{"id":175798,"date":"2016-03-21T01:50:00","date_gmt":"2016-03-21T00:50:00","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=175798"},"modified":"2022-06-26T16:08:14","modified_gmt":"2022-06-26T14:08:14","slug":"ausgefhrte-programme-mit-executedprogramslist-abfragen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2016\/03\/21\/ausgefhrte-programme-mit-executedprogramslist-abfragen\/","title":{"rendered":"Ausgef&uuml;hrte Programme mit ExecutedProgramsList abfragen"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2013\/03\/winb.jpg\" width=\"58\" align=\"left\" height=\"58\"\/>Heute noch ein kleiner Tipp f\u00fcr Troubleshooter und Administratoren unter Windows. Bei Problemen, wo der Anwender sagt \"hab nix gemacht und nix ausgef\u00fchrt, ist einfach so gekommen\" ist es ganz n\u00fctzlich, die Liste der zuletzt ausgef\u00fchrten Programme einzusehen. <\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" alt=\"\" src=\"https:\/\/ssl-vg03.met.vgwort.de\/na\/f42f17cabac34296885008ee7d3054f0\" width=\"1\" height=\"1\"\/>Im Sinne \"Welche Daten speichert Windows und was k\u00f6nnten Dritte abfragen\" kommt als erstes die Erkenntnis \u2013 dass da jede gestartete Anwendung durch Windows protokolliert wird. Blogger-Kollege Martin Brinkmann hat das vor einem Jahr mal in <a href=\"http:\/\/www.ghacks.net\/2015\/01\/12\/list-all-recently-run-programs-on-a-windows-pc\/\" target=\"_blank\" rel=\"noopener\">diesem Beitrag<\/a> aufgedr\u00f6selt. Hier die von ihm zusammen getragene Auswahl an Registrierungsschl\u00fcsseln:<\/p>\n<ul>\n<li>HKEY_CURRENT_USER\\Software\\Classes\\Local Settings\\Software\\Microsoft\\Windows\\Shell\\MuiCache  <\/li>\n<li>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\ShellNoRoam\\MUICache  <\/li>\n<li>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\Compatibility Assistant\\Persisted  <\/li>\n<li>HKEY_CURRENT_USER\\Software\\Microsoft\\Windows NT\\CurrentVersion\\AppCompatFlags\\Compatibility Assistant\\Store<\/li>\n<\/ul>\n<p><a href=\"http:\/\/www.nextofwindows.com\/how-to-get-a-list-of-programs-previously-executed-on-your-computer\" target=\"_blank\" rel=\"noopener\">Dieser Artikel<\/a> und <a href=\"http:\/\/windowsir.blogspot.de\/2013\/07\/howto-determine-program-execution.html\" target=\"_blank\" rel=\"noopener\">dieser Beitrag<\/a> f\u00fchren ebenfalls die Schl\u00fcssel und Ordner auf \u2013 und <a href=\"http:\/\/superuser.com\/questions\/603226\/does-windows-log-programs-that-have-been-run-called\" target=\"_blank\" rel=\"noopener\">hier gibt es<\/a> eine weitere Diskussion, was man noch tun kann. In der Ereignisanzeige d\u00fcrfte sich noch viel mehr finden \u2013 und wer mal seine Ordner durchgeht, findet Leichen von l\u00e4ngst deinstallierten Programmen. <\/p>\n<h3>Einfach mal ExecutedProgramsList befragen<\/h3>\n<p>Statt aber jetzt m\u00fchsam in der Registrierung herumzuwurschteln, kann man sich das Leben auch einfacher machen. Ich hab es k\u00fcrzlich bei Wolfgang Sommergut <a href=\"https:\/\/www.windowspro.de\/tool\/alle-bisher-ausgefuehrten-programme-anzeigen-executedprogramslist\" target=\"_blank\" rel=\"noopener\">gesehen<\/a>, aber Martin Brinkmann hat es auch in seinem oben verlinkten Beitrag erw\u00e4hnt: Die Entwickler bei NirSoft haben ein nettes Tool ExecutedProgramsList geschrieben und bieten dieses zum <a href=\"http:\/\/www.nirsoft.net\/utils\/executed_programs_list.html\" target=\"_blank\" rel=\"noopener\">Gratis-Download<\/a> an. <\/p>\n<p>Das heruntergeladene Programm findet sich in einem ZIP-Archiv, und muss nur in einen lokalen Ordner entpackt werden. Dann reicht es, die Datei <em>ExecutedProgramsList.exe <\/em>aufzurufen und das Ganze per Benutzerkontensteuerung zu best\u00e4tigen. <\/p>\n<p><img decoding=\"async\" title=\"ExecutedProgramsList\" alt=\"ExecutedProgramsList\" src=\"https:\/\/i.imgur.com\/aMoWgv8.jpg\"\/><\/p>\n<p>Das Programm listet in einem Fenster die zuletzt ausgef\u00fchrten Anwendungen auf. Durch Klicken auf die Spaltenk\u00f6pfe l\u00e4sst sich die Liste nach diversen Kriterien sortieren. Zudem l\u00e4sst sich die Liste speichern und es gibt weitere Funktionen wie Kopieren von Eintr\u00e4gen. Bei Bedarf kann man auch Sprachdateien herunterladen, um die Oberfl\u00e4che in Deutsch anzuzeigen. Der Analyse, was da unter Windows gelaufen ist, steht also nichts mehr im Wege. <\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>Sysinternals: neue Version vom 2. Februar 2016<br \/>Sysinternals-Updates f\u00fcr Autoruns, Process Explorer etc.<br \/>Neu: Sysinternals-Tool Sysmon zeigt Angriffsspuren<br \/><a href=\"https:\/\/borncity.com\/blog\/2010\/09\/26\/vmlitevirtualbox-und-der-usb-support\/\">VMLite\/VirtualBox und der USB-Support<\/a> (PSExec)<br \/><a href=\"https:\/\/borncity.com\/blog\/2015\/11\/05\/windows-10-reparaturtool-fixwin-10\/\">Windows 10-Reparaturtool FixWin 10<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2016\/01\/09\/tool-foldersecurityviewer-berprft-windows-freigaben\/\">Tool: FolderSecurityViewer \u00fcberpr\u00fcft Windows-Freigaben<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2016\/01\/21\/windows-10-tool-tipp-upgradeblocker-2-2\/\">Windows 10: Tool-Tipp Upgradeblocker 2.2<\/a><br \/><a href=\"https:\/\/borncity.com\/blog\/2016\/01\/27\/neues-microsoft-testtool-policy-analyzer\/\">Neues Microsoft Testtool: Policy Analyzer<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Heute noch ein kleiner Tipp f\u00fcr Troubleshooter und Administratoren unter Windows. Bei Problemen, wo der Anwender sagt \"hab nix gemacht und nix ausgef\u00fchrt, ist einfach so gekommen\" ist es ganz n\u00fctzlich, die Liste der zuletzt ausgef\u00fchrten Programme einzusehen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[143,3694,2557],"tags":[4884,4351,4325],"class_list":["post-175798","post","type-post","status-publish","format-standard","hentry","category-tipps","category-windows-10","category-windows-server","tag-executedprogramslist","tag-tipp","tag-windows"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/175798","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=175798"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/175798\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=175798"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=175798"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=175798"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}