Funktion und Inhalt des Schlüssels "UserAssist"

---

Hier finden Sie eine Beschreibung für die Einträge unterhalb des Schlüssel "UserAssist" in der Registry von Windows. Unterhalb dieses Schlüssels speichert Windows ab, welche Dateien über den Explorer, Favoriten oder das Startmenü geöffnet wurden und noch weitere Aktionen des Anwenders.

Diese Einträge werden von Windows benutzt, um die Listen für die zuletzt benutzen Programme erstellen zu können, usw.

 

Es ist mir nicht bekannt, dass diese Informationen automatisch an Microsoft verschickt werden.

 

Diese Informationen werden unterhalb des Registryeintrages abgelegt.:

 

[für den Anwender]

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ UserAssist

 

Dort finden Sie unterhalb des Schlüssels "UserAssist" entsprechende {UID} Schlüssel und unterhalb dieses Schlüssels den Schlüssel "Count".

 

Die {UID} haben dabei folgende Bedeutung:

 

UID	Bedeutung
{0D6D4F41-2994-4BA0-8FEF-620E43CD2812}	IE Microsoft Internet Toolbar
{5E6AB780-7743-11CF-A12B-00AA004AE837}	Microsoft Internet Toolbar
{75048700-EF1F-11D0-9888-006097DEACF9}	Active Desktop

 

Unterhalb von Count finden Sie jeweils Einträge, welche Programme oder Verknüpfungen über die das Startmenü, der Desktop, Explorer oder die Favoriten gestartet wurden.

 

Diese Einträge werden standardmäßig verschlüsselt gespeichert und sind deshalb direkt nicht lesbar. Für die Verschlüsselung benutzt Windows die "Caesar-Verschlüsselung". Dabei handelt es sich um eine einfache Text-Rotation, wo jeder Buchstabe einfach um eine bestimmte Anzahl Stellen nach links verschoben wird. Da Windows die Buchstaben um 13 Stellen verschiebt, bezeichnet man das auch als ROT 13 Verschlüsselung. Da das Alphabet aus 26 Buchstaben besteht, kann man durch eine einfach weitere Verschlüsselung wieder den Klartext erhalten. Bei der Verschlüsselung werden nur die 26 Buchstaben des Alphabets betrachtet, andere Zeichen wie Ziffern, Sonderzeichen oder Umlaute werden unverschlüsselt gespeichert.

 

So wird aus: "UEME_RUNPATH:D:\Daten\WinFAQ\WinFAQ.CHM" ► "HRZR_EHACNGU:Q:\Qngra\JvaSND\JvaSND.PUZ".

 

Einen Online Konverter für ROT 13 finden Sie hier: http://maettig.com/?page=PHP/ROT13_Converter

 

Nach dem Entschlüsseln beginnt jeder Eintrag mit einer Kategorie. Dabei gibt es hier folgende Kategorien:

 

Kategorie	Beschreibung
UEME_CTLSESSION	Meistens der erste Eintrag
UEME_RUNPIDL	Verweise auf lokale Dateien und Webseiten
UEME_RUNCPL	Einträge bei Aufrufen aus der Systemsteuerung (CPL - Control Panel Applet)
UEME_RUNPATH	Hier werden die aufgerufenen Anwendungen (*.EXE, *.COM, usw.) eingetragen.
UEME_UITOOLBAR	Einträge aus den Symbolleisten
UEME_RUNWMCMD	Einträge aus Ausführen
UEME_UIHOTKEY
UEME_CTLCUACount
UEME_UISCUT
UEME_UIQCUT

 

Als Wert für die Einträge sind dann( im hexadezimalen Format) Informationen wie hinterlegt.:

 

Einträge löschen

Sie können einzelne Einträge oder den ganzen Schlüssel "UserAssist" löschen. Der Schlüssel und neue Einträge werden anschließend wieder automatisch von Windows angelegt.

 

Öffnen Sie dafür Registry und gehen zum Schlüssel

Starten Sie den Registryeditor und ändern Sie in der Registry die Einträge wie beschrieben ab. Beachten Sie dazu bitte folgende Punkte: Aufbau der Registrydatenbank Wichtige Hinweise (Informationen zum Sichern der Registrydatenbank) Unterschiede zwischen Regedit und Regedt32 Aufrufen von REGEDIT.EXE (alle Betriebssysteme) oder REGEDT32.EXE (nur Windows NT/2000)   Wenn der Pfad zum Schlüssel nicht vorhanden ist, müssen Sie die nötigen Schlüssel selber hinzufügen. Rechtsklick auf den letzten Schlüssel (links im Tree) aus dem Kontextmenü "Neu" -> "Schlüssel" auswählen, und die fehlenden Schlüssel mit den angegebenen Namen anlegen.

 

 

[für den Anwender] 

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ UserAssist

 

Klicken Sie mit der rechten Maustaste auf den Schlüssel "UserAssist" und wählen Sie aus dem Kontextmenü den Eintrag "Löschen" aus.

 

Sie können die Einträge auch über folgende REG-Datei löschen:

=== Hier schneiden ===

REGEDIT4

 

[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist]

=== Hier schneiden ===

 

Speichern Sie den Text in einer Datei mit der Dateiendung .REG ab.

 

Wenn Sie die Datei jetzt mit einem Doppelklick im Explorer aufrufen, werden alle Einträge aus der Registry gelöscht. Automatisch kann man diese Datei auch über die Kommandozeile aufrufen: "REGEDIT /S <Dateiname>.reg". Dabei müssen Sie <Dateiname> natürlich durch den von ihnen gewählten Namen ersetzen.

 

In der .NET-Version vom RSW werden ungültige Einträge über den Registry-Cleaner automatisch gelöscht. Hier wird später auch noch eine Funktion eingebaut, wo man sich die Einträge entschlüsselt anschauen kann und dann die gespeichert Daten entschlüsselt angezeigt bekommt.

Protokollierung konfigurieren

Sie können über zwei Registryschlüssel die Protokollierung der Einstellung konfigurieren.

Über den Schlüssel "NoLog" können Sie die Protokollierung deaktivieren.( Wenn Sie den Wert auf 1 setzen, werden keine Aufzeichnungen mehr vorgenommen).

 

[für den Anwender] 

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ UserAssist\ Settings

 

Erstellen Sie hier einen neuen Wert mit dem Namen "NoLog" als Datentyp REG_DWORD und setzen den Wert auf:

 

0	Aufzeichnung ist aktiv (Standard).
1	Aufzeichnung ist ausgeschaltet.

 

Starten Sie den Rechner neu, damit diese Einstellung aktiviert wird.

 

Über den zweiten Eintrag "NoEncrypt" können Sie die Verschlüsselung der Einträge deaktivieren. Setzen Sie dazu den Wert auf 1 und starten anschließend den Rechner neu.

 

Die neuen Einträge werden jetzt nicht mehr ROT 13 verschlüsselt. Am Besten löschen Sie vorher alle vorhandenen Einträge aus der Registry.

 

[für den Anwender]

HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ Explorer\ UserAssist\ Settings

 

Erstellen Sie hier einen neuen Wert mit dem Namen "NoEncrypt" als Datentyp REG_DWORD und setzen den Wert auf:

 

0	Verschlüsselung ist aktiv (Standard).
1	Verschlüsselung ist ausgeschaltet.

 

Diese Einstellung können Sie einfach mit dem "Registry System Wizard" (RSW) verändern. Sie können das Programm unter "http://www.winfaq.de" herunterladen.

 

---