Jump List Parser
Zurück zum Blog

Wie man Windows Jump Lists leert oder löscht

2026-05-254 Min. Lesezeit

Drei Wege dazu: der Einstellungs-Schalter, die Dateien direkt zu löschen oder die Funktion per Richtlinie zu deaktivieren. Alle drei entfernen, was der Benutzer in der Taskleiste sieht. Keiner entfernt die Spur. Wenn Sie hierher gekommen sind, um Ihren Verlauf zu bereinigen, bevor Sie ein Laptop zurückgeben, lesen Sie zuerst den letzten Abschnitt.

Über die Einstellungen leeren (Win 10 / 11)

Einstellungen → Personalisierung → Start → schalten Sie "Zuletzt verwendete Elemente in Sprunglisten in Start, Sprunglisten und im Datei-Explorer anzeigen" aus. Windows blendet die zuletzt verwendeten Elemente in der Taskleiste und im Startmenü aus. Bei den meisten Builds werden außerdem die vorhandenen *.automaticDestinations-ms- und *.customDestinations-ms-Dateien in AppData\Roaming\Microsoft\Windows\Recent\ gelöscht. Bei wenigen älteren Builds werden sie nur ausgeblendet. Bestätigen Sie es, indem Sie den Ordner danach auflisten.

Für einen einzelnen Eintrag klicken Sie mit der rechten Maustaste in der Jump List der Anwendung darauf und wählen "Aus dieser Liste entfernen." Das schreibt die Host-Datei vor Ort um: Der nummerierte LNK-Stream wird aus dem OLE-Container entfernt, die passende DestList-Zeile entfällt, und die Eintragsanzahl und Revisionsnummer des Headers ticken weiter.

Die Dateien direkt löschen

Die beiden Ordner sind:

  • %AppData%\Microsoft\Windows\Recent\AutomaticDestinations\
  • %AppData%\Microsoft\Windows\Recent\CustomDestinations\

Jeder Dateiname lautet <AppID>.automaticDestinations-ms oder <AppID>.customDestinations-ms. Die AppID ist eine 16 Zeichen lange Hex-Zeichenkette in Kleinbuchstaben, abgeleitet aus einem gekürzten CRC64 des Pfads der ausführbaren Datei. Dieselbe Binärdatei am selben Pfad erzeugt auf jedem Rechner dieselbe AppID, weshalb die AppID-Liste, die mit Eric Zimmermans JLECmd ausgeliefert wird, funktioniert.

Der Haken: Solange explorer.exe läuft, hält die Shell offene Handles auf die AppIDs für jede Anwendung, die derzeit angeheftet oder kürzlich verwendet ist. Einfaches Löschen schlägt mit einem Sharing-Violation fehl. Drei Optionen, die tatsächlich funktionieren:

  1. Den Benutzer abmelden (gibt die Handles frei), wieder anmelden, aus einem anderen Konto oder aus einer Admin-Shell löschen.
  2. explorer.exe beenden und neu starten. Grob, aber es funktioniert.
  3. Das Volume von WinPE oder einem anderen Betriebssystem mounten und von dort löschen.

Über Gruppenrichtlinie oder Registry deaktivieren

Um Windows daran zu hindern, überhaupt neue Einträge zu schreiben:

Benutzerkonfiguration → Administrative Vorlagen → Startmenü und Taskleiste → "Verlauf zuletzt geöffneter Dokumente nicht speichern."

Äquivalenter Registry-Wert:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    NoRecentDocsHistory  REG_DWORD  = 1

Mit dieser Richtlinie aktiviert hört die Shell auf, neue Einträge in AutomaticDestinations zu schreiben und hört auf, DestList-Zeitstempel zu aktualisieren. Bestehende Dateien werden unangetastet gelassen, bis etwas sie räumt. Die Richtlinie selbst ist selbst ein Befund, sie hinterlässt einen Fingerabdruck in der Registry, den ein kompetenter Prüfer erkennen wird, bevor er überhaupt auf Recent\ schaut.

Was "geleert" forensisch wirklich bedeutet

Das ist der Teil, den die meisten "So bereinigen Sie Ihre Spuren"-Artikel überspringen. Das Löschen der Live-Jump-List-Dateien entfernt ein Artefakt. Ein kompetenter Prüfer schaut nicht nur auf das Live-Dateisystem.

Rückstände, die ein Leeren überleben:

  • Volume Shadow Copies, ältere Snapshots enthalten immer noch die .automaticDestinations-ms-Dateien vor dem Löschen, oft Monate zurück. vssadmin list shadows zählt sie auf; mklink /d mountet jede einzelne.
  • USN-Journal, $UsnJrnl:$J zeichnet die Erstellung, Löschung und Umbenennung jeder Jump-List-Datei mit Reason-Codes und Zeitstempeln auf. Die Löschung selbst wird protokolliert.
  • $MFT-Einträge, Einträge für gelöschte Jump-List-Dateien bleiben bestehen, bis sie überschrieben werden. Kleine Dateien (unter ~700 Byte) können im MFT-Eintrag selbst resident sein und im Ganzen wiederherstellbar.
  • Schwester-Artefakte, LNK-Dateien in Recent\, Prefetch, ShellBags, RecentDocs in NTUSER.DAT und Browserverlauf bestätigen dieselbe Benutzeraktivität aus verschiedenen Blickwinkeln. Das alleinige Löschen von Jump Lists lässt sie alle intakt.
  • ShimCache und AmCache, sie zeichnen die Programmausführung auf Maschinenebene auf, unberührt vom Löschen der User-Mode-MRUs.
  • SRUM, die Anwendungsressourcennutzung protokolliert weiterhin die Netzwerk- und CPU-Aktivität pro ausführbarer Datei.

Es gibt auch das verräterische Zeichen, das niemand einplant: In dem Moment, in dem der Benutzer das nächste verfolgte Element öffnet, schreibt Windows eine frische AutomaticDestinations-Datei für diese AppID und startet eine neue DestList. Ein Recent\-Verzeichnis, dessen Zeitstempel und DestList-Versionen sich alle um dasselbe kürzliche Datum gruppieren, ohne älteren Inhalt, ist selbst der Befund. Prüfer lesen Abwesenheit als Beweis.

Wenn Sie einen Fall "Sie haben ihre Spuren bereinigt" zu bearbeiten haben, ist die DFIR-Anleitung die nächste Lektüre.

Weiterführende Literatur