Administrator heeft niet alle rechten - Privacy en beveiliging

vrijdag 27 oktober 2006 18:44

Acties:

Verwijderd

Topicstarter

Goedeavond

Ik draai hier op het moment en heb altijd ingelogd als Administrator.
Nou is er sinds 24 oktober iets vreemds aan de hand, De administrator bezit niet al zijn rechten meer.

Ik kan nog wel programma's/games e.d instaleren, maar zodra ik uitvoeren -> Cmd doe krijg ik de melding:

De opdrachtprompt is door systeembeheer uitgeschakeld.
Druk op een toets om door te gaan...

Hetzelfde heb ik als ik in taakbeheer wil komen: Taakbeheer is uitgeschakeld door.... etc.

Wat heb ik al gedaan:
Start => Deze Computer => Beheren => Lokale gebruikers en groepen.
Hier heb ik gekeken of de Administrator in de goede groep stond.
Enja, hij stond in 2 groepen: Administrator & Hoofdgebruikers

Een nieuwe account aan gemaakt die alle rechten zou moeten hebben.
Maar dat helpt ook niet want ik kan dan nog steeds niet in CMD & Taakbeheer komen

Gekeken in C:\WINDOWS\system32\secpol.msc & C:\WINDOWS\system32\rsop.msc. Hier stond niks dat mij rechten ontnam.

Gescant op virussen/spyware en heel de reutemeteur

Ik heb echt geen idee waar het aan kan liggen. Ik gebruik trouwens xp pro. met sp2.
Ik hoop dat mijn vraag duidelijk is: Hoe zorg ik dat de administator al zijn rechten weer krijgt

Bedankt

vrijdag 27 oktober 2006 18:46

Acties:

bastian433

Probeer gpedit.msc eens.

vrijdag 27 oktober 2006 18:48

Acties:

Verwijderd

Topicstarter

bastian433 schreef op vrijdag 27 oktober 2006 @ 18:46:
Probeer gpedit.msc eens.

Zal je iets specifieker kunnen zijn, ik zit namelijk in gpedit.msc, maar weet niet waar die bepaalde rechten staan

vrijdag 27 oktober 2006 18:59

Acties:

bastian433

gebruikersconfig -> systeem -> toegang tot de opdrachtprompt voorkomen -> uitgeschakeld
dan start -> uitvoeren -> gpupdate

edit:

Maak ook eens een log aan met HijackThis om te kijken of je geen dingen hebt die je virusscanner over het hoofd ziet. Gebruik ook eens iets van Kaspersky, want die ziet veel meer rare trojaanse paarden enz.

[ Voor 47% gewijzigd door bastian433 op 27-10-2006 19:06 ]

vrijdag 27 oktober 2006 19:01

Acties:

Kurios

heb je er al een virusscanner overheen gegooid?

hmm ja dus...

zijn er geen extra users?

[ Voor 36% gewijzigd door Kurios op 27-10-2006 19:02 ]

vrijdag 27 oktober 2006 19:05

Acties:

Verwijderd

Of even in de registry op deze plek kijken:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
&
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

Map kun je eventueel helemaal leeg gooien.

[ Voor 19% gewijzigd door Verwijderd op 27-10-2006 19:06 ]

vrijdag 27 oktober 2006 19:19

Acties:

Verwijderd

Topicstarter

bastian433 schreef op vrijdag 27 oktober 2006 @ 18:59:
gebruikersconfig -> systeem -> toegang tot de opdrachtprompt voorkomen -> uitgeschakeld
dan start -> uitvoeren -> gpupdate

edit:

Maak ook eens een log aan met HijackThis om te kijken of je geen dingen hebt die je virusscanner over het hoofd ziet. Gebruik ook eens iets van Kaspersky, want die ziet veel meer rare trojaanse paarden enz.

Lukt niet, ik kan er nog steeds niet in. Log post ik zometeen

Edit:

de log:

code:

Logfile of HijackThis v1.99.1
Scan saved at 19:26:15, on 27-10-2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Program Files\Logitech\Video\CameraAssistant.exe
C:\WINDOWS\system32\ElkCtrl.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Wonderful\wonderfl.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Program Files\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Program Files\Netropa\Onscreen Display\OSD.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\RealVNC\VNC4\WinVNC4.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Administrator\Bureaublad\utorrent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Macromedia\Dreamweaver 8\Dreamweaver.exe
C:\Program Files\GPSoftware\Directory Opus\DOpus.exe
C:\Program Files\Alcohol Soft\Alcohol 120\Alcohol.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\FTDv3.7.3\FTDv3.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\mmc.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dtemp-6b3fe6823179421-20.dop\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe
O1 - Hosts: 127.255.255.255 195.137.236.101
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ChangerBHO Class - {0D4C7057-EAD2-44C6-AD18-9092905F28F1} - C:\WINDOWS\system32\clbcatexa.dll
O2 - BHO: ChangerBHO Class - {1D4C7057-EAD2-44C6-AD18-9092905F28F1} - C:\WINDOWS\system32\browsewmsv.dll
O2 - BHO: SpoofBHO Class - {385066e0-23f3-11db-a98b-0800200c9a66} - C:\WINDOWS\se_spoof.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: TrustIn Bar - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - C:\Program Files\trustin bar\trustin.dll
O3 - Toolbar: &3rtg - {85E0B173-04FA-11D1-B7DA-00A0C90348D6} - C:\Program Files\3rtg\3rtg.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Logitech\Video\CameraAssistant.exe
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Logitech\Video\InstallHelper.exe /inspect
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporteren naar Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobiele favorieten maken - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Onderzoek - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program Files\Common Files\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: VNC Server Version 4 (WinVNC4) - Unknown owner - C:\Program Files\RealVNC\VNC4\WinVNC4.exe" -service (file missing)

[ Voor 85% gewijzigd door Verwijderd op 27-10-2006 19:26 ]

vrijdag 27 oktober 2006 19:19

Acties:

Verwijderd

Topicstarter

Verwijderd schreef op vrijdag 27 oktober 2006 @ 19:05:
Of even in de registry op deze plek kijken:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies
&
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

Map kun je eventueel helemaal leeg gooien.

hmm, in register editor kan ik dus ook niet komen zie ik nu

vrijdag 27 oktober 2006 19:23

Acties:

To_Tall

Verwijderd schreef op vrijdag 27 oktober 2006 @ 19:19:
[...]

hmm, in register editor kan ik dus ook niet komen zie ik nu

Zelfde error of gewoon omdat je RUN niet mag gebruiken
Anders op je buroblad een snelkopeling maken "regedit.exe" zou ook moeten werken.
Probeer de machine ook eens in safe mode en kijk of je pc niet perongeluk aan een domain hangt al lijkt mij dit sterk. maar je weet maar nooit.,

zit de administrator ook in de Local Group Administrators?

[ Voor 6% gewijzigd door To_Tall op 27-10-2006 19:24 ]

A Soldiers manual and a pair of boots.

vrijdag 27 oktober 2006 19:27

Acties:

Tijntje

Hello?!

Het kan aan mijn liggen maar als het systeem beheer bepaalde functies bij jouw uitschakelt zal dat wel een bepaalde reden hebben. Misschien willen ze het netwerk wat veiliger hebben of minder gerommel op de PC.
Als je die rechten nodig hebt moet je gewoon naar Systeem beheer gaan en vragen of je die rechten weer wil terug geven.

Als het niet gaat zoals het moet, dan moet het maar zoals het gaat.

vrijdag 27 oktober 2006 19:28

Acties:

Verwijderd

Topicstarter

To_Tall schreef op vrijdag 27 oktober 2006 @ 19:23:
[...]

Zelfde error of gewoon omdat je RUN niet mag gebruiken
Anders op je buroblad een snelkopeling maken "regedit.exe" zou ook moeten werken.
Probeer de machine ook eens in safe mode en kijk of je pc niet perongeluk aan een domain hangt al lijkt mij dit sterk. maar je weet maar nooit.,

zit de administrator ook in de Local Group Administrators?

Ik kan run gewoon gebruiken zoals je in mijn startpost ziet
en hij zit niet aan een domain gekoppeld daar ben ik zeker van.
En hij is lid (zoals in mijn openingpost staat) van de groep administrators en hoofdgebruikers

@Tijntje, deze computer wordt alleen door mij gebruikt en is niet aan een netwerk gekoppeld

[ Voor 6% gewijzigd door Verwijderd op 27-10-2006 19:30 ]

vrijdag 27 oktober 2006 19:34

Acties:

Bastien

Probleemeigenaar

Regel 50 in je log geeft volgens mij een leuke trojan aan. Je systeem is dus niet helemaal schoon volgens mij

Zoek maar eens op se_spoof.dll @ google.

Op regel 66 staat dat regedit geblockt is, dus ook logisch dat je daar niet in mag.

Je privacy is voor het eerst geschonden bij de eerste echo. Daarna wordt het er de rest van je leven niet meer beter op.

vrijdag 27 oktober 2006 19:41

Acties:

Verwijderd

Bastien schreef op vrijdag 27 oktober 2006 @ 19:34:
Regel 50 in je log geeft volgens mij een leuke trojan aan. Je systeem is dus niet helemaal schoon volgens mij Zoek maar eens op se_spoof.dll @ google.

Op regel 66 staat dat regedit geblockt is, dus ook logisch dat je daar niet in mag.

Deze 2 zijn ook niet pluis:

C:\WINDOWS\system32\clbcatexa.dll - (org windows bestand heet: clbcatex.dll)
C:\WINDOWS\system32\browsewmsv.dll - (org windows bestand heet: browsewm.dll)

[ Voor 10% gewijzigd door Verwijderd op 27-10-2006 19:42 ]

vrijdag 27 oktober 2006 19:52

Acties:

Verwijderd

Topicstarter

Bastien schreef op vrijdag 27 oktober 2006 @ 19:34:
Regel 50 in je log geeft volgens mij een leuke trojan aan. Je systeem is dus niet helemaal schoon volgens mij Zoek maar eens op se_spoof.dll @ google.

Op regel 66 staat dat regedit geblockt is, dus ook logisch dat je daar niet in mag.

Heel leuk, maar hoe los ik dat op?

vrijdag 27 oktober 2006 19:58

Acties:

Verwijderd

Aankruisen in hijackthis (in veilige modes) en op fix drukken en controleren of alle bestanden zijn gewist die wij hebben aangegeven.

Tevens een keer met de online scanner van de grotere anti-virus bedrijven er overheen.

vrijdag 27 oktober 2006 19:58

Acties:

adslfreak

door in 1e instantie je PC op te schonen met scans van trojan removers... Hitmanpro is een optie.. maar ook anderen zoals kaspersky.

daarna kan je je systeem herstellen door de windows cd te draaien en daar te kiezen voor herstelconsole.

en dan chkdsk /r te draaien (kan lang duren) en dan is je windows weer volledig hersteld

vrijdag 27 oktober 2006 20:00

Acties:

Verwijderd

adslfreak schreef op vrijdag 27 oktober 2006 @ 19:58:
door in 1e instantie je PC op te schonen met scans van trojan removers... Hitmanpro is een optie.. maar ook anderen zoals kaspersky.

daarna kan je je systeem herstellen door de windows cd te draaien en daar te kiezen voor herstelconsole.

en dan chkdsk /r te draaien (kan lang duren) en dan is je windows weer volledig hersteld

Met chkdsk repareer je (indelings)fouten op de hardeschijf, ik vermoed dat je SFC.exe bedoeld.

[edit]
Ik kan uit je logfile opmaken dat je geen virusscanner hebt ?

[ Voor 6% gewijzigd door Verwijderd op 27-10-2006 20:03 ]

vrijdag 27 oktober 2006 20:05

Acties:

Darude1234

Je hebt spyware op je computer zitten. Scan eens met Ad-ware (www.lavasoft.de) en verwijder het. Je zult zien dat je dan na een herstart alle rechten weer hebt. Dit soort spyware heb ik ook wel eens gehad.

vrijdag 27 oktober 2006 21:16

Acties:

bastian433

scvhost.exe is ook geen bestaand windowsonderdeel...svchost wel. nee haal nu maar eens kaspersky eroverheen. Het is namelijk niet zo goed gesteld. Daarna nog iets van hitman pro oid. wat je ook kunt doen is die svchost en die 2 dlls er met hijackthis uitknikkeren

O3 - Toolbar: TrustIn Bar - {a19ef336-01d4-48e6-926a-fe7e1c747aed
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\scvhost.exe

http://www.liutilities.co...o/processlibrary/scvhost/

Ik kan je ook van harte aanraden al je wachtwoorden te gaan wijzigen nadat je de trojan eraf hebt.
gezien die ook gebruik maakt van system.ini voor windows 98/ME systemen lijkt me dat een trojan namelijk.

vrijdag 27 oktober 2006 21:35

Acties:

alt-92

ye olde farte

Nog verstandiger:

Wipe & reinstall.

ik heb een 864 GB floppydrive! - certified prutser - the social skills of a thermonuclear device

vrijdag 27 oktober 2006 21:36

Acties:

Verwijderd

BackSlash32 schreef op vrijdag 27 oktober 2006 @ 21:35:
Nog verstandiger:

Wipe & reinstall.

Idd, je hebt geen idee wat er nog meer met je systeem aan de hand is.

Wel een scan doen over je backup bestanden anders ben je zo weer terug bij af.

vrijdag 27 oktober 2006 21:48

Acties:

CoolGamer

What is it? Dragons?

Ik dacht dat Spybot deze policies weer goed zet. Ik heb het ook gezien bij iemand anders en op deze manier hersteld. Het is een gratis programma wat scant op spyware.

¸.·´¯`·.¸.·´¯`·.¸><(((º>¸.·´¯`·.¸><(((º>¸.·´¯`·.¸.·´¯`·.¸.·´¯`·.¸<º)))><¸.·´¯`·.¸.·´¯`·.¸.·´¯`·.¸

vrijdag 27 oktober 2006 21:53

Acties:

Boudewijn

omdat het kan

jep en er kan altijd sprake zijn van een rootkit.
meuken dus dat systeem.

anders kun je gewoon zo weer bij af beginnen.

zaterdag 28 oktober 2006 08:10

Acties:

Kurios

Sterker nog je hebt VNC draaien. Ik hoop maar dat je deze zelf geinstalleerd hebt. Zoja bestaat er altijd nog reele kans dat hier het wachtwoord voor gelekt is. Een tijd geleden waren alle versies vulnerable en kon iedereen met een simpele actie zo je pc overnemen.

Ik zou zeggen doe complete nieuwe install met nieuwe administrator login. patch je complete windows en patch zeker je VNC! (of gebruik het helemaal niet meer)

zaterdag 28 oktober 2006 11:00

Acties:

elevator

Officieel moto fan :)

Windows Clients >> Beveiliging & Virussen

zondag 29 oktober 2006 12:21

Acties:

Verwijderd

Ik had ook zo'n soort probleem. Toegang tot regeister uitgeschakeld etc. Paar scans gedaan met verschillende virusscans en spyware programma's die wel wat vonden. Helaas was het probleem er nog, oplossing=herinstallatie windows..tis jammer maarja..

Pagina: 1

Reageer