XP,W9x-,W2k-ProgrammNutzungs-Verhaltensprofile KILLEN

SilverSurfer99

gehört zum Inventar
Ist zwar kein so richtiges Tutorial, aber da es für VIELE wichtig ist, die ihre Privatsphäre schützen möchten, traue ich mich mal, es hier herein zu schreiben. Und was mich dabei besonders freut - Supernature's "Einzelkampf war gestern" zeigt sich an der Menge der beteiligten Foren besonders deutlich.
-----
Neben automatisch zu entfernenden Internetspuren siehe pgsm's
https://www.supernature-forum.de/showthread.php?s=&threadid=5611
gibt es auch normale Nutzerspuren in Registry-KEYs wie MRU (Most recently used), also die letzten 20 Word-, Musik-, Bilder-Titelnamen, also nach meiner Bewertung vergleichsweise harmlos.

0. Etwas ziemlich HEFTIGES sind jedoch die Programmnutzungs-Verhaltensprofilspeicherungen,
die jetzt von q3wert bei
http://www.windows2000helpline.de/forum/showthread.php?threadid=29066
aufgedeckt wurden - fasse mal die Sacherörterungen und meine Feststellungen kurz zusammen:

1. Im Hauptkey HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist wurden in den beiden Unterkeys
{5E6AB780-7743-11CF-A12B-00AA004AE837}\Count und
{75048700-EF1F-11D0-9888-006097DEACF9}\Count
HUNDERTE von kryptischen/verdächtigen Speicherungen gefunden.
Nachdem q3wert von Windows2000Helpline.de unterhalb UserAssist den KEY 'Settings' mit dem Wert "NoEncrypt"=dword:00000001 eingefügt hatte (bei manchen PCs war 'Settings' schon vorhanden), wurden alle neuen Einträge im Klartext angezeigt - nämlich überwiegend vom Desktop gestartete ProgrammNamen. Abbi von Trojaner-Board.de hat seit Anlegen von 'Settings' und ohne Nutzung des IExplorers allerdings keine neuen Speicherungen gefunden, aber viele werden auf den IExplorer nicht verzichten wollen. Deshalb in Facit2: eine automatische RADIKAL-Lösung.

2. Tatsächlich habe ich SEIT Löschen der alten Einträge in den KEYs COUNT und Createn von "NoEncrypt"=dword:00000001 im neuen KEY Settings jetzt auch ProgrammNamen-Klartextangaben
-Im Key {5E6AB780-7743-11CF-A12B-00AA004AE837}\Count, der mit 'UEME_CTLCUACount:ctor' anfängt, habe ich 6 Einträge gefunden (stimmt mit Anzahl der Desktop-Symbole rechts unten überein)
-Im Key {75048700-EF1F-11D0-9888-006097DEACF9}\Count, der bei mir mit 'UEME_CTLSESSION' beginnt, finde ich jetzt 9 Einträge mit WerteNamen wie zum Beispiel
"UEME_RUNPATH:E:\PROGRA~1\STRONG~1\strdisk.exe" und
"UEME_RUNPATH:E:\WINDOWS\PCHEALTH\HELPCTR\Binaries\MSCONFIG.EXE"
sind heute von mir per Klick (vom Desktop) benutzte Programme.

Facit1: "NoEncrypt=1" bewirkt offensichtlich-tatsächlich, dass die WerteNamen in der Registry jetzt im ASCII-Format gespeichert/wiedergegeben werden

Facit2: Selbst wenn die nach den Programm-Namen folgenden Hexwerte zB. nur FensterPositionierungen darstellen sollten, wird damit ein ganz ordentliches Programmnutzungs-Verhaltensprofil gespeichert und für Profis der Gegenseite auch abrufbar - also RADIKAL putzen!
Und so geht das automatisch in zwei Schritten [die gekillten KEYs werden von XP beim folgenden PC-Start leer wieder hergestellt]:

a) Erstellen der %WINDIR%\SYSTEM32\Del_UserAssist.cmd
MSDOS-Textinhalt - erstellt eine *.REG und führt sie gleich aus:
-----
@echo off
ECHO Windows Registry Editor Version 5.00 >Del_UserAssist.reg
ECHO. >>Del_UserAssist.reg
ECHO [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist] >>Del_UserAssist.reg >NUL

REGEDIT /S Del_UserAssist.reg
REM REGEDIT /S(ilent) löscht Reg-KEYs ohne jede Systemabfrage
DEL Del_UserAssist.reg
-----------------
b) Eine Verknüpfung von %WINDIR%\SYSTEM32\DEL_UserAssist.cmd nach
..\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
erstellen, ab sofort verläuft das UserAssist-Spuren-entfernen automatisch bei jedem PC-Start.

STATISTIK habe ich bei der Gelegenheit auch mal betrieben:
a) Die entladenen Registry's haben bei mir folgende Größen
Win98SE 5,7MB - Win2k 21,5MB und XP 43,2 MB - ist ein eindeutiger Trend zu mehr Merk-Service!

b) Diese UserAssist-KEYs (auch mit den gleichen KEY-Namen) gibt es bereits seit Win98SE bei mir - mit folgenden Mengen zu {5E6AB.. bzw. {75048..:
Win98SE 5/106 (24 Monate im Nutzeinsatz, jetzt nur noch zum Sichern von XP)
Win2k 67/425 (10 Monate im Nutzeinsatz, jetzt nur noch, bis Scanner unter XP läuft)
WinXP 9/245 (1,5 Monate im Nutzeinsatz)
also auch hier ein eindeutiger "Wachstumstrend".
 

Jim Duggan

Seniler Bettflüchter
Teammitglied
Original geschrieben von Eintracht
Super, dieser Beitrag, ich habe es gleich umgesetzt.

Bei mir funktioniert aber die Del_UserAssist.cmd nicht :confused
Wenn ich nach dem Start in die Registry gehe, steht noch alles drinn.

Jim
 

SilverSurfer99

gehört zum Inventar
Hi Jim Duggan,

hab es zwar zehnmal unter XP getestet, aber nichts kann man ausschliessen.
a) Welches Betriebssytem nutzt du?
b) Werde es dann nachtesten.

OK ich ahne was ich übersehen habe - wenn du weder Win2k noch XP nutzt, muss die Datei Del_UserAssist.BAT heissen - melde dich mal, ob es das war.

Gruß SS99
 

Jim Duggan

Seniler Bettflüchter
Teammitglied
Also ich nutze W2k
Habe das Settings eingefügt.
Funktioniert auch die Jetzigen Einträge sind in "Klarschrift".
Habe auch mal den 2. Count von Hand gelöscht.
Wollte auch mal wissen, ob man den ersten Count auch problemlos "leeren" kann?

Jim
 

SilverSurfer99

gehört zum Inventar
Wie der Beschreibung zu Del_UserAssist.CMD entnehmbar, wird der gesamte KEY-Zweig UserAssist geputzt, also können problemlos alle Count-Keys entfernt werden.
 

Jim Duggan

Seniler Bettflüchter
Teammitglied
Also, da bei mir die *.CMD nicht funktioniert habe ich mal folgenden Befehl in die Eingabeaufforderung eingeben:

REGEDIT /S Del_UserAssist.reg

Darauf erhielt ich diese Fehlermeldung:

fehler.jpg


Jim
 

SilverSurfer99

gehört zum Inventar
Hi Jim,

bei mir läuft u.a. Win2k SP2, und das Script läuft fehlerfrei und wirksam durch, grad nochmal getestet!
(Leider wird deine Fehlermeldung auf meinem Bildschirm nicht dargestellt - nur ein kleines weisses Kästchen mit rotem X).

Evtl. liegt es daran - diese erste Del_UserAssist.reg-Zeile
Windows Registry Editor Version 5.00
mal ersetzen durch das 'gute alte'
REGEDIT4

Ansonsten bleibt ja noch der gelegentliche Handstart der *.REG in einem Deskop-Ordner, wenn auch etwas lästig.

========================================
Ergänzung: Auch aus dem privaten Kreis gab es inzwischen eine "Störungsmeldung", so dass ich mal vermute, dass (in wenigen Fällen) das Schreiben der *.REG noch nicht vollständig beendet ist, wenn das Script schon am Ende ist und die *.REG löscht [XP-Timelag-Problem]. Hierfür gibt es die zweistufige Lösung, die auch SILENT (dh. ohne Abfragen) durchläuft:

a) Erstellen der %WINDIR%\SYSTEM32\Del_UserAssist.REG
MSDOS-Textinhalt - erstellt in DREI ZEILEN die *.REG (Zeile 2 muss leer bleiben):
-----
REGEDIT4

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist]
-----

b) Erstellen der %WINDIR%\SYSTEM32\Del_UserAssist.CMD
MSDOS-Textinhalt - erstellt in ZWEI ZEILEN eine *.CMD:
-----
@echo off
REGEDIT /S %WINDIR%\SYSTEM32\Del_UserAssist.reg
-----------------

c) Eine Verknüpfung von %WINDIR%\SYSTEM32\DEL_UserAssist.CMD in den Autostart-Ordner zB.
..\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart [zB. für Win2k,XP]
erstellen, ab sofort verläuft das UserAssist-Spuren-entfernen automatisch bei jedem PC-Start.

Habe alles auch noch mal für Win98SE nachgetestet (dann Del_UserAssist.BAT statt Del_UserAssist.CMD), funktioniert so narrensicher.
 
Zuletzt bearbeitet:
Oben