Home » Top hkey_local_machine software microsoft windows nt currentversion winlogon notify Update New

Top hkey_local_machine software microsoft windows nt currentversion winlogon notify Update New

by Tratamien Torosace

You are viewing this post: Top hkey_local_machine software microsoft windows nt currentversion winlogon notify Update New

Sie sehen gerade das Thema hkey_local_machine software microsoft windows nt currentversion winlogon notify


Table of Contents

“ctrl alt del ‘ required at login is grayed out and can’t … Neueste

29.04.2014 · b. In Registry Editor, navigate to: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. c. In the right pane, right click on DisableCAD and click on Modify. d. To Enable Secure Logon, type digit 0. Hope the information helps. Let us know if you need further assistance with Windows related …

+ Details hier sehen

Read more

Hallo Grant, 1

Befindet sich Ihr Computer in einer Domäne?

2

Erinnern Sie sich daran, vor dem Auftreten des Problems Software- oder Hardwareänderungen am Computer vorgenommen zu haben? Dieses Problem könnte mit kürzlich vorgenommenen Änderungen auf dem Computer zusammenhängen, die möglicherweise Sicherheitseinstellungen geändert haben

Versuchen wir die folgenden Schritte und überprüfen Sie.

Methode 1:

Sie können versuchen, das Fixit aus dem Artikel auszuführen und zu überprüfen

Wenn Sie die Editionen Windows 7 Professional oder Ultimate verwenden, können Sie Gpedit.msc ausprobieren, um die sichere Anmeldung zu aktivieren

a

Klicken Sie auf Start, wählen Sie Ausführen und geben Sie gpedit.msc ein und drücken Sie OK

b

Suchen Sie nach Local Computer Policy und navigieren Sie zum Speicherort ->

Computerkonfiguration -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen -> Interaktive Anmeldung: Strg+Alt+Entf nicht erforderlich, auf aktiviert setzen

Methode 3:

Ändern Sie die Registrierungseinstellungen und überprüfen Sie sie

Wenn Sie die Registrierung falsch ändern, können schwerwiegende Probleme auftreten

Stellen Sie daher sicher, dass Sie diese Schritte sorgfältig ausführen

Sichern Sie für zusätzlichen Schutz die Registrierung, bevor Sie sie ändern

Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt

Weitere Informationen zum Sichern und Wiederherstellen der Registrierung finden Sie im Artikel:

So sichern und wiederherstellen Sie die Registrierung in Windows

A

Klicken Sie auf Start, geben Sie regedit in das Feld Suche starten ein, und drücken Sie dann die EINGABETASTE

B

Navigieren Sie zu

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

C

Erstellen und/oder bearbeiten Sie die folgenden String-Wertnamen (REG_SZ) mit den entsprechenden Werten wie unten beschrieben

> DefaultUserName: Benutzername des Kontos

> DefaultPassword: Kontokennwort

> DefaultDomainName: Kontodomäne oder Computername (wenn keine Domänen verwendet werden)

> AutoAdminLogon: Setzen Sie diesen Wert auf 1

Hoffe, die Informationen helfen

Lassen Sie uns wissen, wenn Sie weitere Unterstützung bei Problemen mit Windows benötigen

Wir helfen Ihnen gerne weiter.

Activate Windows XP (Remove Genuine) For Registri Editor New

Video unten ansehen

Neue Informationen zum Thema hkey_local_machine software microsoft windows nt currentversion winlogon notify

hkey_local_machine software microsoft windows nt currentversion winlogon notify Ähnliche Bilder im Thema

 Update Activate Windows XP (Remove Genuine) For Registri Editor
Activate Windows XP (Remove Genuine) For Registri Editor Update New

HijackThis Tutorial – How to use HijackThis to remove … Aktualisiert

25.03.2004 · Registry Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify Example Listing O20 – Winlogon Notify: Extensions – C:\WINDOWS\system32\i042laho1d4c.dll

+ mehr hier sehen

Read more

Dieses Tutorial ist auch auf Spanisch verfügbar

Deutsch Niederländisch Französisch

Warnung

HijackThis sollte nur verwendet werden, wenn Ihr Browser oder Computer immer noch Probleme hat, nachdem Sie Spybot oder einen anderen Spyware/Hijacker-Entferner ausgeführt haben

HijackThis ist ein fortschrittliches Tool und erfordert daher fortgeschrittene Kenntnisse über Windows und Betriebssysteme im Allgemeinen

Wenn Sie angezeigte Elemente löschen, ohne zu wissen, was sie sind, kann dies zu anderen Problemen führen, z

B

dass Ihr Internet nicht mehr funktioniert oder Probleme mit der Ausführung von Windows selbst auftreten

Sie sollten auch versuchen, Spyware/Hijacker/Trojaner mit allen anderen Methoden zu säubern, bevor Sie HijackThis verwenden

Wenn Sie HijackThis erlauben, Einträge zu entfernen, bevor ein anderes Entfernungsprogramm Ihren Computer scannt, verbleiben die Dateien des Hijackers/der Spyware auf Ihrem Computer und zukünftige Entfernungsprogramme können sie nicht finden Computern sollten Sie Einträge NICHT mit HijackThis reparieren, ohne einen Experten zur Verwendung dieses Programms zu konsultieren

Wenn Sie Spybot – S&D und Ad-Aware bereits ausgeführt haben und immer noch Probleme haben, fahren Sie bitte mit diesem Tutorial fort und posten Sie ein HijackThis-Protokoll in unserem HijackThis-Forum, einschließlich Details zu Ihrem Problem, und wir werden Sie beraten, was zu beheben ist

.Einführung

HijackThis ist ein Dienstprogramm, das eine Liste bestimmter Einstellungen Ihres Computers erstellt

HijackThis durchsucht Ihre Registrierung und verschiedene andere Dateien nach Einträgen, die denen ähneln, die ein Spyware- oder Hijacker-Programm hinterlassen würde

Die Interpretation dieser Ergebnisse kann schwierig sein, da es viele legitime Programme gibt, die in Ihrem Betriebssystem auf ähnliche Weise installiert werden wie Hijacker

Daher müssen Sie äußerste Vorsicht walten lassen, wenn HijackThis Probleme behebt

Ich kann nicht betonen, wie wichtig es ist, die obige Warnung zu befolgen

Es gibt derzeit zwei weit verbreitete Tutorials zu HijackThis im Internet, aber keines von ihnen erklärt, was jeder der Abschnitte tatsächlich bedeutet, auf eine Weise, die ein Laie verstehen kann

Dieses Tutorial zeigt nicht nur, wie man HijackThis verwendet, sondern geht auch detailliert auf die einzelnen Abschnitte und ihre eigentliche Bedeutung ein

Es gibt keinen Grund, warum Sie nicht verstehen sollten, was Sie beheben, wenn Leute Ihre Protokolle untersuchen und Ihnen sagen, was zu tun ist

Wenn Sie zuerst ein Tutorial zur Verwendung von Spybot lesen möchten, können Sie hier klicken: Anleitung Verwenden Sie Spybot – Search and Destroy Tutorial

Nachdem dies gesagt ist, fahren wir mit dem Tutorial fort, wie man es benutzt

Wenn Sie normale Größen der Screenshots sehen möchten, können Sie darauf klicken

Denken Sie daran, dass sich ein neues Fenster öffnet, wenn Sie dies tun

Wenn Sie also Pop-up-Blocker haben, kann es sein, dass das Bildfenster nicht geöffnet wird.

So verwenden Sie HijackThis

HijackThis kann als eigenständige ausführbare Datei oder als Installationsprogramm heruntergeladen werden

Mit der eigenständigen Anwendung können Sie HijackThis.exe in jedem beliebigen Ordner speichern und ausführen, während das Installationsprogramm HijackThis an einem bestimmten Ort installiert und Desktop-Verknüpfungen zu dieser ausführbaren Datei erstellt

Wenn Sie die eigenständige Version verwenden, sollten Sie sie nicht aus Ihrem Ordner „Temporäre Internetdateien“ ausführen, da Ihr Sicherungsordner nicht gespeichert wird, nachdem Sie das Programm geschlossen haben

Um das Löschen Ihrer Backups zu vermeiden, speichern Sie bitte die ausführbare Datei in einem bestimmten Ordner, bevor Sie sie ausführen

Wir empfehlen Ihnen, das HijackThis-Installationsprogramm zu verwenden, da dies zur Standardmethode für die Verwendung des Programms geworden ist und einen sicheren Ort für HijackThis-Backups bietet

Der erste Schritt besteht darin, HijackThis auf Ihren Computer an einem Ort herunterzuladen, von dem Sie wissen, wo Sie es wieder finden können

HijackThis kann unter folgendem Link heruntergeladen werden:

Wenn Sie die eigenständige Anwendung heruntergeladen haben, doppelklicken Sie einfach auf die Datei HijackThis.exe und klicken Sie dann hier, um zu dem Teil zu springen, an dem das Programm gestartet wurde.

Andernfalls, wenn Sie das Installationsprogramm heruntergeladen haben, navigieren Sie zu dem Speicherort, an dem es gespeichert wurde, und doppelklicken Sie auf die Datei HiJackThis.msi, um die Installation von HijackThis zu starten

Wenn die Installation beginnt, klicken Sie auf die Schaltfläche „Installieren“, um HijackThis im Ordner „C:\Programme\Trend Micro\HijackThis“ zu installieren, eine Desktop-Verknüpfung zu erstellen, die verwendet werden kann, um das Programm bei Bedarf auszuführen, und um HijackThis automatisch zu starten zum ersten Mal.

Sie sollten nun einen Bildschirm ähnlich der folgenden Abbildung sehen:

Abbildung 1

Startbildschirm von HijackThis bei der ersten Ausführung

Wir empfehlen Ihnen, ein Häkchen in das Kontrollkästchen Dieses Fenster beim Start von HijackThis nicht anzeigen zu setzen, das durch den blauen Pfeil oben gekennzeichnet ist, da die meisten Anweisungen, die Sie erhalten, diesen Bildschirm nicht berücksichtigen

Nachdem Sie dieses Kontrollkästchen aktiviert haben, klicken Sie auf die Schaltfläche Keine der oben genannten, starten Sie einfach das Programm, das in der obigen Abbildung durch den roten Pfeil gekennzeichnet ist

Daraufhin wird Ihnen der Hauptbildschirm von HijackThis angezeigt, wie in Abbildung 2 unten zu sehen

Abbildung 2

Startbildschirm von Hijack This

Sie sollten zuerst auf die Schaltfläche Config klicken, die in Abbildung 2 durch den blauen Pfeil gekennzeichnet ist, und bestätigen, dass Ihre Einstellungen mit denen in Abbildung 3 unten übereinstimmen

Die zu prüfenden Optionen sind mit dem roten Pfeil gekennzeichnet

Abbildung 3

HijackThis-Konfigurationsoptionen

Wenn Sie mit dem Einstellen dieser Optionen fertig sind, drücken Sie die Zurück-Taste und fahren Sie mit dem Rest des Tutorials fort

Damit HijackThis Ihren Computer nach möglichen Hijackern scannt, klicken Sie auf die Scan-Schaltfläche, die durch den roten Pfeil in Abbildung 2 gekennzeichnet ist mit einem Bildschirm angezeigt, der alle vom Programm gefundenen Elemente auflistet, wie in Abbildung 4 zu sehen

Abbildung 4

Scan-Ergebnisse

An diesem Punkt haben Sie eine Liste aller von HijackThis gefundenen Elemente

Wenn Ihnen das, was Sie sehen, verwirrend und entmutigend erscheint, klicken Sie auf die Schaltfläche Protokoll speichern, die durch den roten Pfeil gekennzeichnet ist, und speichern Sie das Protokoll irgendwo auf Ihrem Computer Sie werden sich später daran erinnern

Um das Protokoll zu öffnen und in ein Forum wie unseres einzufügen, sollten Sie die folgenden Schritte ausführen:

Klicken Sie auf Start, dann auf Ausführen, geben Sie Notepad ein und drücken Sie OK

Notepad wird jetzt auf Ihrem Computer geöffnet

Klicken Sie auf Datei und Öffnen und navigieren Sie zu dem Verzeichnis, in dem Sie die Protokolldatei gespeichert haben

Wenn Sie die Datei sehen, doppelklicken Sie darauf

Die Protokolldatei sollte nun in Ihrem Notepad geöffnet werden

Klicken Sie auf Bearbeiten und dann auf Alle auswählen

Der gesamte Text sollte jetzt ausgewählt sein

Klicken Sie auf Bearbeiten und dann auf Kopieren, wodurch der gesamte ausgewählte Text in Ihre Zwischenablage kopiert wird

Gehen Sie zum Nachrichtenforum und erstellen Sie eine neue Nachricht

Geben Sie der Nachricht einen Titel: HijackThis Log: Bitte helfen Sie bei der Diagnose

Klicken Sie mit der rechten Maustaste in den Nachrichtenbereich, in den Sie normalerweise Ihre Nachricht eingeben würden, und klicken Sie auf die Option zum Einfügen

Der zuvor ausgewählte Text sollte nun in der Nachricht stehen

Drücken Sie Senden

Wenn Sie Informationen zu einem der aufgelisteten Objekte sehen möchten, können Sie einmal auf eine Auflistung klicken und dann die Schaltfläche “Info zum ausgewählten Objekt. ..” drücken

Dadurch wird ein Bildschirm ähnlich dem in Abbildung 5 unten angezeigt:

Abbildung 5

Objektinformationen

Wenn Sie mit dem Betrachten der Informationen für die verschiedenen Einträge fertig sind und sich sachkundig genug fühlen, um fortzufahren, sehen Sie sich die Einträge an und wählen Sie die Artikel aus, die Sie entfernen möchten, indem Sie die Kontrollkästchen neben den einzelnen Einträgen markieren, wie in gezeigt Abbildung 6

Am Ende des Dokuments haben wir einige grundlegende Möglichkeiten zur Interpretation der Informationen in diesen Protokolldateien aufgeführt

Diese Informationen sind auf keinen Fall umfangreich genug, um alle Entscheidungen abzudecken, sollten Ihnen aber dabei helfen, festzustellen, was legitim ist oder nicht

Abbildung 6

Wählen Sie ein Element zum Entfernen aus

Nachdem Sie die Elemente ausgewählt haben, die Sie entfernen möchten, klicken Sie auf die Schaltfläche Fix Checked, gekennzeichnet durch den blauen Pfeil in Abbildung 6

HijackThis fordert Sie dann auf, zu bestätigen, ob Sie diese Elemente entfernen möchten

Drücken Sie je nach Auswahl Ja oder Nein.

So stellen Sie versehentlich gelöschte Elemente wieder her

HijackThis verfügt über ein Sicherungs- und Wiederherstellungsverfahren für den Fall, dass Sie versehentlich einen eigentlich legitimen Eintrag entfernen

Wenn Sie HijackThis wie in diesem Tutorial gezeigt konfiguriert haben, sollten Sie in der Lage sein, zuvor gelöschte Einträge wiederherzustellen

Wenn Sie Ihr HijackThis-Programm von einem temporären Verzeichnis aus ausgeführt haben, funktioniert der Wiederherstellungsvorgang nicht die sich am selben Ort wie Hijackthis.exe befindet

Wenn Sie HijackThis starten und auf Config und dann auf die Schaltfläche Backup klicken, wird Ihnen ein Bildschirm wie in Abbildung 7 unten angezeigt

Sie erhalten eine Liste aller Gegenstände, die Sie zuvor repariert hatten, und haben die Möglichkeit, sie wiederherzustellen

Sobald Sie ein in diesem Bildschirm aufgelistetes Element wiederherstellen, werden die Einträge beim erneuten Scannen mit HijackThis wieder angezeigt

Abbildung 7

Wiederherstellen eines versehentlich entfernten Eintrags

Sobald Sie mit der Wiederherstellung der irrtümlicherweise reparierten Elemente fertig sind, können Sie das Programm schließen

So erstellen Sie eine Startauflistung

Manchmal, wenn Sie Ihr Protokoll in einem Nachrichtenforum posten und um Hilfe bitten, werden Sie möglicherweise von den helfenden Personen gebeten, eine Liste aller Programme zu erstellen, die automatisch auf Ihrem Computer gestartet werden

HijackThis verfügt über ein integriertes Tool, mit dem Sie dies tun können

Um dies zu tun, gehen Sie beim Start von HijackThis in die Config-Option, die durch den blauen Pfeil in Abbildung 2 gekennzeichnet ist, und klicken Sie dann auf die Schaltfläche Misc Tools unter nach oben Sie sollten einen Bildschirm ähnlich wie in Abbildung 8 unten sehen

Abbildung 8

Generieren eines StartupList-Protokolls

Sie klicken dann auf die Schaltfläche mit der Bezeichnung Generate StartupList Log, die durch den roten Pfeil in Abbildung 8 gekennzeichnet ist

Sobald Sie auf diese Schaltfläche klicken , öffnet das Programm automatisch einen Notizblock, der mit den Startobjekten Ihres Computers gefüllt ist

Kopieren Sie diese Einträge, fügen Sie sie in eine Nachricht ein und senden Sie sie ab

Hoffentlich haben Sie mit Ihrem Wissen oder der Hilfe anderer Ihren Computer aufgeräumt

Wenn Sie genauere Informationen darüber erhalten möchten, was genau jeder Abschnitt in einem Scan-Protokoll bedeutet, dann lesen Sie weiter

So verwenden Sie den Prozessmanager

HijackThis hat einen eingebauten Prozessmanager, der verwendet werden kann, um Prozesse zu beenden und zu sehen, welche DLLs in diesem Prozess geladen sind

Um auf den Prozessmanager zuzugreifen, sollten Sie auf die Schaltfläche „Config“ und dann auf die Schaltfläche „Misc Tools“ klicken

Sie sollten jetzt einen neuen Bildschirm sehen, bei dem eine der Schaltflächen Open Process Manager ist

Wenn Sie auf diese Schaltfläche klicken, sehen Sie einen neuen Bildschirm ähnlich dem in Abbildung 9 unten

Abbildung 9

HijackThis Process Manager

Dieses Fenster listet alle offenen Prozesse auf, die auf Ihrem Computer ausgeführt werden

Sie können dann einmal auf einen Prozess klicken, um ihn auszuwählen, und dann auf die Schaltfläche Prozess beenden klicken, die durch den roten Pfeil in Abbildung 9 oben gekennzeichnet ist

Dadurch wird versucht, den auf dem Computer laufenden Prozess zu beenden

Wenn Sie mehrere Prozesse gleichzeitig beenden möchten, halten Sie die Strg-Taste auf Ihrer Tastatur gedrückt

Während diese Taste gedrückt wird, klicken Sie einmal auf jeden Prozess, den Sie beenden möchten

Solange Sie die Steuerungstaste gedrückt halten, während Sie die zusätzlichen Prozesse auswählen, können Sie mehrere Prozesse gleichzeitig auswählen

Wenn Sie alle Prozesse ausgewählt haben, die Sie beenden möchten, klicken Sie auf die Schaltfläche „Kill Process“

Wenn Sie sehen möchten, welche DLLs in einem ausgewählten Prozess geladen sind, können Sie ein Häkchen in das Kontrollkästchen „Show DLLs, designed“ setzen durch den blauen Pfeil in der Abbildung oben

Dadurch wird das Prozessbild in zwei Bereiche geteilt

Der erste Abschnitt listet die Prozesse wie zuvor auf, aber wenn Sie jetzt auf einen bestimmten Prozess klicken, listet der untere Abschnitt die in diesem Prozess geladenen DLLs auf

Um den Prozessmanager zu verlassen, müssen Sie zweimal auf die Schaltfläche „Zurück“ klicken, die platziert wird Sie auf dem Hauptbildschirm

So verwenden Sie den Hosts-Dateimanager

HijackThis hat auch einen rudimentären Hosts-Dateimanager

Mit diesem Manager können Sie Ihre Hosts-Datei anzeigen und Zeilen in der Datei löschen oder Zeilen ein- oder ausschalten

Um auf den Hosts-Dateimanager zuzugreifen, sollten Sie auf die Schaltfläche „Config“ und dann auf die Schaltfläche „Misc Tools“ klicken

Sie sollten jetzt einen neuen Bildschirm sehen, bei dem eine der Schaltflächen Hosts File Manager ist

Wenn Sie auf diese Schaltfläche klicken, sehen Sie einen neuen Bildschirm ähnlich dem in Abbildung 10 unten

Abbildung 10: Hosts File Manager

Dieses Fenster listet den Inhalt Ihrer HOSTS-Datei auf

Um eine Zeile in Ihrer Hosts-Datei zu löschen, klicken Sie auf eine Zeile wie die durch den blauen Pfeil in Abbildung 10 oben gekennzeichnete

Dadurch wird diese Textzeile ausgewählt

Dann können Sie entweder die Zeile löschen, indem Sie auf die Schaltfläche Zeile(n) löschen klicken, oder die Zeile ein- oder ausschalten, indem Sie auf die Schaltfläche Zeile(n) umschalten klicken

Es ist möglich, mehrere Zeilen gleichzeitig auszuwählen, indem Sie die Umschalt- und Steuerungstasten verwenden oder Ihre Maus über die Zeilen ziehen, mit denen Sie interagieren möchten

Wenn Sie die Zeilen löschen, werden diese Zeilen aus Ihrer HOSTS-Datei gelöscht

Wenn Sie die Zeilen umschalten, fügt HijackThis ein #-Zeichen vor der Zeile hinzu

Dadurch wird die Zeile auskommentiert, sodass sie nicht von Windows verwendet wird

Wenn Sie sich nicht sicher sind, was Sie tun sollen, können Sie die Zeile immer so umschalten, dass ein # davor erscheint

Um den Hosts-Dateimanager zu verlassen, müssen Sie zweimal auf die Schaltfläche „Zurück“ klicken, wodurch Sie zum Hauptbildschirm gelangen.

So verwenden Sie das Tool „Beim Neustart löschen“

Manchmal finden Sie eine Datei, die sich hartnäckig weigert, mit herkömmlichen Mitteln gelöscht zu werden

HijackThis hat in Version 1.98.2 eine Methode eingeführt, mit der Windows die Datei beim Hochfahren löschen kann, bevor die Datei geladen werden kann

Führen Sie dazu die folgenden Schritte aus:

Starten Sie Hijackthis

Klicken Sie auf die Schaltfläche Config

Klicken Sie auf die Schaltfläche Misc Tools

Klicken Sie auf die Schaltfläche Delete a file on reboot…

Ein neues Fenster öffnet sich und fordert Sie auf, die Datei auszuwählen, die Sie beim Neustart löschen möchten

Navigieren Sie zu der Datei und klicken Sie einmal darauf, und klicken Sie dann auf die Schaltfläche Öffnen

Sie werden nun gefragt, ob Sie Ihren Computer neu starten möchten, um die Datei zu löschen

Klicken Sie auf die Schaltfläche Ja, wenn Sie jetzt neu starten möchten, andernfalls klicken Sie auf die Schaltfläche Nein, um später neu zu starten

So verwenden Sie ADS Spy

Es gibt eine bestimmte Infektion namens Home Search Assistant oder CWS_NS3, die manchmal eine Datei namens Alternate Data Stream File verwendet, um Ihren Computer zu infizieren

Diese Dateien können mit normalen Methoden nicht angezeigt oder gelöscht werden

ADS Spy wurde entwickelt, um beim Entfernen dieser Dateitypen zu helfen

Wenn Sie daran interessiert sind, können Sie in den folgenden Artikeln mehr über alternative Datenströme und den Home Search-Assistenten erfahren:

Alternative Windows-Datenströme [Tutorial-Link]

Analyse des Home-Suchassistenten [Tutorial-Link]

Um das Dienstprogramm ADS Spy zu verwenden, starten Sie HijackThis und klicken dann auf die Schaltfläche Config

Klicken Sie dann auf die Schaltfläche Misc Tools und schließlich auf die Schaltfläche ADS Spy

Wenn das Dienstprogramm ADS Spy geöffnet wird, sehen Sie einen Bildschirm ähnlich dem in Abbildung 11 unten

Abbildung 11: ADS Spy

Drücken Sie die Scan-Taste und das Programm beginnt, Ihren Windows-Ordner nach Dateien zu durchsuchen, die alternative Datenströme sind

Wenn es welche findet, werden sie ähnlich wie in Abbildung 12 unten angezeigt

Abbildung 12: Auflistung der gefundenen alternativen Datenströme

Um eine der angezeigten ADS-Dateien zu entfernen, setzen Sie einfach ein Häkchen neben den Eintrag und klicken Sie auf die Schaltfläche Ausgewählte entfernen

Dadurch wird die ADS-Datei von Ihrem Computer entfernt

Wenn Sie fertig sind, drücken Sie die Zurück-Taste neben dem ausgewählten Entfernen, bis Sie auf dem Hauptbildschirm von HijackThis sind.

So verwenden Sie den Deinstallations-Manager

Mit dem Deinstallations-Manager können Sie die Einträge verwalten, die Sie in der Liste „Programme hinzufügen/entfernen“ Ihrer Systemsteuerung finden

Beim Entfernen von Malware von einem Computer bleiben Einträge in der Liste „Programme hinzufügen/entfernen“ unweigerlich zurück

Viele Benutzer möchten verständlicherweise eine saubere Liste zum Hinzufügen/Entfernen von Programmen haben und haben Schwierigkeiten, diese fehlerhaften Einträge zu entfernen

Mit dem Uninstall Manager können Sie diese Einträge aus Ihrer Deinstallationsliste entfernen.

Um auf den Uninstall Manager zuzugreifen, gehen Sie wie folgt vor:

Starten Sie HijackThis

Klicken Sie auf die Schaltfläche Config

Klicken Sie auf die Schaltfläche Misc Tools

Klicken Sie auf die Schaltfläche Open Uninstall Manager.

Ihnen wird nun ein Bildschirm ähnlich dem folgenden angezeigt:

Abbildung 13: HijackThis Uninstall Manager

Um einen Eintrag zu löschen, klicken Sie einfach auf den Eintrag, den Sie entfernen möchten, und dann auf die Schaltfläche Diesen Eintrag löschen

Wenn Sie das diesem Eintrag zugeordnete Programm ändern möchten, können Sie auf die Befehlsschaltfläche „Deinstallation bearbeiten“ klicken und den Pfad zu dem Programm eingeben, das ausgeführt werden soll, wenn Sie auf diesen Eintrag in der Liste „Programme hinzufügen/entfernen“ doppelklicken

Diese letzte Funktion sollte nur verwendet werden, wenn Sie wissen, was Sie tun

Wenn Sie aufgefordert werden, diese Liste zu speichern und zu veröffentlichen, damit jemand sie überprüfen und Ihnen sagen kann, was Sie entfernen sollten, können Sie auf die Liste speichern klicken

.

und geben Sie an, wo Sie diese Datei speichern möchten

Wenn Sie auf die Schaltfläche Speichern klicken, wird ein Notizblock mit dem Inhalt dieser Datei geöffnet

Kopieren Sie einfach den Inhalt dieses Notizblocks und fügen Sie ihn in eine Antwort in dem Thema ein, zu dem Sie Hilfe erhalten

So interpretieren Sie die Scan-Listen

Dieser nächste Abschnitt soll Ihnen helfen, die Ausgabe eines HijackThis-Scans zu diagnostizieren

Wenn Sie sich immer noch nicht sicher sind, was Sie tun sollen, oder uns bitten möchten, Ihr Protokoll zu interpretieren, fügen Sie Ihr Protokoll in einen Beitrag in unserem Datenschutzforum ein

Jede Zeile in der Scan-Liste für HijackThis beginnt mit einem Abschnittsnamen

Nachfolgend finden Sie eine Liste dieser Abschnittsnamen und ihre Erläuterungen

Sie können auf einen Abschnittsnamen klicken, um zum entsprechenden Abschnitt zu gelangen

Es ist wichtig zu beachten, dass bestimmte Abschnitte eine interne weiße Liste verwenden, damit HijackThis keine bekannten legitimen Dateien anzeigt

Um diese Whitelist zu deaktivieren, können Sie hijackthis stattdessen mit dieser Methode starten: hijackthis.exe /ihatewhitelists.

In unseren Erklärungen zu jedem Abschnitt werden wir versuchen, in Laiensprache zu erklären, was sie bedeuten

Wir teilen Ihnen auch mit, welche Registrierungsschlüssel sie normalerweise verwenden und/oder welche Dateien sie verwenden

Abschließend geben wir Ihnen Empfehlungen, was mit den Einträgen zu tun ist

R0,R1,R2,R3 Abschnitte

Dieser Abschnitt behandelt die Internet Explorer-Startseite, -Homepage und URL-Such-Hooks

R0 ist für die Internet Explorer-Startseite und den Suchassistenten

R1 ist für Internet Explorer-Suchfunktionen und andere Eigenschaften

R2 wird derzeit nicht verwendet

R3 ist für einen URL-Such-Hook

Ein URL-Such-Hook wird verwendet, wenn Sie eine Adresse in das Standortfeld des Browsers eingeben, aber kein Protokoll wie http:// oder ftp:// in die Adresse aufnehmen

Wenn Sie eine solche Adresse eingeben, versucht der Browser selbst, das richtige Protokoll herauszufinden, und wenn dies nicht gelingt, verwendet er den im R3-Abschnitt aufgeführten UrlSearchHook, um zu versuchen, den von Ihnen eingegebenen Ort zu finden Schlüssel: HKLM\Software\Microsoft\Internet Explorer\Main,Startseite HKCU\Software\Microsoft\Internet Explorer\Main: Startseite HKLM\Software\Microsoft\Internet Explorer\Main: Default_Page_URL HKCU\Software\Microsoft\Internet Explorer\Main : Default_Page_URL HKLM\Software\Microsoft\Internet Explorer\Main: Suchseite HKCU\Software\Microsoft\Internet Explorer\Main: Suchseite HKCU\Software\Microsoft\Internet Explorer\SearchURL: (Standard) HKCU\Software\Microsoft\Internet Explorer \Main: Fenstertitel HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: ProxyOverride HKCU\Software\Microsoft\Internet Connection Wizard: ShellNext HKCU\Software\Microsoft\Internet Explorer\Main: Search Bar HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSear ch Hooks HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant

Beispiel-Listing R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/

Eine häufige Frage ist, was es bedeutet, wenn das Wort Obfuscated neben einem dieser Einträge steht

Wenn etwas verschleiert ist, bedeutet dies, dass es erschwert wird, es wahrzunehmen oder zu verstehen

In Bezug auf Spyware bedeutet dies, dass die Spyware oder der Hijacker einen von ihm vorgenommenen Eintrag versteckt, indem er die Werte in eine andere Form konvertiert, die er leicht versteht, aber Menschen Schwierigkeiten haben würden, sie zu erkennen, wie z

B

das Hinzufügen von Einträgen in die Registrierung in Hexadezimal

Dies ist nur eine weitere Methode, um ihre Anwesenheit zu verbergen und ihre Entfernung zu erschweren

Wenn Sie die Website, auf die entweder R0 oder R1 zeigen, nicht erkennen und sie ändern möchten, können Sie HijackThis diese sicher reparieren lassen , da sie sich nicht nachteilig auf Ihre Internet Explorer-Installation auswirken

Wenn Sie sehen möchten, um welche Websites es sich handelt, können Sie auf die Website gehen, und wenn es viele Popups und Links gibt, können Sie sie fast immer löschen

Es ist wichtig zu beachten, dass, wenn ein RO/R1 auf eine Datei zeigt und Sie den Eintrag mit HijackThis reparieren, Hijackthis diese bestimmte Datei nicht löscht und Sie dies manuell tun müssen

Es gibt bestimmte R3-Einträge, die mit a enden Unterstrich (_)

Ein Beispiel dafür, wie man aussehen würde, ist:

R3 – URLSearchHook: (kein Name) – {CFBFAE00-17A6-11D0-99CB-00C04FD64497}_ – (keine Datei)

Beachten Sie, dass die CLSID, die Zahlen zwischen den { }, ein _ am Ende haben und sie mit HijackThis manchmal schwierig zu entfernen sind

Um dies zu beheben, müssen Sie den jeweiligen Registrierungseintrag manuell löschen, indem Sie zum folgenden Schlüssel gehen:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks

Löschen Sie dann darunter den CLSID-Eintrag, den Sie entfernen möchten

Bitte belassen Sie die CLSID , CFBFAE00-17A6-11D0-99CB-00C04FD64497, da dies die gültige Standardeinstellung ist

See also  Best daumengas pedelec New

Wenn Sie die verwendete Software nicht als UrlSearchHook erkennen, sollten Sie sie im Allgemeinen googeln und nach einigen Recherchen HijackThis die Reparatur gestatten es

Abschnitte F0, F1, F2, F3

Diese Abschnitte behandeln Anwendungen, die von Ihren. INI-Dateien, system.ini und win.ini, in Windows ME und darunter oder den entsprechenden Stellen in der Registrierung für Windows NT-basierte Versionen geladen werden

Die auf Windows NT basierenden Versionen sind XP, 2000, 2003 und Vista

Ein F0-Eintrag entspricht der Shell=-Anweisung im Abschnitt [Boot] der Datei System.ini

Die Shell=-Anweisung in der Datei system.ini wird verwendet, um festzulegen, welches Programm als Shell für das Betriebssystem fungieren würde

Beispielliste: F0 – system.ini: Shell=Explorer.exe badprogram.exe Verwendete Dateien: c:\ windows\system.ini

Die Shell ist das Programm, das Ihren Desktop lädt, die Fensterverwaltung übernimmt und es dem Benutzer ermöglicht, mit dem System zu interagieren

Jedes nach der Shell-Anweisung aufgeführte Programm wird beim Start von Windows geladen und fungiert als Standard-Shell

Es gab einige Programme, die als gültiger Shell-Ersatz fungierten, aber sie werden im Allgemeinen nicht mehr verwendet

Windows 95, 98 und ME verwendeten alle standardmäßig Explorer.exe als Shell

Windows 3.X verwendet Progman.exe als Shell

Es ist auch möglich, andere Programme aufzulisten, die beim Laden von Windows in derselben Shell =-Zeile gestartet werden, z

B

Shell=explorer.exe badprogram.exe

Diese Zeile lässt beide Programme starten, wenn Windows geladen wird

Ein F1-Eintrag entspricht dem Eintrag Run= oder Load= in der Datei win.ini

Wie die Datei system.ini wird die Datei win.ini normalerweise nur in Windows ME und darunter verwendet

Beispielliste F1 – win.ini: load=bad.pif F1 – win.ini: run=evil.pif Verwendete Dateien: c:\windows\win.ini

Alle nach run= oder load= aufgelisteten Programme werden geladen, wenn Windows startet

Diese run=-Anweisung wurde während der Windows 3.1-, 95- und 98-Jahre verwendet und wird aus Gründen der Abwärtskompatibilität mit älteren Programmen beibehalten

Die meisten modernen Programme verwenden diese INI-Einstellung nicht, und wenn Sie kein älteres Programm verwenden, können Sie zu Recht misstrauisch sein

Die Anweisung load= wurde verwendet, um Treiber für Ihre Hardware zu laden

Auf Windows NT-basierten Systemen (Windows 2000, XP usw.) zeigt HijackThis die in win.ini und system.ini gefundenen Einträge, aber auf Windows NT-basierten Systemen werden die dort aufgelisteten Dateien nicht ausgeführt.

Die Einträge F2 und F3 entsprechen den entsprechenden Speicherorten wie F0 und F1, werden aber stattdessen in der Registrierung für die Windows-Versionen XP, 2000 und NT gespeichert

Diese Versionen von Windows verwenden die Dateien system.ini und win.ini nicht

Stattdessen verwenden sie aus Gründen der Abwärtskompatibilität eine Funktion namens IniFileMapping

IniFileMapping fügt den gesamten Inhalt einer. ini-Datei in die Registrierung ein, mit Schlüsseln für jede Zeile, die in dem dort gespeicherten. ini-Schlüssel gefunden werden

Wenn Sie dann ein Programm ausführen, das normalerweise seine Einstellungen aus einer. ini-Datei liest, überprüft es zuerst den Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping auf eine. ini-Zuordnung und liest, falls gefunden, die Einstellungen aus dort statt

Sie können sehen, dass sich diese Einträge in den Beispielen unten auf die Registrierung beziehen, da sie REG und dann die. ini-Datei enthält, auf die sich IniFileMapping bezieht

F2-Einträge werden angezeigt, wenn es einen Wert gibt, der nicht auf der Whitelist steht, oder als sicher gilt, im Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon unter den Werten Shell und Userinit :system. ini: Shell=explorer.exe beta.exe Registrierungsschlüssel: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Der Shell-Registrierungswert entspricht der oben beschriebenen Funktion von Shell= in der Datei system.ini

Der Userinit-Wert gibt an, welches Programm direkt nach der Anmeldung eines Benutzers bei Windows gestartet werden soll

Das Standardprogramm für diesen Schlüssel ist C:\windows\system32\userinit.exe

Userinit.exe ist ein Programm, das Ihr Profil, Schriftarten, Farben usw

für Ihren Benutzernamen wiederherstellt

Es ist möglich, weitere Programme hinzuzufügen, die von dieser Taste gestartet werden, indem Sie die Programme durch ein Komma trennen

Beispiel: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =C:\windows\system32\userinit.exe,c:\windows\badprogram.exe

Dadurch werden beide Programme gestartet, wenn Sie sich anmelden, und es ist ein häufiger Startpunkt für Trojaner, Hijacker und Spyware

Es sollte beachtet werden, dass die Userinit- und Shell-F2-Einträge nicht in HijackThis angezeigt werden, es sei denn, es ist ein nicht auf der Whitelist aufgeführter Wert aufgeführt

F3-Einträge werden angezeigt, wenn es einen Wert gibt, der nicht auf der Whitelist im Registrierungsschlüssel HKCU\Software\Microsoft steht \Windows NT\CurrentVersion\Windows unter den Werten laden und ausführen

Diese Einträge sind das Windows NT-Äquivalent zu den oben beschriebenen F1-Einträgen : HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run

Wenn Sie für F0 eine Anweisung wie Shell=Explorer.exe etwas.exe sehen, können Sie sie im Allgemeinen löschen, aber Sie sollten zuerst Google und die unten aufgeführten Websites konsultieren

Für F1-Einträge sollten Sie die hier gefundenen Einträge googeln, um festzustellen, ob Sie sind legitime Programme

Sie können auch auf den folgenden Websites nach dem Eintrag suchen, um zu sehen, was er tut

Wenn Sie für F2 UserInit=userinit.exe mit oder ohne nddeagnt.exe sehen, wie im obigen Beispiel, können Sie diesen Eintrag in Ruhe lassen

Wenn Sie UserInit=userinit.exe sehen (beachten Sie kein Komma), ist das immer noch in Ordnung, also sollten Sie es in Ruhe lassen

Wenn Sie einen anderen Eintrag mit userinit.exe sehen, könnte es sich möglicherweise um einen Trojaner oder andere Malware handeln

Dasselbe gilt für F2 Shell=; Wenn Sie explorer.exe alleine sehen, sollte es in Ordnung sein, wenn Sie dies nicht tun, wie in der obigen Beispielliste, dann könnte es sich um einen potenziellen Trojaner oder eine Malware handeln

Sie können diese Einträge im Allgemeinen löschen, aber Sie sollten Google und die unten aufgeführten Websites konsultieren

Bitte beachten Sie, dass HijackThis die damit verknüpfte Datei nicht löscht, wenn diese Einträge behoben sind

Sie müssen diese Dateien manuell löschen.

Für die Recherche dieser Einträge zu verwendende Website:

Bleeping Computer Startup Database Antworten, die funktionieren Greatis Startup Application Database Pacman’s Startup Programs List Pacman’s Startup Lists for Offline Reading Kephyr File Database Wintasks Process Library

Abschnitte N1, N2, N3, N4

Diese Abschnitte sind für die Start- und Standardsuchseiten von Netscape- und Mozilla-Browsern

Diese Einträge werden in den prefs.js-Dateien gespeichert, die an verschiedenen Stellen im Ordner C:\Dokumente und Einstellungen\IhrBenutzername\Anwendungsdaten gespeichert sind

Die Einträge von Netscape 4 werden in der Datei prefs.js im Programmverzeichnis gespeichert, das im Allgemeinen DriveLetter:\Program Files\Netscape\Users\default\prefs.js ist

N1 entspricht der Startseite und Standardsuchseite von Netscape 4

N2 entspricht der Startseite von Netscape 6 und der Standardsuchseite

N3 entspricht der Startseite von Netscape 7 und der Standardsuchseite

N4 entspricht der Startseite von Mozilla und der Standardsuchseite

Verwendete Dateien: prefs.js

Da die meisten Spyware und Hijacker auf den Internet Explorer abzielen, sind diese normalerweise sicher

Wenn Sie hier Websites sehen, die Sie nicht eingestellt haben, können Sie HijackThis verwenden, um das Problem zu beheben

Es gibt eine bekannte Seite, die diese Einstellungen ändert, und das ist Lop.com, die hier besprochen wird

O1-Sektion

Dieser Abschnitt entspricht der Hostdatei-Umleitung

Die Hostdatei enthält Zuordnungen für Hostnamen zu IP-Adressen

Wenn ich beispielsweise in meine Hostdatei eingebe:

127.0.0.1 www.bleepingcomputer.com

und Sie versuchen, zu www.bleepingcomputer.com zu gehen, überprüft es die Hosts-Datei, sieht den Eintrag und wandelt ihn in die IP-Adresse 127.0.0.1 anstelle der korrekten Adresse um

Host-Dateiumleitung ist, wenn ein Hijacker Ihre Hosts ändert Datei, um Ihre Versuche, eine bestimmte Website zu erreichen, auf eine andere Website umzuleiten

Wenn also jemand einen Eintrag hinzufügt wie:

127.0.0.1 www.google.com

und Sie versuchten, zu www.google.com zu gehen, wurden Sie stattdessen zu 127.0.0.1 umgeleitet, was Ihr eigener Computer ist

Beispielliste O1 – Hosts: 192.168.1.1 www.google.com

Verwendete Dateien: Die Hosts-Datei ist eine Textdatei, die mit jedem Texteditor bearbeitet werden kann und standardmäßig an den folgenden Orten für jedes Betriebssystem gespeichert wird, es sei denn, Sie haben sich für die Installation unter anderen Pfaden entschieden –

Speicherort des Betriebssystems Windows 3.1 C:\WINDOWS\HOSTS Windows 95 C:\WINDOWS\HOSTS Windows 98 C:\WINDOWS\HOSTS Windows ME C:\WINDOWS\HOSTS Windows XP C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS Windows NT C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS Windows 2000 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS Windows 2003 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

Der Speicherort der Hosts-Datei kann geändert werden, indem der Registrierungsschlüssel unten für Windows NT/2000/XP geändert wird

Registrierungsschlüssel: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\: DatabasePath

Wenn Sie Einträge wie das obige Beispiel sehen und sie aus einem bestimmten Grund, den Sie kennen, nicht ihnen gehören, können Sie sie sicher entfernen bedeutet, dass Sie mit CoolWebSearch infiziert sind

Wenn sich die Hosts-Datei an einem Ort befindet, der nicht der Standard für Ihr Betriebssystem ist, siehe Tabelle oben, dann sollten Sie HijackThis dies beheben lassen, da es höchstwahrscheinlich durch eine Infektion verursacht wird

Sie können auch das Programm HostsXpert herunterladen, das es gibt Ihnen die Möglichkeit, die Standardhostdatei wieder auf Ihrem Computer wiederherzustellen

Laden Sie dazu das Programm HostsXpert herunter und führen Sie es aus

Wenn es geöffnet wird, klicken Sie auf die Schaltfläche Ursprüngliche Hosts wiederherstellen und beenden Sie dann HostsXpert.

O2 Section

Dieser Abschnitt entspricht den Browser-Hilfsobjekten

Browser-Hilfsobjekte sind Plugins für Ihren Browser, die dessen Funktionalität erweitern

Sie können sowohl von Spyware als auch von legitimen Programmen wie Google Toolbar und Adobe Acrobat Reader verwendet werden

Sie müssen Ihre Nachforschungen anstellen, wenn Sie entscheiden, ob Sie diese entfernen möchten oder nicht, da einige davon legitim sein können.

Registrierungsschlüssel: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Beispielliste O2 – BHO: NAV Helper – {BDF3E430-B101-42AD-A544-FADC6B084872} – C:\Programme\Norton Antivirus\NavShExt.dll

Es gibt eine ausgezeichnete Liste bekannter CSLIDs, die mit Browser-Hilfsobjekten und Symbolleisten verbunden sind, zusammengestellt von Tony Klein, hier: CLSID-Liste

Wenn Sie die Liste konsultieren, verwenden Sie die CLSID, die die Nummer zwischen den geschweiften Klammern in der Auflistung ist

Die CLSID in der Auflistung bezieht sich auf Registrierungseinträge, die Informationen über die Browser-Hilfsobjekte oder Symbolleisten enthalten

Wenn Sie diese Art von Einträgen mit HijackThis reparieren, versucht HijackThis, die aufgeführte problematische Datei zu löschen

Es kann vorkommen, dass die Datei auch dann verwendet wird, wenn Internet Explorer heruntergefahren ist

Wenn die Datei immer noch existiert, nachdem Sie sie mit HijackThis repariert haben, wird empfohlen, dass Sie im abgesicherten Modus neu starten und die problematische Datei löschen.

O3-Abschnitt

Dieser Abschnitt entspricht den Internet Explorer-Symbolleisten

Dies sind die Symbolleisten, die sich unter Ihrer Navigationsleiste und dem Menü in Internet Explorer befinden

Registrierungsschlüssel: HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar

Beispiel-Listing O3 – Symbolleiste: Norton Antivirus – {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} – C:\Programme\Norton Antivirus\NavShExt.dll

Es gibt eine ausgezeichnete Liste bekannter CSLIDs, die mit Browser-Hilfsobjekten und Symbolleisten verbunden sind, zusammengestellt von Tony Klein, hier: CLSID-Liste

Wenn Sie die Liste konsultieren, verwenden Sie die CLSID, die die Nummer zwischen den geschweiften Klammern in der Auflistung ist

Die CLSID in der Auflistung beziehen sich auf Registrierungseinträge, die Informationen zu den Browserhilfsobjekten oder Symbolleisten enthalten

Wenn Sie diese Art von Einträgen beheben, wird HijackThis die aufgeführte problematische Datei nicht löschen

Es wird empfohlen, dass Sie im abgesicherten Modus neu starten und die betreffende Datei löschen.

O4-Abschnitt

Dieser Abschnitt entspricht bestimmten Registrierungsschlüsseln und Startordnern, die zum automatischen Starten einer Anwendung beim Start von Windows verwendet werden

O4-Schlüssel sind die HJT-Einträge, die die meisten Programme für den Autostart verwenden, daher ist bei der Untersuchung dieser Schlüssel besondere Sorgfalt geboten

Die Registrierungsschlüssel und Verzeichnisse von O4 sind unten aufgeführt und gelten größtenteils für alle Windows-Versionen

Ab HijackThis-Version 2.0 listet HijackThis auch Einträge für andere Benutzer auf, die zum Zeitpunkt des den Scan durch Lesen der Informationen aus dem Registrierungsschlüssel HKEY_USERS

Wenn ein Benutzer zum Zeitpunkt des Scans nicht angemeldet ist, wird sein Benutzerschlüssel nicht geladen, und daher listet HijackThis seine Autoruns nicht auf

Bei der Arbeit an HijackThis-Protokollen ist es nicht ratsam, HijackThis zu verwenden, um Einträge im Protokoll einer Person zu korrigieren, wenn der Benutzer mehrere Konten angemeldet hat

Wir raten dazu, weil die Prozesse des anderen Benutzers mit den Korrekturen, die wir den Benutzer ausführen lassen, in Konflikt geraten könnten Aktuelle Orte, an denen O4-Einträge aufgelistet sind, sind:

Verzeichnisstandorte:

Startordner des Benutzers: Alle Dateien, die sich im Startmenü-Startordner eines Benutzers befinden, werden als O4 – Startup aufgeführt

Dieser Speicherort ist für die neueren Versionen von Windows C:\Dokumente und Einstellungen\BENUTZERNAME\Startmenü\Programme\Autostart oder unter C:\Benutzer\BENUTZERNAME\AppData\Roaming\Microsoft\Windows\Startmenü in Vista

Diese Einträge werden ausgeführt, wenn sich der jeweilige Benutzer am Computer anmeldet

Alle Benutzer-Startordner: Diese Elemente beziehen sich auf Anwendungen, die geladen werden, indem sie im Startmenü-Startmenü des Profils „Alle Benutzer“ abgelegt werden, und werden als O4 – Global Startup aufgeführt

Dieser Speicherort ist für die neueren Windows-Versionen C:\Dokumente und Einstellungen\Alle Benutzer\Startmenü\Programme\Startup oder unter C:\ProgramData\Microsoft\Windows\Startmenü\Programme\Startup in Vista

Diese Einträge werden ausgeführt, wenn sich ein Benutzer am Computer anmeldet

Startregistrierungsschlüssel: O4-Einträge, die Registrierungsschlüssel verwenden, beginnen mit dem abgekürzten Registrierungsschlüssel in der Eintragsliste

Beispiele und ihre Beschreibungen sind unten zu sehen

Wenn sich der Schlüssel für alle unten aufgeführten Schlüssel unter HKCU befindet, bedeutet dies, dass das Programm nur gestartet wird, wenn sich dieser bestimmte Benutzer am Computer anmeldet

Wenn sich der Eintrag unter HKLM befindet, wird das Programm für alle Benutzer gestartet, die sich am Computer anmelden.

Hinweis: In der folgenden Auflistung steht HKLM für HKEY_LOCAL_MACHINE und HKCU für HKEY_CURRENT_USER

Die Run-Tasten werden verwendet, um ein Programm automatisch zu starten, wenn sich ein Benutzer oder alle Benutzer an der Maschine anmelden

Run-Tasten: HKLM\Software\ Microsoft\Windows\CurrentVersion\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Die RunOnce-Schlüssel werden verwendet, um einen Dienst oder Hintergrundprozess zu starten, wenn sich ein Benutzer oder alle Benutzer am Computer anmelden

Sobald das Programm zum ersten Mal erfolgreich gestartet wurde, wird sein Eintrag aus der Registrierung entfernt, sodass es bei nachfolgenden Anmeldungen nicht erneut ausgeführt wird

RunOnce-Schlüssel: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce HKCU\Software\Microsoft\Windows \CurrentVersion\RunOnce

Die RunServices-Schlüssel werden verwendet, um einen Dienst oder Hintergrundprozess zu starten, wenn sich ein Benutzer oder alle Benutzer am Computer anmelden

RunServices-Schlüssel: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices HKCU\Software\Microsoft\Windows\CurrentVersion \RunServices

Die RunServicesOnce-Schlüssel werden verwendet, um einen Dienst oder Hintergrundprozess zu starten, wenn sich ein Benutzer oder alle Benutzer am Computer anmelden

Im Gegensatz zu den RunServices-Schlüsseln wird der Eintrag eines Programms, das über den RunServicesOnce-Schlüssel gestartet wird, aus der Registrierung entfernt, sodass es bei nachfolgenden Anmeldungen nicht erneut ausgeführt wird

RunServicesOnce-Schlüssel: HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce HKCU\Software \Microsoft\Windows\CurrentVersion\RunServicesOnce

Die RunOnceEx-Schlüssel werden verwendet, um ein Programm einmal zu starten und sich dann aus der Registrierung zu entfernen

Dieser spezielle Schlüssel wird normalerweise von Installations- oder Aktualisierungsprogrammen verwendet

RunOnceEx-Schlüssel: HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

Die Schlüssel Policies\Explorer\Run werden von Netzwerkadministratoren verwendet, um Gruppenrichtlinieneinstellungen festzulegen, die ein Programm automatisch starten lassen, wenn sich ein Benutzer oder alle Benutzer am Computer anmelden

Unter dem Schlüssel Policies\Explorer\Run befinden sich eine Reihe von Werten, die als Daten einen Programmnamen haben

Wenn sich ein Benutzer oder alle Benutzer am Computer anmelden, wird jeder der Werte unter der Run-Taste ausgeführt und die entsprechenden Programme gestartet

Richtlinien\Explorer\Run-Schlüssel: HKLM\Software\Microsoft\Windows\CurrentVersion\ Richtlinien\Explorer\Run HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Eine vollständige Liste anderer Startorte, die nicht unbedingt in HijackThis enthalten sind, finden Sie hier: Automatische Startorte für Windows-Programme

Ein Beispiel für die Art von O4-Einträgen, die Sie in HijackThis sehen können, ist unten zu sehen:

Beispielauflistungen: 04 – HKLM\..\Run: [nwiz] nwiz.exe /install O4 – Global Startup: Adobe Reader Speed ​​​​Launch.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 – HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Program Files\Video ActiveX Access\iesmn.exe O4 – S-1-5-21-1222272861-2000431354-1005 Startup: numlock

vbs (Benutzer ‘BleepingComputer.com’) O4 – HKUS\S-1-5-21-1229272821-2000478354–1005\..\Run: [Windows Defender] “C:\Program Files\Windows Defender\MSASCui.exe ” – verstecken (Benutzer ‘BleepingComputer.com’)

Wenn wir uns die obigen Beispiele ansehen, sehen wir 5 verschiedene Starteinträge, von denen 2 für Benutzer bestimmt sind, die im Hintergrund angemeldet sind

Beginnt ein Eintrag mit einer langen Zahlenfolge und enthält am Ende einen in Klammern eingeschlossenen Benutzernamen, handelt es sich um einen O4-Eintrag für einen im Hintergrund eingeloggten Benutzer

Lassen Sie uns die Beispiele einzeln aufschlüsseln eingeloggter Benutzer

Der Name des Registrierungswerts ist nwiz und wenn der Eintrag gestartet wird, wird der Befehl nwiz.exe /install gestartet.

– Dieser Eintrag entspricht einem Startstart für den aktuell angemeldeten Benutzer

Der Name des Registrierungswerts lautet und wenn der Eintrag gestartet wird, wird der Befehl gestartet

O4 – Global Startup: Adobe Reader Speed ​​​​Launch.lnk = D:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe – Dieser Eintrag entspricht einem Programm, das vom All Users Startup Folder unter C:\Documents gestartet wird und Einstellungen \All Users\Startmenü\Programme\Startup.

Dieser Eintrag entspricht einem Programm, das vom Startordner All Users unter O4 – HKLM\..\Policies\Explorer\Run gestartet wird: [user32.dll] C:\ Programme \Video ActiveX Access\iesmn.exe – Dieser Eintrag entspricht einem Wert, der sich unter dem Schlüssel HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run befindet

Der Name des Registrierungswerts ist user32.dll und seine Daten sind C:\Program Files\Video ActiveX Access\iesmn.exe

Dieses spezielle Beispiel bezieht sich zufällig auf Malware.

– Dieser Eintrag entspricht einem Wert, der sich unter dem Schlüssel befindet

Der Name des Registrierungswerts ist und seine Daten sind

Dieses spezielle Beispiel bezieht sich zufällig auf Malware

O4 – S-1-5-21-1222272861-2000431354-1005 Start: numlock.vbs (Benutzer ‘BleepingComputer.com’) – Dieser spezielle Eintrag ist etwas anders

Wie Sie sehen können, steht davor eine lange Reihe von Zahlen, die am Ende des Eintrags den Benutzer angibt, zu dem er gehört

Diese Nummern am Anfang sind die SID oder Sicherheitskennung des Benutzers und eine Nummer, die für jeden Benutzer auf Ihrem Computer eindeutig ist

Diese SID wird in den Windows-Benutzer BleepingComputer.com übersetzt, wie am Ende des Eintrags gezeigt

Der Rest des Eintrags ist derselbe wie ein normaler, wobei das Programm aus dem Startmenü-Startordner eines Benutzers gestartet wird und das gestartete Programm numlock.vbs ist

Dieser spezielle Eintrag ist ein wenig anders

Wie Sie sehen können, steht davor eine lange Reihe von Zahlen, die am Ende des Eintrags den Benutzer angibt, zu dem er gehört

Diese Nummern am Anfang sind die SID oder Sicherheitskennung des Benutzers und eine Nummer, die für jeden Benutzer auf Ihrem Computer eindeutig ist

Diese SID wird in den Windows-Benutzer BleepingComputer.com übersetzt, wie am Ende des Eintrags gezeigt

Der Rest des Eintrags ist derselbe wie bei einem normalen Eintrag, wobei das Programm aus dem Startmenü-Startordner eines Benutzers gestartet wird und das gestartete Programm

O4 – HKUS\S-1-5-21-1222272861-2000431354-1005\..\Run: [Windows Defender] “C:\Program Files\Windows Defender\MSASCui.exe” -hide (Benutzer ‘BleepingComputer.com’ ) – Dieser Eintragstyp ähnelt dem ersten Beispiel, außer dass er dem Benutzer BleepingComputer.com gehört

Dies ist nur ein weiteres Beispiel für HijackThis, das die Autostart-Einträge anderer angemeldeter Benutzer auflistet

Nachdem wir nun wissen, wie die Einträge zu interpretieren sind, lernen wir, wie sie behoben werden können

Wenn Sie O4-Einträge reparieren, löscht Hijackthis die mit dem Eintrag verknüpften Dateien nicht

Stattdessen müssen Sie diese anschließend manuell löschen, normalerweise indem Sie den Benutzer zuerst im abgesicherten Modus neu starten lassen

Die Einträge Global Startup und Startup funktionieren etwas anders

HijackThis löscht die in diesen Einträgen gefundenen Verknüpfungen, aber nicht die Datei, auf die sie verweisen

Wenn sich eine tatsächliche ausführbare Datei in den Verzeichnissen „Global Startup“ oder „Startup“ befindet, WIRD die betreffende Datei gelöscht

Bleeping Computer Startup Database Antworten, die funktionieren Greatis Startup Application Database Pacman’s Startup Programs List Pacman’s Startup Lists for Offline Reading Kephyr File Database Wintasks Process Library

Abschnitt O5

Dieser Abschnitt entspricht der Anzeige Ihres Internet Explorer-Steuerelements in der Systemsteuerung

Es ist möglich, die Anzeige eines Steuerelements in der Systemsteuerung zu deaktivieren, indem Sie einen Eintrag in die gespeicherte Datei namens control.ini einfügen, zumindest für Windows XP , in c:\windows\control.ini

In dieser Datei können Sie angeben, welche spezifischen Bedienfelder nicht sichtbar sein sollen

Dateien Benutzer: control.ini

Beispiel Listing O5 – control.ini: inetcpl.cpl=no

Wenn Sie eine Linie wie oben sehen, kann dies ein Zeichen dafür sein, dass eine Software versucht, es Ihnen schwer zu machen, Ihre Einstellungen zu ändern

Sofern es nicht aus einem bestimmten bekannten Grund vorhanden ist, z

B

wenn der Administrator diese Richtlinie festgelegt hat oder Spybot – S&D die Einschränkung eingerichtet hat, können Sie HijackThis dies beheben lassen

O6-Abschnitt

Dieser Abschnitt entspricht einer administrativen Sperre zum Ändern der Optionen oder der Startseite im Internet Explorer durch Ändern bestimmter Einstellungen in der Registrierung

Registrierungsschlüssel: HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions

Beispielliste O6 – HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions

Diese Optionen sollten nur angezeigt werden, wenn Ihr Administrator sie absichtlich eingestellt hat oder wenn Sie die Spybots-Startseite und die Optionen zum Sperren der Funktionen im Abschnitt Modus -> Erweiterter Modus -> Extras -> IE-Optimierungen verwendet haben

Abschnitt O7

Dieser Abschnitt entspricht dem, dass Regedit nicht ausgeführt werden darf, indem ein Eintrag in der Registrierung geändert wird

Registrierungsschlüssel: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System

Beispiel-Listing O7 – HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System: DisableRegedit=1

Bitte beachten Sie, dass viele Administratoren in Büros dies absichtlich sperren, sodass die Behebung durch HijackThis einen Verstoß gegen die Unternehmensrichtlinie darstellen kann

Wenn Sie der Administrator sind und es ohne Ihre Erlaubnis aktiviert wurde, lassen Sie es von HijackThis beheben

O8-Abschnitt

Dieser Abschnitt entspricht zusätzlichen Elementen, die im Kontextmenü von Internet Explorer zu finden sind

Registrierungsschlüssel: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\MenuExt

Beispiel-Listing O8 – Zusätzliches Kontextmenüelement: &Google-Suche – res://c:\windows\GoogleToolbar1.dll/cmsearch.html

Jeder O8-Eintrag ist eine Menüoption, die angezeigt wird, wenn Sie mit der rechten Maustaste auf Internet Explorer klicken

Das im Eintrag angezeigte Programm wird gestartet, wenn Sie diese Menüoption tatsächlich auswählen

Bestimmte wie “Browser Pal” sollten immer entfernt werden, und der Rest sollte mit Google recherchiert werden

Ein Beispiel für ein legitimes Programm, das Sie hier finden können, ist die Google Toolbar

Wenn Sie diese Art von Einträgen korrigieren, löscht HijackThis die im Eintrag aufgeführte Datei nicht

Wenn Sie diese Datei entfernen müssen, wird empfohlen, dass Sie im abgesicherten Modus neu starten und die Datei dort löschen

O9 Section

Dieser Abschnitt entspricht Schaltflächen in der Hauptsymbolleiste von Internet Explorer oder Elementen im Menü „Extras“ von Internet Explorer, die nicht Teil der Standardinstallation sind

Registrierungsschlüssel: Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions

Beispielliste O9 – Extra-Taste: AIM (HKLM)

Wenn Sie diese Schaltflächen oder Menüpunkte nicht benötigen oder sie als Malware erkennen, können Sie sie sicher entfernen

Wenn Sie diese Art von Einträgen beheben, löscht HijackThis die aufgeführte problematische Datei nicht

Es wird empfohlen, dass Sie im abgesicherten Modus neu starten und die problematische Datei löschen

O10 Section

Dieser Abschnitt entspricht Winsock-Hijackern oder auch bekannt als LSP (Layered Service Provider)

LSPs sind eine Möglichkeit, ein Stück Software mit Ihrer Winsock 2-Implementierung auf Ihrem Computer zu verketten

Da die LSPs miteinander verkettet sind, wenn Winsock verwendet wird, werden die Daten auch durch jeden der LSPs in der Kette transportiert

Spyware und Hijacker können LSPs verwenden, um den gesamten Datenverkehr zu sehen, der über Ihre Internetverbindung transportiert wird

Sie sollten beim Löschen dieser Objekte äußerste Vorsicht walten lassen, wenn sie entfernt werden, ohne die Lücke in der Kette ordnungsgemäß zu schließen, kann es zu einem Verlust des Internetzugangs kommen

Beispiel Auflistung O10 – Unterbrochener Internetzugang, da der LSP-Provider ‘spsublsp.dll’ fehlt

Viele Virenscanner beginnen damit, auf Winsock-Ebene nach Viren, Trojanern usw

zu suchen

Das Problem ist, dass viele dazu neigen, die LSPs nicht in der richtigen Reihenfolge neu zu erstellen, nachdem sie den betreffenden LSP gelöscht haben

Dies kann dazu führen, dass HijackThis ein Problem sieht und eine Warnung ausgibt, die dem obigen Beispiel ähneln kann, obwohl das Internet tatsächlich noch funktioniert

Lassen Sie sich deshalb bei der Behebung dieser Fehler von einem erfahrenen Anwender beraten

Es wird auch empfohlen, dass Sie LSPFix verwenden, siehe Link unten, um diese zu beheben

Spybot kann diese im Allgemeinen beheben, aber stellen Sie sicher, dass Sie die neueste Version erhalten, da die älteren Probleme hatten

Es gibt ein Tool namens LSPFix, das für diese Art von Problem entwickelt wurde und wahrscheinlich besser zu verwenden wäre

Eine große Liste von LSPs und Informationen darüber, ob sie gültig sind oder nicht, finden Sie auf der LSP-Listenseite von SystemLookup

Abschnitt O11

Dieser Abschnitt entspricht einer nicht standardmäßigen Optionsgruppe, die der Registerkarte „Erweiterte Optionen“ in den Internetoptionen im IE hinzugefügt wurde

Wenn Sie in Ihren Internetoptionen für Internet Explorer nachsehen, sehen Sie eine Registerkarte „Erweiterte Optionen“

Es ist möglich, einen Eintrag unter einem Registrierungsschlüssel hinzuzufügen, sodass dort eine neue Gruppe erscheint

Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AdvancedOptions

Beispiel Listing O11 – Optionsgruppe: [CommonName] CommonName

Laut Merijn von HijackThis gibt es nur einen bekannten Hijacker, der dies verwendet, und es ist CommonName

Wenn Sie CommonName in der Auflistung sehen, können Sie ihn sicher entfernen

Wenn es sich um einen anderen Eintrag handelt, sollten Sie bei Google recherchieren

O12 Section

Dieser Abschnitt entspricht den Internet Explorer-Plugins

Internet Explorer-Plugins sind Softwareteile, die geladen werden, wenn Internet Explorer beginnt, dem Browser Funktionen hinzuzufügen

Es sind viele legitime Plugins verfügbar, z

B

PDF-Anzeige und nicht standardmäßige Bildbetrachter.

Registrierungsschlüssel: HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\plugins

Beispiel-Listing-Plugin für. PDF: C:\Program Files\Internet Explorer\PLUGINS

ppdf32.dll

Die meisten Plugins sind legitim, also sollten Sie auf jeden Fall die, die Sie nicht kennen, googeln, bevor Sie sie löschen

Ein bekanntes Plugin, das Sie löschen sollten, ist das Onflow-Plugin mit der Erweiterung. OFB

Wenn Sie diese Art von Einträgen mit HijackThis beheben, versucht HijackThis, die aufgeführte problematische Datei zu löschen

Es kann vorkommen, dass die Datei auch dann verwendet wird, wenn Internet Explorer heruntergefahren ist

Wenn die Datei immer noch existiert, nachdem Sie sie mit HijackThis repariert haben, wird empfohlen, dass Sie im abgesicherten Modus neu starten und die problematische Datei löschen

O13 Abschnitt

Dieser Abschnitt entspricht einem IE-DefaultPrefix-Hijacking

Das Standardpräfix ist eine Einstellung unter Windows, die angibt, wie URLs behandelt werden, die Sie ohne vorangestelltes http://, ftp:// usw

eingeben

Standardmäßig hängt Windows am Anfang ein http:// an, da dies das standardmäßige Windows-Präfix ist

Es ist möglich, dies durch Bearbeiten der Registrierung in ein Standardpräfix Ihrer Wahl zu ändern

Der als CoolWebSearch bekannte Hijacker tut dies, indem er das Standardpräfix in http://ehttp.cc/? ändert

Das bedeutet, wenn Sie eine Verbindung zu einer URL wie www.google.com herstellen, werden Sie tatsächlich zu http://ehttp.cc/?www.google.com weitergeleitet, was eigentlich die Website für CoolWebSearch ist

Registrierungsschlüssel : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\

Beispiel-Listing O13 – WWW

Präfix: http://ehttp.cc/?

Wenn Sie ähnliche Probleme wie im obigen Beispiel haben, sollten Sie CWShredder ausführen

Dieses Programm wird verwendet, um alle bekannten Arten von CoolWebSearch zu entfernen, die sich möglicherweise auf Ihrem Computer befinden

Sie können hier ein Tutorial zur Verwendung von CWShredder lesen:

So entfernen Sie CoolWebSearch mit CoolWeb Shredder

Wenn CWShredder das Problem nicht findet und behebt, sollten Sie HijackThis diesen Eintrag immer beheben lassen, wenn er gefunden wird

O14 Abschnitt

Dieser Abschnitt entspricht einem „Reset Web Settings“-Hijack.

Auf Ihrem Computer befindet sich eine Datei, die Internet Explorer verwendet, wenn Sie die Optionen auf ihre Windows-Standardeinstellungen zurücksetzen

Diese Datei wird in c:\windows\inf\iereset.inf gespeichert und enthält alle Standardeinstellungen, die verwendet werden

Wenn Sie eine Einstellung zurücksetzen, wird diese Datei gelesen und die jeweilige Einstellung auf die in der Datei angegebenen geändert

Wenn ein Hijacker die Informationen in dieser Datei ändert, werden Sie erneut infiziert, wenn Sie diese Einstellung zurücksetzen, da er die falschen Informationen aus der Datei iereset.inf liest

Beispielliste O14 – IERESET.INF: START_PAGE_URL=http:/ /www.searchalot.com

Bitte beachten Sie, dass diese Einstellung möglicherweise von einem Computerhersteller oder dem Administrator des Computers geändert wurde

Wenn Sie die Adresse nicht kennen, sollten Sie sie korrigieren lassen

See also  Top png zu gif Update

O15 Abschnitt

Dieser Abschnitt entspricht Sites oder IP-Adressen in der Vertrauenswürdigen Zone und den Protokolleinstellungen von Internet Explorer

Vertrauenswürdige Zone

Die Sicherheit von Internet Explorer basiert auf einer Reihe von Zonen

Jede Zone hat unterschiedliche Sicherheitsvorkehrungen in Bezug darauf, welche Skripts und Anwendungen von einer Site ausgeführt werden können, die sich in dieser Zone befindet

Es gibt eine Sicherheitszone, die als vertrauenswürdige Zone bezeichnet wird

Diese Zone hat die niedrigste Sicherheit und lässt zu, dass Skripts und Anwendungen von Sites in dieser Zone ohne Ihr Wissen ausgeführt werden

Es ist daher eine beliebte Einstellung für Malware-Websites, damit zukünftige Infektionen ohne Ihr Wissen einfach auf Ihrem Computer durchgeführt werden können, da sich diese Websites in der vertrauenswürdigen Zone befinden. .

Registrierungsschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Einstellungen\ZoneMap\Domains HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ ZoneMap\Ranges

Beispielliste O15 – Vertrauenswürdige Zone: https://www.bleepingcomputer.com O15 – Vertrauenswürdiger IP-Bereich: 206.161.125.149 O15 – Vertrauenswürdiger IP-Bereich: 206.161.125.149 (HKLM)

Welcher Schlüssel, Domänen oder Bereiche, von Internet Explorer verwendet wird, wird durch die URL bestimmt, die der Benutzer zu erreichen versucht

Wenn die URL einen Domänennamen enthält, wird in den Domänen-Unterschlüsseln nach einer Übereinstimmung gesucht

Wenn es eine IP-Adresse enthält, werden die Ranges-Unterschlüssel nach einer Übereinstimmung durchsucht

Wenn Domänen als vertrauenswürdige Site oder eingeschränkt hinzugefügt werden, wird ihnen ein Wert zugewiesen, um dies zu kennzeichnen

Wenn ihnen ein *=4-Wert zugewiesen wird, wird diese Domain in die Zone der eingeschränkten Sites eingetragen

Wenn sie einen *=2-Wert erhalten, wird diese Domain zur Zone der vertrauenswürdigen Sites hinzugefügt

Das Hinzufügen einer IP-Adresse funktioniert etwas anders

Unter dem Schlüssel SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Ranges finden Sie möglicherweise andere Schlüssel namens Ranges1, Ranges2, Ranges3, Ranges4,..

Jeder dieser Unterschlüssel entspricht einer bestimmten Sicherheitszone/einem bestimmten Protokoll

Wenn Sie einer Sicherheitszone eine IP-Adresse hinzufügen, erstellt Windows einen Unterschlüssel beginnend mit Ranges1 und bestimmt diesen Unterschlüssel als denjenigen, der alle IP-Adressen einer bestimmten Sicherheitszone für ein bestimmtes Protokoll enthält

Wenn Sie beispielsweise http://192.168.1.1 als vertrauenswürdige Sites hinzugefügt haben, erstellt Windows den ersten verfügbaren Ranges-Schlüssel (Ranges1) und fügt einen Wert von http=2 hinzu

Alle zukünftigen vertrauenswürdigen http:// IP-Adressen werden dem Range1-Schlüssel hinzugefügt

Wenn Sie nun eine IP-Adresse zu den eingeschränkten Sites mit dem http-Protokoll hinzufügen (z

B

http://192.16.1.10), würde Windows einen weiteren Schlüssel in sequenzieller Reihenfolge namens Range2 erstellen

Dies hätte einen Wert von http=4 und alle zukünftigen IP-Adressen, die den eingeschränkten Sites hinzugefügt werden, werden in diesen Schlüssel gestellt

Dies wird für jede Kombination aus Protokoll und Sicherheitszoneneinstellung fortgesetzt.

Wenn Sie jemals hier aufgeführte Domänen oder IP-Adressen sehen, sollten Sie diese im Allgemeinen entfernen, es sei denn, es handelt sich um eine erkennbare URL, wie sie beispielsweise von Ihrem Unternehmen verwendet wird

Die häufigste Auflistung, die Sie hier finden, ist free.aol.com, die Sie reparieren lassen können, wenn Sie möchten

Ich persönlich entferne alle Einträge aus der Vertrauenswürdigen Zone, da sie dort letztendlich unnötig sind

ProtokollStandardwerte

Wenn Sie IE verwenden, um eine Verbindung zu einer Site herzustellen, werden die Sicherheitsberechtigungen, die dieser Site gewährt werden, von der Zone bestimmt, in der sie sich befindet

Es gibt 5 Zonen, denen jeweils eine bestimmte Identifikationsnummer zugeordnet ist

Diese Zonen mit ihren zugehörigen Nummern sind:

Zone Zonenzuordnung Mein Computer 0 Intranet 1 Vertrauenswürdig 2 Internet 3 Eingeschränkt 4

Jedes der Protokolle, die Sie verwenden, um eine Verbindung zu einer Site herzustellen, wie HTTP, FTP, HTTPS, wird dann einer dieser Zonen zugeordnet

Die folgenden sind die Standardzuordnungen:

Protokollzonenzuordnung HTTP 3 HTTPS 3 FTP 3 @ivt 1 Shell 0

Wenn Sie sich beispielsweise mit http:// mit einer Site verbinden, ist diese standardmäßig Teil der Internetzone

Dies liegt daran, dass die Standardzone für http 3 ist, was der Internetzone entspricht

Das Problem entsteht, wenn eine Malware den Standardzonentyp eines bestimmten Protokolls ändert

Wenn beispielsweise eine Malware die Standardzone für das HTTP-Protokoll in 2 geändert hat, wird jede Website, zu der Sie sich über http verbinden, jetzt als Teil der vertrauenswürdigen Zone betrachtet

Bis jetzt gibt es keine bekannte Malware, die dies verursacht, aber wir sehen es jetzt vielleicht anders, da HJT diesen Schlüssel auflistet \Windows\CurrentVersion\Internet Settings\ZoneMap\ProtocolDefaults

Wenn die Standardeinstellungen geändert werden, sehen Sie einen HJT-Eintrag ähnlich dem folgenden:

Beispiel-Listing O15 – ProtocolDefaults: „http“-Protokoll befindet sich in der vertrauenswürdigen Zone, sollte Internet Zone (HKLM) sein

Um diese Einstellungen so zu korrigieren, dass sie wieder auf ihre Standardeinstellungen zurückgesetzt werden, korrigieren Sie einfach den HJT-Eintrag

O16 Abschnitt

Dieser Abschnitt entspricht ActiveX-Objekten, auch bekannt als Heruntergeladene Programmdateien, für Internet Explorer

ActiveX-Objekte sind Programme, die von Websites heruntergeladen und auf Ihrem Computer gespeichert werden

Wenn Internet Explorer gestartet wird, werden diese Programme ebenfalls geladen, um zusätzliche Funktionalität bereitzustellen

Diese Objekte werden in C:\windows\Downloaded Program Files gespeichert

Sie werden auch in der Registrierung durch ihre CLSID referenziert, die die lange Zahlenfolge zwischen den geschweiften Klammern ist

Eine Auflistung aller CLSIDs der installierten ActiveX-Komponente finden Sie unter dem Registrierungsschlüssel HEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\ Windows ist ein iPix-Viewer

Wenn Sie Namen oder Adressen sehen, die Sie nicht kennen, sollten Sie sie googeln, um zu sehen, ob sie legitim sind oder nicht

Wenn Sie der Meinung sind, dass dies nicht der Fall ist, können Sie sie reparieren lassen

Wenn Sie die meisten ActiveX-Objekte von Ihrem Computer löschen, haben Sie kein Problem, da Sie sie erneut herunterladen können

Seien Sie sich bewusst, dass es einige Unternehmensanwendungen gibt, die ActiveX-Objekte verwenden, seien Sie also vorsichtig

Sie sollten 016-Einträge mit Wörtern wie Sex, Porno, Dialer, Gratis, Casino, Erwachsene usw

immer löschen

Es gibt ein Programm namens SpywareBlaster, das über eine große Datenbank bösartiger ActiveX-Objekte verfügt

Sie können es herunterladen und seine Datenbank nach bekannten ActiveX-Objekten durchsuchen

Ein Tutorial zur Verwendung von SpywareBlaster finden Sie hier:

Verwenden Sie SpywareBlaster, um Ihren Computer vor Spyware, Hijackern und Malware zu schützen

Wenn Sie O16-Einträge reparieren, versucht HijackThis, sie von Ihrer Festplatte zu löschen

Normalerweise ist dies kein Problem, aber es kann vorkommen, dass HijackThis die anstößige Datei nicht löschen kann

Wenn dies auftritt, starten Sie im abgesicherten Modus neu und löschen Sie es dann.

O17 Abschnitt

Dieser Abschnitt entspricht Lop.com Domain Hacks.

Wenn Sie mit einem Hostnamen wie www.bleepingcomputer.com statt einer IP-Adresse auf eine Website gehen, verwendet Ihr Computer einen DNS-Server, um den Hostnamen in eine IP-Adresse wie 192.168.1.1 aufzulösen. 1.0

Domain-Hacks sind, wenn der Hijacker die DNS-Server auf Ihrem Computer so ändert, dass sie auf ihren eigenen Server verweisen, wo sie Sie zu jeder gewünschten Website leiten können

Indem sie google.com zu ihrem DNS-Server hinzufügen, können sie es so einrichten, dass sie Sie auf eine Website ihrer Wahl weiterleiten, wenn Sie zu www.google.com gehen

Beispiel Listing 017 – HKLM\System\CS1\Services\VxD \MSTCP: NameServer = 69.57.146.14,69.57.147.175

Wenn Sie Einträge dafür sehen und die Domain nicht als zu Ihrem ISP oder Unternehmen gehörend erkennen und die DNS-Server nicht zu Ihrem ISP oder Unternehmen gehören, sollten Sie es von HijackThis beheben lassen

Sie können zu Arin gehen, um ein Whois-A auf den IP-Adressen des DNS-Servers durchzuführen, um festzustellen, zu welcher Firma sie gehören

O18 Section

Dieser Abschnitt bezieht sich auf zusätzliche Protokolle und Protokollentführer

Diese Methode wird verwendet, indem die Standardprotokolltreiber, die Ihre Computerbenutzer verwenden, in solche geändert werden, die der Entführer bereitstellt

Dies ermöglicht dem Hijacker, die Kontrolle über bestimmte Arten zu übernehmen, wie Ihr Computer Informationen sendet und empfängt \PROTOKOLLE\Filter

HijackThis liest zuerst den Protokollabschnitt der Registrierung für nicht standardisierte Protokolle

Wenn es eine findet, fragt es die dort aufgeführte CLSID nach Informationen zu seinem Dateipfad ab \MSIETS\msielink.dll

Häufige Übeltäter sind CoolWebSearch, Related Links und Lop.com

Wenn Sie diese sehen, können Sie sie von HijackThis beheben lassen

Verwenden Sie Google, um zu sehen, ob die Dateien legitim sind

Sie können auch SystemLookup.com verwenden, um Dateien zu überprüfen.

Es ist wichtig zu beachten, dass das Korrigieren dieser Einträge weder den Registrierungseintrag noch die damit verknüpfte Datei zu löschen scheint

Sie sollten den Benutzer im abgesicherten Modus neu starten und die problematische Datei manuell löschen

O19-Abschnitt

Dieser Abschnitt entspricht der Entführung von Benutzer-Stylesheets

Ein Stylesheet ist eine Vorlage dafür, wie Seitenlayouts, Farben und Schriftarten von einer HTML-Seite angezeigt werden

Diese Art der Entführung überschreibt das Standard-Stylesheet, das für behinderte Benutzer entwickelt wurde, und verursacht eine große Anzahl von Popups und potenzielle Verlangsamungen

Registrierungsschlüssel: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles\: Benutzer-Stylesheets

Beispiel-Listing O19 – Benutzer-Stylesheet: c:\WINDOWS\Java\my.css

Sie können diese im Allgemeinen entfernen, es sei denn, Sie haben tatsächlich ein Stylesheet für Ihre Verwendung eingerichtet

Wenn Sie diese Art von Einträgen beheben, wird HijackThis die aufgeführte problematische Datei nicht löschen

Es wird empfohlen, dass Sie im abgesicherten Modus neu starten und das Stylesheet löschen

O20-Abschnitt

AppInit_DLLs Dieser Abschnitt entspricht Dateien, die über den Registrierungswert AppInit_DLLs und die Unterschlüssel Winlogon Notify geladen werden

Der Registrierungswert AppInit_DLLs enthält eine Liste von DLLs, die geladen werden, wenn user32.dll geladen wird

Da die meisten ausführbaren Windows-Dateien die user32.dll verwenden, bedeutet dies, dass jede DLL, die im Registrierungsschlüssel AppInit_DLLs aufgeführt ist, ebenfalls geladen wird

Dies macht es sehr schwierig, die DLL zu entfernen, da sie in mehreren Prozessen geladen wird, von denen einige nicht gestoppt werden können, ohne Systeminstabilität zu verursachen

Die Datei user32.dll wird auch von Prozessen verwendet, die automatisch vom System gestartet werden, wenn Sie sich anmelden

Das bedeutet, dass die im AppInit_DLLs-Wert geladenen Dateien sehr früh in der Windows-Startroutine geladen werden, sodass sich die DLL verstecken oder schützen kann, bevor wir Zugriff auf das System haben.

Diese Methode wird bekanntermaßen von einer CoolWebSearch-Variante verwendet und kann nur in Regedit angezeigt werden, indem Sie mit der rechten Maustaste auf den Wert klicken und Binärdaten ändern auswählen

Registrar Lite hingegen hat es leichter, diese DLL zu erkennen

Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\\AppInit_DLLs

Beispiel-Listing O20 – AppInit_DLLs: C:\WINDOWS\System32\winifhi.dll

Es gibt nur sehr wenige legitime Programme, die diesen Registrierungsschlüssel verwenden, aber Sie sollten vorsichtig vorgehen, wenn Sie Dateien löschen, die hier aufgelistet sind

Verwenden Sie unsere Bleeping Computer Startup Database oder SystemLookup.com, um Dateien zu überprüfen

Wenn Sie diese Art von Einträgen beheben, wird HijackThis die aufgeführte problematische Datei nicht löschen

Es wird empfohlen, dass Sie im abgesicherten Modus neu starten und die problematische Datei löschen

Winlogon Notify Der Schlüssel Winlogon Notify wird im Allgemeinen von Look2Me-Infektionen verwendet

HijackThis listet alle Winlogon Notify-Schlüssel auf, die nicht dem Standard entsprechen, sodass Sie leicht einen erkennen können, der nicht dazugehört

Sie können den Look2Me-Infektionsschlüssel daran erkennen, dass er eine DLL mit einem zufälligen Dateinamen enthält, die sich im Verzeichnis %SYSTEM% befindet

Der Name des Notify-Schlüssels hat einen normal aussehenden Namen, obwohl er nicht dorthin gehört

Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Beispiel-Listing O20 – Winlogon Notify: Extensions – C:\WINDOWS\system32\i042laho1d4c.dll

Wenn Sie diesen Eintrag korrigieren, wird der Schlüssel aus der Registrierung entfernt, aber die Datei bleibt erhalten

Sie müssen diese Datei dann manuell löschen.

Abschnitt O21

Dieser Abschnitt entspricht Dateien, die über den Registrierungsschlüssel ShellServiceObjectDelayLoad geladen werden

Diese Registrierung enthält Werte auf ähnliche Weise wie der Schlüssel Ausführen

Der Unterschied besteht darin, dass sie nicht auf die Datei selbst zeigt, sondern auf den InProcServer der CLSID, der die Informationen über die jeweils verwendete DLL-Datei enthält

Die Dateien unter diesem Schlüssel werden automatisch von Explorer.exe geladen, wenn Ihr Computer startet

Da Explorer.exe die Shell für Ihren Computer ist, wird sie immer gestartet und lädt daher immer die Dateien unter diesem Schlüssel

Diese Dateien werden daher früh im Startvorgang geladen, bevor ein menschliches Eingreifen erfolgt.

Ein Hijacker, der die Methode verwendet, kann an den folgenden Einträgen erkannt werden:

Beispielliste R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Startseite = C:\WINDOWS\secure.html R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = C:\WINDOWS\secure.html

Registrierungsschlüssel: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

Beispiel-Listing O21 – SSDL: System – {3CE8EED5-112D-4E37-B671-74326D12971E} – C:\WINDOWS\system32\system32.dll

HijackThis verwendet eine interne weiße Liste, um häufige legitime Einträge unter diesem Schlüssel nicht anzuzeigen

Wenn Sie dafür eine Auflistung sehen, handelt es sich nicht um eine standardmäßige und sollte als verdächtig betrachtet werden

Verwenden Sie unsere Bleeping Computer Startup Database oder SystemLookup.com, um Dateien zu überprüfen

Wenn Sie diese Art von Einträgen beheben, wird HijackThis die aufgeführte problematische Datei nicht löschen

Es wird empfohlen, dass Sie im abgesicherten Modus neu starten und die betreffende Datei löschen

O22 Section

Dieser Abschnitt entspricht Dateien, die über den Registrierungswert SharedTaskScheduler geladen werden

Die Einträge in dieser Registrierung werden automatisch ausgeführt, wenn Sie Windows starten

Dieser Schlüssel wird häufig von SmitFraud-Varianten verwendet, um gefälschte Sicherheitswarnungen anzuzeigen und betrügerische Anti-Spyware-Programme herunterzuladen

Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

Beispielliste O22 – SharedTaskScheduler: (kein Name) – {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} – c:\windows\system32\mtwirl32.dll

Seien Sie vorsichtig, wenn Sie in diesen Schlüsseln aufgeführte Elemente entfernen, da einige legitim sind

Sie können Google verwenden, um zu sehen, ob Sie feststellen können, ob es gültig ist

Verwenden Sie unsere Bleeping Computer Startup Database oder SystemLookup.com, um Dateien zu überprüfen.

Hijackthis löscht den SharedTaskScheduler-Wert, der diesem Eintrag zugeordnet ist, löscht jedoch nicht die CLSID, auf die er zeigt, und die Datei, auf die der Inprocserver32 der CSLID zeigt

Daher sollten Sie den Benutzer immer im abgesicherten Modus neu starten und diese Datei manuell löschen

O23 Abschnitt

Dieser Abschnitt entspricht den Diensten XP, NT, 2003 und 2003

Dienste sind Programme, die beim Start von Windows automatisch geladen werden

Diese Dienste werden unabhängig davon geladen, ob sich ein Benutzer am Computer anmeldet oder nicht, und werden in der Regel verwendet, um systemweite Aufgaben wie Windows-Betriebssystemfunktionen, Antivirensoftware oder Anwendungsserver zu erledigen

In letzter Zeit gibt es einen verstärkten Trend, dass Malware Dienste nutzt, um einen Computer zu infizieren

Es ist daher wichtig, jeden der aufgelisteten Dienste auf solche zu untersuchen, die nicht korrekt aussehen

Gängige Malware-Dienste, die Sie möglicherweise finden, sind Home Search Assistant und die neue Bargain Buddy-Variante

Beispiele für Zeilen, die mit diesen Infektionen in Verbindung stehen, finden Sie weiter unten

Die meisten Microsoft-Dienste wurden der weißen Liste hinzugefügt, sodass sie nicht aufgeführt werden

Wenn Sie diese Dienste sehen möchten, können Sie HijackThis mit dem Flag /ihatewhitelists starten

Beispiel eines legitimen Dienstes:

Beispielliste O23 – Dienst: AVG7 Alert Manager Server (Avg7Alrt) – GRISOFT, s.r.o

– C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

Beispiel für den Haussuchassistenten:

Beispielliste O23 – Dienst: Workstation NetLogon Service – Unbekannt – C:\WINDOWS\system32\crxu.exe

Beispiele für Schnäppchenfreunde:

Beispiel-Listing O23 – Dienst: ZESOFT – Unbekannt – C:\WINDOWS\zeta.exe O23 – Dienst: ISEXEng – Unbekannt – C:\WINDOWS\System32\angelex.exe

Wenn Sie einen O23-Eintrag reparieren, ändert Hijackthis den Start für diesen Dienst auf deaktiviert, stoppt den Dienst und fordert den Benutzer dann auf, neu zu starten

Der eigentliche Dienst wird nicht aus der Registrierung oder der Datei gelöscht, auf die er verweist

Um den Dienst zu löschen, müssen Sie den Dienstnamen kennen

Dieser Name ist der Text zwischen den Klammern

Wenn der Anzeigename mit dem Dienstnamen identisch ist, wird der Dienstname nicht aufgeführt

Es gibt drei Methoden zum Löschen des Dienstschlüssels:

Um ihn mit dem SC-Befehl von XP zu löschen, würden Sie Folgendes an einer Eingabeaufforderung eingeben: sc delete servicename Um den Dienst mithilfe einer Registrierungsdatei zu löschen, können Sie das folgende Beispiel verwenden: Verwenden Sie eine Registrierungsdatei, um einen Dienst zu löschen

Die folgende Registrierungsdatei ist ein Beispiel dafür, wie Angelex.exe Bargain Buddy-Variante entfernt wird: REGEDIT4 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ISEXENG] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ISEXEng] [-HKEY_LOCAL_MACHINE\SYSTEM \ControlSet001\Enum\Root\LEGACY_ISEXENG] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ISEXEng] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_ISEXENG] [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ISEXEng] Verwenden Sie HijackThis, um den Dienst löschen

Sie können auf Config, dann Misc Tools und dann auf die Schaltfläche Delete an NT service.

klicken

Wenn es geöffnet wird, sollten Sie den Dienstnamen eingeben und auf OK drücken

Seien Sie vorsichtig, wenn Sie Elemente entfernen, die in diesen Schlüsseln aufgeführt sind, da sie größtenteils legitim sind

Um O23-Einträge zu recherchieren, können Sie die Bleeping Computer Startup Database oder SystemLookup.com

verwenden

O24 Section

Dieser Abschnitt entspricht Windows Active Desktop-Komponenten.

Active Desktop-Komponenten sind lokale oder entfernte HTML-Dateien, die direkt als Hintergrund in Ihren Desktop eingebettet werden

Infektionen verwenden diese Methode, um Nachrichten, Bilder oder Webseiten direkt auf dem Desktop eines Benutzers einzubetten

Gängige Beispiele für Infektionen, die diese Methode verwenden, sind die SmitFraud-Familie von betrügerischen Anti-Spyware-Programmen

Diese Infektionen verwenden Active Desktop-Komponenten, um gefälschte Sicherheitswarnungen als Hintergrund auf dem Desktop eines Benutzers anzuzeigen

Andere Infektionen, die diese Methode verwenden, finden Sie unter den folgenden Links:

Der Active Desktop-Komponenten zugeordnete Registrierungsschlüssel lautet:

Registrierungsschlüssel: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components

Jede spezifische Komponente wird dann als numerischer Unterschlüssel des obigen Schlüssels beginnend mit der Zahl 0 aufgelistet

Beispiel:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0\ HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1\ HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\2\

Beispiellisten von Desktop-Komponenteneinträgen, die von SmitFraud-Varianten verwendet werden, sind:

Beispiel-Listing O24 – Desktop-Komponente 0: (Sicherheit) – %windir%\index.html O24 – Desktop-Komponente 1: (kein Name) – %Windir%\warnhp.html

Da es möglich ist, dass jemand absichtlich eine Active Desktop-Komponente konfiguriert hat, sollten Sie, wenn Sie eine unbekannte Komponente sehen, den Benutzer fragen, ob er sie absichtlich hinzugefügt hat

Beim Korrigieren dieser Einträge entfernt HijackThis nur die Desktop-Komponente aus der Registrierung

Die eigentliche HTML-Datei, auf die verwiesen wird, wird jedoch nicht gelöscht

Wenn die Komponente mit Malware in Verbindung steht, sollten Sie diese Datei daher manuell löschen

Fazit

HijackThis ist ein sehr leistungsfähiges Tool, um die Besonderheiten Ihres Browsers herauszufinden und herauszufinden, was in Windows läuft

Leider kann die Diagnose der Scan-Ergebnisse von HijackThis kompliziert sein

Hoffentlich erleichtern meine Empfehlungen und Erklärungen den Weg etwas

Dieses Programm ist jedoch mit Vorsicht zu verwenden, da das falsche Entfernen einiger Elemente Probleme mit legitimen Programmen verursachen kann

Wenn Sie Fragen haben, können Sie diese gerne in unseren Spyware-Foren stellen.

How to set auto logon on windows registry New

Video ansehen

Weitere hilfreiche Informationen im Thema anzeigen hkey_local_machine software microsoft windows nt currentversion winlogon notify

hkey_local_machine software microsoft windows nt currentversion winlogon notify Ähnliche Bilder im Thema

 Update How to set auto logon on windows registry
How to set auto logon on windows registry New

How to change Default Shell of windows or how to set one … Neueste

20.09.2010 · 2) go to: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon. 3) Change Shell from explorer.exe to the new shell path e.g C:\your prgm dir\yourprogram.exe. 4) log out and log back in. Changing the default shell (only current user): 1) open regedit (start menu > run, and type in regedit).

+ ausführliche Artikel hier sehen

Read more

Hallo zusammen, In Witwen-Betriebssystemen ist das Shell-Programm normalerweise Explorer.exe, das den Desktop und den Task-Manager enthält

Wenn Sie diese Shell ändern möchten, können Sie ein bestimmtes Programm als Shell-Programm für Benutzer festlegen

Danach wird dieses Programm gestartet, wenn sich ein Benutzer beim Betriebssystem anmeldet

Machen …

Ändern der Standard-Shell (alle Benutzer):

1) Öffnen Sie regedit (Startmenü > Ausführen und geben Sie regedit ein)

2) Gehen Sie zu: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon.

3) Ändern Sie die Shell von explorer.exe in den neuen Shell-Pfad

zB C:\your prgm dir\yourprogram.exe.

4) abmelden und wieder anmelden.

Ändern der Standard-Shell (nur aktueller Benutzer):

1) Öffnen Sie regedit (Startmenü > Ausführen und geben Sie regedit ein)

2) Gehen Sie zu: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

3) fügen Sie einen neuen Zeichenfolgenwert hinzu (Bearbeiten > Neu > Zeichenfolgenwert ) Shell genannt

und setzen Sie den Wert auf den Pfad der neuen Shell

B

C:\your prgm dir\yourprogram.exe.

4) abmelden und wieder anmelden

how to remove windows 7 not genuine message Update

Video ansehen

Weitere Informationen zum Thema hkey_local_machine software microsoft windows nt currentversion winlogon notify

hkey_local_machine software microsoft windows nt currentversion winlogon notify Ähnliche Bilder im Thema

 New how to remove windows 7 not genuine message
how to remove windows 7 not genuine message New

Caching Domain Logon Credentials on Windows | Windows OS Hub Update New

01.06.2021 · You can also configure this option via the CashedLogonsCount REG_SZ registry parameter in HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. If a user logs on with the saved credentials, they don’t see that the domain controller is not available.

+ Details hier sehen

Read more

Wenn sich ein Domänenbenutzer bei Windows anmeldet, werden seine Anmeldeinformationen standardmäßig auf einem lokalen Computer gespeichert (zwischengespeicherte Anmeldeinformationen: ein Benutzername und ein Kennwort-Hash)

Dadurch kann sich der Benutzer am Computer anmelden, selbst wenn die AD-Domänencontroller nicht verfügbar, ausgeschaltet oder das Netzwerkkabel vom Computer abgezogen ist

Das Zwischenspeichern von Anmeldeinformationen für Domänenkonten ist praktisch für Laptopbenutzer, die auf ihre lokalen Daten auf einem Gerät zugreifen können, wenn das Unternehmensnetzwerk nicht verfügbar ist

Zwischenspeichern von Anmeldeinformationen von Domänenbenutzern unter Windows

Zwischengespeicherte Anmeldeinformationen können zur Anmeldung bei Windows verwendet werden, wenn sich ein Benutzer mindestens einmal auf diesem Computer authentifiziert hat und sein Domänenkennwort seitdem nicht geändert wurde

Das Benutzerkennwort in eingelösten Anmeldeinformationen läuft nie ab

Wenn die Domänenkennwortrichtlinie einen Benutzer dazu zwingt, das Kennwort zu ändern, wird das gespeicherte Kennwort im lokalen Cache nicht geändert, bis sich der Benutzer mit einem neuen Kennwort anmeldet

Wenn das Benutzerkennwort in AD nach der letzten Anmeldung am Computer geändert wurde und der Computer offline war (ohne Zugriff auf das Domänennetzwerk), kann sich der Benutzer mit dem alten Kennwort am Computer anmelden

Wenn die Active Directory-Domäne nicht verfügbar ist, überprüft Windows, ob der eingegebene Benutzername und das Kennwort mit dem lokalen Cache übereinstimmen, und erlaubt die lokale Anmeldung am Computer

Zwischengespeicherte Anmeldeinformationen werden in der Registrierung unter dem Registrierungsschlüssel HKEY_LOCAL_MACHINE\Security\Cache ( %systemroot%\System32\config\ SICHERHEIT)

Jeder gespeicherte Hash wird im Parameter NL$x gespeichert (wobei x ein zwischengespeicherter Datenindex ist)

Standardmäßig kann selbst ein Administrator den Inhalt dieses Registrierungsschlüssels nicht anzeigen, aber Sie können bei Bedarf darauf zugreifen

Der Kennwort-Hash wird mithilfe von Salt basierend auf dem Benutzernamen geändert und in der Registrierung gespeichert

Wenn Sie den Wert von NL $x, zwischengespeicherte Benutzeranmeldeinformationen werden entfernt.

Wenn im lokalen Cache keine zwischengespeicherten Anmeldeinformationen vorhanden sind, wird die folgende Meldung angezeigt, wenn Sie versuchen, sich an einem Offline-Computer anzumelden:

Derzeit sind keine Anmeldeserver verfügbar, um die Anmeldeanforderung zu verarbeiten

Konfigurieren von zwischengespeicherten Anmeldeinformationen mit Gruppenrichtlinien

Sie können die Anzahl der eindeutigen Benutzer festlegen, deren Anmeldeinformationen im lokalen Cache auf den Domänencomputern mit der Option Gruppenrichtlinie gespeichert werden dürfen

Damit Benutzeranmeldeinformationen im lokalen Cache gespeichert werden, muss sich der Benutzer mindestens einmal am Computer anmelden

Standardmäßig speichern Windows 10 und Windows Server 2016 Anmeldeinformationen von 10 kürzlich angemeldeten Benutzern

Sie können diesen Wert mit der folgenden GPO-Option ändern – Interaktive Anmeldung: Anzahl der vorherigen Anmeldungen zum Zwischenspeichern (falls der Domänencontroller nicht verfügbar ist)

Sie finden es unter Computerkonfiguration -> Richtlinien -> Windows-Einstellungen -> Sicherheitseinstellungen -> Lokale Richtlinien -> Sicherheitsoptionen

Sie können einen beliebigen Wert zwischen 0 und 50 festlegen

Wenn Sie 0 festlegen, verhindert dies, dass Windows Benutzeranmeldeinformationen zwischenspeichert

Wenn die Domäne in diesem Fall nicht verfügbar ist und ein Benutzer versucht, sich anzumelden, wird ihm der Fehler angezeigt: Derzeit sind keine Anmeldeserver verfügbar, um die Anmeldeanforderung zu bedienen

Sie können diese Option auch über den Registrierungsparameter CashedLogonsCount REG_SZ in konfigurieren HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon.

Wenn sich ein Benutzer mit den gespeicherten Anmeldeinformationen anmeldet, sieht er nicht, dass der Domänencontroller nicht verfügbar ist

Mithilfe von GPO können Sie eine Benachrichtigung über die Verwendung zwischengespeicherter Anmeldeinformationen für die Anmeldung anzeigen

Aktivieren Sie dazu unter der Richtlinie Computerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows-Komponenten -> Windows-Anmeldeoptionen die GPO-Option Melden, wenn der Anmeldeserver während der Benutzeranmeldung nicht verfügbar war

Anschließend erscheint die folgende Benachrichtigung in der Taskleiste nach einer Benutzeranmeldung:

Ein Domänencontroller für Ihre Domäne konnte nicht kontaktiert werden

Sie wurden mit zwischengespeicherten Kontoinformationen angemeldet

Änderungen an Ihrem Profil seit Ihrer letzten Anmeldung sind möglicherweise nicht verfügbar

Diese Option kann über die Registrierung aktiviert werden: HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/Current Version/Winlogon ValueName: ReportControllerMissing

Datentyp: REG_SZ

Wert: 1

Sicherheitsrisiken von zwischengespeicherten Windows-Anmeldeinformationen

Das lokale Zwischenspeichern von Anmeldeinformationen birgt einige Sicherheitsrisiken

Nachdem ein Angreifer einen physischen Zugriff auf einen Computer/Laptop mit den zwischengespeicherten Daten erhalten hat, kann er Ihren Passwort-Hash mithilfe eines Brute-Force-Angriffs entschlüsseln

Dies hängt von der Länge und Komplexität des Passworts ab

Wenn ein Passwort kompliziert ist, dauert es sehr lange, das Passwort zu knacken

Es wird daher nicht empfohlen, Caching für Benutzer mit lokalen Administratorberechtigungen (oder darüber hinaus Domänenadministratorkonto) zu verwenden

Um Sicherheitsrisiken zu mindern, können Sie das Caching von Anmeldeinformationen auf Büro- und Administratorcomputern deaktivieren

Es wird empfohlen, die Anzahl der zwischengespeicherten Konten auf Mobilgeräten auf 1 zu reduzieren

Dies bedeutet, dass selbst wenn sich ein Administrator an einem Computer angemeldet hat und seine Daten zwischengespeichert wurden, der Passwort-Hash des Administrators überschrieben wird, nachdem sich der Gerätebesitzer angemeldet hat on.

Für AD-Domänen mit der Funktionsebene Windows Server 2012 R2 oder höher können Sie Domänenadministratorkonten zur Gruppe der geschützten Benutzer hinzufügen

Das Zwischenspeichern lokaler Anmeldeinformationen ist für diese Sicherheitsgruppe verboten

Sie können separate GPOs in Ihrer Domäne erstellen, um die Verwendung zwischengespeicherter Anmeldeinformationen für verschiedene Geräte und Benutzerkategorien zu steuern (z

B

mithilfe von GPO-Sicherheitsfiltern, WMI-Filtern oder Bereitstellen des Registrierungsparameters CashedLogonsCount)

unter Verwendung von GPP-Targeting auf Elementebene).

How To Remove NoEscape.exe And Other Viruses New

Video ansehen

Weitere hilfreiche Informationen im Thema anzeigen hkey_local_machine software microsoft windows nt currentversion winlogon notify

hkey_local_machine software microsoft windows nt currentversion winlogon notify Einige Bilder im Thema

 Update How To Remove NoEscape.exe And Other Viruses
How To Remove NoEscape.exe And Other Viruses Update

How to Login as Administrator on Windows 11 or Windows 10 New Update

06.09.2021 · Press Windows + R, type in the following, and press Enter on your keyboard to open the Registry Editor on your PC. regedit. Once the registry editor opens, navigate to the path given below. Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList

+ ausführliche Artikel hier sehen

Read more

Windows ist ein umfassendes Betriebssystem, mit dem Sie Zugriffsberechtigungen basierend auf dem derzeit aktiven Konto diktieren und verwalten können

Dies erleichtert Administratoren die Verwaltung von PCs in ihrer Organisation, indem sie ausgewählten Personen erweiterte Berechtigungen erteilen können

Aber was ist, wenn Sie Eigentümer Ihres PCs sind? Wie verwalten Sie lokale Konten? Was ist, wenn Sie kein Administratorkonto haben? Bist du für immer ausgesperrt? Wenn Sie diese Fragen haben oder kürzlich auf einen Fehler gestoßen sind, bei dem Sie die Erlaubnis des Administrators benötigten, dann haben wir die perfekte Anleitung für Sie

Hier ist alles, was Sie über Administratorkonten in Windows 11 wissen müssen

Ein Hinweis zur Kompatibilität mit Windows 10: Die Anleitungen auf dieser Seite wurden mit Windows 11 kompiliert, daher stammt die in den Screenshots verwendete Benutzeroberfläche von Windows 11

Diese Anleitungen funktionieren jedoch auch vollständig unter Windows 10

Sie können die Anleitungen also sowohl auf Windows 11 als auch auf Windows 10-PCs verwenden

Verwandte: So suchen Sie in Windows 11

Was ist ein Administratorkonto in Windows 11?

Ein Administratorkonto ist ein oberstes Konto in Microsoft Windows mit den höchsten Privilegien

Damit können Sie als Administrator Ihren PC nach Belieben verwalten

Sie können Änderungen an Systemdateien vornehmen, erweiterte Programme installieren, Ihre Windows-Installation ändern, benutzerdefinierte Automatisierung einrichten und vieles mehr

Die Berechtigung zum Ausführen solcher Aufgaben steht Standard- oder Gastbenutzern nicht zur Verfügung

Darüber hinaus können Sie als Administrator Windows-Funktionen verwalten und festlegen, welche für Ihre Benutzer verfügbar und zugänglich sind

See also  Best tabelle apa style word Update New

Warum benötigen Sie ein Administratorkonto?

Ein Administratorkonto ist ein Konto mit den höchsten Rechten in Windows

Das bedeutet, dass Sie mit einem Administratorkonto uneingeschränkt Änderungen auf Systemebene an Ihrem Betriebssystem vornehmen können

Hier sind einige der häufigsten Gründe, warum Sie möglicherweise ein Administratorkonto auf Ihrem PC benötigen.

Um Änderungen auf Systemebene an Ihrem System vorzunehmen

Zum Bearbeiten/Ändern oder Reparieren Ihrer Systemdateien

Zum Ausführen von Befehlen und Skripten auf Administratorebene

Zum Aktivieren oder Deaktivieren von Windows-Funktionen

So installieren Sie Programme und Optimierungen auf Systemebene

Um Ihre Treiber zu ändern oder neu zu installieren

So greifen Sie auf die Personalisierungseinstellungen in Windows zu

Zum Zurücksetzen oder Ändern von Kennwörtern für lokale Konten

und vieles mehr

Es kann viele Gründe geben, warum Sie ein Administratorkonto in Windows 11 benötigen, aber wussten Sie, dass es in Windows zwei Arten von Administratorkonten gibt? Nun, nicht genau, aber hier ist alles, was Sie über sie wissen müssen

Verwandte: So deaktivieren Sie Windows 11-Warntöne

Melden Sie sich als Administrator an: Dinge, die Sie wissen müssen

Windows verfügt standardmäßig über ein integriertes Administratorkonto, auch wenn auf Ihrem Sperrbildschirm keines verfügbar ist

Dieses Standardkonto wird zum Zeitpunkt Ihrer Windows-Installation erstellt, um alle Systemänderungen zu genehmigen, die auf Ihrem PC beim Einrichten von Windows vorgenommen werden

Darüber hinaus ermöglicht Windows Ihnen auch, ein zusätzliches Administratorkonto von Ihrem lokalen Konto aus einzurichten, falls Sie über die erforderlichen verfügen Berechtigungen

Sie können Ihr aktuelles Konto auch in ein Administratorkonto umwandeln, wenn Sie derzeit ein Standardkonto in Windows 11 verwenden

Die Einrichtung jedes dieser Konten hat unterschiedliche Anforderungen und abhängig von Ihrer aktuellen Einrichtung können Sie sich für eine der beiden Einrichtungen entscheiden

Aber falls Sie versuchen, Ihr lokales Kontokennwort wiederherzustellen, verwenden Sie am besten das Standardadministratorkonto, da Sie in diesem Fall nicht über den Sperrbildschirm hinauskommen würden sollten Sie bedenken, bevor Sie mit den folgenden Anleitungen fortfahren.

Der Standardadministrator hat kein Anmeldepasswort, es sei denn, es wurde von Ihrem Administrator angepasst

Wenn Ihre Einheit von Ihrer Organisation oder Bildungseinrichtung ausgestellt wurde, funktionieren die folgenden Methoden wahrscheinlich nicht für Sie

Das standardmäßige Administratorkonto wird von Ihrer Organisation gesperrt, und Ihr aktuelles Konto verfügt nicht über die erforderlichen Berechtigungen, um mit anderen Methoden in diesem Handbuch fortzufahren

Wenn Sie ein solches Gerät besitzen, müssen Sie sich höchstwahrscheinlich an Ihren Administrator wenden.

Wenn Sie das Gerät mit anderen Benutzern teilen, sollten Sie das Administratorkonto deaktivieren, sobald Sie die erforderlichen Änderungen an Ihrem System vorgenommen haben, um unbefugten Zugriff auf vertrauliche Informationen zu vermeiden

Es wird daher empfohlen, bei der Suche nach Fällen ein Kennwort für Ihr Standard-Administratorkonto festzulegen

Einige der folgenden Methoden erfordern, dass Windows 11 Pro oder höher auf Ihrem System installiert ist

Wenn Sie Windows 11 Home Edition verwenden, sind Ihre Optionen eingeschränkt

Unterschied zwischen dem Standard-Admin-Konto und der Gewährung von Administratorzugriff auf ein Benutzerkonto

Das Standard-Administratorkonto ist ein separates Konto, das in jeder Installation von Windows vorhanden ist, unabhängig von Ihrem Gerät oder Ihrer Windows-Version

Ein konvertiertes Konto hingegen ist ein Standard- oder Gastkonto auf Ihrem PC, das mit Administratorrechten ausgestattet wurde

Nach der Erhöhung gehört Ihr Konto zur Administratorgruppe und Sie verfügen über alle erforderlichen Administratorberechtigungen, um es auf Systemebene zu machen Änderungen auf Ihrem PC

Der Standardadministrator wird meistens verwendet, wenn Sie versuchen, verlorene Kontokennwörter für lokale Benutzerkonten auf Ihrem PC wiederherzustellen

Das Konvertieren eines Kontos andererseits ist ein einfacher Vorgang zum Erhöhen der Berechtigungen Ihres aktuellen Kontos, mit dem Sie als Administrator des aktuellen Kontos arbeiten können Gerät

Der Standardadministrator kann auf Ihrem System mit einem einfachen Befehl deaktiviert werden, während Ihr lokales Konto erneut konvertiert werden muss, wenn Sie die Änderungen rückgängig machen möchten

Verwenden Sie eine der folgenden Methoden, die Ihren aktuellen Anforderungen am besten entspricht

Verwandte: So deaktivieren Sie die Tastatur unter Windows 11

So melden Sie sich als Administrator bei 11 in Windows an Sie können entweder das Standard-Administratorkonto aktivieren, wenn Sie vorübergehende Änderungen an Ihrem PC vornehmen oder ein verlorenes Passwort wiederherstellen möchten

Sie können daher ein neues Administratorkonto für einen neuen Benutzer einrichten, falls Sie Ihr Gerät mit jemandem teilen möchten

Schließlich können Sie Ihr aktuelles Konto in ein lokales Administratorkonto umwandeln, wenn Sie selbst Administratorrechte auf dem aktuellen Gerät erhalten möchten

Befolgen Sie eine der folgenden Methoden, die Ihren aktuellen Bedürfnissen und Anforderungen am besten entspricht

Methode Nr

01: Verwenden Sie das Standard-Administratorkonto

Sie können das standardmäßige Administratorkonto auf Ihrem Windows 11-PC verwenden, um die erforderlichen Änderungen mithilfe der folgenden Anleitung vorzunehmen

Sobald Sie die Änderungen vorgenommen haben, können Sie das Konto mit der Nachträglichen Entschuldigung deaktivieren

Fangen wir an.

1.1 Aktivieren Sie das Standard-Administratorkonto

Wir müssen zuerst das Administratorkonto auf Ihrem PC aktivieren / sichtbar machen

Dies kann mit verschiedenen Methoden erfolgen

Wenn Sie den Sperrbildschirm überwinden können, können Sie eine der beiden Synthesemethoden verwenden

Wenn Sie den Sperrbildschirm JEDOCH nicht überwinden können, müssen Sie von Ihrem Sperrbildschirm aus auf die CMD zugreifen und die nachstehende Anleitung verwenden

In Suchfällen können Sie die Anleitung unten verwenden, um CMD direkt von Ihrem Startbildschirm aus zu aktivieren

Fangen wir an.

1.1.1 Verwenden von CMD

Starten Sie CMD auf Ihrem System und geben Sie den folgenden Befehl ein

Wenn Sie fertig sind, drücken Sie die Eingabetaste auf Ihrer Tastatur, um es auszuführen.

net user administrator / active: yes

Der Befehl Schulterstand wird nun erfolgreich abgeschlossen.

Drücken Sie die Windows-Taste auf Ihrer Tastatur und klicken Sie unten links auf Ihren Benutzernamen

Ein Administratorkonto sollte nun in diesem Abschnitt sichtbar sein.

Dies bedeutet, dass der Vorgang erfolgreich war

Sie können sich jetzt von Ihrem Konto abmelden und sich beim Administratorkonto anmelden

Das standardmäßige Administratorkonto hat kein Kennwort und Sie werden von der OOBE begrüßt, sobald Sie sich beim Konto anmelden

Sie können jetzt die Anleitungen verwenden, um Ihr Windows-Passwort bei Bedarf zurückzusetzen

Drücken Sie Windows + R auf Ihrer Tastatur, um das Dialogfeld „Ausführen“ zu starten

Geben Sie nach dem Start den folgenden Begriff ein und drücken Sie die Eingabetaste auf Ihrer Tastatur.

lusrmgr.msc

Der lokale Gruppenmanager wird nun auf Ihrem PC gestartet

Beginnen Sie mit der Auswahl von „Benutzer“ auf der linken Seite.

Klicken Sie rechts auf Administrator

Klicken Sie nun auf Weitere Aktionen und dann auf Eigenschaften

Ein neues Fenster wird nun auf Ihrem Bildschirm geöffnet

Deaktivieren Sie die Option „Konto ist deaktiviert“

Klicken Sie auf „Übernehmen“ und dann auf „OK“

Schließen Sie den Manager für lokale Gruppen und aktivieren Sie das Startmenü

Klicken Sie nun unten links auf Ihren Benutzernamen und ein neues „Administrator“-Konto sollte jetzt in diesem Abschnitt verfügbar sein

Sie können sich jetzt von Ihrem aktuellen Konto abmelden und sich beim neuen Administratorkonto anmelden

Das Konto hat kein Passwort und Sie sollten sich problemlos anmelden können, indem Sie einfach auf „Anmelden“ klicken

1.1.3 Verwenden des Registrierungseditors

Die Methode des Registrierungseditors ist nur für Benutzer anwendbar, auf deren Systemen Windows 11 Pro oder höher installiert ist

Dies liegt daran, dass der Registrierungspfad, auf den wir für diese Methode zugreifen müssen, nur für Benutzer von Windows 11 Pro oder höher verfügbar ist

Wenn Sie ein Windows 11 Home-Benutzer sind, können Sie stattdessen die oben aufgeführte CMD-Methode verwenden

Drücken Sie Windows + R auf Ihrer Tastatur und geben Sie den folgenden Begriff ein

Drücken Sie die Eingabetaste auf Ihrer Tastatur, wenn Sie fertig sind

regedit

Sie können dasselbe auch in Ihre Adressleiste oben kopieren und einfügen.

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList

Wenn die UserList auf der linken Seite ausgewählt ist, klicken Sie mit der rechten Maustaste auf einen leeren Bereich auf der rechten Seite und wählen Sie „Neu“

Klicken Sie auf „DWORD (32-Bit)-Wert“

Benennen Sie den Wert als „Administrator“ und drücken Sie die Eingabetaste auf Ihrer Tastatur.

Sobald der Wert hinzugefügt ist, schließen Sie den Registrierungseditor und starten Sie Ihren PC zur Sicherheit neu

Ein Administratorkonto sollte jetzt in der unteren linken Ecke Ihres Bildschirms verfügbar sein, wenn Sie sich auf dem Sperrbildschirm befinden

1.1.4 Verwenden von GPO

Wenn Sie einen Unternehmenscomputer verwenden, können Sie auch den Gruppenrichtlinien-Editor verwenden, um das Standardadministratorkonto auf Ihrem PC zu aktivieren

Diese Option ist jedoch für Benutzer mit Windows 11 Home Edition nicht verfügbar

Folgen Sie der Anleitung unten, um loszulegen.

Drücken Sie Windows + R , geben Sie den folgenden Begriff ein und drücken Sie die Eingabetaste auf Ihrer Tastatur, um den Gruppenrichtlinien-Editor auf Ihrem PC zu öffnen

gpedit.msc

Navigieren Sie über die linke Seitenleiste zu folgendem Verzeichnis: Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\

Doppelklicken Sie nun auf den folgenden Wert auf der rechten Seite: Konten: Status des Administratorkontos

Wählen Sie ‘Aktiviert’

Klicken Sie auf ‘Übernehmen’ und dann auf ‘OK’

Schließen Sie jetzt das GPO-Fenster und drücken Sie die Windows-Taste auf Ihrer Tastatur, um das Startmenü zu öffnen

Klicken Sie nun auf Ihren Benutzernamen in der unteren linken Ecke Ihres Bildschirms und ein neues Administratorkonto sollte Ihnen jetzt zur Verfügung stehen

1.2 Deaktivieren Sie das Standard-Administratorkonto

Nachdem Sie Ihre administrativen Aufgaben erledigt haben, wird empfohlen, dass Sie Ihr Administratorkonto deaktivieren, um unbefugten Zugriff auf Ihr System zu verhindern

Verwenden Sie eine der folgenden Methoden, die Ihren aktuellen Bedürfnissen und Anforderungen am besten entspricht

Fangen wir an.

1.2.1 Verwenden von CMD

Aktivieren Sie CMD auf Ihrem PC abhängig von Ihrem aktuellen Setup und geben Sie den folgenden Befehl ein

Drücken Sie die Eingabetaste auf Ihrer Tastatur, um es auszuführen.

net user administrator /active:no

Und das ist es! Das Standard-Administratorkonto sollte jetzt auf Ihrem PC deaktiviert sein

Drücken Sie Windows + R und geben Sie den folgenden Begriff in das Dialogfeld Ausführen ein

Drücken Sie die Eingabetaste auf Ihrer Tastatur, wenn Sie fertig sind

lusrmgr.msc

Wählen Sie „Benutzer“ in der linken Seitenleiste und klicken Sie rechts auf „Administrator“

Aktivieren Sie das Kontrollkästchen für die Option „Konto ist deaktiviert“

Klicken Sie auf „Übernehmen“ und dann auf „OK“

auf Ihrem PC deaktiviert sein

1.2.3 Verwenden des Registrierungseditors

Drücken Sie Windows + R , geben Sie Folgendes ein und drücken Sie die Eingabetaste auf Ihrer Tastatur, um den Registrierungseditor auf Ihrem PC zu öffnen

regedit

Navigieren Sie nach dem Öffnen des Registrierungseditors zum unten angegebenen Pfad

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts\UserList

Klicken Sie rechts auf „Administrator“ und drücken Sie die Entf-Taste auf Ihrer Tastatur

Bestätigen Sie Ihre Auswahl, indem Sie auf „Ja“ klicken.

Starten Sie Ihren PC neu und das standardmäßige Administratorkonto sollte nicht mehr auf Ihrem Sperrbildschirm verfügbar sein

1.2.4 Verwenden von GPO

Drücken Sie Windows + R und geben Sie Folgendes ein

Drücken Sie die Eingabetaste auf Ihrer Tastatur, wenn Sie fertig sind

gpedit.msc

Navigieren Sie nun zu folgendem Pfad.

Computer Configuration\Windows Settings\Security Settings\Local Policies\Security Options\

Doppelklicken Sie nun auf den folgenden Wert auf der rechten Seite: Konten: Status des Administratorkontos

Wählen Sie „Deaktiviert“

Klicken Sie auf „Übernehmen“ und dann auf „OK“

Schließen Sie das GPO-Fenster

Das standardmäßige Administratorkonto wird jetzt auf Ihrem PC über den Gruppenrichtlinien-Editor in Windows 11 deaktiviert

1.3 Melden Sie sich als Administrator an Verwenden der Eingabeaufforderung (kann das Problem mit dem Sperrbildschirm nicht überwinden)

Wenn Sie von Windows ausgesperrt sind und auf das Administratorkonto zugreifen möchten, um Ihr Passwort zurückzusetzen, müssen Sie CMD zuerst von Ihrem Sperrbildschirm aus starten

Sie benötigen eine Wiederherstellungsumgebung, um mit diesem Handbuch fortzufahren

Sie müssen für dieses Handbuch zuerst mit einem Windows-Installationsmedium (einem Windows-bootfähigen USB-Stick) auf CMD zugreifen und dann die folgenden Schritte ausführen

Wenn Sie ein Installationsmedium verwenden, drücken Sie während des Setups Umschalt + F10, um CMD an einer beliebigen Stelle zu starten

Folgen Sie der Anleitung unten, um loszulegen, nachdem Sie CMD wie oben angegeben gestartet haben

Geben Sie nach dem Start der Eingabeaufforderung den folgenden Befehl ein und drücken Sie die Eingabetaste Ihre Tastatur.

CD-Fenster

Sie werden nun zu Ihrem Standard-Startlaufwerk in CMD weitergeleitet

Geben Sie den folgenden Befehl ein und führen Sie ihn aus, indem Sie die Eingabetaste auf Ihrer Tastatur drücken

cd system32

Sie befinden sich nun im System32-Verzeichnis

Führen Sie den folgenden Befehl aus, um eine Sicherungskopie von utilman.exe zu erstellen

Kopieren Sie utilman.exe utilman.exe.back

Führen Sie jetzt den folgenden Befehl in CMD aus

Kopieren Sie cmd.exe cmd1.exe

Löschen wir nun die Standarddatei utilman.exe.

del utilman.exe

Wir werden CMD jetzt umbenennen, damit es als utilman.exe aufgerufen werden kann

Benennen Sie cmd.exe in utilman.exe um

Sobald alle Befehle erfolgreich ausgeführt wurden, schließen Sie die Eingabeaufforderung, indem Sie den folgenden Befehl eingeben: exit

Starten Sie Ihren PC neu und fahren Sie wie gewohnt mit dem Windows-Sperrbildschirm fort

Klicken Sie auf das Barrierefreiheitssymbol in der unteren rechten Ecke und Sie sollten jetzt auf Ihrem Sperrbildschirm auf CMD zugreifen können

Befolgen Sie die obige Anleitung, um das Administratorkonto auf Ihrem System zu aktivieren

Nach der Aktivierung können Sie die folgende Anleitung verwenden, um das Passwort eines lokalen Kontos zurückzusetzen

Nachdem Sie Ihr Kennwort zurückgesetzt haben, wird dringend empfohlen, die zuvor an cmd.exe und utilman.exe vorgenommenen Änderungen rückgängig zu machen

Führen Sie die folgenden Schritte aus, um Ihre Änderungen rückgängig zu machen

Drücken Sie Windows + S auf Ihrer Tastatur und suchen Sie nach CMD

Klicken Sie auf „Als Administrator ausführen“, sobald es in Ihren Suchergebnissen angezeigt wird

Geben Sie nun nacheinander die folgenden Befehle ein und führen Sie sie aus, um Ihre Änderungen rückgängig zu machen

Achten Sie darauf, jeden Befehl nacheinander auszuführen, ohne die Reihenfolge zu ändern.

del utilman.exe

cmd1.exe umbenennen cmd.exe

Benennen Sie utilman.exe.back utilman.exe um

Die CMD-Funktionalität sollte jetzt in Windows 11 wiederhergestellt werden

Sie können dies überprüfen, indem Sie Windows + R auf Ihrer Tastatur drücken, CMD eingeben und die Eingabetaste auf Ihrer Tastatur drücken

Wenn CMD auf Ihrem System gestartet wird, wurden alle erforderlichen Änderungen erfolgreich rückgängig gemacht

Wenn CMD jedoch nicht gestartet wird, stellen Sie sicher, dass Sie jeden Befehl erfolgreich auf Ihrem System ausgeführt haben, indem Sie jeden Befehl in der obigen Liste erneut überprüfen es! Sie sollten jetzt von Ihrem Sperrbildschirm aus auf CMD zugreifen können

1.4 Passwort für ein lokales Konto zurücksetzen

Sie können jetzt das Passwort Ihres lokalen Kontos mit dem gerade aktivierten Standard-Administratorkonto zurücksetzen

Führen Sie die folgenden Schritte aus, um loszulegen

Melden Sie sich beim Windows-Administratorkonto an und drücken Sie dann Windows + S auf Ihrer Tastatur

Suchen Sie nach Systemsteuerung und klicken Sie auf die App und starten Sie sie, sobald sie in Ihren Suchergebnissen angezeigt wird

Klicken Sie auf „Benutzerkonten“

Klicken Sie erneut auf „Benutzerkonten“

Klicken Sie auf „Anderes Konto verwalten“

Konto, für das Sie das Passwort ändern möchten

Klicken Sie nun auf „Passwort ändern“

Geben Sie Ihr neues Passwort ein und bestätigen Sie es in den entsprechenden Textfeldern

Legen Sie bei Bedarf einen Passworthinweis fest.

Klicken Sie auf “Passwort ändern”, wenn Sie fertig sind

Und das war’s! Das Passwort für das ausgewählte Konto sollte nun geändert werden

Sie können jetzt den Sperrbildschirm aufrufen und sich mit Ihrem neuen Passwort bei Ihrem lokalen Konto anmelden

Wir empfehlen Ihnen, alle an dieser Stelle vorgenommenen Änderungen rückgängig zu machen, um Ihre Sicherheit und Privatsphäre zu wahren

Sie sollten alle vorgenommenen CMD-Änderungen rückgängig machen und das Standard-Administratorkonto auf Ihrem System mithilfe der obigen Anleitungen deaktivieren

Methode #02: Erstellen Sie ein neues Administratorkonto in Windows 11

Wenn Sie ein neues Administratorkonto in Windows 11 erstellen möchten, dann können Sie die folgenden Schritte ausführen

Bitte beachten Sie, dass Sie Administratorrechte benötigen, um ein neues Administrator-Benutzerkonto auf Ihrem Gerät zu erstellen

Folgen Sie der Anleitung unten, um loszulegen.

Drücken Sie Windows + i auf Ihrer Tastatur und wählen Sie „Konten“ in der linken Seitenleiste.

Klicken Sie auf „Familie und andere Benutzer“.

Klicken Sie auf „Konto hinzufügen“.

An dieser Stelle Sie können die Microsoft-Kontodetails des neuen Benutzers eingeben und den Anweisungen auf dem Bildschirm folgen, um ein neues Konto einzurichten

Wenn Sie jedoch ein neues lokales Konto erstellen möchten, können Sie mit den folgenden Schritten fortfahren

Klicken Sie auf „Ich habe die Anmeldeinformationen dieser Person nicht“

Klicken Sie auf „Benutzer ohne Microsoft-Konto hinzufügen“

.

Geben Sie den Namen des neuen Benutzers ein.

Legen Sie nun ein Passwort fest und bestätigen Sie dieses.

Klicken Sie auf „Weiter“, wenn Sie fertig sind.

\

Ein neues Konto wird nun zu Ihrem PC hinzugefügt

Das neu hinzugefügte Konto ist jedoch ein Standardkonto

Konvertieren wir es in ein Administratorkonto

Drücken Sie Windows + S auf Ihrer Tastatur und suchen Sie nach Systemsteuerung

Klicken Sie auf und starten Sie die App aus Ihren Suchergebnissen.

Klicken Sie auf „Benutzerkonten“.

Klicken Sie erneut auf „Benutzerkonten“.

Klicken Sie auf „Anderes Konto verwalten“

Klicken Sie auf ‘Kontotyp ändern’

Klicken Sie auf und wählen Sie ‘Administrator’ aus

Klicken Sie abschließend auf ‘Kontotyp ändern’

Und das war’s! Sie haben jetzt ein neues lokales Administratorkonto auf Ihrem Gerät erstellt

Methode #03: Ändern Sie ein Standardkonto in ein Administratorkonto

Wenn Sie ein Standardkonto haben, können Sie einfach zu einem Administratorkonto wechseln

Wenn Sie die Windows Home Edition verwenden, können Sie entweder die Methode der Systemsteuerung oder die Methode „netplwiz“ verwenden

Andererseits können Benutzer von Windows Pro und höher eine der unten aufgeführten Methoden verwenden

Fangen wir an

Hinweis: Wenn Sie als Standardbenutzer angemeldet sind und dasselbe Konto in ein Administratorkonto umwandeln möchten, empfehlen wir Ihnen, die netplwiz-Anleitung mit den folgenden Methoden zu verwenden

3.1 Verwenden der Systemsteuerung (Windows Home)

Drücken Sie Windows + S auf Ihrer Tastatur, suchen Sie nach Systemsteuerung und starten Sie die App, sobald sie in Ihren Suchergebnissen angezeigt wird

Klicken Sie auf „Benutzerkonten“

Klicken Sie erneut auf „Benutzerkonten“

Wenn Sie Ihre eigenen ändern möchten Kontotyp und klicken Sie dann auf „Kontotyp ändern“

Wenn Sie ein anderes lokales Konto konvertieren möchten, wählen Sie „Anderes Konto verwalten“ und wählen Sie das betreffende Konto aus

Klicken Sie nach der Auswahl auf „Kontotyp ändern“

Wählen Sie „Administrator“

Klicken Sie auf „Kontotyp ändern“

Das betreffende Konto sollte jetzt ein Administratorkonto auf Ihrem System sein

3.2 Verwenden von netplwiz

Sie können netplwiz auch zu Ihrem Vorteil nutzen und Benutzerkonten auf Ihrem PC konvertieren

Folgen Sie der Anleitung unten, um loszulegen.

Drücken Sie Windows + R auf Ihrer Tastatur, um das Dialogfeld „Ausführen“ zu öffnen

Geben Sie nach dem Start Folgendes ein und drücken Sie die Eingabetaste auf Ihrer Tastatur.

netplwiz

Aktivieren Sie oben das Kontrollkästchen „Benutzer müssen einen Benutzernamen und ein Kennwort eingeben, um diesen Computer zu verwenden“

Klicken Sie nun auf das Benutzerkonto, das Sie konvertieren möchten, und wählen Sie es aus der Liste unten aus

Klicken Sie auf „Eigenschaften“

Wechseln Sie zu Registerkarte „Gruppenmitgliedschaft“ oben

Klicken Sie auf und wählen Sie „Administrator“ aus

Klicken Sie zweimal auf „Ok“, wenn Sie fertig sind

Wenn Sie das aktuelle lokale Konto konvertiert haben, mit dem Sie angemeldet sind, werden Sie dazu aufgefordert Melden Sie sich erneut beim Konto an, damit die Änderungen wirksam werden

Klicken Sie auf „Ja“, um Ihre Auswahl zu bestätigen.

Sie werden nun zum Sperrbildschirm weitergeleitet

Melden Sie sich bei dem betreffenden Konto an und Sie sollten nun Administratorrechte darin haben

3.3 Verwenden des Managers für lokale Gruppen (Windows Pro und höher)

Drücken Sie Windows + R auf Ihrer Tastatur, geben Sie Folgendes ein und drücken Sie die Eingabetaste auf Ihrer Tastatur.

lusrmgr.msc

Der lokale Gruppenmanager sollte jetzt auf Ihrem PC starten

Klicken und öffnen Sie auf der linken Seite „Benutzer“

Wählen Sie nun rechts das gewünschte Benutzerkonto aus, das Sie konvertieren möchten, und doppelklicken Sie darauf

Wechseln Sie auf die Registerkarte „Mitglied von“ und wählen Sie die Gruppe „Administrator“ aus

Klicken Sie auf auf ‘Ok’, wenn Sie fertig sind.

Und das war’s! Das ausgewählte Konto verfügt nun über erhöhte Administratorrechte in Windows

Können Sie ein Kennwort festlegen oder zurücksetzen, wenn Sie als Administrator angemeldet sind?

Ja, Sie können Ihr Passwort ganz einfach als Administrator in Windows 11 zurücksetzen

Dies kann auf mehrere Arten erfolgen und Sie können das Passwort für ein Standardkonto oder ein Administratorkonto mit dieser Methode zurücksetzen

Dies kann sehr nützlich sein, wenn Sie Ihr Passwort vergessen haben und wieder auf Ihr System zugreifen möchten, ohne Ihre Daten zu verlieren

Sie sollten jedoch bedenken, dass dies von jedem verwendet werden kann, um Ihr Passwort zu ändern und Zugriff auf Ihr System zu erhalten Daher wird empfohlen, dass Sie, wann immer möglich, ein sicheres Passwort für Ihr Standardkonto festlegen

Im Moment können Sie die folgende Anleitung verwenden, um ein Passwort in Windows 11 zurückzusetzen, wenn Sie als Administrator angemeldet sind.

So setzen Sie das Passwort zurück, nachdem Sie sich angemeldet haben als Administrator ein

Das Zurücksetzen Ihres Passworts ist ganz einfach, wenn Sie als Administrator bei Windows 11 angemeldet sind

Der beste Weg, dies zu tun, ist entweder die Systemsteuerung oder CMD zu verwenden

Verwenden Sie eine der folgenden Anleitungen, die Ihren aktuellen Bedürfnissen und Anforderungen am besten entspricht

Befolgen Sie eine der folgenden Anleitungen, um loszulegen

1

Verwenden der Systemsteuerung

Drücken Sie Windows + S und suchen Sie nach Systemsteuerung

Klicken Sie in Ihren Suchergebnissen auf die App und starten Sie sie

Klicken Sie auf „Benutzerkonten“

Klicken Sie nun erneut auf „Benutzerkonten“

Klicken Sie auf „Anderes Konto verwalten“

Klicken Sie jetzt auf und wählen Sie Ihr lokales Konto aus, das Sie verwenden möchten Setzen Sie Ihr Passwort zurück

Klicken Sie auf „Passwort ändern“

Fügen Sie ein neues Passwort für Ihr lokales Konto hinzu und bestätigen Sie es in den entsprechenden Textfeldern

Fügen Sie jetzt bei Bedarf einen Passworthinweis hinzu

Klicken Sie anschließend auf „Passwort ändern“

.

Und das ist es! Das Passwort für das ausgewählte Konto sollte nun basierend auf Ihren Einstellungen geändert werden

2

Verwenden von CMD

Sie können das Passwort eines lokalen Kontos auch mit CMD zurücksetzen

Folgen Sie der Anleitung unten, um loszulegen

Drücken Sie Windows + S auf Ihrer Tastatur und suchen Sie nach CMD

Klicken Sie auf „Als Administrator ausführen“, sobald die App in Ihrem Suchergebnis angezeigt wird

Geben Sie Folgendes ein und drücken Sie die Eingabetaste auf Ihrer Tastatur.

net user

Sie erhalten eine Liste aller Konten, die derzeit auf Ihrem PC verfügbar sind

Notieren Sie sich den Benutzernamen des gewünschten Kontos und geben Sie dann den folgenden Befehl ein

Ersetzen Sie „NAME“ durch den zuvor notierten Namen und ersetzen Sie „PASSWORT“ durch Ihr neues Passwort

Wenn Sie fertig sind, drücken Sie die Eingabetaste auf Ihrer Tastatur.

net user NAME PASSWORD

Und das ist es! Sobald der Befehl ausgeführt wird, sollte das Passwort für das gewünschte Konto automatisch auf Ihrem PC geändert werden

So fügen Sie ein Passwort für das Administratorkonto hinzu

Wenn Sie Ihren PC weiter sichern möchten, wird empfohlen, dass Sie ein Kennwort für das standardmäßige Administratorkonto hinzufügen

Dadurch wird sichergestellt, dass niemand, der diesen Trick kennt, ohne Ihre Autorisierung auf Ihr Windows-Konto zugreifen kann

Wir können ein Passwort für Ihr Standard-Administratorkonto auf verschiedene Arten hinzufügen, aber wir empfehlen Ihnen, dies entweder über das erweiterte Menü oder über die CMD-Methode zu tun

Befolgen Sie eine der folgenden Anleitungen, um loszulegen

1

Verwenden Sie Strg + Alt + Entf

Melden Sie sich beim Standardadministratorkonto an und drücken Sie Strg + Alt + Entf auf Ihrer Tastatur

Klicken Sie nun auf und wählen Sie „Passwort ändern“

Geben Sie ein neues Passwort ein und bestätigen Sie es in den entsprechenden Feldern

Fügen Sie einen Passworthinweis oder eine Sicherheitsfrage hinzu, je nach Ihren Vorlieben

Klicken Sie auf „Ok“, wenn Sie fertig sind.

Und das ist es! Das Passwort Ihres Standard-Administratorkontos sollte jetzt auf Ihrem PC geändert werden

2

Verwenden von CMD

Melden Sie sich beim Standardadministratorkonto an und drücken Sie Windows + S auf Ihrer Tastatur

Suchen Sie nach CMD und klicken Sie auf „Als Administrator ausführen“, sobald die App in Ihren Suchergebnissen angezeigt wird

Geben Sie nun den folgenden Befehl ein

Ersetzen Sie „PASSWORD“ durch ein Passwort Ihrer Wahl

net user Administrator PASSWORD

Und das ist es! Das neue Passwort sollte jetzt für Ihr Standard-Administratorkonto festgelegt werden

Soll das Administratorkonto aktiviert bleiben?

Nein, es wird nicht empfohlen, Ihr Standard-/Superadministratorkonto aktiviert zu lassen

Dieses Konto hat im Vergleich zu einem normalen Administratorkonto in Windows immer höhere Rechte

Dieses Konto wird von Windows auch verwendet, um Aufgaben auf Systemebene im Hintergrund auszuführen, daher könnte es mehrere Datenschutzprobleme auf Ihrem System verursachen

Falls jemand auf dieses Konto zugreifen kann, hätte er Zugriff auf Ihre gesamten Daten und Hardware

Der Benutzer könnte dann die Kontrolle über Ihr gesamtes System übernehmen oder es einfach mit Malware, Adware und im schlimmsten Fall Ransomware infizieren

Wir hoffen, dass Sie sich mithilfe der obigen Anleitung problemlos als Administrator in Windows 11 anmelden konnten

Wenn Sie auf Probleme stoßen oder weitere Fragen an uns haben, können Sie sich gerne über den Kommentarbereich unten an uns wenden.

Активация Windows XP 1 Update New

Video ansehen

Neues Update zum Thema hkey_local_machine software microsoft windows nt currentversion winlogon notify

hkey_local_machine software microsoft windows nt currentversion winlogon notify Sie können die schönen Bilder im Thema sehen

 Update Активация Windows XP 1
Активация Windows XP 1 New

Windows 10 Security Technical Implementation Guide New

01.12.2017 · The Windows 10 Security Technical Implementation Guide (STIG) is published as a tool to improve the security of Department of Defense (DoD) information systems. Comments or proposed revisions to this document should be sent via e-mail to the following address: [email protected] Developed_by_DISA_for_the_DoD DISA STIG.DOD.MIL Release: 12 …

+ Details hier sehen

Autologon Windows Server 2012 Update New

Video unten ansehen

Weitere hilfreiche Informationen im Thema anzeigen hkey_local_machine software microsoft windows nt currentversion winlogon notify

hkey_local_machine software microsoft windows nt currentversion winlogon notify Ähnliche Bilder im Thema

 Update Autologon Windows Server 2012
Autologon Windows Server 2012 New

星曲online官方-efunfun網頁遊戲第一平臺 Update

Vi vil gjerne vise deg en beskrivelse her, men området du ser på lar oss ikke gjøre det.

+ mehr hier sehen

Как убрать надпись Активация Windows навсегда в Windows 10 Update

Video unten ansehen

Weitere Informationen zum Thema hkey_local_machine software microsoft windows nt currentversion winlogon notify

hkey_local_machine software microsoft windows nt currentversion winlogon notify Sie können die schönen Bilder im Thema sehen

 Update Как убрать надпись Активация Windows навсегда в Windows 10
Как убрать надпись Активация Windows навсегда в Windows 10 Update

Sie können weitere Informationen zum Thema anzeigen hkey_local_machine software microsoft windows nt currentversion winlogon notify

Updating

Dies ist eine Suche zum Thema hkey_local_machine software microsoft windows nt currentversion winlogon notify

Updating

Ende des Themas hkey_local_machine software microsoft windows nt currentversion winlogon notify

Articles compiled by Tratamientorosacea.com. See more articles in category: DIGITAL MARKETING

Related Videos

Leave a Comment