Управляем учетными данными с помощью Credential Manager
О функциях резервного копирования, восстановления, удаления и изменения учетных данных
В операционных системах Windows 7 и Windows 8.x диспетчер учетных данных Credential Manager предоставляет весьма полезные функции резервного копирования, восстановления, удаления и изменения учетных данных для повседневно используемых учетных записей. Credential Manager находится на панели управления Windows. Для доступа к нему откройте панель управления и наберите в строке поиска Credential Manager. Затем выберите тип учетных данных, которыми нужно управлять, для Интернета или Windows.
Управление учетными данными Windows
Для управления учетными данными Windows выберите один из элементов в списке и разверните его. Отсюда можно изменить или удалить элемент (см. экран).
Если выбрать команду Edit («Редактировать»), можно изменить имя пользователя и пароль.
Помните, что Credential Manager зависит от работы компьютера, поэтому обязательно воспользуйтесь функцией резервного копирования, чтобы сохранить текущие учетные данные в случае отказа устройства. Просто выберите соответствующую команду и укажите место для хранения резервной копии. После того как резервное копирование будет завершено, сохраните файл в надежном месте. Процедура восстановления также довольно проста: выберите команду Restore и укажите сохраненный ранее файл.
Управление учетными данными для Интернета
Credential Manager обеспечивает хранение учетных данных для Интернета. Каждый раз, когда вы посещаете тот или иной веб-сайт и создаете имя пользователи и пароль, эта информация сохраняется в хранилище Windows. В браузере IE11 эти учетные данные синхронизируются с Windows 8.x и Windows Phone 8.1, что обеспечивает безупречную работу с браузером на всех компьютерах и устройствах.
Учетные данные для Интернета можно изменять и удалять, но с помощью Credential Manager можно увидеть и забытый пароль веб-сайта. Чтобы просмотреть пароль для определенного веб-сайта, найдите его в списке учетных данных для Интернета, разверните элемент и щелкните пункт Show («Показать») рядом с полем пароля. Будет создан запрос пароля Windows для проверки прав доступа, а затем пароль отображается непосредственно на экране Web Credentials.
Другой вариант: IE11 предоставляет доступ только к функции удаления учетных данных веб-сайта, но не позволяет увидеть забытые пароли. В этом случае, чтобы посмотреть пароль, необходимо использовать Credential Manager на панели управления.
Для доступа к учетным данным для Интернета в интерфейсе пользователя Windows 8.x браузера IE11 выполните прокрутку право, нажмите чудо-кнопку «Параметры», а затем выберите Accounts («Учетные записи»).
Поделитесь материалом с коллегами и друзьями
Хакер попался. Захватил все устройства в доме и не только
Оставил свои скриптанутые копии на всех моих аккаунтах. Восстанавливается при помощи поддельных или старых сертификатов до мая 2019. Bios не ругается антивирус не видит. Подхватил путем прошивки Avast Free заменой файла в корне, и установкой Sticky Patcher по тому же принципу.
Получается как, я сношу windows (Win 10 Pro на Msi click 5 и Win 7 на Phoenix AwardBios), ставлю по правилам с флэшки новую, его нет. захожу в Майкрософт он сразу синхронизирует, хотя я отключал. Не могу пользоваться интернетом, в своих целях. Если что то качаю перенаправляет на скачивание 1в1 проги но под его контролем. И сейчас пишу под наблюдением со рандомно созданной почты, отправится нет не знаю, но я уже «надоел»ся.
В браузерах регистрируется с моей почтой но под своими паролями. С них выгружается когда я восстанавливаю по дурости. Tor browser никуда не пускает потому что видит у меня в багаже 3 строчки кода +- такого: «Ð”обро пожаловать»
С мобилами та же дичь, только там простора побольше, откатывается из облаков гугла, мегафона, ми аккаунтов. Wipe data попросту невозможен ни на одном из 3х устройств. На Xiaomi доходит до 3х% и сброс, на zte и lenova говорит что сбросил но удаляет только мои приложения, оставляя те что были до его появления, в которых он видит пользу.
Когда захожу под своим профилем первые пару раз пускает, потом показывает липовое сообщение мол ввел неправильно, чтобы поменял. После нет доступа и вовсе, аккаунты вроде как отбил, но это не точно. Крайний жесткий диск уже им засран.
Установочные флэшки после непосредственного контакта переписывает так чтобы загружаться из bootX:. Если выставить все правильно то винду с чистой флэшки на чистый диск можно установить, но попытка одна. Друзей уже «надоел» конкретно, помогать отказываются, хотел восстановиться из облака, да неоткуда там зарегистрироваться. Попросил девушку, давал инструкции разговаривая по телефону. Она инет на нубук давала с него же. По итогу так и не смогли, он ее вычислил и на заполнении форм выдавал всевозможные ошибки. С iPhone 8 сделали за 5 минут.
Надеюсь найдутся люди способные помочь или как то облегчить положение. Если у кого есть образ системы в облаке, ДАЙТЕ ПОГОНЯТЬ ПЛИЗ))))) Незнаю уж как получится нет, но пока что вариант только такой(((
Сейчас в проводнике увидел: «Последние файлы:@AdvancedKeySettingsNotification@» Черный ярлык.
Добавлено через 40 минут
Check Browsers’ LNK by Alex Dragokas & regist ver. 2.2.0.36
* Подозрительные объекты будут отмечены префиксом >>>
[_________________________ Цель не существует __________________________]
[___________________________ Скрытые ярлыки ____________________________]
[____________________ Статистика ___________________]
Добавлено через 5 минут
Logfile of HiJackThis Fork by Alex Dragokas v.2.9.0.28
Edge: 11.0.19041.264
Internet Explorer: 11.0.19041.1
Default: «C:\WINDOWS\system32\LaunchWinApp.exe» «%1» (Microsoft Edge)
Running processes:
Number | Path
При запуске системы отключаются все USB-устройства, в т.ч. устройства ввода
При запуске видовс 8 появляется экран выбора учетки и сразу отключаются клавиатура и мышь, они.
Попался на TreyIt!
Стандартная папка с блокнотом с инструкцией об удалении. Для удаление этой папки вам.
Getsearch попался
В хром пробрался и основательно обосновался, прикрыл себя защитой админа.
0x33C08ED0BC007C8EC08ED8BE007CBF0006B90002FCF3A450681C06CBFB B90400BDBE07807E00007C0B0F850E0183C510E2F1CD1888560055C64611 05C6461000B441BBAA55CD135D720F81FB55AA7509F7C101007403FE4610 6660807E1000742666680000000066FF760868000068007C680100681000 B4428A56008BF4CD139F83C4109EEB14B80102BB007C8A56008A76018A4E 028A6E03CD136661731CFE4E11750C807E00800F848A00B280EB845532E4 8A5600CD135DEB9E813EFE7D55AA756EFF7600E88D007517FAB0D1E664E8 8300B0DFE660E87C00B0FFE664E87500FBB800BBCD1A6623C0753B6681FB 54435041753281F90201722C666807BB0000666800020000666808000000 6653665366556668000000006668007C0000666168000007CD1A5A32F6EA 007C0000CD18A0B707EB08A0B607EB03A0B50732E40500078BF0AC3C0074 09BB0700B40ECD10EBF2F4EBFD2BC9E464EB002402E0F82402C3496E7661 6C696420706172746974696F6E207461626C65004572726F72206C6F6164 696E67206F7065726174696E672073797374656D004D697373696E67206F 7065726174696E672073797374656D000000637B9A000000000000000002 00EEFEBF0001000000FFFFFFFF0000000000000000000000000000000000 000000000000000000000000000000000000000000000000000000000000 0055AA
====== Список установленных программ ======
Microsoft OneDrive [2020/09/06 12:08:09]—>C:\Users\MMMeeeZZZ\AppData\Local\Microsoft\OneDrive\20.134. 0705.0008\OneDriveSetup.exe /uninstall
====== Журнал событий «Система» ======
Имя компьютера: DESKTOP-MUJJM5I
Код события: 7011
Сообщение: Превышение времени ожидания (30000 мс) при ожидании ответа транзакции от службы «RtkAudioUniversalService».
Номер записи: 442
Источник: Service Control Manager
Время записи: 20200906111818.640161-000
Тип события: Ошибка
Пользователь:
Имя компьютера: DESKTOP-MUJJM5I
Код события: 10016
Сообщение: Параметры разрешений по умолчанию для компьютера не дают разрешения Локально Активация для приложения COM-сервера с CLSID
и APPID
<316CDED5-E4AE-4B15-9113-7055D84DCC97>
пользователю DESKTOP-MUJJM5I\MMMeeeZZZ с ИД безопасности (S-1-5-21-2860071477-255090045-3195764276-1001) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Microsoft.Windows.ShellExperienceHost_10.0.19041.1_neutral_n eutral_cw5n1h2txyewy с ИД безопасности (S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
Номер записи: 441
Источник: Microsoft-Windows-DistributedCOM
Время записи: 20200906111604.618533-000
Тип события: Предупреждение
Пользователь: DESKTOP-MUJJM5I\MMMeeeZZZ
Имя компьютера: DESKTOP-MUJJM5I
Код события: 7011
Сообщение: Превышение времени ожидания (30000 мс) при ожидании ответа транзакции от службы «RtkAudioUniversalService».
Номер записи: 438
Источник: Service Control Manager
Время записи: 20200906110642.279069-000
Тип события: Ошибка
Пользователь:
Имя компьютера: DESKTOP-MUJJM5I
Код события: 7011
Сообщение: Превышение времени ожидания (30000 мс) при ожидании ответа транзакции от службы «RtkAudioUniversalService».
Номер записи: 432
Источник: Service Control Manager
Время записи: 20200906104545.661350-000
Тип события: Ошибка
Пользователь:
Имя компьютера: DESKTOP-MUJJM5I
Код события: 10016
Сообщение: Параметры разрешений для конкретного приложения не дают разрешения Локально Запуск для приложения COM-сервера с CLSID
Windows.SecurityCenter.SecurityAppBroker
и APPID
Недоступно
пользователю NT AUTHORITY\СИСТЕМА с ИД безопасности (S-1-5-18) и адресом LocalHost (с использованием LRPC), выполняемого в контейнере приложения Недоступно с ИД безопасности (Недоступно). Это разрешение безопасности можно изменить с помощью средства администрирования служб компонентов.
Номер записи: 429
Источник: Microsoft-Windows-DistributedCOM
Время записи: 20200906104345.416893-000
Тип события: Предупреждение
Пользователь: NT AUTHORITY\СИСТЕМА
====== Журнал событий «Приложения» ======
Имя компьютера: DESKTOP-MUJJM5I
Код события: 8198
Сообщение: Сбой активации лицензий (slui.exe) со следующим кодом ошибки:
hr=0x803F7001
Аргументы командной строки:
RuleId=31e71c49-8da7-4a2f-ad92-45d98a1c79ba;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=4de7cb65-cdf1-4de9-8ae8-e3cce27b9f2c;NotificationInterval=1440;Trigger=NetworkAvaila ble
Номер записи: 489
Источник: Microsoft-Windows-Security-SPP
Время записи: 20200906110641.544621-000
Тип события: Ошибка
Пользователь:
Имя компьютера: DESKTOP-MUJJM5I
Код события: 8198
Сообщение: Сбой активации лицензий (slui.exe) со следующим кодом ошибки:
hr=0x803F7001
Аргументы командной строки:
RuleId=31e71c49-8da7-4a2f-ad92-45d98a1c79ba;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=4de7cb65-cdf1-4de9-8ae8-e3cce27b9f2c;NotificationInterval=1440;Trigger=NetworkAvaila ble
Номер записи: 476
Источник: Microsoft-Windows-Security-SPP
Время записи: 20200906110554.489807-000
Тип события: Ошибка
Пользователь:
Имя компьютера: DESKTOP-MUJJM5I
Код события: 1000
Сообщение: Имя сбойного приложения: HiJackThis.exe, версия: 2.9.0.28, метка времени: 0x5f4e7ee2
Имя сбойного модуля: ntdll.dll, версия: 10.0.19041.207, метка времени: 0x1bdbc4b8
Код исключения: 0xc0000005
Смещение ошибки: 0x000488dd
Идентификатор сбойного процесса: 0x1d78
Время запуска сбойного приложения: 0x01d6843a92be24dc
Путь сбойного приложения: C:\Users\MMMeeeZZZ\Новая папка\AutoLogger-test\AutoLogger\HiJackThis\HiJackThis.exe
Путь сбойного модуля: C:\WINDOWS\SYSTEM32\ntdll.dll
Идентификатор отчета: da581042-74e1-44a1-98e6-9b3da0f20fc7
Полное имя сбойного пакета:
Код приложения, связанного со сбойным пакетом:
Номер записи: 459
Источник: Application Error
Время записи: 20200906104540.270354-000
Тип события: Ошибка
Пользователь:
Имя компьютера: DESKTOP-MUJJM5I
Код события: 1000
Сообщение: Имя сбойного приложения: HiJackThis.exe, версия: 2.9.0.28, метка времени: 0x5b7e5787
Имя сбойного модуля: MSVBVM60.DLL, версия: 6.0.98.15, метка времени: 0x49b01fc3
Код исключения: 0xc0000005
Смещение ошибки: 0x0000ae87
Идентификатор сбойного процесса: 0x1904
Время запуска сбойного приложения: 0x01d6843ac42820f3
Путь сбойного приложения: C:\Users\MMMeeeZZZ\Новая папка\AutoLogger-test\AutoLogger\HiJackThis\HiJackThis.exe
Путь сбойного модуля: C:\WINDOWS\SYSTEM32\MSVBVM60.DLL
Идентификатор отчета: 37e52068-99d2-4377-95a1-336fe0a094a3
Полное имя сбойного пакета:
Код приложения, связанного со сбойным пакетом:
Номер записи: 456
Источник: Application Error
Время записи: 20200906104503.401037-000
Тип события: Ошибка
Пользователь:
Имя компьютера: DESKTOP-MUJJM5I
Код события: 1000
Сообщение: Имя сбойного приложения: HiJackThis.exe, версия: 2.9.0.28, метка времени: 0x5b7e5787
Имя сбойного модуля: HiJackThis.exe, версия: 2.9.0.28, метка времени: 0x5b7e5787
Код исключения: 0xc00001a5
Смещение ошибки: 0x00006ab0
Идентификатор сбойного процесса: 0x1904
Время запуска сбойного приложения: 0x01d6843ac42820f3
Путь сбойного приложения: C:\Users\MMMeeeZZZ\Новая папка\AutoLogger-test\AutoLogger\HiJackThis\HiJackThis.exe
Путь сбойного модуля: C:\Users\MMMeeeZZZ\Новая папка\AutoLogger-test\AutoLogger\HiJackThis\HiJackThis.exe
Идентификатор отчета: b1965e2d-27af-4a02-94f3-70e085bda0b9
Полное имя сбойного пакета:
Код приложения, связанного со сбойным пакетом:
Номер записи: 455
Источник: Application Error
Время записи: 20200906104501.103997-000
Тип события: Ошибка
Пользователь:
====== Журнал событий «Безопасность» ======
Имя компьютера: DESKTOP-MUJJM5I
Код события: 4672
Сообщение: Новому сеансу входа назначены специальные привилегии.
Субъект:
ИД безопасности: S-1-5-18
Имя учетной записи: СИСТЕМА
Домен учетной записи: NT AUTHORITY
Код входа: 0x3E7
Привилегии: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege
Номер записи: 3245
Источник: Microsoft-Windows-Security-Auditing
Время записи: 20200906112051.403124-000
Тип события: Аудит успеха
Пользователь:
Имя компьютера: DESKTOP-MUJJM5I
Код события: 4624
Сообщение: Вход в учетную запись выполнен успешно.
Субъект:
ИД безопасности: S-1-5-18
Имя учетной записи: DESKTOP-MUJJM5I$
Домен учетной записи: WORKGROUP
ИД входа: 0x3E7
Уровень олицетворения: Олицетворение
Сведения о процессе:
ИД процесса: 0x384
Имя процесса: C:\Windows\System32\services.exe
Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ.
Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле «Тип входа» указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).
Поля «Новый вход» указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход.
В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поле «Уровень олицетворения» задает допустимую степень олицетворения для процессов в данном сеансе входа.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
— GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
— В поле «Промежуточные службы» указано, какие промежуточные службы участвовали в данном запросе на вход.
— Поле «Имя пакета» указывает на подпротокол, использованный с протоколами NTLM.
— В поле «Длина ключа» указывается длина созданного ключа сеанса. Это поле может иметь значение «0», если ключ сеанса не запрашивался.
Номер записи: 3244
Источник: Microsoft-Windows-Security-Auditing
Время записи: 20200906112051.403112-000
Тип события: Аудит успеха
Пользователь:
Имя компьютера: DESKTOP-MUJJM5I
Код события: 4672
Сообщение: Новому сеансу входа назначены специальные привилегии.
Субъект:
ИД безопасности: S-1-5-18
Имя учетной записи: СИСТЕМА
Домен учетной записи: NT AUTHORITY
Код входа: 0x3E7
Привилегии: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege
Номер записи: 3243
Источник: Microsoft-Windows-Security-Auditing
Время записи: 20200906111555.713337-000
Тип события: Аудит успеха
Пользователь:
Имя компьютера: DESKTOP-MUJJM5I
Код события: 4624
Сообщение: Вход в учетную запись выполнен успешно.
Субъект:
ИД безопасности: S-1-5-18
Имя учетной записи: DESKTOP-MUJJM5I$
Домен учетной записи: WORKGROUP
ИД входа: 0x3E7
Уровень олицетворения: Олицетворение
Сведения о процессе:
ИД процесса: 0x384
Имя процесса: C:\Windows\System32\services.exe
Данное событие возникает при создании сеанса входа. Оно создается на компьютере, к которому был установлен доступ.
Поля «Субъект» указывают на учетную запись локальной системы, запросившую вход. Обычно это служба, например служба «Сервер», или локальный процесс, такой как Winlogon.exe или Services.exe.
В поле «Тип входа» указан тип выполненного входа. Самыми распространенными являются типы 2 (интерактивный) и 3 (сетевой).
Поля «Новый вход» указывают на учетную запись, для которой создан новый сеанс входа, то есть на учетную запись, в которую выполнен вход.
В полях, которые относятся к сети, указан источник запроса на удаленный вход. Имя рабочей станции доступно не всегда, и в некоторых случаях это поле может оставаться незаполненным.
Поле «Уровень олицетворения» задает допустимую степень олицетворения для процессов в данном сеансе входа.
Поля сведений о проверке подлинности содержат подробные данные о конкретном запросе на вход.
— GUID входа — это уникальный идентификатор, который позволяет сопоставить данное событие с событием KDC.
— В поле «Промежуточные службы» указано, какие промежуточные службы участвовали в данном запросе на вход.
— Поле «Имя пакета» указывает на подпротокол, использованный с протоколами NTLM.
— В поле «Длина ключа» указывается длина созданного ключа сеанса. Это поле может иметь значение «0», если ключ сеанса не запрашивался.
Номер записи: 3242
Источник: Microsoft-Windows-Security-Auditing
Время записи: 20200906111555.713329-000
Тип события: Аудит успеха
Пользователь:
Имя компьютера: DESKTOP-MUJJM5I
Код события: 4672
Сообщение: Новому сеансу входа назначены специальные привилегии.
Субъект:
ИД безопасности: S-1-5-18
Имя учетной записи: СИСТЕМА
Домен учетной записи: NT AUTHORITY
Код входа: 0x3E7
Привилегии: SeAssignPrimaryTokenPrivilege
SeTcbPrivilege
SeSecurityPrivilege
SeTakeOwnershipPrivilege
SeLoadDriverPrivilege
SeBackupPrivilege
SeRestorePrivilege
SeDebugPrivilege
SeAuditPrivilege
SeSystemEnvironmentPrivilege
SeImpersonatePrivilege
SeDelegateSessionUserImpersonatePrivilege
Номер записи: 3241
Источник: Microsoft-Windows-Security-Auditing
Время записи: 20200906111550.223016-000
Тип события: Аудит успеха
Пользователь:
====== Переменные среды ======
Лог утилиты random’s system information tool 1.16(автор: random/random)
Run by MMMeeeZZZ at 2020-09-06 14:20:16
Майкрософт Windows 10 Pro
Системный раздел C: размер 1883 GB (99%) Свободно 1907 GB
Total RAM: 6092 MB (53% free)
X64
Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 13:24:50, on 06.09.2020
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.19041.0001)
Credential Enrollment Manager – what is this service?
Credential Enrollment Manager Service is a system service that is present in the late editions of Windows 10. In Task Manager, this service is presented with credentialenrollmentmanager.exe process. In this article, I will explain the task carried by that process, and also show you why it is vulnerable to malware attacks.
Why does Windows 10 need the Credential Enrollment Manager?
This process is called only when you are requesting some credentials from the internal keychain. Windows is capable of keeping the logins and passwords you used in Windows apps. If you use Edge as your web browser and log into Gmail, the browser will offer you to save the login and password. At the moment when you confirm this action, the Credential Enrollment Manager is called.
The OS will perform the calling operation when you will try to log into this account again. Windows will call this process, it will find the credentials for this website, and paste them into a login form. Operating system needs a separate service because of an ecosystem of applications created inside of Windows.
Credential Enrollment Manager file in folder
Can I disable Credential Enrollment Manager service?
There is no need to stop it, since it is inactive for the majority of time. As I have mentioned before, system calls for this service only when it is needed to get or receive the credentials. And even in these small periods of time Credential Enrollment Manager consumes literally nothing. Meanwhile, its disabling may cause different problems if you use applications from the Microsoft ecosystem.
The cases when you can disable several processes in Windows to increase the system performance was in early 00s. When Windows XP was the last actual OS version, computers were quite weak, and their upgrade was quite expensive, disabling several services could really make your PC faster without any significant problems. Nowadays, such tricks can make things even worse.
How can I understand that this process is a virus?
No one can be sure that tomorrow the developers of some trojan virus will not decide to name the process of their virus as credentialenrollmentmanager.exe. So, if you have some suspicions, it is better to scan your PC with anti-malware software. My choice for malware detection and removal is GridinSoft Anti-Malware.
Removing the viruses with GridinSoft Anti-Malware
Frequently Asked Questions
Can I just delete the process from the root directory?
No. In case if the process belongs to the legitimate system element, you will not be able to edit the root directory of the system, where it is stored, without granting yourself permission for this action.
Is it possible to decrease the hardware consumption of this process?
That process consumes literally nothing, so you will likely see no occasions when there is a need to make it less greedy with resources. However, if you see that it takes more than 20-30% of your CPU and the same amount of RAM, it is likely a virus. Perform the guide I wrote above.
How can I know this process is malicious without checking its root directory?
As was mentioned in the previous question, the CPU/RAM consumption of the original process is very low. So, the Credential Enrollment Manager process that uses a lot of hardware capacity is definitely a virus. Another way to understand that this process belongs to a malicious program is its location inside of the Process Explorer. System processes are listed in the corresponding thread, so that process’ application among the user’s background processes is a sign of malware presence.
