novae7
Goto Top

User wird von System nach reboot neu erstellt. w8.1-w10

Moin,

ich hatte heute ein sehr interessantes Problem mit w8.1/w10...
Auf dem Laptop (Vaio Duo 11) war w8.1 Pro installiert.
Dabei fiel mir vor dem w10 Upgrade auf das ein Benutzer "Alexander" eingerichtet ist...
Da ich nen bekannten mit dem Namen habe und der Account nur ein Standardbenutzer war dachte ich das ich den Selbst angelegt hatte... soweit also kein Problem.
Ich hab den Account dann einfach gelöscht und das Windows 10 Upgrade angestoßen.

Nach dem Upgrade tauchte bei der Anmeldung dann "Alexander" als auswahl mit auf....
Nanu hoppala? nicht richtig gelöscht?
Egal nochmal löschen...

Neustart.... Alles gut. In der Verwaltung geschaut... bam... Account wieder da...

Eventlog:
Ein Benutzerkonto wurde erstellt.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: PCNAME$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3E7

Neues Konto:
Sicherheits-ID: PCNAME\Alexander
Kontoname: Alexander
Kontodomäne: PCNAME

Attribute:
SAM-Kontoname: Alexander
Anzeigename: <Wert nicht gesetzt>
Benutzerprinzipalname: -
Stammverzeichnis: <Wert nicht gesetzt>
Stammlaufwerk: <Wert nicht gesetzt>
Skriptpfad: <Wert nicht gesetzt>
Profilpfad: <Wert nicht gesetzt>
Benutzerarbeitsstationen: <Wert nicht gesetzt>
Letzte Kennwortänderung: <nie>
Konto gültig bis: <nie>
Primäre Gruppen-ID: 513
Kann delegieren an: -
Alter Benutzerkontensteuerungswert: 0x0
Neuer Benutzerkontensteuerungswert: 0x15
Benutzerkontensteuerung:
Konto Deaktiviert
"Kennwort nicht benötigt" - Aktiviert
"Normales Konto" - Aktiviert
Benutzerparameter: <Wert nicht gesetzt>
SID-Verlauf: -
Anmeldezeiten: Alle

Weitere Informationen:
Berechtigungen -

Danach erfolgte die Aktivierung:

Ein Benutzerkonto wurde geändert.

Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: PCNAME$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3E7

Zielkonto:
Sicherheits-ID: PCNAME\Alexander
Kontoname: Alexander
Kontodomäne: WORKGROUP

Geänderte Attribute:
SAM-Kontoname: Alexander
Anzeigename: Alexander
Benutzerprinzipalname: -
Stammverzeichnis: <Wert nicht gesetzt>
Stammlaufwerk: <Wert nicht gesetzt>
Skriptpfad: <Wert nicht gesetzt>
Profilpfad: <Wert nicht gesetzt>
Benutzerarbeitsstationen: <Wert nicht gesetzt>
Letzte Kennwortänderung: 30.07.2015 11:01:07
Konto gültig bis: <nie>
Primäre Gruppen-ID: 513
Darf delegieren an: -
Alter Benutzerkontensteuerungswert: 0x15
Neuer Benutzerkontensteuerungswert: 0x210
Benutzerkontensteuerung:
Konto aktiviert
"Kennwort nicht benötigt" - Deaktiviert
"Kennwort läuft nicht ab" - Aktiviert
Benutzerparameter: <Wert nicht gesetzt>
SID-Verlauf: -
Anmeldezeiten: Alle

Weitere Informationen:
Berechtigungen: -

Der Account erstellte sich jedes mal wieder, wurde Aktiviert und
danach wurde noch Folgendes eingetragen:

Konto geändert:
Kontoname: pcname\Alexander
Erteilter Zugriff:
Zugriffsberechtigung: SeDenyNetworkLogonRight
Einem Konto wurde der Zugriff auf die Systemsicherheit gewährt.

Konto geändert:
Kontoname: pcname\Alexander
Erteilter Zugriff:
Zugriffsberechtigung: SeDenyRemoteInteractiveLogonRight
Einem Konto wurde der Zugriff auf die Systemsicherheit gewährt.


Ich bin mir aktuell echt unklar darüber was damit bezweckt werden sollte?!
Das System wurde daraufhin von mir mit: rkill, rougekiller, mbam, hijackthis, adwcleaner, hitmanpro und jrt geprüft.... _alles_ erfolglos?!
Google suche nach dem Verhalten oder nem Acountnamen brachte bei mir auch nichts o.O

ich hab das System bereits komplett zurückgesetzt da ich es als korumpiert betrachtete...
(vielleicht hätte ich vorher doch mal ein Image machen sollen für "Studienzwecke" ^^)

Hatte jemand schonmal etwas ähnliches? Oder hat von diesem Verhalten gehört?

Content-ID: 278803

Url: https://administrator.de/contentid/278803

Ausgedruckt am: 22.11.2024 um 08:11 Uhr

holli.zimmi
holli.zimmi 31.07.2015 um 08:44:40 Uhr
Goto Top
Hi,

bestimmt neue Features von Windoes 10! face-wink
Bei Microsoft wundert mich gar nichts mehr!
Bin schon bei MS-DOS 3.1 eingestiegen... ( lang ist's her )

Gruß

Holgi
novae7
novae7 31.07.2015 um 09:24:13 Uhr
Goto Top
Guten Morgen,

Naja der Account war bei windows 8.1 schon vorhanden.
Ich denke nicht das es ein w10 Problem ist.

Grüße
tomolpi
tomolpi 31.07.2015 um 22:02:48 Uhr
Goto Top
Hi,

vielleicht ein Microsoft-Konto?

War der PC mit einem verbunden?

Gruß tomolpi
novae7
novae7 02.08.2015 um 20:19:37 Uhr
Goto Top
Auf dem PC existierte nur mein Microsoft konto.

der andere Account war ein Lokaler Standardbenutzer.
houschder
houschder 02.08.2015 um 21:55:44 Uhr
Goto Top
Wenigstens bin ich nicht der einzigste mit dem Problem!

Abhilfe:
Rechner aus der Domäne nehmen
Rechner vom Microsoft Konto trennen
Lokaler Administrator anmelden
Benutzer löschen
Neustart
Wieder in die Domäne aufnehmen und weiter geht's
novae7
novae7 02.08.2015 um 22:21:10 Uhr
Goto Top
Uhhhm...

Stimmt der Rechner war vorher in einer Domäne.

Hieß der bei dir auch Alexander?!
Ansonsten muss ich echt mal meine AD durchforsten was die damit zu tun hat(te)
houschder
houschder 02.08.2015 um 22:29:31 Uhr
Goto Top
Nein, Alexander hieß er bei mir nicht.

Ich hatte einen Usernamen den es in der AD gar nicht gab!

Die Domäne musste ich nur trennen um das Microsoft Konto löschen zu können.

Viel Erfolg
novae7
novae7 02.08.2015, aktualisiert am 03.08.2015 um 00:14:59 Uhr
Goto Top
Ne moment dann ist das ein anderes Problem...

Der Laptop wurde von mir in die Domäne aufgenommen.
dadurch existierte mein MS Konto + Mein Domänen Konto.

Dann nahm ich den Laptop aus der Domäne.
Als ich die Domänenkonten Reste entfernen wollte fiel mir ein anderer Account auf
welcher ein Lokaler! (nicht Microsoft, nicht Domänen) Account war "Alexander" und nach jedem Neustart wieder erstellt wurde.
Mein Microsoft-Konto war davon nicht betroffen.

http://youtu.be/6kcs_KEfZjo

Da sieht man das Löschen und wie der Account wieder auftauchte ^^
(Etwas lang und dilletantisch aber man sieht das Problem...)
edit: oops war als privat, jetze ist es als nicht gelistet
AnkhMorpork
Lösung AnkhMorpork 03.08.2015, aktualisiert am 10.08.2015 um 08:59:16 Uhr
Goto Top
Ich kenne dieses Phänomen nicht, aber wenn auf meinem System ein lokales Konto ohne mein Dazutun erstellt und Zugriff auf die Systemsicherheit gegeben wird, hätte ich keine ruhige Sekunde mehr. Egal wieviele AV-Scanner nichts finden.
Meine einzige Konsequenz wäre die Neuinstallation. Backup meiner Daten habe ich ja. face-smile

jm2c


Good luck

Ankh
novae7
novae7 03.08.2015 aktualisiert um 13:03:15 Uhr
Goto Top
ich hab das System bereits komplett zurückgesetzt da ich es als korumpiert betrachtete...
(vielleicht hätte ich vorher doch mal ein Image machen sollen für "Studienzwecke" ^^)

Genau das was ich getan habe ;)
AnkhMorpork
AnkhMorpork 03.08.2015 um 13:08:03 Uhr
Goto Top
Zitat von @novae7:

> ich hab das System bereits komplett zurückgesetzt da ich es als korumpiert betrachtete...
> (vielleicht hätte ich vorher doch mal ein Image machen sollen für "Studienzwecke" ^^)

Genau das was ich getan habe ;)

Sorry, hatte ich zwar gelesen, ist aber nicht in der Birne geblieben ...
novae7
novae7 10.08.2015 um 08:58:38 Uhr
Goto Top
Ich setze das ganze mal auf Gelöst, da ich das System zurückgesetzt habe ist eine exakte Ursachenforschung eh nicht mehr möglich.
Vielleicht hat ja doch mal einer das gleiche Problem, dann kann derjenige das ja hier runter posten.
HessiJames
Lösung HessiJames 14.08.2016 um 20:46:56 Uhr
Goto Top
Servus,

also ich hatte das gleiche Problem mit dem User "Alexander". Was mir bei dem Video von novae7 aufgefallen ist, ich benutze den gleichen Virenscanner "Eset Smart Security", hab mir aber nichts weiter dabei gedacht. Auch mein Scanner konnte nichts verdächtiges feststellen.

Nachdem ich das System komplett neu aufgesetzt habe und alles neu einrichtete, habe ich mir auch den Virenscanner, Firewall, Anti-Teft "Eset Smart Security" vorgenommen.
Beim einrichten von Anti-Teft (falls Laptop verloren oder gestohlen wurde) fiel mir der Phantomnutzername mit dem Vorschlag "Alexander" auf, der bei Microsoft angemeldet wird. Hatte das vor Monaten eingerichtet und es war mir deshalb nicht mehr geläufig. Hatte den Namen nicht geändern, nun habe ich den Namen in "TanteEmma" abgeändert und eine Testüberprüfung durch Eset durchgeführt.

Siehe da....... bei einem Neustart war dann zusätzlich zu meinem Namen auch noch der Benutzer "TanteEmma" im Anmeldebildschirm zu sehen. Logo, der Anti-Teft hatte ja ein Benutzerkonto bei Microsoft eingerichet was nun jedes Mail synchronisiert wurde. Also nichts mir Hacker oder Ähnlichem face-smile

Also bevor ihr so wie ich das System komplett neu installiert, schaut erst mal in euer Anti-Teft Programm welchen Phantomnutzer ihr gewählt habt. Hoffe mal ich konnte einigen viel Arbeit ersparen.

In diesem Sinne schönen Abend......
novae7
novae7 14.08.2016 um 23:14:36 Uhr
Goto Top
aaaaaaaah, das könnte passen!

Ich wusste garnicht das man den Namen ändern kann...

Danke!