Irgendetwas ändert in der Registry den Eintrag UserInit
TeaTimer meldet eine verdächtige Registry-Änderung
Dem TeaTimer ist folgende Änderung aufgefallen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit.exe, C:\WINDOWS\system32\userinit.exe
wird auf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit.exe, C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\mshbas32.exe,
gesetzt. TeaTimer verwirft die Änderung, die sich aber sofort wieder selbst einträgt.
Auch manuelles Ändern auf den alten Wert ist nicht von Bestand.
Die Datei C:\WINDOWS\system32\mshbas32.exe hatte ich gefunden, nach einem Neustart war sie nicht mehr da.
Weiss jemand, was da zu tun ist ?
Viele Grüsse
Daniel
Dem TeaTimer ist folgende Änderung aufgefallen:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit.exe, C:\WINDOWS\system32\userinit.exe
wird auf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit.exe, C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\mshbas32.exe,
gesetzt. TeaTimer verwirft die Änderung, die sich aber sofort wieder selbst einträgt.
Auch manuelles Ändern auf den alten Wert ist nicht von Bestand.
Die Datei C:\WINDOWS\system32\mshbas32.exe hatte ich gefunden, nach einem Neustart war sie nicht mehr da.
Weiss jemand, was da zu tun ist ?
Viele Grüsse
Daniel
Kommentieren
Teilen
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 143124
Url: https://administrator.de/forum/irgendetwas-aendert-in-der-registry-den-eintrag-userinit-143124.html
Ausgedruckt am: 14.05.2025 um 18:05 Uhr
8 Kommentare
Neuester Kommentar
Virusalarm ?!?
Hast du mal mit nem "echten" Virenscanner einen komplettscan der Platte gemacht ?!
Gruß
Carsten
Hast du mal mit nem "echten" Virenscanner einen komplettscan der Platte gemacht ?!
Gruß
Carsten
ja. Mit AntiVir.
Der meldet aber nichts.
Gruss, Daniel
Der meldet aber nichts.
Gruss, Daniel
Welches Betriebssystem ??
Und hast du die oben genannte Datei mal bei virustotal.com mal checken lassen ??
Carsten
Und hast du die oben genannte Datei mal bei virustotal.com mal checken lassen ??
Carsten
Das Betriebssystem ist XP professional.
Der Upload der Datei hat im ersten Versuch nicht geklappt und jetzt ist sie ja weg.
Daniel
Der Upload der Datei hat im ersten Versuch nicht geklappt und jetzt ist sie ja weg.
Daniel
Dann starte doch den Rechner mal mit ner Offline-Virenscan CD (gibt es auch von Avira) und scan den damit mal.
Dann guck mal per MSConfig, ob du ungewöhnliche Autostart-Einträge findest.
Zuguterletzt nimm auch noch mal einen "echten" Rootkitfinder mit ins Boot.
Carsten
PS:
Ich habe auch wXP, aber nicht die von dir genannten Datei/ Einträge, deswegen meine Vermutung für einen Virus..
Du könntest auch noch mal mit dem Processexplorer von sysinternals versuchen herauszubekommen, WER für den Eintrag sorgt...
Dann guck mal per MSConfig, ob du ungewöhnliche Autostart-Einträge findest.
Zuguterletzt nimm auch noch mal einen "echten" Rootkitfinder mit ins Boot.
Carsten
PS:
Ich habe auch wXP, aber nicht die von dir genannten Datei/ Einträge, deswegen meine Vermutung für einen Virus..
Du könntest auch noch mal mit dem Processexplorer von sysinternals versuchen herauszubekommen, WER für den Eintrag sorgt...
Moin.
Dass Google keine mshbas32.exe kennt, macht die Sache schon virenverdächtig (es sei denn, Du hast den Namen nicht korrekt abgelesen).
Du kannst Registryschlüssel überwachen und Dir so anzeigen lassen, wer da ändert. Geht über die Sicherheitseinstellungen in regedit - erweitert.
Dass Google keine mshbas32.exe kennt, macht die Sache schon virenverdächtig (es sei denn, Du hast den Namen nicht korrekt abgelesen).
Du kannst Registryschlüssel überwachen und Dir so anzeigen lassen, wer da ändert. Geht über die Sicherheitseinstellungen in regedit - erweitert.
Danke Carsten und DerWoWusste
Ungewöhnliche Autostart-Einträge habe ich nicht.
Die CD bestelle ich. Was ist für Dich ein echter Rootkitfinder ?
In der Regedit geht man über Berechtigungen / Erweitert ... und wie komme ich dann weiter ?
Viele Grüsse
Daniel
Ungewöhnliche Autostart-Einträge habe ich nicht.
Die CD bestelle ich. Was ist für Dich ein echter Rootkitfinder ?
In der Regedit geht man über Berechtigungen / Erweitert ... und wie komme ich dann weiter ?
Viele Grüsse
Daniel
Überwachung heißt der Tab, der interessiert.
