Gebrukersaccountbeheer vraagt om Bestanden Delen

Nico-G schreef op donderdag 29 september 2022 @ 09:58:
...
Als ik hem (vanzelfsprekend) met Nee beantwoord, komt het venster steeds terug.
Is hier een bug of een aanval in gang? Hoe kan ik dit stoppen?

*knip* Je kunt ook gewoon niet reageren, of op z'n minst iets bijdragen aan het topic.

[ Voor 17% gewijzigd door TheVMaster op 30-09-2022 10:18 ]

Brahiewahiewa schreef op donderdag 29 september 2022 @ 13:00:
[...]

*knip*

Want jij klikt ook altijd maar op ja als er constant een venster verschijnt wat je niet vertrouwd om van het gezeik af te zijn? Die script kiddies die constant 2FA verzoeken spammen zijn dolblij met jou.

OP vertrouwd de situatie duidelijk niet, dan moet je niet blind maar alles door willen drukken.

[ Voor 10% gewijzigd door TheVMaster op 30-09-2022 10:19 ]

Heb je al op meer keuzes geklikt?

Nico-G schreef op donderdag 29 september 2022 @ 13:05:
... Ja antwoorden heeft mogelijk vervelende consequenties...

Lanfear89 schreef op donderdag 29 september 2022 @ 13:05:
[...]
Die script kiddies die constant 2FA verzoeken spammen zijn dolblij met jou...

Er staat toch duidelijk dat de geverifiëerde uitgever "Microsoft Windows" is? Waarom zou je dat wantrouwen?

Hoi Nico,

Waarschijnlijk zit in Windows een soort check ingebouwd die kijkt of alle programma's wel de juiste rechten hebben. Wellicht heeft het programma "Bestanden Delen" niet het recht om aanpassing op de schijf te maken, wat wel nodig is als je bestanden zou willen delen...

Dat kan ook de reden zijn dat de vraag terug blijft komen, zelfs als je je netwerkverbindingen uit zet. Het gaat niet om de verbinding zelf, alleen een interne check om te kijken of dit programma zou kunnen functioneren mocht het nodig zijn.

Ik kan je helaas niet vertellen hoe je dit weg krijgt zonder toestemming te geven, lezen er Microsoft-experts mee?

https://www.speedguide.ne...r-network-credentials-473

Hier kom je een heel eind mee

Brahiewahiewa schreef op donderdag 29 september 2022 @ 13:19:
[...]


[...]

Er staat toch duidelijk dat de geverifiëerde uitgever "Microsoft Windows" is? Waarom zou je dat wantrouwen?

Dat is.. kort door de bocht. Het wil alleen zeggen dat het programma dat de toegang probeert te krijgen door Microsoft is uitgegeven, maar je hebt nog steeds geen informatie over waarom dat programma overgaat tot dat verzoek. Zeker bij een programma dat bedoeld is om bestanden te delen over het netwerk lijkt het me niet overbodig om voorzichtig te zijn.

@Nico-G via Computer Management (in het Nederlands vermoed ik dat dit iets is als 'Computerbeheer'), kun je als het goed is zien of er shares zijn op je PC (zie dit screenshot). Staat daar iets tussen wat je niet verwacht?

Nico-G schreef op donderdag 29 september 2022 @ 13:27:
Dat is ook maar een plaatje...

Nou, nee, dat is niet zomaar een plaatje. Dat is een dialoogje van je OS en het OS heeft al een heleboel gecontroleerd voordat-ie jou dit plaatje presenteerde

...De melding uit mijn vraag komt zomaar uit de lucht vallen, ik heb daar zelf niet om gevraagd en ik ben de enige gebruiker. Rara...

De functie "Bestanden delen" wordt door een heleboel toepassingen gebruikt. Een voorbeeld daarvan is de Media Player die in standaard windows zit. Als je die default opstart, wil die ook bestanden delen met de rest van je netwerk. En als je daarna de functie "Bestanden delen" nadrukkelijk uitzet, krijg je dit soort taferelen.
Maar naast Media Player zijn er 100-en toepassingen die graag "Bestanden delen" aan hebben staan

Ik heb wel het gevoel dat je een wat afwijkende configuratie hebt. Daar is op zich niets mis mee, maar er is natuurlijk een kans dat het een vrij onschuldig programma is dat gewoon een module heeft om via bestanden delen het e.e.a. op het netwerk kenbaar te maken, en dat op een wat onhandige manier doet waardoor het al die toegang verzoekt zonder dat het daadwerkelijk is ingesteld om te delen. Als je dan dit onderdeel expliciet hebt uitgezet, dan kun je dit soort meldingen krijgen.

Heb je recentelijk iets geïnstalleerd, of weet je dat er recent iets is geüpdate wat deze melding mogelijk kan verklaren? Voor zover ik weet is het lastig te achterhalen welke software er verantwoordelijk is voor zo'n melding, juist omdat het uiteindelijk van een kernonderdeel van Windows komt.

Wat je natuurlijk nog kunt proberen is selectief software uitschakelen (doe het dan wel handig met bijv. een binary search) en kijken of het probleem zich dan nog voordoet.

EDIT: In de Event Viewer (geen idee hoe dit heet in het Nederlands) is er nog een kopje security, daar staan soms ook dingen in die UAC gerelateerd zijn. Staat daar iets in dat je aandacht pakt?

[ Voor 9% gewijzigd door Patriot op 29-09-2022 14:20 ]

Nico-G schreef op donderdag 29 september 2022 @ 17:33:
@Patriot Iedere computer is bij inlog beschermd met een eigen wachtwoord zowel voor de standaardgebruiker als voor de admin.

Ja, dat is natuurlijk niet gek, ik doelde specifiek op het vragen van een wachtwoord bij een UAC prompt. Hoe dan ook...

Ik wil je hartelijk danken voor jouw poging om mij te helpen, maar mijn kennis van ICT reikt als eenvoudig architect niet zover, dat ik met Procmon iets kan bereiken. Helaas begrijp ik niet hoe ik hier uit moet komen.

...bij het lezen van bovenstaande rijst bij mij de vraag of je daar zelf heel erg bij betrokken bent geweest, die instelling. In jouw situatie is het mogelijk het interessantst om even iemand langs te laten komen die er meer verstand van heeft. Je kunt het er ook nog even op wagen dat hier iemand langskomt die het probleem wel al eens heeft gehad en de oplossing paraat heeft. Moet je alleen nog een tijdje op nee klikken, of met een knipperlicht in je taakbalk kunnen leven

Nico-G schreef op donderdag 29 september 2022 @ 17:33:
@Patriot Iedere computer is bij inlog beschermd met een eigen wachtwoord zowel voor de standaardgebruiker als voor de admin.
Ik wil je hartelijk danken voor jouw poging om mij te helpen, maar mijn kennis van ICT reikt als eenvoudig architect niet zover, dat ik met Procmon iets kan bereiken. Helaas begrijp ik niet hoe ik hier uit moet komen.

Je begrijpt best wel hoe je hier uit kunt komen: gewoon één keer op "ja" klikken; dan is het probleem weg. Maar om één of andere reden wil je dat niet. En dat kan ik dan weer niet begrijpen

Dat is inderdaad het class id van elevated file sharing. Het is een service/proces op je computer dat inderdaad vraagt of share toegang onder het admin account gedaan moet worden. In deze schiet je er niet heel veel mee op, want er is een ander proces dat deze weer aanroept. Dat andere proces wil je eigenlijk achterhalen.
Dat het proces elevated file sharing om het invoeren van een admin wachtwoord vraagt is dus niet zo gek, want dat is precies waar het voor bedoeld is.

Maar zoals aangegeven, er is een ander proces/programma, wat gebruik maakt van deze functionaliteit. Welk programma dat is wil je achterhalen. Zonder gedegen kennis van Windows gaat je dat zeer wel mogelijk niet lukken en ons gaat het, denk ik, niet heel snel lukken als er niet een van ons achter de knoppen zit...

Achtergrond: class-id's zijn identifiers waarmee stukjes software uniek geïdentificeert kunnen worden op een computer. Als er onverhoopt malafide software met een dezelfde naam wordt geïnstalleerd zou deze een andere class-id kunnen krijgen en daarmee opvallen.

-Edit- draait er specifieke software als deze melding naar boven komt? Als je de PC eens vers opstart en dan alléén inlogt, krijg je dan na verloop van tijd ook deze meldingen? Dan is het iets dat op de achtergrond draait.
Als je de melding alleen krijgt als je bijvoorbeeld in jouw CAD programma aan het werk bent, dan kan het zijn dat een onderdeel van deze software het netwerk wil benaderen, met of zonder jouw medeweten. Bijvoorbeeld om te pollen of het netwerk uberhaupt toegankelijk is, of omdat de routine die autosaves voor je maakt tegelijk kijkt of hij op een share op het netwerk moet zijn (dit zijn fictieve voorbeelden).
Rings a bell?

[ Voor 23% gewijzigd door ElCondor op 30-09-2022 12:51 ]

Nico-G schreef op vrijdag 30 september 2022 @ 12:51:
@ElCondor hartelijk dank voor de achtergrondinfo.
Je stipt precies het heikel punt aan: Welk proces/programma heeft dit aangeroepen?
Is een rigoureuze oplossing als "Herstel met behoud van gegevens" de oplossing?

Zie nog even mijn aanvulling hierboven..

Nico-G schreef op vrijdag 30 september 2022 @ 13:16:
[...]

Zonet mijn computer from scratch opgestart. Vrijwel meteen weer de prompt.
Taakbeheer geopend om te bekijken welke programma's bij opstarten zijn ingeschakeld.
Vreemde eend (voor mij tenminste) is Spotify.
Is dat er bij een update bijgefrommeld?
Spotify uitgeschakeld en nu blijft de prompt na een herstart achterwege.
Zou dit het kunnen zijn?

Lijkt mij vreemd ; Spotify gebruikt lokale mappen alleen om muziek offline op te slaan, verder niet.
Maar als hiermee het probleem is opgelost....

KatirZan schreef op vrijdag 30 september 2022 @ 13:20:
[...]


Lijkt mij vreemd ; Spotify gebruikt lokale mappen alleen om muziek offline op te slaan, verder niet.
Maar als hiermee het probleem is opgelost....

Is inderdaad vreemd, al heeft Spotify uiteraard wél netwerk toegang nodig om te kunnen werken. Wellicht dat hier tegenwoordig een CIFS/Windows FileSharing call in zit. Ik heb er wat naar zitten neuzen, maar kan zo niets vinden. Wél dat Spotify niet wil opstarten als er géén netwerk is. Dus de app initialiseert zeer zeker netwerk verkeer. Of dit filesharing verkeer is, is me niet duidelijk en lijkt me wat onwaarschijnlijk, maar zols gezegd, als dit het oplost..

-edit-
Ah, te vroeg gejuicht...
Andere processen? Virusscanner die ooit een share benaderd heeft en deze nu weer probeert te vinden?

Als je met ProcessExplorer het window opvraagt kom je dan bij de CLSID uit? Of is dat een child van iets?
(naast het verrekijkertje zit een target rectangle, die kun je over de UAC melding slepen en geeft het process aan)

edit 1: Start anders je pc eens, doe helemaal niks. Komt de UAC melding automatisch? Zo ja, kijk dan eens met autoruns wat er automatisch start (is ook van sysinternals) En check dan gelijk even welke services er automatisch starten.

edit 2: Nog een idee: probeer eens in ProcessExplorer -> Search de CLISD te plakken zodra je de melding krijgt. Benieuwd of je dan een parent process kunt zien. Nooit geprobeerd

[ Voor 48% gewijzigd door sh4d0wman op 30-09-2022 13:47 ]

sh4d0wman schreef op vrijdag 30 september 2022 @ 13:28:
Als je met ProcessExplorer het window opvraagt kom je dan bij de CLSID uit? Of is dat een child van iets?
(naast het verrekijkertje zit een target rectangle, die kun je over de UAC melding slepen en geeft het process aan)

Goed punt. @Nico-G , je kunt op Youtube zeker instructie terug vinden over het gebruik van ProcessExplorer (te downloaden van Microsoft) en daarmee kijken of je er uit komt.
Ik snap dat het niet jouw core business is, maar wellicht toch leerzaam om het eens tot op de bodem uit te zoeken

[ Voor 10% gewijzigd door ElCondor op 30-09-2022 13:32 ]

Nico-G schreef op vrijdag 30 september 2022 @ 12:04:
CLSID:{72A7994A-3092-4054-B6BE-08FF81AEEFFC}
Informatie over certificaat van de uitgever weergeven

Zou je die informatie van het certificaat ook eens willen delen?

Terwijl we hier doorgaan met troubleshooten zou ik ook zeker eens een goede scan op malware doen. Bijvoorbeeld https://www.malwarebytes.com/mwb-download.

[ Voor 22% gewijzigd door Jazzy op 30-09-2022 16:38 ]

Ik zit nu alleen nog mobiel. Zal het topic even volgen.

Probeer als de melding actief is nog eens te zoeken naar die CLSID string met ProcessExplorer.

En/of post hier eens een screenshot van je Autoruns - Logon tab.

Geen probleem:
Wat is Raidrive? Verwijst naar een E:\

Ik zou eens alle storage apps uitschakelen en dan rebooten:
GoogleDrive
OneDrive
RaiDrive
Dropbox

Dan even checken of het probleem zich nog steeds voor doet.

Nico-G schreef op zaterdag 1 oktober 2022 @ 17:06:
Maar ik gebruik OneDrive al jaaaren. Wat is er dan plotseling nieuw, dat er bestandsdeling moet worden aangevraagd?

Kun je nog iets in de settings van OneDrive zien? Zit daar nog per ongeluk een verwijzing naar een netwerkshare oid?

In EventViewer nog specifieke OneDrive melding(en) wellicht?

Ik zie wel veel OneDrive / UAC vragen op internet langs komen maar niet gelijk iets over bestand deling...
Maar ja het is MS dus it's not a bug, it's a feature

[ Voor 10% gewijzigd door sh4d0wman op 02-10-2022 08:24 ]