[Ler-Khun]

Heute ist mir aufgefallen dass bei einem Ordner bei mir unterm Reiter Sicherheit ein User oder Gruppe aufgeführt ist, die denke ich mal nicht dort hingehört.
Der User /Gruppe hat die gleiche, aber nicht die selbe Zahlenkolonne wie der Receycler.
Außerdem besitzt er Vollzugriffsrechte.

Ich muss dazu sagen dass es sich bei dem Ordner um den Sharingordner eines P2P Tools handelt. -Neiiin, die sind nicht illegal! Man darf nur keine Sachen tauschen an denen man keine Rechte besitzt.
In anderen Ordnern, auch nicht dem vom Clienten selbst, existiert dieser User nicht.
Sehr komisch das ganze.
Hat jemand von euch ewine Idee was das sein könnte?

Ich dachte natürlich gleich an Malware.
Aber woher? Es hat niemand Schreibzugriffe auf auf diesen Ordner.
Getestet habe ich natürlich trotzdem. -Ergebnislos jedoch.
Jaja, ich weiß. Muss nichts sagen.
Fremde Benutzerkonten sind auch keine vorhanden soweit man das mit den beschränkten Möglichkeiten bei Win7 Home Premium sagen kann. Denn lokale Nutzer und Gruppen Einstellungen gibt es hier ja leider nicht um versteckte Konten aufzuspüren und über die Konsole und net localgroup ''Gruppenname''
werden ja auch keine versteckten angezeigt glaube ich.

Tja, was kann ich nun tun?
User/Gruppe öschen?
Wenn ja, wie?
Ist ja nicht aufspür- oder änderbar dank der fehlenden lokale Nutzer und Gruppen Einstellungen.

Dieser Beitrag wurde von Ler-Khun bearbeitet: 19. Juli 2011 - 23:16

[DK2000]

Eventuell eine SID eines bereits gelöschten Benutzers oder Gruppe?
Von der vorherigen Installation übrig geblieben?

Normaler Wiese steht dann "Unbekanntes Konto" vor der SID (sieht in etwa so aus).

Kann man normaler Weise einfach aus den ACL der Datei/Ordner löschen und gut.

[Ler-Khun]

Jep, genauso schaut es bei mir auch aus. Hatte nur vergessen "Unbekanntes Konto" mit anzugeben. Sry.
Jedoch gab und gibt es bei mir keinen anderen User außer mir und dies ist auch die erste Installation von win7 bei mir.

Hast du noch eine andere Idee woher das kommen könnte bei mir?
Würde mich schon sehr interessieren woher das kommt.
Wie genau lösche ich den User/Gruppe aus der Access Control List?

[Ecce Homo]

Löschen kann man den User doch sehr einfach (oder ist das bei Windows 7 anders?), siehe Screenshot am Ende.
Da du sagst, dass es deine erste Win7-Installation ist, kann man wohl ausschließen, dass es sich dabei um einen, von einem Benutzer einer früheren Installation erstellten Ordner handelt. Ist der Ordner auf einem portablen Speichergerät (USB-Festplatte, Stick, etc.)? Oder hast du mal mit VirtualBox oder ähnlichem darauf zugegriffen?

mfg
Ecce Homo

edit: Meintest du insgesamt vom System löschen? Das wird wohl nicht gehen, aber er taucht auch nur bei wenigen, oder gar nur diesem Ordner/Dateien auf und hat keine Funktion, noch verbraucht er Speicherplatz, also ist es nur eine kleine Unschönheit.

edit2: eventuell funktioniert das mit SubInACL.exe, mithilfe der Funktion

 /cleandeletedsidsfrom=DomainName[=dacl|sacl|owner|primarygroup|all]

oder ähnlichem, aber frag mich jetzt nicht wie genau (frühestens morgen abend bin ich wieder bereit^^)

Angehängte Miniaturbilder

• 
• 

Dieser Beitrag wurde von Ecce Homo bearbeitet: 20. Juli 2011 - 22:30

[sermon]

Hast du eine Nvidia Grafikkarte?
Es gab mal nen Threat in dem erklärt und bewiesen wurde, dass der Treiber von Nvidia für Updates einen User anlegt. Finde den nur gerade nicht...

[Ecce Homo]

Zitat (sermon: 21. Juli 2011 - 04:44)

Hast du eine Nvidia Grafikkarte?
Es gab mal nen Threat in dem erklärt und bewiesen wurde, dass der Treiber von Nvidia für Updates einen User anlegt. Finde den nur gerade nicht...

Früher hat übrigens auch das .Net-Framwork einen eigenen User angelegt, aber da es sich bei dir um eine neue Win7-Installation handelt (nicht upgegradet?) kann man das wohl ausschließen.

[Ludacris]

Zitat (sermon: 21. Juli 2011 - 04:44)

Hast du eine Nvidia Grafikkarte?
Es gab mal nen Threat in dem erklärt und bewiesen wurde, dass der Treiber von Nvidia für Updates einen User anlegt. Finde den nur gerade nicht...

das wäre aber der updatususer

[Ecce Homo]

Zitat

Der User /Gruppe hat die gleiche, aber nicht die selbe Zahlenkolonne wie der Receycler.

Meinst du damit, dass der Recycler bei dir als eigener User in der FACL auftaucht, oder dass der User die gleiche SID hat wie der Ordner in den der Papierkorb die gelöschten Dateien schiebt? Denn letztere SID sollte eigentlich immer diejenige des angemeldeten Users sein.

mfg
Ecce Homo

[Ler-Khun]

Zitat (Ecce Homo: 20. Juli 2011 - 22:17)

......
Ist der Ordner auf einem portablen Speichergerät (USB-Festplatte, Stick, etc.)? Oder hast du mal mit VirtualBox oder ähnlichem darauf zugegriffen?

edit: Meintest du insgesamt vom System löschen? Das wird wohl nicht gehen, aber er taucht auch nur bei wenigen, oder gar nur diesem Ordner/Dateien auf und hat keine Funktion, noch verbraucht er Speicherplatz, also ist es nur eine kleine Unschönheit.

Nein, weder das eine noch das andere.
Der Ordner befindet sich auf einer Partition eines lokalen Datenträger.
Die Partition wurde noch unter Win XP erstellt, ebenso ein Großteil der darauf befindlichen Daten.
Hmm.. Da kommt der Gedanke auf dass der User noch daher kommt, gell?
Aber hmm, wieso haben die anderen Ordner diesen User nicht?
Die Daten wurden schließlich auch größtenteils noch unter XP darauf kopiert.

Zitat (sermon: 21. Juli 2011 - 04:44)

Hast du eine Nvidia Grafikkarte?
Es gab mal nen Threat in dem erklärt und bewiesen wurde, dass der Treiber von Nvidia für Updates einen User anlegt. Finde den nur gerade nicht...

jetzt wo du's sagst, erinnere ich mich auch an den.
Aber nein, ich habe keine Nvidea Karte.
Jedoch die PhysX Komponente von denen installiert weil das für ein Spiel notwendig war.

Zitat (Ecce Homo: 22. Juli 2011 - 19:50)

Meinst du damit, dass der Recycler bei dir als eigener User in der FACL auftaucht, oder dass der User die gleiche SID hat wie der Ordner in den der Papierkorb die gelöschten Dateien schiebt? Denn letztere SID sollte eigentlich immer diejenige des angemeldeten Users sein.

meinst du mit fett markiertem Receycle.bin?
Es sieht bei mir so aus wie auf dem vom Futterzwerg hochgeladenen Screenshot.
Bei mir ist's natürlich aber eine andere SID wie bei ihm und diese sieht halt nur aus wie die von Receycle.bin

Der Receycler wird sich wohl nicht als eiger User /Gruppe eingetragen haben. Die Erklärung von DK2000 klingt mir da schon am plausibelsten.
Die Frage ist nur, woher kommt der?!

Gelöscht habe ich ihn übrigens noch nicht.
Denn ich möchte erst mal gerne das ganze ''wieso, weshalb warum'' wissen/verstehen.
Danke aber btw für die Screenshots wie ich das lösche, Ecce Homo.

Edit: Mir ist grad aufgefallen dass anders als ich im ersten Betrag schrieb, der User keinen Vollzugriff hat, sondern nur Spezielle Berechtigungen.
Für die Dateien im Ordner selbst hat er aber Vollzugriff.
Das nur mal als kleine Info nebenbei. KA ob's relevant ist

Dieser Beitrag wurde von Ler-Khun bearbeitet: 23. Juli 2011 - 09:47

[Ecce Homo]

Zitat (Ler-Khun: 23. Juli 2011 - 09:38)

Nein, weder das eine noch das andere.
Der Ordner befindet sich auf einer Partition eines lokalen Datenträger.
Die Partition wurde noch unter Win XP erstellt, ebenso ein Großteil der darauf befindlichen Daten.
Hmm.. Da kommt der Gedanke auf dass der User noch daher kommt, gell?
Aber hmm, wieso haben die anderen Ordner diesen User nicht?
Die Daten wurden schließlich auch größtenteils noch unter XP darauf kopiert.

Dann haben wir doch des Rätsels Lösung, ich dachte, da du von der "ersten" Win7-Installation geredet hast, dass du auch noch kein anderes OS auf dem Computer installiert hattest, hab' ich die Möglichkeit eines Users aus einer vorhergehenden Installation ausgeschlossen, obwohl das ja die plausibelste Erklärung ist. Warum dieser User aber nur bei einem Ordner auftaucht ist mir (noch) ein Rätsel

Zitat (Ler-Khun: 23. Juli 2011 - 09:38)

meinst du mit fett markiertem Receycle.bin?
Es sieht bei mir so aus wie auf dem vom Futterzwerg hochgeladenen Screenshot.
Bei mir ist's natürlich aber eine andere SID wie bei ihm und diese sieht halt nur aus wie die von Receycle.bin

Der Receycler wird sich wohl nicht als eiger User /Gruppe eingetragen haben. Die Erklärung von DK2000 klingt mir da schon am plausibelsten.
Die Frage ist nur, woher kommt der?!

Nein, der Recycler trägt sich nicht als Nutzer ein, aber wenn du als User etwas löschst, so verschiebt die Papierkorb-Routine von Windows die Dateien/Ordner in einen Ordner mit der SID des angemeldeten Benutzers, oder genauer gesagt, tat sie dies noch bis zu WinXP. Wenn du also auf deiner alten Partition etwas gelöscht hast, noch unter Windows XP, so wurde dies in einen Ordner verschoben, der die gleiche SID wie dein damaliges Xp-Benutzerkonto hat.

edit: hier ein Link dazu: http://www.cybersecu...e.biz/INFO2.htm

Zitat (Ler-Khun: 23. Juli 2011 - 09:38)

Gelöscht habe ich ihn übrigens noch nicht.
Denn ich möchte erst mal gerne das ganze ''wieso, weshalb warum'' wissen/verstehen.
Danke aber btw für die Screenshots wie ich das lösche, Ecce Homo.

Edit: Mir ist grad aufgefallen dass anders als ich im ersten Betrag schrieb, der User keinen Vollzugriff hat, sondern nur Spezielle Berechtigungen.
Für die Dateien im Ordner selbst hat er aber Vollzugriff.
Das nur mal als kleine Info nebenbei. KA ob's relevant ist

Wie gesagt, den Grund weshalb der User nur bei diesem Ordner auftaucht, muss ich noch eruieren.

mfg
ecce homo

Dieser Beitrag wurde von Ecce Homo bearbeitet: 23. Juli 2011 - 09:57

[DK2000]

@Ler-Khun:

Lässt sich bei Dir in der Eingabeaufforderung (miz Adminrechten) wmic ausführen?

Oder gibt es das bei der Home Version auch nicht mehr?

[Ler-Khun]

Ahh, jetzt kommt Licht in die Sache.
Ich habe grade noch mal alle HDDs and Partitionen gecheckt und auf einer HDD/Partition die ich seit der Installation von Win7 bis heute noch gar nicht gecheckt hatte, befindet sich noch der alte Receycler Ordner(hatte den wohl vergessen zu löschen) mit exakt der SID des unbekannten Users.
Und auf dieser Partition befindet sich auch in jedem Ordner dieser User.

Auf der anderen Festplatte/Partition (Ausgangspost) hatte ich den alten Receyler-Ordner wohl auch vergessen zu löschen und es wohl erst unter Win7 gemacht.
Das dürfte erklären wieso dieser öminöse User dort auftaucht aber auf anderen Festplatte/Partitionen die zum Großteil auch schon schon unter XP existierten, aber nicht.

Jetzt versteh ich das ganze langsam dank deiner Erklärung und den Zusammenhang zwischen User ID und Receycler.
Thx Ecce Homo.

Was ich aber noch nicht ganz raff ist, wieso Win7 den Receyler Ordner mit meiner alten WinXP ID als User einträgt.
Ja es ist meine alte ID von XP. Soweit klar. Aber wieso ist das plötzlich ein User?

Edit @DK2000: Hatt sich zwar eigentlich erledigt denke ich, aber ja es funktioniert. Was hattest du für mich damit geplant?

Dieser Beitrag wurde von Ler-Khun bearbeitet: 23. Juli 2011 - 11:48

[DK2000]

Zitat (Ler-Khun: 23. Juli 2011 - 11:46)

Edit @DK2000: Hatt sich zwar eigentlich erledigt denke ich, aber ja es funktioniert. Was hattest du für mich damit geplant?

Wenn es läuft, kannst Du in der wmi Console (wmic:root\cli>) useraccount eingeben. Der listet dann alle Konten. In der Spalte SID sieht man dann auch die entsprechende SID zu den Konten.

Zitat (Ler-Khun: 23. Juli 2011 - 11:46)

Was ich aber noch nicht ganz raff ist, wieso Win7 den Receyler Ordner mit meiner alten WinXP ID als User einträgt. Ja es ist meine alte ID von XP. Soweit klar. Aber wieso ist das plötzlich ein User?

Und das verstehe ich jetzt nicht so ganz.

Der Ordner Receyler wird unter Windows 7 nicht mehr verwendet und kann gelöscht werden, sofern man keine XP/7 Dualboot Konfiguration verwendet. Windows 7 verwendet nur noch den Ordner $Recycle.Bin mit jeweils einem Unterordner pro Benutzer.

Dieser Beitrag wurde von DK2000 bearbeitet: 23. Juli 2011 - 12:04

[Ler-Khun]

Zitat (DK2000: 23. Juli 2011 - 12:00)

Wenn es läuft, kannst Du in der wmi Console (wmic:root\cli>) useraccount eingeben. Der listet dann alle Konten. In der Spalte SID sieht man dann auch die entsprechende SID zu den Konten.

Mhm schade. Etwas zu spät. Habe den Receycler Ordner mittlerweile gelöscht. Hätte mich mal interessiert ob und als was der aufgeführt wurden wäre.
Nun steht er nicht (nicht mehr?) drin.

Zitat (DK2000: 23. Juli 2011 - 12:00)

Und das verstehe ich jetzt nicht so ganz.

Der Ordner Receyler wird unter Windows 7 nicht mehr verwendet und kann gelöscht werden, sofern man keine XP/7 Dualboot Konfiguration verwendet. Windows 7 verwendet nur noch den Ordner $Recycle.Bin mit jeweils einem Unterordner pro Benutzer.

Ja schon komisch, gell.
Verwendet wird er vermutlich auch nicht mehr.
Hatte ihn halt schlichtweg vergessen zu löschen damals, was ich jetzt aber nachgeholt habe.

Nun ja, Problem ist gelöst, Ursache (fast) geklärt.
Danke für eure Hilfe.

[Ler-Khun]

Tja so einfach mit dem Löschen ist das wohl doch nicht.
Wenn ich versuche den User zu löschen, bekomme ich unten stehende Meldung.
Heft mir doch mal bitte. Wie habe ich jetzt genau vorzugehen?
Ich kenne mich mit den ganzen Berechtigungen und den Krams noch nicht aus. Ich habe kein Bedarf im Falle eines Fehlers hinterher evtl gar nicht mehr auf die Dateien zugreifen zu können.

Angehängte Miniaturbilder

•