User wird von System nach reboot neu erstellt. w8.1-w10
Moin,
ich hatte heute ein sehr interessantes Problem mit w8.1/w10...
Auf dem Laptop (Vaio Duo 11) war w8.1 Pro installiert.
Dabei fiel mir vor dem w10 Upgrade auf das ein Benutzer "Alexander" eingerichtet ist...
Da ich nen bekannten mit dem Namen habe und der Account nur ein Standardbenutzer war dachte ich das ich den Selbst angelegt hatte... soweit also kein Problem.
Ich hab den Account dann einfach gelöscht und das Windows 10 Upgrade angestoßen.
Nach dem Upgrade tauchte bei der Anmeldung dann "Alexander" als auswahl mit auf....
Nanu hoppala? nicht richtig gelöscht?
Egal nochmal löschen...
Neustart.... Alles gut. In der Verwaltung geschaut... bam... Account wieder da...
Eventlog:
Danach erfolgte die Aktivierung:
Der Account erstellte sich jedes mal wieder, wurde Aktiviert und
danach wurde noch Folgendes eingetragen:
Ich bin mir aktuell echt unklar darüber was damit bezweckt werden sollte?!
Das System wurde daraufhin von mir mit: rkill, rougekiller, mbam, hijackthis, adwcleaner, hitmanpro und jrt geprüft.... _alles_ erfolglos?!
Google suche nach dem Verhalten oder nem Acountnamen brachte bei mir auch nichts o.O
ich hab das System bereits komplett zurückgesetzt da ich es als korumpiert betrachtete...
(vielleicht hätte ich vorher doch mal ein Image machen sollen für "Studienzwecke" ^^)
Hatte jemand schonmal etwas ähnliches? Oder hat von diesem Verhalten gehört?
ich hatte heute ein sehr interessantes Problem mit w8.1/w10...
Auf dem Laptop (Vaio Duo 11) war w8.1 Pro installiert.
Dabei fiel mir vor dem w10 Upgrade auf das ein Benutzer "Alexander" eingerichtet ist...
Da ich nen bekannten mit dem Namen habe und der Account nur ein Standardbenutzer war dachte ich das ich den Selbst angelegt hatte... soweit also kein Problem.
Ich hab den Account dann einfach gelöscht und das Windows 10 Upgrade angestoßen.
Nach dem Upgrade tauchte bei der Anmeldung dann "Alexander" als auswahl mit auf....
Nanu hoppala? nicht richtig gelöscht?
Egal nochmal löschen...
Neustart.... Alles gut. In der Verwaltung geschaut... bam... Account wieder da...
Eventlog:
Ein Benutzerkonto wurde erstellt.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: PCNAME$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3E7
Neues Konto:
Sicherheits-ID: PCNAME\Alexander
Kontoname: Alexander
Kontodomäne: PCNAME
Attribute:
SAM-Kontoname: Alexander
Anzeigename: <Wert nicht gesetzt>
Benutzerprinzipalname: -
Stammverzeichnis: <Wert nicht gesetzt>
Stammlaufwerk: <Wert nicht gesetzt>
Skriptpfad: <Wert nicht gesetzt>
Profilpfad: <Wert nicht gesetzt>
Benutzerarbeitsstationen: <Wert nicht gesetzt>
Letzte Kennwortänderung: <nie>
Konto gültig bis: <nie>
Primäre Gruppen-ID: 513
Kann delegieren an: -
Alter Benutzerkontensteuerungswert: 0x0
Neuer Benutzerkontensteuerungswert: 0x15
Benutzerkontensteuerung:
Konto Deaktiviert
"Kennwort nicht benötigt" - Aktiviert
"Normales Konto" - Aktiviert
Benutzerparameter: <Wert nicht gesetzt>
SID-Verlauf: -
Anmeldezeiten: Alle
Weitere Informationen:
Berechtigungen -
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: PCNAME$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3E7
Neues Konto:
Sicherheits-ID: PCNAME\Alexander
Kontoname: Alexander
Kontodomäne: PCNAME
Attribute:
SAM-Kontoname: Alexander
Anzeigename: <Wert nicht gesetzt>
Benutzerprinzipalname: -
Stammverzeichnis: <Wert nicht gesetzt>
Stammlaufwerk: <Wert nicht gesetzt>
Skriptpfad: <Wert nicht gesetzt>
Profilpfad: <Wert nicht gesetzt>
Benutzerarbeitsstationen: <Wert nicht gesetzt>
Letzte Kennwortänderung: <nie>
Konto gültig bis: <nie>
Primäre Gruppen-ID: 513
Kann delegieren an: -
Alter Benutzerkontensteuerungswert: 0x0
Neuer Benutzerkontensteuerungswert: 0x15
Benutzerkontensteuerung:
Konto Deaktiviert
"Kennwort nicht benötigt" - Aktiviert
"Normales Konto" - Aktiviert
Benutzerparameter: <Wert nicht gesetzt>
SID-Verlauf: -
Anmeldezeiten: Alle
Weitere Informationen:
Berechtigungen -
Danach erfolgte die Aktivierung:
Ein Benutzerkonto wurde geändert.
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: PCNAME$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3E7
Zielkonto:
Sicherheits-ID: PCNAME\Alexander
Kontoname: Alexander
Kontodomäne: WORKGROUP
Geänderte Attribute:
SAM-Kontoname: Alexander
Anzeigename: Alexander
Benutzerprinzipalname: -
Stammverzeichnis: <Wert nicht gesetzt>
Stammlaufwerk: <Wert nicht gesetzt>
Skriptpfad: <Wert nicht gesetzt>
Profilpfad: <Wert nicht gesetzt>
Benutzerarbeitsstationen: <Wert nicht gesetzt>
Letzte Kennwortänderung: 30.07.2015 11:01:07
Konto gültig bis: <nie>
Primäre Gruppen-ID: 513
Darf delegieren an: -
Alter Benutzerkontensteuerungswert: 0x15
Neuer Benutzerkontensteuerungswert: 0x210
Benutzerkontensteuerung:
Konto aktiviert
"Kennwort nicht benötigt" - Deaktiviert
"Kennwort läuft nicht ab" - Aktiviert
Benutzerparameter: <Wert nicht gesetzt>
SID-Verlauf: -
Anmeldezeiten: Alle
Weitere Informationen:
Berechtigungen: -
Antragsteller:
Sicherheits-ID: SYSTEM
Kontoname: PCNAME$
Kontodomäne: WORKGROUP
Anmelde-ID: 0x3E7
Zielkonto:
Sicherheits-ID: PCNAME\Alexander
Kontoname: Alexander
Kontodomäne: WORKGROUP
Geänderte Attribute:
SAM-Kontoname: Alexander
Anzeigename: Alexander
Benutzerprinzipalname: -
Stammverzeichnis: <Wert nicht gesetzt>
Stammlaufwerk: <Wert nicht gesetzt>
Skriptpfad: <Wert nicht gesetzt>
Profilpfad: <Wert nicht gesetzt>
Benutzerarbeitsstationen: <Wert nicht gesetzt>
Letzte Kennwortänderung: 30.07.2015 11:01:07
Konto gültig bis: <nie>
Primäre Gruppen-ID: 513
Darf delegieren an: -
Alter Benutzerkontensteuerungswert: 0x15
Neuer Benutzerkontensteuerungswert: 0x210
Benutzerkontensteuerung:
Konto aktiviert
"Kennwort nicht benötigt" - Deaktiviert
"Kennwort läuft nicht ab" - Aktiviert
Benutzerparameter: <Wert nicht gesetzt>
SID-Verlauf: -
Anmeldezeiten: Alle
Weitere Informationen:
Berechtigungen: -
Der Account erstellte sich jedes mal wieder, wurde Aktiviert und
danach wurde noch Folgendes eingetragen:
Konto geändert:
Kontoname: pcname\Alexander
Erteilter Zugriff:
Zugriffsberechtigung: SeDenyNetworkLogonRight
Einem Konto wurde der Zugriff auf die Systemsicherheit gewährt.
Kontoname: pcname\Alexander
Erteilter Zugriff:
Zugriffsberechtigung: SeDenyNetworkLogonRight
Einem Konto wurde der Zugriff auf die Systemsicherheit gewährt.
Konto geändert:
Kontoname: pcname\Alexander
Erteilter Zugriff:
Zugriffsberechtigung: SeDenyRemoteInteractiveLogonRight
Einem Konto wurde der Zugriff auf die Systemsicherheit gewährt.
Kontoname: pcname\Alexander
Erteilter Zugriff:
Zugriffsberechtigung: SeDenyRemoteInteractiveLogonRight
Einem Konto wurde der Zugriff auf die Systemsicherheit gewährt.
Ich bin mir aktuell echt unklar darüber was damit bezweckt werden sollte?!
Das System wurde daraufhin von mir mit: rkill, rougekiller, mbam, hijackthis, adwcleaner, hitmanpro und jrt geprüft.... _alles_ erfolglos?!
Google suche nach dem Verhalten oder nem Acountnamen brachte bei mir auch nichts o.O
ich hab das System bereits komplett zurückgesetzt da ich es als korumpiert betrachtete...
(vielleicht hätte ich vorher doch mal ein Image machen sollen für "Studienzwecke" ^^)
Hatte jemand schonmal etwas ähnliches? Oder hat von diesem Verhalten gehört?
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 278803
Url: https://administrator.de/contentid/278803
Ausgedruckt am: 22.11.2024 um 08:11 Uhr
14 Kommentare
Neuester Kommentar
Ich kenne dieses Phänomen nicht, aber wenn auf meinem System ein lokales Konto ohne mein Dazutun erstellt und Zugriff auf die Systemsicherheit gegeben wird, hätte ich keine ruhige Sekunde mehr. Egal wieviele AV-Scanner nichts finden.
Meine einzige Konsequenz wäre die Neuinstallation. Backup meiner Daten habe ich ja.
jm2c
Good luck
Ankh
Meine einzige Konsequenz wäre die Neuinstallation. Backup meiner Daten habe ich ja.
jm2c
Good luck
Ankh
Zitat von @novae7:
> ich hab das System bereits komplett zurückgesetzt da ich es als korumpiert betrachtete...
> (vielleicht hätte ich vorher doch mal ein Image machen sollen für "Studienzwecke" ^^)
Genau das was ich getan habe ;)
> ich hab das System bereits komplett zurückgesetzt da ich es als korumpiert betrachtete...
> (vielleicht hätte ich vorher doch mal ein Image machen sollen für "Studienzwecke" ^^)
Genau das was ich getan habe ;)
Sorry, hatte ich zwar gelesen, ist aber nicht in der Birne geblieben ...
Servus,
also ich hatte das gleiche Problem mit dem User "Alexander". Was mir bei dem Video von novae7 aufgefallen ist, ich benutze den gleichen Virenscanner "Eset Smart Security", hab mir aber nichts weiter dabei gedacht. Auch mein Scanner konnte nichts verdächtiges feststellen.
Nachdem ich das System komplett neu aufgesetzt habe und alles neu einrichtete, habe ich mir auch den Virenscanner, Firewall, Anti-Teft "Eset Smart Security" vorgenommen.
Beim einrichten von Anti-Teft (falls Laptop verloren oder gestohlen wurde) fiel mir der Phantomnutzername mit dem Vorschlag "Alexander" auf, der bei Microsoft angemeldet wird. Hatte das vor Monaten eingerichtet und es war mir deshalb nicht mehr geläufig. Hatte den Namen nicht geändern, nun habe ich den Namen in "TanteEmma" abgeändert und eine Testüberprüfung durch Eset durchgeführt.
Siehe da....... bei einem Neustart war dann zusätzlich zu meinem Namen auch noch der Benutzer "TanteEmma" im Anmeldebildschirm zu sehen. Logo, der Anti-Teft hatte ja ein Benutzerkonto bei Microsoft eingerichet was nun jedes Mail synchronisiert wurde. Also nichts mir Hacker oder Ähnlichem
Also bevor ihr so wie ich das System komplett neu installiert, schaut erst mal in euer Anti-Teft Programm welchen Phantomnutzer ihr gewählt habt. Hoffe mal ich konnte einigen viel Arbeit ersparen.
In diesem Sinne schönen Abend......
also ich hatte das gleiche Problem mit dem User "Alexander". Was mir bei dem Video von novae7 aufgefallen ist, ich benutze den gleichen Virenscanner "Eset Smart Security", hab mir aber nichts weiter dabei gedacht. Auch mein Scanner konnte nichts verdächtiges feststellen.
Nachdem ich das System komplett neu aufgesetzt habe und alles neu einrichtete, habe ich mir auch den Virenscanner, Firewall, Anti-Teft "Eset Smart Security" vorgenommen.
Beim einrichten von Anti-Teft (falls Laptop verloren oder gestohlen wurde) fiel mir der Phantomnutzername mit dem Vorschlag "Alexander" auf, der bei Microsoft angemeldet wird. Hatte das vor Monaten eingerichtet und es war mir deshalb nicht mehr geläufig. Hatte den Namen nicht geändern, nun habe ich den Namen in "TanteEmma" abgeändert und eine Testüberprüfung durch Eset durchgeführt.
Siehe da....... bei einem Neustart war dann zusätzlich zu meinem Namen auch noch der Benutzer "TanteEmma" im Anmeldebildschirm zu sehen. Logo, der Anti-Teft hatte ja ein Benutzerkonto bei Microsoft eingerichet was nun jedes Mail synchronisiert wurde. Also nichts mir Hacker oder Ähnlichem
Also bevor ihr so wie ich das System komplett neu installiert, schaut erst mal in euer Anti-Teft Programm welchen Phantomnutzer ihr gewählt habt. Hoffe mal ich konnte einigen viel Arbeit ersparen.
In diesem Sinne schönen Abend......