Verstoß gegen NUB

User325

Guten Tag zusammen,

ich habe folgendes Problem, habe neulich meinen Rechner neu aufgesetzt.
Habe dann, weil ich kein Heimnetzwerk habe und brauche den Arbeitsstationsdienst beendet. Serverdienst nicht weil jedes mal wenn ich das tue werden sofort unter:
C:\Users\, C:\Program Files\, C:\Program Files (x86)\, C:\Windows\
ALLE Ordner freigegeben.

Im Explorer steht erstmal nichts wenn ich z.B. auf den Ordner C:\Programme klicke, aber wenn man dann reingeht ist alles als Standardfreigabe markiert, JEDER Ordner, das gilt wie gesagt für den Inhalt jedes o.e. Ordners. Auf D:\ ist das nicht so.

Gut dachte ich mir wird wohl n Fehler sein und habe dann manuell in der Registry folgende Einträge eingefügt und wie gesagt den Serverdienst angelassen:
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters <-- AutoShareServer = 0, SMB1 = 0, Server Message Block = 0 eingefügt.
Das selbe auch für den Workstationentry in der Registry allerdings hier AutoShareWks = 0. Ansonsten alles wie oben.

Dann noch:
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\mrxsmb <-- Start = 4 eingefügt um mit diesen Einträgen die Administrative Freigabe größtenteils zu beenden und SMB1 aus dem Server zu entfernen und unter Programme und Extras SMB1 komplett deinstalliert.

In der cmd dann geschaut mit net share und es wahr glaube ich nur noch $IPC zu sehen.
Schien also so zu sein wie ich es wollte. Das wahr vor ca. 2 Wochen.

Heute habe ich nochmal nachgeschaut und gesehen das auf einmal:
C$, D$, $ADMIN und $IPC freigegeben sind.
In der Registry nachgeschaut, alle Einträge stimmen noch.

Ok was nun? Wenn ich den Serverdienst beende habe ich alles auf C:\ freigegeben und wenn ich den Serverdienst an habe dann auch.

Achja, habe dann noch versucht mit net share "ORDNERNAME" /delete diese Freigaben manuell zu beenden weil im Explorer die Möglichkeit nicht angezeigt wird. Alle vier Freigaben waren weg aber dann nach kurzer Zeit später wieder alle da.

Hier sind Screenshots...








Was soll ich davon halten, kann das ein Virus sein oder wurde evtl. irgendwas, irgendwie, von irgendwem an meinem System modifiziert oder was soll ich davon halten?
Wenn es modifiziert wurde um Zugang zu haben, aus welchen Gründen auch immer ( Es gibt nichts zu holen bei mir), wie wurde das gemacht und wie kann ich es unterbinden.
Meine Firewall antwortet auf nichts von außen, habe wfc installiert und Regelschutz eingestellt. Von außen geht da nicht viel denke ich, keine eingehende Regel eingetragen und gesagt das alle eingehenden Verbindungen blockiert werden (werden ja temporär sowieso bei bedarf freigegeben wenn nötig), und das bringt mich zum nachdenken.
Bin auch kein Profi deshalb verstehe ich das nicht, will aber wissen woran das liegen kann.

Was ist also eure Meinung dazu?
Virus, Hacker, Windowsfehler???



*Edit1
Wenn ich schonmal frage dann habe ich noch was was ich mich seit der Installation frage:

Warum ist wenn ich net user Admin eingebe, dort zu sehen das für dieses Konto kein Password nötig währe, wenn ich aber mich mit meinem Adminkonto anmelden will muss ich mein Passwort eingeben. Das macht keinen Sinn für mich. net user Administrator zeigt an das das Konto nicht aktiv ist und ein Password gebraucht wird. So sollte es auch sein für meinen Admin Acc. nur das dieser aktiv ist und nicht inaktiv wie der Administrator Acc..

Wenn ich irgendwas als Admin starten will, muss ich auch mein Passwort eingeben. Das ist doch nicht normal oder? Mein Gastkonto hat auch anscheinend auch kein Password obwohl ich eins mit net user Gast vergeben hatte, genau wie bei allen anderen Konten bis auf DefaultAccount und WDAGUtilityAccount nicht. Warum ist das denn so? Sollte es nicht normalerweise auch so angezeigt werden das man ein Passwort braucht, oder ist das etwa eine Information dafür das man Remote kein Passwort braucht oder was? Ich kapiere das nicht.

Hier sind Screenshots:







*Edit2
Gerade mal net config server eingegeben und gesehen das mein Serverdienst wohl auf NetbiosSmb (PC) läuft. Warum wenn ich das deaktiviert und deinstalliert habe? Da steht ja NetbiosSmb, wird dann wohl SMB1 sein oder nicht? Oder ist das ein Allgemeinbegriff auch für SMB2/3? Die beiden sind noch aktiv, die habe ich nicht beendet.





Mit freundlichen Grüßen
User325