Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Irgendetwas ändert in der Registry den Eintrag UserInit

Frage Microsoft

Mitglied: ddaniel

ddaniel (Level 1) - Jetzt verbinden

19.05.2010 um 12:28 Uhr, 5964 Aufrufe, 8 Kommentare

TeaTimer meldet eine verdächtige Registry-Änderung

Dem TeaTimer ist folgende Änderung aufgefallen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit.exe, C:\WINDOWS\system32\userinit.exe
wird auf
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit.exe, C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\mshbas32.exe,

gesetzt. TeaTimer verwirft die Änderung, die sich aber sofort wieder selbst einträgt.
Auch manuelles Ändern auf den alten Wert ist nicht von Bestand.

Die Datei C:\WINDOWS\system32\mshbas32.exe hatte ich gefunden, nach einem Neustart war sie nicht mehr da.

Weiss jemand, was da zu tun ist ?

Viele Grüsse
Daniel
Mitglied: cardisch
19.05.2010 um 12:37 Uhr
Virusalarm ?!?
Hast du mal mit nem "echten" Virenscanner einen komplettscan der Platte gemacht ?!

Gruß

Carsten
Bitte warten ..
Mitglied: ddaniel
19.05.2010 um 12:45 Uhr
ja. Mit AntiVir.
Der meldet aber nichts.

Gruss, Daniel
Bitte warten ..
Mitglied: cardisch
19.05.2010 um 12:57 Uhr
Welches Betriebssystem ??

Und hast du die oben genannte Datei mal bei virustotal.com mal checken lassen ??



Carsten
Bitte warten ..
Mitglied: ddaniel
19.05.2010 um 13:10 Uhr
Das Betriebssystem ist XP professional.
Der Upload der Datei hat im ersten Versuch nicht geklappt und jetzt ist sie ja weg.
Daniel
Bitte warten ..
Mitglied: cardisch
19.05.2010 um 13:42 Uhr
Dann starte doch den Rechner mal mit ner Offline-Virenscan CD (gibt es auch von Avira) und scan den damit mal.
Dann guck mal per MSConfig, ob du ungewöhnliche Autostart-Einträge findest.
Zuguterletzt nimm auch noch mal einen "echten" Rootkitfinder mit ins Boot.


Carsten
PS:
Ich habe auch wXP, aber nicht die von dir genannten Datei/ Einträge, deswegen meine Vermutung für einen Virus..
Du könntest auch noch mal mit dem Processexplorer von sysinternals versuchen herauszubekommen, WER für den Eintrag sorgt...
Bitte warten ..
Mitglied: DerWoWusste
19.05.2010 um 14:57 Uhr
Moin.
Dass Google keine mshbas32.exe kennt, macht die Sache schon virenverdächtig (es sei denn, Du hast den Namen nicht korrekt abgelesen).
Du kannst Registryschlüssel überwachen und Dir so anzeigen lassen, wer da ändert. Geht über die Sicherheitseinstellungen in regedit - erweitert.
Bitte warten ..
Mitglied: ddaniel
20.05.2010 um 00:43 Uhr
Danke Carsten und DerWoWusste

Ungewöhnliche Autostart-Einträge habe ich nicht.
Die CD bestelle ich. Was ist für Dich ein echter Rootkitfinder ?

In der Regedit geht man über Berechtigungen / Erweitert ... und wie komme ich dann weiter ?

Viele Grüsse
Daniel
Bitte warten ..
Mitglied: DerWoWusste
20.05.2010 um 08:20 Uhr
Überwachung heißt der Tab, der interessiert.
Bitte warten ..
Ähnliche Inhalte
Windows 7
Frage zu Registry Einträge (Netzlaufwerke)
gelöst Frage von Axel90Windows 73 Kommentare

Guten Morgen, Unter dem Schlüssel HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 sind ja alle verbundenen Netzlaufwerke gespeichert. Kann mir jemand sagen, was es mit ...

Windows 10
Gänderte Registry einträge auslesen
gelöst Frage von winterj86Windows 103 Kommentare

Hallo, im Zuge eines Troulbeshootings wurden vor einigen Tagen auf einem Client, Registry Werte verändert bzw. hinzugefügt. Leider hat ...

Microsoft
Registry Einträge Löschen (Skript)
Frage von ShnuuuMicrosoft4 Kommentare

Hallo, ich bräuchte bitte ein Skript oder ein Programm mit dem ich sehr viele Registry Einträge löschen muss. Ich ...

Batch & Shell
CMD Script erstellen (mit einem Registry Eintrag)
gelöst Frage von DoranBBatch & Shell2 Kommentare

Hallo zusammen Ich möchte ein CMD-Script erstellen, dass die Bildschirmauflösung bzw. die Textgrösse via Registryeintrag ändert. Natürlich muss man ...

Neue Wissensbeiträge
Internet

EU-DSGVO: WHOIS soll weniger Informationen liefern

Information von sabines vor 5 StundenInternet3 Kommentare

Wegen der europäische Datenschutzgrundverordnung stehen die Prozesse um die Registierunf von Domains auf dem Prüfstand. Sollte die Forderungen umgesetzt ...

Verschlüsselung & Zertifikate

19 Jahre alter Angriff auf TLS funktioniert immer noch

Information von BassFishFox vor 12 StundenVerschlüsselung & Zertifikate1 Kommentar

Interessant zu lesen. Der Bleichenbacher-Angriff gilt unter Kryptographen als Klassiker, trotzdem funktioniert er oft noch. Wie wir herausgefunden haben, ...

Windows 10

Windows 10 Fall Creators Update - Neue Funktion Hyper-V Standardswitch kann ggf. Fehler bei Proxy Configs verursachen

Erfahrungsbericht von rzlbrnft vor 23 StundenWindows 103 Kommentare

Hallo Kollegen, Da wir die Gefahr lieben, haben wir bei einigen Usern nun mittlerweile das Creators Update drauf. Einige ...

Sicherheit

TLS-Zertifikat und privater Schlüssel von Microsofts Dynamics 365 geleakt

Information von Penny.Cilin vor 1 TagSicherheit

Microsoft hat versehentlich das TLS-Zertifikat inklusive dem privaten Schlüssel seiner Business-Anwendung Dynamics 365 geleakt. TLS-Zertifikat und privater Schlüssel von ...

Heiß diskutierte Inhalte
Netzwerkmanagement
Firefox Profieles im Roaming
gelöst Frage von Hendrik2586Netzwerkmanagement17 Kommentare

Hallo liebe Leute. :) Ich hab da ein kleines Problem, welches anscheinend nicht unbekannt ist. Wir nutzen hier in ...

LAN, WAN, Wireless
Von rj11 auf rj45
Frage von jensgebkenLAN, WAN, Wireless17 Kommentare

Hallo Gemeinschaft, könnt ihr mir vielleicht bei der anfertigung eines Kabels helfen - habe ein rj 11 stecker und ...

Netzwerkmanagement
NAS über zwei weitere Ethernet Anschlüsse verbinden
gelöst Frage von Sibelius001Netzwerkmanagement16 Kommentare

Sorry - ich bin hier wahrscheinlich als kompetter IT Trottel unterwegs. Aber eventuell kann mir jemand ganz einfach helfen: ...

LAN, WAN, Wireless
Häufig Probleme beim Anmelden in WLAN
Frage von mabue88LAN, WAN, Wireless15 Kommentare

Hallo zusammen, in einem Netzwerk gibt es relativ häufig (1-2 mal pro Woche) Probleme mit der WLAN-Verbindung. Zunächst mal ...