mmcsmv user

[Ole3]

Jeg skulle dele en katalog og ble klar over den lokale brukeren mmcsmv som er medlem av SMVUSERS.

 

Dette er en bruker jeg ikke har noe forhold til. Er dette et kjent brukernavn for dere?

 

Ole

[Syar-2003]

Er SMVUSERS en global gruppe i et AD Domene ?

[Ole3]

Hei og takk for svar!

 

Nei, dette er en lokal maskin som jeg burde ha kontroll over kun med medlemskap i en Workgroup.

 

Ole

[Gjest]

Aldri hørt om. Kanskje noe opprettet i forbindelse med en service?

[Syar-2003]

Antagelig noe programvare du har eller har hatt installert som har laget den gruppen/bruker.

Mmc er vanligvis forkortelse for Management Console.

Smv vet jeg ikke. Sharing type derimot har forkortelse smb (Server Message Block)

 

Sjekk services i kontrollpanel om noen service som kjører under den brukeren.

Du kan også sjekke auditing/security i eventlog/hendelseslogg om det er noen referanser.

[Ole3]

Takk!

 

Da er antakelig to muligheter:

1: Noe jeg har installert en gang (eller en rest av dette)

2: En eller annen malware - noe

 

Neste trinn er vel å se om denne brukeren kan fjernes. Jeg er nok litt "rusten", så leiing og ledende spørsmål er veldig greit

 

Alt jeg så langt vet er at brukeren er enabled og er eneste medlem av SMVUSERS

 

syar2003: Det er ingen services som kjører med Log On As .\mmcsmv. HVordan skal jeg finne eventuelle innslag fra mmcsmv i loggen?

 

Takk for hjelpen så langt!

Ole

Endret 9. september 2014 av Ole3

[Syar-2003]

Hvilken windows versjon er det du har ? 7/8 , Norsk, Engelsk ?

[Ole3]

Takk! Sorry!

 

Windows 7 Ultimate SP1 Engelsk

 

 

Ole

Endret 9. september 2014 av Ole3

[Syar-2003]

Jeg så etter muligheten til et filter å bruke til custom view i eventviewer men fikk det ikke til.

Se i security i subject data for special logons.

Men uten å kunne filtrere resultater på user mmcsmv blir det litt håpløst å finne.

Snarvei for meg er å bruke start - run (windowskey + R) - eventvwr.msc

Windowslogs security

 

Jeg ville bare ha slettet useren mmcsmv og deretter den lokale gruppen smvusers .

Snarvei start - run (windowskey + R) - compmgmt.msc

Locsl Users and Groups

[Ole3]

Jeg sletter gjerne brukeren, men har dårlige erfaringer med at "den var jo til noe" når jeg et langt senere tidspunkt ser konsekvensen uten å kunne reversere.

 

Ett eller annet sted har vel kanskje denne brukeren rettigheter og det burde jo i så fall være mulig å finne med et egnet verktøy?

 

Ole

[Syar-2003]

Du kan prøve å sette den kun disabled først .

Dessuten har den brukeren kanskje 'blankt' passord og utgjør såfall en sikkerhetsbrist.

[Gjest]

PowerShell kommando for å finne ut om brukeren er avhengig av en tjeneste.

Get-WmiObject win32_service | Select-Object name, startname | where {$_.startname -match "mmcsmv" }

Ellers finnes det ikke noe superverktøy for å finne ut hva den brukeren gjør...

 

EDIT:

Du kan prøve:

net user mmcsmv

I CMD for å liste opp "password last set / last logon" for en dato når brukerne ble opprettet / endret på...
Det finnes ingen offisiell API for å hente når brukeren ble lagret.

Dog for de som er litt mere teknisk interesserte ligger den informasjonen i SAM-filen og chntpw klarer faktisk å hente det ut:

#define USER_F_PATH "\\SAM\\Domains\\Account\\Users\\%08X\\F"
struct user_F {
[...]
char t_creation[8]; /* Time of account creation */
};

EDIT 3:
På Windows 8 blir alle endringer av brukerkontoer oppført som event-id: 4738

Du kan se etter den eller 4720 i hendelsesloggen Sikkerhet (Security).
Du kan også filtrere innhold i hendelsesloggen for å finne frem lettere da det er mye informasjon.

 

Hadde det nå vært opp til meg hadde jeg bare slettet kontoen, men....

Endret 9. september 2014 av Gjest

[Ole3]

Takker!

 

Det returnerte NADA.

Kontrollspørsmål: Jeg er en smule rusten, men for meg ser det ut som om kommandoen lister services?

 

Det jeg har er en bruker som jeg ikke kjenner til. Nå ble jeg litt usikker på hva du prøver å gjøre ...

 

 

Ole

[Ole3]

ColdIce: Jeg så ikke endringene dine før nå. Jeg skal sjekke dette ut etterpå.

 

Oppdatering: Jeg koblet først nå at denne brukeren antakelig burde ha dukket opp på pålogningsbildet, noe den ikke gjør.

 

Jeg har nå som et forsøk disablet den, uten at maskinen åpenbart blir påvirket av dette. Jeg har også etter disablingen prøvd å opprette samme brukernavn og får da den merkelige feilmeldingen om at brukernavn ikke kan inneholde spesialkarakterer som "()/|-_" (husker ikke eksakt streng) - noe jeg slett ikke skrev. Dette peker vel i sum i retning av en registry-feil?

 

Ole

[Ole3]

net user ga spor. Jeg fikk dato da brukeren var opprettet. Dette kan muligens gi meg et spor om hva som har laget den, hvis jeg blar i gamle sikkerhetskoper, dagbøker ol.

 

Heldigvis får jeg også vite at den aldri har vært pålogget, så da er det vel veldig få grunner igjen til ikke å hive brukeren i det store arkivet?

 

Ole