Spook Account/vreemd account

[Babet]

Beste helper,

Ik heb een vraag.
Sinds een paar weken heb ik een extra account op mijn computer staan, welke ik niet blijvend weg krijg.
Het account heet: hqngmhhfhele
Als ik in mijn configuratiescherm het account verwijder, dan is hij weg, maar de volgende dag staat hij er gewoon weer tussen.

In het begin kon ik het account niet verwijderen, omdat hij toen aangaf dat hij in gebruik was. Ik ben toen naar het account toe gegaan (hij ziet er hetzelfde uit als mijn eigen account) en heb het vreemde account afgemeld. Daarna kon ik het account wel verwijderen, maar hij blijft toch steeds weer terug komen.

Hoe kom ik van dit vreemde account af?

Alvast bedankt voor de hulp!
Babet

 

[snijworst]

Hoi en welkom op Helpmij.nl

Heb je al eens een uitgebreide virusscan gedaan?

Download en/of update je virusscanner, MBAM en SuperAntiSpyware en laat ze één voor één je pc nalopen.

 

[Babet]

Beste Snijworst (hihi)

Bedankt voor je reactie.
Ik heb al wel de anti-virusscan Malwarebytes Anti-Malware erop losgelaten, maar deze had niets gevonden. Ik zal die van jou er ook op loslaten en laten weten of het gewerkt heeft. Dit zal morgen pas zijn, omdat het account de volgende dag er pas weer bij staat en niet gelijk als ik mijn computer opnieuw opstart.

wordt vervolgd...

Beste Snijworst,

Ik heb de scan uitgevoerd, maar het spook account staat er nog steeds op. Heb je nog een andere tip?

 

[dnties]

Nog een paar scans die je kunt doen:
Junkware Removal Tool
en (daarna)
AdwCleaner

Overigens ben ik benieuwd naar het volgende (als bovengenoemde scans en fixes geen resultaat opleveren):
Open een CMD.EXE venster "Als Administrator uitvoeren"
In het CMD-venster:
net user hqngmhhfhele > hqngmhhfhele.txt & notepad hqngmhhfhele.txt

Post de informatie van het geopende hqngmhhfhele.txt bestand hier.
Kunnen we meteen zien of en wanneer erop wordt ingelogd, aanmaaktijd etc.
Mogelijk geeft dat aan jou dan weer een hint (vooral de tijdstippen) door welk programma etc. die gebruiker wordt gemaakt.

PS: Ik ga er hier vanuit dat je NIET Office 2010 Starter versie (of een andere Starter versie van Office) hebt, want mogelijk heeft dat account daar dan mee te maken (* gokje van mijn kant *).
Kun je checken via appwiz.cpl

Tijs.

 

[Woordvoerder]

Babet,

Je zit niet op een domein of iets dergelijke zo niet doen dan het volgende,

Gebruik je Eset ???
http://kb.eset.com/esetkb/index?page=content&id=SOLN3158

Zo niet dan kun je dit nog proberen.

Start je computer op in veilige modus, bij het opstarten de knop F8 achter elkaar te drukken.
Zodra het opgestart is druk je op de Windows toets en R tegelijk
Hier vul je control userpasswords2
Je krijgt een scherm te zien met gebruikers.
Kies de account en klik op verwijderen.

Als dit niet werkt kun je overwegen om de standaard account te verwijderen.
Dan moet je eerst een nieuwe gebruiker aanmaken met administratie rechten.
Vervolgens via dat account de standaard account verwijderen.

 

[dnties]

@Woordvoerder: Het tweede deel van je vraag lijkt me
1. Zinloos
2. "Gevaarlijk"

Waarom zou Babet haar standaard account moeten weggooien? Daarmee is ze ook de toegang tot haar bestanden/mail kwijt etc.(!)
Betere suggestie zou zijn om een nieuw account te laten aanmaken met administratorrechten, daar op in te loggen en dan puur dat account twee dagen te gebruiken (incl. het verwijderen van het hqngmhhfhele account) en te kijken of op dag 2 dat hqngmhhfhele account weer teruggekomen is.
Indien het account hqngmhhfhele NIET terugkomt, dan zal Babet in haar 'normale' account blijkbaar iets specifieks staan (bijv. automatisch mee opstartend) die dat hqngmhhfhele account maakt.
Indien het hqngmhhfhele account wel terugkomt, dan zal er een computerglobaal automatisch startend programma/service zijn die dat hqngmhhfhele aanmaakt.

Daarna kan gewoon weer het hoofdaccount gebruikt worden.
Linksom of rechtsom moet (wat mij betreft) het hoofdaccount gewoon blijven bestaan!

Tijs.

 

[Woordvoerder]

@dnties,

Ik heb nooit gezegd dat haar account verwijderd moest worden.
De "standaard account", ik weet niet als er meerdere accounts op deze computer staan.

Maar misschien een te kort uitgelegd, excuus hiervoor.

 

[pcfreak1997]

beste babet,

welke merk is jou pc?

 

[Babet]

Bedankt voor jullie reacties allemaal!
Ik ben niet zo snel met alles uitproberen en scannen...

Wat antwoorden op jullie vragen van mijn kant:

pcfreak1997
welke merk is jou pc? Samsung
dnties
Nog een paar scans die je kunt doen:
Junkware Removal Tool
en (daarna)
AdwCleaner

Heeft niet geholpen helaas...

Overigens ben ik benieuwd naar het volgende (als bovengenoemde scans en fixes geen resultaat opleveren):
Open een CMD.EXE venster "Als Administrator uitvoeren"
In het CMD-venster:
net user hqngmhhfhele > hqngmhhfhele.txt & notepad hqngmhhfhele.txt

Gebruikersnaam hqngmhhfhele
Volledige naam hqngmhhfhele
Opmerking
Opmerking van gebruiker
Landcode 000 (Systeemstandaard)
Account actief Ja
Account verloopt Nooit

Wachtwoord voor het laatst ingesteld 19-3-2015 19:55:10
Wachtwoord verloopt Nooit
Wachtwoord mag worden gewijzigd 19-3-2015 19:55:10
Wachtwoord vereist Ja
Gebruiker mag wachtwoord wijzigen Nee

Werkstations toegestaan Alle
Aanmeldingsscript
Gebruikersprofiel
Basismap
Meest recente aanmelding Nooit

Toegestane aanmeldingstijden Alle

Lidmaatschap lokale groep *Gebruikers
Lidmaatschap globale groep *None
De opdracht is voltooid.


PS: Ik ga er hier vanuit dat je NIET Office 2010 Starter versie (of een andere Starter versie van Office) hebt, want mogelijk heeft dat account daar dan mee te maken (* gokje van mijn kant *).
Kun je checken via appwiz.cpl

Ik heb Office 2007

Woordvoerder
Ik gebruik Eset
Hier heb ik ook een extra (spook)account van, maar deze is mij bekend, dus geen probleem mee

 

[Babet]

Nog een kleine toelichting op het CMD.exe bestand (of hoe je dat noemt).
Ik heb gisteren middag mijn wachtwoord veranderd om in te loggen op mijn eigen account. Hier staat dat er gisteren avond een opdracht is gegeven om een wachtwoord te wijzigen... Vreemd???

 

[dnties]

Wachtwoord voor het laatst ingesteld 19-3-2015 19:55:10

Heeft dus niets te maken met je eigen wachtwoord-wissel gistermiddag.
Wél is interessant wat je gisterenavond om 19:55 had gestart, want mijn inschatting is dat precies op dat moment dat account is aangemaakt.

Overigens heeft dat account geen administrator-rechten, zo blijkt uit de lidmaatschappen, dus dat scheelt weer.

Tijs.

 

[dnties]

Even nog een toevoeging: Je zou in Logboeken (= eventvwr.exe ) moeten kunnen zien wanneer het account is aangemaakt (nogmaals: Grote kans dat dat gewoon gisteren 19:55 is).

Kijk in Windows Logboeken -> Beveiliging
In Windows 7 zijn die events gelogd met een id 4720

Zie bijlage, waar ik het account "prutswerk" heb aangemaakt om mijn verhaal van hierboven te illustreren.

Tijs.

 

[Babet]

Beste Tijs,

Ik heb ik die lijst geen 4720 staan...

Of moet ik dit doen in het spookaccount?

 

[dnties]

Loop in het Beveiliging logboek, gisteren rondom 19:55, de logboekingangen na.
Ik vermoed dat daar dan (desnoods onder een ander id dan bij mij) het aanmaken van het account staat.

Tijs.

 

[Babet]

Hoi Tijs,

Ik krijg alleen een lijst te zien van vandaag van 13:02 tot 14:27. Voor de rest niet...

 

[dnties]

Je zult wel CCleaner of een ander cleaning programma hebben die automatisch (bijv. bij opstarten van de pc of bij jouw inloggen) het logboek wist.
Ik neem aan dat het Toepassing logboeken en het Systeem logboek dan ook starten vanaf vandaag 13:02 (of rond die tijd).

Andere optie (onwaarschijnlijker) is dat malware je logboeken elke dag wist.

Tijs.

 

[Babet]

Dat denk ik ook, omdat ik alles allen op vandaag tussen 13 en 14 uur tegen kom en niet eerder.

Het enige waar ik gisteren avond nog op gezeten heb is Facebook en kaartjes gekocht voor de film en meer niet. Ik denk niet dat hier iets heel raars aan is toch?!

Over dat laatste gesproken; die film gaat zo beginnen, dus ik ga vanavond weer verder met zoeken en ik hoop op nog een gouden tip...

Ik ga het account er nu wel afhalen en kijken of hij er straks weer bij staat...

Wordt vervolgd...

Tot zover bedankt voor jullie hulp!

 

[Babet]

Hoi!

Hij staat er nog steeds bij, dus probleem is nog niet opgelost.

Iemand nog een idee?

Groetjes Babet