userinit.exe

Der Security Task Manager warnt mich seit gut einer Woche nach dem Booten, dass ein Programm den Registrywert von userinit verändert in "userinit.exe," (statt 'C:\WINDOWS\System32\userinit.exe'). In der Registry finde ich 2 Einträge zu userinit.

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current\Version\Winlogon --> korrekter Wert
  • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\WindowsNT\Current\Version\Winlogon --> userinit.exe,

Bei 2 Rechnern mit gleicher Windowsversion (1803) finde ich keinen userinit Eintrag bei WOW6432Node.
Einziger Unterschied: auf dem neuen Rechner ist Windows auf einer SSD M.2 NVMe PCIe installiert (Neuinstallation vor 14 Tagen).

WindowsDefender, Bitdefender und Malwarebytes haben keinen Befund gemeldet.

Rescue-Programme (z.B. Kaspersky, Avira) stürzen ab, weil sie wohl nicht die SSD richtig mounten können.

In HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion ist hier nirgendwo eine Userinit Variable vorhanden. Den von dir genannten zweiten Pfad ohne "Microsoft" gibt es generell nicht. 

Wenn dir die Software nicht sagen kann, welches Tool den Eintrag geändert hat, ist das ja alles auch nicht wirklich hilfreich. Versuch anhand der Eventlogs nachzuvollziehen, was du vor gut einer Woche am PC installiert, aktualisiert oder sonstwie geändert hast. 

Ansonsten ignoriere die Sache vorläufig und beobachte, ob sich weitere seltsame Dinge tun.

---
Wenn ein unerwarteter Fehler aufgetreten ist, frage ich mich immer, welche Fehler erwartet wurden...

Wurde Ihr Problem dadurch behoben?

Das war leider nicht hilfreich.

Toll! Danke, dass Sie dies als Antwort markiert haben.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback, es hilft uns dabei, die Website zu verbessern.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback.

Den zweiten Eintrag mit "WOW6432Node" sehen Sie auf jeder 64bit Version von Windows. Das Betriebssystem verwendet diesen Schlüssel, um eine separate Ansicht von HKEY_LOCAL_MACHINE\SOFTWARE für 32-Bit-Anwendungen zu präsentieren, die auf einer 64-Bit-Version von Windows ausgeführt werden.

Wenn eine 32-Bit-Anwendung einen Wert unter dem Unterschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\<company>\<product>, liest die Anwendung aus dem Unterschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\<company>\<product>. 

Ich hatte die selbe Frage. Der Autor des Security Task Manager schrieb mir weiter:

Ich habe mich aber entschlossen, in Fällen wie des Ihren (also Abfrage wenn der Wert von "Winlogon-Userinit" sich ändert) nichts zu ändern, da der voreingestellte Wert "C:\Windows\system32\userinit.exe" sein solle (also ohne Komma und mit Pfadangabe).

Lautet der Eintrag "userinit.exe," so ist das nicht falsch, aber es zeigt dass dieser Wert geändert wurde. Und darüber möchte ich den Anwender informieren.

Sollte die Abfrage bei Ihnen auftauchen, so können Sie einfach auf "Ja" bei der Frage "Möchten Sie das das zulassen?" klicken. 

Für 1 Person war diese Antwort hilfreich

·

Wurde Ihr Problem dadurch behoben?

Das war leider nicht hilfreich.

Toll! Danke, dass Sie dies als Antwort markiert haben.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback, es hilft uns dabei, die Website zu verbessern.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback.

Nette Erklärung, aber es ging nicht um den Wow6432Node Zweig selber, sondern den Ordner "WindowsNT" der angeblich direkt darunter liegen soll. Das tut er aber nicht und das hatte ich oben erwähnt.

Der Userinit Eintrag liegt ausschließlich unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon und nirgendwo sonst. Auch auf 64-bit Systemen gibt es ihn nur einmal. 

Er hat auf einer standardmäßigen, frischen Windows-Installation den Wert C:\Windows\system32\userinit.exe,mit Komma. 

---
Wenn ein unerwarteter Fehler aufgetreten ist, frage ich mich immer, welche Fehler erwartet wurden...

Wurde Ihr Problem dadurch behoben?

Das war leider nicht hilfreich.

Toll! Danke, dass Sie dies als Antwort markiert haben.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback, es hilft uns dabei, die Website zu verbessern.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback.

Hallo Ingo Böttcher,

danke für deine Richtigstellung und genau darin liegt mein Problem:

Warum gibt es auf meinem (Haupt-)Computer diesen zweiten Eintrag?

(Auf meinen anderen 64-bit Systemen gibt es diese zweiten Eintag nicht.)

Welch "böse" Software hat diesen zweiten Wert in die Registry eingetragen?

(Bei dieser Frage ist Microsoft gefordert! Die Antort von Kunor zeigt mir, dass ich nicht als Einziger dieses Problem habe.)

Nachdem ich zeitlang Ruhe hatte (warum kann ich nicht sagen), poppte die Meldung vom Security Task Manager vorgestern wieder auf.

Warum?

(Kurz zuvor hatte ich eine kritische Meldung von Bitdefender.)

Wurde Ihr Problem dadurch behoben?

Das war leider nicht hilfreich.

Toll! Danke, dass Sie dies als Antwort markiert haben.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback, es hilft uns dabei, die Website zu verbessern.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback.

Woher soll Microsoft wissen, was irgendeine Software auf deinem PC macht? 

Lass den zweiten Eintrag in Ruhe. Er ist ja nicht falsch, nur unnötig. Die Aufregung kommt ja an sich nur dadurch, dass dieser "Security Task Manager" meint, das sei irgendwie gefährlich. Sinnvoll wäre ja, wenn dieser dann auch anzeigen könnte, wann bzw. von wem der Eintrag gesetzt wurde.

Ansonsten hast du Bitdefender installiert. Damit liegt die Sicherheit deines System ja eh in "fremden Händen" sozusagen. Vielleicht setzt der ja den entsprechenden Eintrag. Lösch den Eintrag und schau, ob und wann er wieder auftaucht.

Mir sind sichere Systeme wichtig, deswegen halte ich das System normalerweise schlank und verschlechtere das Sicherheitsniveau nicht durch Installation zusätzlicher "Sicherheitssoftware" wie Bitdefender. 

---
Wenn ein unerwarteter Fehler aufgetreten ist, frage ich mich immer, welche Fehler erwartet wurden...

Wurde Ihr Problem dadurch behoben?

Das war leider nicht hilfreich.

Toll! Danke, dass Sie dies als Antwort markiert haben.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback, es hilft uns dabei, die Website zu verbessern.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback.

Woher soll Microsoft oder Security Task Manager wissen, was irgendeine Software auf deinem PC macht? 

Sicherheitstools checken, ob und was sich verändert hat.

Der Userinit Eintrag liegt ausschließlich unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon und nirgendwo sonst. Auch auf 64-bit Systemen gibt es ihn nur einmal. 

Das ist richtig, aber 32bit Software spiegeln gewisse Werte auch unter dem Wow6432Node Zweig. Bei meinem Win7 64x Windows sehe ich zumindest den Wow6432Node Zweig auch. Einfach mal nach Wow6432Node googeln.

Meine Erklärung ist nur die Übersetzung der Google-Anwort auf die Frage nach Wow6432Node.

Richtig ist: Nichts an der Registry ändern. Wenn andere Programme Änderungen vornehmen (und Security Tools darüber informieren), dann nachdenken und ggf hier nachfragen, so wie Du es gemacht hast.

Was mir gerade auffällt: Ich habe genau das gleiche Problem (mit regedit.exe in Win7 64bit)! 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon -> Userinit=C:\Windows\system32\userinit.exe,

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon -> Userinit=userinit.exe

Der Wow6432Node-Zweig scheint also keine reine Spiegelung zu sein, sondern eher eine Virtualisierung wie bei C:\Programme (https://blogs.msdn.microsoft.com/oldnewthing/20150902-00/?p=91681).

Wurde Ihr Problem dadurch behoben?

Das war leider nicht hilfreich.

Toll! Danke, dass Sie dies als Antwort markiert haben.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback, es hilft uns dabei, die Website zu verbessern.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback.

Hallo Ingo Böttcher, hallo Kunor,

ich werde mich in Fatalismus üben und für mich das Kapitel abschließen. Das ungute Gefühl bleibt, denn was nicht sein kann, das nicht sein darf.

Allerdings bleibe ich bei meiner Meinung, dass Microsoft gefordert ist.

Bevor ein fremdes Programm in der sensiblen (Microsoft-)Registry einen Eintrag kreiern oder ändern kann, sollte es in dem Eintrag seine "Duftmarke" hinterlassen (der Security Task Manager kann das selbstverständlich im Nachhinein nicht).

Danke für eure Beiträge.

Wurde Ihr Problem dadurch behoben?

Das war leider nicht hilfreich.

Toll! Danke, dass Sie dies als Antwort markiert haben.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback, es hilft uns dabei, die Website zu verbessern.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback.

Bevor ein fremdes Programm in der sensiblen (Microsoft-)Registry einen Eintrag kreiern oder ändern kann, sollte es in dem Eintrag seine "Duftmarke" hinterlassen (der Security Task Manager kann das selbstverständlich im Nachhinein nicht).

Kann man so sehen. Aber "sollte" bringt ja keinerlei Sicherheit. Die "bösen" Programmierer würden das halt einfach nicht machen. Das System müsste so etwas also von sich aus für jeden Eintrag dokumentieren. Und damit nicht grad die "bösen" Programmierer dies ändern, müsste es auch noch fälschungssicher sein. Will man sowas wirklich? 

Damit ein Programm an diese Stellen in der Registry schreiben darf, musst du es mit Adminrechten ausführen. Wenn du Software mit Adminrechten ausführst, ist sie halt fähig, auch quasi alles am System zu machen. Das muss immer bewusst sein. 

Wer das nicht will, braucht komplett gekapselte Systeme. Die bringen dann aber einen riesigen Rattenschwanz weiterer Einschränkungen und Probleme mit. 

---
Wenn ein unerwarteter Fehler aufgetreten ist, frage ich mich immer, welche Fehler erwartet wurden...

Wurde Ihr Problem dadurch behoben?

Das war leider nicht hilfreich.

Toll! Danke, dass Sie dies als Antwort markiert haben.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback, es hilft uns dabei, die Website zu verbessern.

Wie zufrieden sind Sie mit dieser Antwort?

Vielen Dank für Ihr Feedback.

 
 

Informationen zur Frage


Letzte Aktualisierung am 21 Januar, 2020 Aufrufe 839 Gilt für: