userinit.exe

Helfe beim Thema userinit.exe in Windows 10 Sicherheit um eine Lösung zu finden; Der Security Task Manager warnt mich seit gut einer Woche nach dem Booten, dass ein Programm den Registrywert von userinit verändert in "userinit.exe,"... Dieses Thema im Forum "Windows 10 Sicherheit" wurde erstellt von KB1911, 27. September 2018.

  1. KB1911
    KB1911 Gast

    userinit.exe


    Der Security Task Manager warnt mich seit gut einer Woche nach dem Booten, dass ein Programm den Registrywert von userinit verändert in "userinit.exe," (statt 'C:\WINDOWS\System32\userinit.exe'). In der Registry finde ich 2 Einträge zu userinit.

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\Current\Version\Winlogon --> korrekter Wert
    • HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\WindowsNT\Current\Version\Winlogon --> userinit.exe,

    Bei 2 Rechnern mit gleicher Windowsversion (1803) finde ich keinen userinit Eintrag bei WOW6432Node.
    Einziger Unterschied: auf dem neuen Rechner ist Windows auf einer SSD M.2 NVMe PCIe installiert (Neuinstallation vor 14 Tagen).


    WindowsDefender, Bitdefender und Malwarebytes haben keinen Befund gemeldet.


    Rescue-Programme (z.B. Kaspersky, Avira) stürzen ab, weil sie wohl nicht die SSD richtig mounten können.

    Weiterlesen...
     
  2. Hobi Expert
    Willkommen,

    Diese Schritte solltest du nacheinander ausführen:
  3. Ingo Böttcher
    Ingo Böttcher Gast

    In HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion ist hier nirgendwo eine Userinit Variable vorhanden. Den von dir genannten zweiten Pfad ohne "Microsoft" gibt es generell nicht.

    Wenn dir die Software nicht sagen kann, welches Tool den Eintrag geändert hat, ist das ja alles auch nicht wirklich hilfreich. Versuch anhand der Eventlogs nachzuvollziehen, was du vor gut einer Woche am PC installiert, aktualisiert oder sonstwie geändert
    hast.

    Ansonsten ignoriere die Sache vorläufig und beobachte, ob sich weitere seltsame Dinge tun.
     
    #2 Ingo Böttcher, 27. September 2018
  4. Kunor
    Kunor Gast
    Den zweiten Eintrag mit "WOW6432Node" sehen Sie auf jeder 64bit Version von Windows. Das Betriebssystem verwendet diesen Schlüssel, um eine separate Ansicht von HKEY_LOCAL_MACHINE\SOFTWARE für 32-Bit-Anwendungen zu präsentieren, die auf einer 64-Bit-Version
    von Windows ausgeführt werden.

    Wenn eine 32-Bit-Anwendung einen Wert unter dem Unterschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\<company>\<product>, liest die Anwendung aus dem Unterschlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\<company>\<product>.

    Ich hatte die selbe Frage. Der Autor des Security Task Manager schrieb mir weiter:

    Ich habe mich aber entschlossen, in Fällen wie des Ihren (also Abfrage wenn der Wert von "Winlogon-Userinit" sich ändert) nichts zu ändern, da der voreingestellte Wert "C:\Windows\system32\userinit.exe" sein solle (also ohne
    Komma und mit Pfadangabe).


    Lautet der Eintrag "userinit.exe," so ist das nicht falsch, aber es zeigt dass dieser Wert geändert wurde. Und darüber möchte ich den Anwender informieren.

    Sollte die Abfrage bei Ihnen auftauchen, so können Sie einfach auf "Ja" bei der Frage "Möchten Sie das das zulassen?" klicken.
     
  5. Ingo Böttcher
    Ingo Böttcher Gast
    Nette Erklärung, aber es ging nicht um den Wow6432Node Zweig selber, sondern den Ordner "WindowsNT" der angeblich direkt darunter liegen soll. Das tut er aber nicht und das hatte ich oben erwähnt.

    Der Userinit Eintrag liegt ausschließlich unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon und nirgendwo sonst. Auch auf 64-bit Systemen gibt es ihn nur einmal.

    Er hat auf einer standardmäßigen, frischen Windows-Installation den Wert
    C:\Windows\system32\userinit.exe,
    - mit Komma.
     
    #4 Ingo Böttcher, 22. November 2018
  6. TOXIE
    TOXIE Gast
    C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\SysWOW64\userinit.exe,
    Ergänzung (4. November 2016)
    so stehts drinn
     
  7. KB1911
    KB1911 Gast
    Hallo Ingo Böttcher,

    danke für deine Richtigstellung und genau darin liegt mein Problem:

    Warum gibt es auf meinem (Haupt-)Computer diesen zweiten Eintrag?

    (Auf meinen anderen 64-bit Systemen gibt es diese zweiten Eintag nicht.)

    Welch "böse" Software hat diesen zweiten Wert in die Registry eingetragen?

    (Bei dieser Frage ist Microsoft gefordert! Die Antort von Kunor zeigt mir, dass ich nicht als Einziger dieses Problem habe.)

    Nachdem ich zeitlang Ruhe hatte (warum kann ich nicht sagen), poppte die Meldung vom Security Task Manager vorgestern wieder auf.

    Warum?

    (Kurz zuvor hatte ich eine kritische Meldung von Bitdefender.)
     
  8. Ingo Böttcher
    Ingo Böttcher Gast
    Woher soll Microsoft wissen, was irgendeine Software auf deinem PC macht?

    Lass den zweiten Eintrag in Ruhe. Er ist ja nicht falsch, nur unnötig. Die Aufregung kommt ja an sich nur dadurch, dass dieser "Security Task Manager" meint, das sei irgendwie gefährlich. Sinnvoll wäre ja, wenn dieser dann auch anzeigen könnte, wann bzw.
    von wem der Eintrag gesetzt wurde.

    Ansonsten hast du Bitdefender installiert. Damit liegt die Sicherheit deines System ja eh in "fremden Händen" sozusagen. Vielleicht setzt der ja den entsprechenden Eintrag. Lösch den Eintrag und schau, ob und wann er wieder auftaucht.

    Mir sind sichere Systeme wichtig, deswegen halte ich das System normalerweise schlank und verschlechtere das Sicherheitsniveau nicht durch Installation zusätzlicher "Sicherheitssoftware" wie Bitdefender.
     
    #7 Ingo Böttcher, 27. November 2018
  9. Kunor
    Kunor Gast

    userinit.exe

    Woher soll Microsoft oder Security Task Manager wissen, was irgendeine Software auf deinem PC macht?

    Sicherheitstools checken, ob und was sich verändert hat.

    > Der Userinit Eintrag liegt ausschließlich unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon und nirgendwo sonst. Auch auf 64-bit
    Systemen gibt es ihn nur einmal.

    Das ist richtig, aber 32bit Software spiegeln gewisse Werte auch unter dem Wow6432Node Zweig. Bei meinem Win7 64x Windows sehe ich zumindest den Wow6432Node Zweig auch.
    Einfach mal nach Wow6432Node googeln.

    Meine Erklärung ist nur die Übersetzung der Google-Anwort auf die Frage nach Wow6432Node.

    Richtig ist: Nichts an der Registry ändern. Wenn andere Programme Änderungen vornehmen (und Security Tools darüber informieren), dann nachdenken und ggf hier nachfragen, so wie Du es gemacht hast.

    Was mir gerade auffällt: Ich habe genau das gleiche Problem (mit regedit.exe in Win7 64bit)!

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon -> Userinit=C:\Windows\system32\userinit.exe,

    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon -> Userinit=userinit.exe

    Der Wow6432Node-Zweig scheint also keine reine Spiegelung zu sein, sondern eher eine Virtualisierung wie bei C:\Programme (I saved some files into the Program Files directory, and now they’re gone!).
     
  10. cumulonimbus8
    cumulonimbus8 Gast
    «C:\WINDOWS\SysWOW64\userinit.exe,» hat da jedenfalls nichts verloren. Wirf es raus und beobachte. (8-ung, das Komma hinten muss bleiben.)

    CN8
     
    #9 cumulonimbus8, 28. November 2018
  11. KB1911
    KB1911 Gast
    Hallo Ingo Böttcher, hallo Kunor,

    ich werde mich in Fatalismus üben und für mich das Kapitel abschließen. Das ungute Gefühl bleibt, denn was nicht sein kann, das nicht sein darf.

    Allerdings bleibe ich bei meiner Meinung, dass Microsoft gefordert ist.

    Bevor ein fremdes Programm in der sensiblen (Microsoft-)Registry einen Eintrag kreiern oder ändern kann, sollte es in dem Eintrag seine "Duftmarke" hinterlassen (der Security Task Manager kann das selbstverständlich im Nachhinein nicht).

    Danke für eure Beiträge.
     
  12. Ingo Böttcher
    Ingo Böttcher Gast
    Kann man so sehen. Aber "sollte" bringt ja keinerlei Sicherheit. Die "bösen" Programmierer würden das halt einfach nicht machen. Das System müsste so etwas also von sich aus für jeden Eintrag dokumentieren. Und damit nicht grad die "bösen" Programmierer
    dies ändern, müsste es auch noch fälschungssicher sein. Will man sowas wirklich?

    Damit ein Programm an diese Stellen in der Registry schreiben darf, musst du es mit Adminrechten ausführen. Wenn du Software mit Adminrechten ausführst, ist sie halt fähig, auch quasi alles am System zu machen. Das muss immer bewusst sein.

    Wer das nicht will, braucht komplett gekapselte Systeme. Die bringen dann aber einen riesigen Rattenschwanz weiterer Einschränkungen und Probleme mit.
     
    #11 Ingo Böttcher, 29. November 2018
Thema:

userinit.exe

Die Seite wird geladen...

userinit.exe - Ähnliche Themen - userinit exe

Forum Datum

Windows 10: Dateitypzuordnung fehlerhaft: Alle exe-Programme werden mit Notepad/Editor geöffnet

Windows 10: Dateitypzuordnung fehlerhaft: Alle exe-Programme werden mit Notepad/Editor geöffnet: Ich wollte eigentlich nur die etl-Dateien im Ordner "Outlook Logging" mit dem Notepad verknüpfen, um sie durchstöbern zu können.Dabei muss ich wohl irgendwie auch exe-Dateien also alle ausführbaren Programme mit Notepad verknüpft haben.Folglich werden nun sämtliche Anwendungen mit dem Editor...

Windows 10 Support 2. Februar 2024

CD kann nicht installiert werden. Autorun Exe startet nicht. Meldung bei selbstständigem...

CD kann nicht installiert werden. Autorun Exe startet nicht. Meldung bei selbstständigem...: CD kann nicht installiert werden. Autorun Exe startet nicht. Meldung bei selbstständigem Aufruf kommt, dass ein Admin die Ausführung dieser App blockiert aus Sicherheitsgründen.Wie kann ich das beheben? Die CD bzw. die Installation der CD ist harmlos Sims 2 CD...Bitte um Hilfe, vielen Dank im...

Windows 10 Support 6. November 2023

UEDIT32.EXE wird vom System als Virus erkannt

UEDIT32.EXE wird vom System als Virus erkannt: Aus diesem Thread ausgliedern. Nicht genug das alle neu angeschaffte Hardware 2018 für ungültig erklärt wurde von MS, und man zu fürchten habe, das neue PC's dann bald wieder nicht mehr PC Kompatibel sein ? Anders : seit nun mehr 40 Jahren ist Windows nicht mehr PC Kompatibel .Die geschilderte...

Windows 10 Support 1. November 2023

Virtuelle Maschine: Problem beim Starten einer Exe-Datei

Virtuelle Maschine: Problem beim Starten einer Exe-Datei: Hallo. Folgendes Problem: Ich habe Windows 11 über UTM virtuell auf meinem Macbook mit M2 Prozessor installiert. Windows läuft in der Kombination sehr stabil, allerdings kann ich keine Testversion einer Software installieren siehe Screenshot. Beim Doppelklick auf die Exe-Datei soll ich eine App...

Windows 10 Insider 27. September 2023

"Raw-Bilderweiterung" als .msi exe

"Raw-Bilderweiterung" als .msi exe: Hallo. ich bräuchte die "Raw-Bilderweiterung" vom App-Store als .msi zum Verteilen in unserer Firma. Bei uns ist der App-Store in den Gruppenrichtlinien deaktiviert, sodass Mitarbeiter nicht irgendwelche Apps installieren können. Es wurde von der Presseabteilung eine neue Kamera gekauft. -->...

Windows 10 Support 5. Mai 2023

splwow64.exe - Einsprungspunkt nicht gefunden

splwow64.exe - Einsprungspunkt nicht gefunden: Guten Tag, immer wenn ich ein Dokument als PDF speichern oder öffnen möchte kommt bei mir die Fehlermeldung splwow64.exe - Einsprungspunkt nicht gefunden siehe Bild. Wenn ich diese 15 mal wegdrücke, wird die PDF dann auch abgespeichert. Es ist aber super nervig diese Meldung immer zu bekommen,...

Windows 10 Support 24. April 2023

path wird nicht mehr ausgewertet, oder exe-Extension wird nichtmehr erkannt.

path wird nicht mehr ausgewertet, oder exe-Extension wird nichtmehr erkannt.: Der PATH st immer noch richtig konfiguriert, wird aber nicht mehr ausgwertet. z.B. liefert das Kommando where whereC:\Users\Marti>where whereDer Befehl "where" ist entweder falsch geschrieben oderkonnte nicht gefunden werden.C:\Users\Marti>C:\Users\Marti>where.exe...

Windows 10 Support 14. April 2023

Datei Autostarten mit Userinit?

Datei Autostarten mit Userinit?: Es gibt im Regedit ein eintrag der "Userinit" heisst. Dieser startet userinit. Man kann den so editieren dass es auch eine andere Datei startet, wie macht man das? https://www.gutefrage.net/frage/datei-autostarten-mit-userinit

Windows 10 Support 30. Dezember 2021

userinit.exe [gelöst]

Andere User suchten nach Lösungen mit:

  1. windows 10 start userinit.exe

    ,
  2. userini.ini

    ,
  3. Internet-Explorer userinit

    ,
  4. userinit,
  5. where is userinit in windows 10,
  6. sysWOW64\userinit.exe
  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies.
    Auf dieser Website werden Cookies für die Zugriffsanalyse und Anzeigenmessung verwendet.
    Information ausblenden