WIN XP: Neuer Benutzer wird angelegt

Moin!

Interessantes tat sich gestern, als ein Bekannter seinen PC mit Software versorgte: Während der Installation des VLC-Players (von videolan.org) oder WaveLab 3.03 (hier weiß ich allerdings nicht, ob es sich um ein Original handelt) wurde ein neues Benutzerkonto angelegt. Dieses hatte keine Adminrechte und war paßwortgeschützt. Es ließ sich problemlos entfernen und wurde auch beim Start sämtlicher auf dem Rechner vorhandener Programme nicht wieder angelegt. AntiVir PE hatte auch nichts zu meckern.

Was ist da passiert? Sollte mein Bekannter besorgt sein?

Bevor nun jemand nach dem Namen des Benutzerkontos fragt: Hab’ ich vergessen und es ist ja gelöscht. Ich hab’ erstmal keine Idee, wie ich herausfinden könnte, wie es hieß, könnte mir aber vorstellen, daß es beispielsweise in der Registry noch irgendwelche Rückstände gibt.

Munter bleiben… TRICHTEX

Interessantes tat sich gestern, als ein Bekannter seinen PC
mit Software versorgte: Während der Installation des
VLC-Players (von videolan.org) oder WaveLab 3.03 (hier weiß
ich allerdings nicht, ob es sich um ein Original handelt)
wurde ein neues Benutzerkonto angelegt.

Woher weißt du denn, dass dies überhaupt bei der Installation eines der Programme angelegt wurde?

Bevor nun jemand nach dem Namen des Benutzerkontos fragt: Hab’
ich vergessen und es ist ja gelöscht. Ich hab’ erstmal keine
Idee, wie ich herausfinden könnte, wie es hieß, könnte mir
aber vorstellen, daß es beispielsweise in der Registry noch
irgendwelche Rückstände gibt.

Also das Erstellen oder Löschen von Benutzerkonten wird soweit ich das bei mir sehe standardmäßig nicht mitprotokolliert. Auch finde ich in der Registry nach dem Erstellen und anschließendem Löschen eines Kontos keine Hinweise mehr auf den Namen.
Allerdings wird mitprotokolliert, wer sich wann mit welcher Kennung angemeldet hat. Das steht unter Systemsteuerung -> Verwaltung -> Ereignisanzeige -> Sicherheit. Dort sind die Einträge mit der Kategorie „Anmelden“ interessant.

Solche Log-Dateien lassen sich aber auch manipulieren.

Moin!

Woher weißt du denn, dass dies überhaupt bei der Installation
eines der Programme angelegt wurde?

Vor der Installation gab es das Benutzerkonto nicht, danach schon. Wenn, wie ich hoffe, vorher ein Backup erstellt wurde, könnte ich mal prüfen, ob das reproduzierbar ist.

Also das Erstellen oder Löschen von Benutzerkonten wird soweit
ich das bei mir sehe standardmäßig nicht mitprotokolliert.
Auch finde ich in der Registry nach dem Erstellen und
anschließendem Löschen eines Kontos keine Hinweise mehr auf
den Namen.

Mein Gedanke dabei war, den Namen zu ermitteln und Google damit zu füttern…

Allerdings wird mitprotokolliert, wer sich wann mit welcher
Kennung angemeldet hat. Das steht unter Systemsteuerung ->
Verwaltung -> Ereignisanzeige -> Sicherheit. Dort sind
die Einträge mit der Kategorie „Anmelden“ interessant.

Gut, da forsche ich mal nach.

Munter bleiben… TRICHTEX

Hallo,

wie hiess der Benutzer? Irgendetwas wie „ASP.net“? Dann wurde dieses bei der Installation des „Mircrosoft .Net Frameworks“ installiert.

Moin!

wie hiess der Benutzer? Irgendetwas wie „ASP.net“? Dann wurde
dieses bei der Installation des „Mircrosoft .Net Frameworks“
installiert.

Der Benutzername begann mit A, könnte also gut sein. Und ja, .Net Framework wurde bei der Installation tatsächlich mit installiert.

Da kann ich ja dann Entwarnung geben. Besten Dank!

Munter bleiben… TRICHTEX