Zugriff verweigert trotz lokaler Admin

#1 Hallo,

ich hatte letzte Woche in einem Firmennetzwerk an einem DELL Optiplex 755 XPSP3 das Phänomen, dass bei den Befehlen ipconfig, ping, net use, usw. aus der DOS-Box die Meldung "Zugriff verweigert" erscheint. Ich habe mich als lokaler Administrator angemeldet. Ich habe natürlich gleich an einen Virus oder sonstige Malware gedacht und mit der Avira Rescue CD einen Virenscan durchgeführt, der nicht gefunden hat. Um nicht unnötig Zeit zu verlieren, habe ich den Rechner komplett neu installiert.

Heute hat mich der Schlag getroffen, als auf dem Domänencontroller des Firmennetzwerkes dasselbe Phänomen aufgetaucht ist. Hier ist es mit einer Neuinstallation nicht so leicht getan.

Ich befürchte, dass sich im Netzwerk ein Virus oder ähnliches verbreitet hat.

Derzeit bin ich gerade dabei einen weiteren Optiplex mit denselben Phänomen zu prüfen. Leider noch ohne Erfolg. Auch ein Scan mit der F-Secure Boot CD hat nichts erbracht. Das FixIt-Tool der KB 313222, um Standardberechtigungen wiederherzustellen war auch erfolglos.

Benötige dringende Hilfe, um den Server zu retten.

Anbei das Hijackthis-Logfile des Optiplex

Im voraus schon vielen Dank für die Unterstützung.

MfG

Andreas Ament

#2 Du bist aber schon der Domainadmin?
Vielleicht wurden die Rechte des lokalen Admins beschnitten?

Zitat

Heute hat mich der Schlag getroffen, als auf dem Domänencontroller des Firmennetzwerkes dasselbe Phänomen aufgetaucht ist. Hier ist es mit einer Neuinstallation nicht so leicht getan.

Am Domänencontroller kannst du dich doch eh nicht als lokaler Admin anmelden?

Ich bin jetzt sicher nicht der Spezi im Logfileauswerten, aber ich habe erst einmal nichts schlimmes finden können.
__________
Woher soll ich wissen was ich denke, bevor ich höre was ich sage??
Sag NEIN zu HD+/CI+ - boykottiert die Etablierung von HD+/CI+!

#3 Richtig. Am DC gibt es nur den Domainadmin.

Ich vermute mal, dass die Infektion von dem Optiplex herrüht. Daher bin ich gerade dabei diesen zu prüfen und die Ursache herauszufinden.

Den DC lasse ich erstmal in Ruhe solange er noch läuft.

#4 Ich habe dein angehaengtes Hijackthis Log, wegen der dort gelisteten persoenlichen Ding, geloescht.

Das einzige, was mir auf die schnelle auffiel ist, es waren in dem Report viele svchost Eintraege unter "O23" gelistet. Das kann auf Probleme mit dem Kryptographiedienst hindeuten,
__________
MfG Ralf
SEO-Spam Hunter

#5 mittlerweile ist der 4. Rechner betroffen.

Ich habe im abgesicherten Modus gleich die DOS-Box geöffnet und ipconfig versucht. Und siehe da. Es hat funktioniert. Wenige Sekunden später allerdings nicht. Kann es sein, dass irgendein Prozess die Zugriff blockiert und zu dem Zeitpunkt noch nicht gestartet war.

Wer hat eine Idee, wie man hier weiterkommt. Prozesse analysieren oder mit Hijackthis einer nach dem anderen fixen ?

MfG

Andreas

#6 Hmm hört sich für mich aber auch eher nach einem lustigen Trojan/Rootkit an...
Allerdings sind die meisten Trojans zumindestens im abgesicherten Modus nicht aktiv (sofern sie diesen nicht gleich blockieren)

Zitat

Wenige Sekunden später allerdings nicht. Kann es sein, dass irgendein Prozess die Zugriff blockiert und zu dem Zeitpunkt noch nicht gestartet war.

Ja auf einmal? Dann müßte es ja nach dem neustarten an für sich wieder funktionieren...

Zitat

Wer hat eine Idee, wie man hier weiterkommt. Prozesse analysieren oder mit Hijackthis einer nach dem anderen fixen ?

Sind die denn alle gleich eingerichtet (eg. selbiges sys image)?
Tja welche Prozesse laufen denn alle?

Gibt es Unterschiede zwischen den wo diese Befehle per Administrator noch funktionieren und den wo dieses eben nicht mehr möglich ist?
Ich denke ja mal nicht das es mit irgendeiner Regel vom DC zu tuen hat, sonst müßte sich das ja auf alle auswirken.
Eventuell kannst du ja auch mal einen PC von der Domäne entfernen, nur so um zu schauen was sich dann tut.

Zitat

Ich habe im abgesicherten Modus gleich die DOS-Box geöffnet und ipconfig versucht.

Das ist keine DOS-Box.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode

#7 Ihr werdet es nicht glauben !!

Ich habe mich entschlossen, einen Optiplex zu opfern und mit Hijackthis sukzessive alles zu entfernen, wovon ich der Meinung war, dass nicht unbedingt benötigt wird. Als ich den Dienst des Virenscanners F-Prot deaktiviert hatte, hat plötzlich alles wieder normal funktioniert. Ich habe alles wieder so eingestellt, wie zu Beginn und nur den F-Prot Service deaktiviert. Zugriff auf die Systemprogramme war problemlos. Dann den Dienst gestartet. Zugriff verweigert. Dann habe ich in der Konfiguration des F-Prot geschaut. Da hatte ich vor ca. 3 Jahren bei Level of Protection all files (recommended) eingestellt. Stellt man hier auf Microsoft only läuft alles problemlos.

Wie kann das sein ? Kann doch nur eine Fehlfunktion sein, oder ? Jedenfalls werde ich mich jetzt nach einer anderen Virenschutzsoftware umschauen.

Vielen Dank für eure Unterstützung.

MfG

Andreas

#8

Zitat

Wie kann das sein ? Kann doch nur eine Fehlfunktion sein, oder ? Jedenfalls werde ich mich jetzt nach einer anderen Virenschutzsoftware umschauen.

Naja was ist schlimmer Malware oder einen Grund AVs zu benutzen?
(Vielleicht beides gleich schlimm) - damit mein ich nur das, dass Phänomen bekannt ist.
Man nehme nur Norton da wird ja des halbe OS gleich umgekrempelt - über F-Prot weiß ich nichts mehr, die haben sich sicherlich auch schwer geändert.
Da wurde dann wohl einfach ne default config geändert oder überschrieben...

Hauptsache es läuft wieder alles.
__________
E-Mail: therion at ninth-art dot de
IRC: megatherion @ Freenode