätemanager wird aber alles angezeigt (auch nichts mit ausrufezeichen und korrekte bezeichnung beim dvd-lw) wenn ich eine scheibe einlege dreht diese los, rechtsklick auf das gesperrte dvd-lw -> auswerfen klappt nicht! eigenschaften der eingelegten scheibe kommen nicht! bei diskette tut sich auch gar nichts!

mfg
Axel
<br>
Hinzugefügter Post:<br>
nero 7 deinstalliert
im abgesicherten modus sind die laufwerke zwar immernoch mit einem roten "is nich" symbol gesperrt, ich kann aber zugreifen! nach normalstart gehts wieder nicht... was ich gerade festgestellt habe: wenn ich aufs floppy klicke, dann versucht er zuzugreifen (man hörts raddeln+floppy lampe an) und nach ein paar sekunden kommt erst diese "einschränkungswarnung" und sobald die kam, tut sich am laufwerk nix mehr!

mfg
Axel

 

[jni]

NAja die ersten 3 Sachen sind kein Pipifax - Backdoor,Trojan-Downloader und das 3. ist ein Keylogger - eigentlich ein professionelles Produkt, wurde hier aber offensichtlich mißbraucht.

Ob der Trend Micro das ordentlich entfernen kann ?
Außerdem wird der wohl auch das System nicht wieder in Ordnung bringen.

 

[Axel.Teichmann]

laut trendmicro ist alles weg... lasse grad nochmal scannen...

also dieser bosseveryware klingt wirklich gefährlich

mfg
Axel

 

[jni]

Booten und dann nochmal scannen ! Oft kommt so'n Zeug beim Booten wieder hervor.

Hoffentlich hast du seit Freitag keine wirklich wichtigen Paßwörter eingegeben z. B. für's Banking.

 

[Axel.Teichmann]

rootkitrevealer spuckt jetzt ein paar meldungen aus:

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed 04.10.2006 01:54
4 bytes Data mismatch between Windows API and raw hive data.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesSuccessful 04.10.2006 01:54
4 bytes Data mismatch between Windows API and raw hive data.

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\LastTraceFailure 04.10.2006 01:54
4 bytes Data mismatch between Windows API and raw hive data.

C:\Dokumente und Einstellungen\Smoker\Cookies\smoker@statse.webtrendslive[1].txt 04.10.2006 01:55
221 bytes Visible in Windows API, but not in MFT or directory index.

C:\Dokumente und Einstellungen\Smoker\Cookies\smoker@statse.webtrendslive[2].txt 04.10.2006 01:55
221 bytes Hidden from Windows API.

C:\Dokumente und Einstellungen\Smoker\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7LP0NDM5\adframe[1].php 04.10.2006 01:55
537 bytes Visible in Windows API, MFT, but not in directory index.

C:\Dokumente und Einstellungen\Smoker\Lokale Einstellungen\Temporary Internet Files\Content.IE5\7LP0NDM5\tmshredder[1].gif 04.10.2006 01:55
2.20 KB Hidden from Windows API.

C:\Dokumente und Einstellungen\Smoker\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I1K9A5U7\index_consumer[1].php 04.10.2006 01:55
4.82 KB Visible in Windows API, but not in MFT or directory index.

jetz erstmal durchblicken

 

[jni]

Sind vermutlich Falschmeldungen, weil das System noch was gemacht hat bzw. du vermutlich im Internet gesurft hast während dem Scan. Wenn du nochmal scannst müßte das weg sein.

 

[tigger]

das system ist seit freitag abend aus gewesen... gehöre nicht zu einem AD netzwerk, bin nicht mehr sicher was ich genau gemacht habe, durchaus möglich dass ich kürzlichst eine serial gesucht habe, bin da aber immer extrem vorsichtig!

mfg
Axel

wenn du schon so schön vorsichtig bist, dann halte bitte auch illegale/halblegale Äußerungen für dich, sowas will hier niemand wissen, egal was du damit anstellst

Ansonsten biste ja offensichtlich E mule Nutzer, was erwartest du da ? Dass die Viren um deinen Rechner nen Bogen schlagen

Auch hier will niemand wissen, was du mit E mule anstellst

Entschuldigung für so harte Worte, aber wegen User wie dir werden Foren teuer verklagt

 

[Axel.Teichmann]

ich wurde gefragt ob ich auf dubiosen seiten gewesen sein könnte, das war lediglich die antwort, von e mule war nie die rede, ich verbitte solche bösen unterstellungen, außerdem habe ich keine illegalen handlungen zugegeben (meine suche war ja wie bereits erwähnt erfolglos und suchen darf man ja meines wissens noch, bitte korrigieren wenn ich da falsch liege) geschweige denn webseiten beworben oder genannt (ich würde mich hüten)!

Axel

<br>
Hinzugefügter Post:<br>

Sind vermutlich Falschmeldungen, weil das System noch was gemacht hat bzw. du vermutlich im Internet gesurft hast während dem Scan. Wenn du nochmal scannst müßte das weg sein.

ja ist beim 2. scan wieder weg gewesen!

trend micro läuft auch wieder

mfg
Axel

 

[tigger]

ich wurde gefragt ob ich auf dubiosen seiten gewesen sein könnte, das war lediglich die antwort, von e mule war nie die rede, ich verbitte solche bösen unterstellungen, außerdem habe ich keine illegalen handlungen zugegeben (meine suche war ja wie bereits erwähnt erfolglos und suchen darf man ja meines wissens noch, bitte korrigieren wenn ich da falsch liege) geschweige denn webseiten beworben oder genannt (ich würde mich hüten)!

Hallo Axel,

ich war da wohl mal wieder zu schroff

Tut mir leid, falls es zu hart rüberkam, aber normalerweise schreibt niemand seinen CD-Key öffentlich auf, da muss man öfter mal auf misteriöse Seiten . Aber wenn du ja weißt, wie du dich zu verhalten hast, ist ja ok.

Ich komme auf's Emu, weil du deine Festplatte E so genannt hast, siehe Screenshot

Probier doch einfach mal im abgesicherten Modus dein Disketten- und CD-Laufwerk zu deinstallieren und boote dann mal normal ins Windows, vielleicht ist die Sache nach ner Neuerkennung erledigt

 

[Axel.Teichmann]

ich werd verrückt, ich hab was rausgefunden!!!!!

und zwar bin ich im task manager über "zu prozess wechseln" von der fehlermeldung zum prozess gewechselt! und siehe da, die meldung kommt von der awtray.exe! tja was war denn das gleich.. die gehört zu den Intel Desktop Utilities!!! an der stelle werd ich weiterforschen!

mfg
Axel
<br>
Hinzugefügter Post:<br>
also ich habe eine teillösung: wenn man diedesktop utilities deinstalliert wird auch ein teil der mitinstallierten adminworks software gelöscht und man hat wieder zugriff auf die laufwerke, trotzdem bleibt dieses garstige sperr-icon

werd morgen mal dort anrufen und mich beschweren!

avocent admin works.. dreck, und intel bewirbt den scheiß und installiert im hintergrund mit, wenn man nicht genau aufpasst!

mfg
Axel

 

[jni]

Ist ja ein Mist sowas...

Ich hab immer gesunden Respekt vor solchen Admin-Hilfs-Tools die angeblich alles von alleine machen (und zwar so, daß der Admin noch nicht mal weiß was da passiert). Bei einem einigermaßen nackten Windows weiß man ja mittlerweile was passiert und was nicht aber so...

Jens

 

[tigger]

was sollen denn diese tollen Desktop Utilities bringen ?

 

[Axel.Teichmann]

Ist ja ein Mist sowas...

Ich hab immer gesunden Respekt vor solchen Admin-Hilfs-Tools die angeblich alles von alleine machen (und zwar so, daß der Admin noch nicht mal weiß was da passiert). Bei einem einigermaßen nackten Windows weiß man ja mittlerweile was passiert und was nicht aber so...

Jens

so alt war das windows ja noch gar nicht, grad mal ne woche, und war sogut wie komplett eingerichtet

intel desktop utilities dient zur überwachung der temp, spannungen usw... und installiert diese adminworks geschichte einfach mit *grr* und aus irgend nem grund hat das meine laufwerke gesperrt

habe mit TweakUI nun meine icons repariert und alles ist wieder beim alten!

mfg
Axel

 

[jni]

Aha, hab mich schon gefragt mit was man bei Intel-Boards Lüfter, Temp usw. überwacht und (zum Glück ) noch nichts gefunden - sonst hätte ich vielleicht schon das selbe Prob. gehabt.

Ist trotzdem Mist - wenn ich die Lüfter und Temperaturen überwachen will, will ich keine Laufwerke sperren oder ähnliches.