Anzeige
Anzeige

Am Puls von Microsoft

Anzeige

[gelöst] PUP.Winlogon.Heuristic Bedrohung?

F

Fritz Phantom

treuer Stammgast
Ich hab ein HP ProBook 450 G5, Win 10 Pro, 1809 und den Laptop gerade zurückgesetzt. Momentan sind nur Office und der AdwCleaner hinzugekommen, welcher weiterhin "***** [ Registry ] ***** PUP.Winlogon.Heuristic HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit" als Bedrohung findet.

Jetzt gibt es einerseits Meinungen, welche das als zum System gehörend beschreiben: https://answers.microsoft.com/de-de...wcleaner/2af2bc09-56e4-4444-ad57-ffd58ec6b253

https://forums.malwarebytes.com/top...pupwinlogonheuristic-false-positives-in-v723/

Andererseits unzählige Seiten im Internet, die es als einen der schlimmsten Trojaner bezeichnen, samt Anleitungen, diesen zu entfernen. Z.B.: https://praxistipps.chip.de/pup-adware-heuristic-entfernen-so-gehts_96925

Wie sieht es jetzt wirklich aus? Besser löschen, besser nicht? Ist es gefährlich, oder eh nicht? Danke wieder mal.
 
Anzeige
Der Schlüssel "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit" sollte nur Userinit.exe zum Inhalt haben, dann ist er korrekt. Wenn mehr als das drin steht, dann sollte man prüfen um was es sich dabei handelt, denn auch manche Virenscanner tragen sich dort ein. Aber nicht einfach mal löschen lassen. Denn dann darfst Du Dein Backup bemühen um das System wieder lauffähig zu machen.

Wenn ein angebliches Sicherheitstool diesen Schlüssel pauschal als PuP präsentiert und zum Löschen vorschlägt, würde ich diesem Tool im Leben nicht mehr vertrauen.
 
Wenn Adw es als PUP ( Potentziell Unerwünschtes Programm) erklärt,würde ich es löschen. Ist es ein SystemProzess baut Windows diesen wieder auf. "Heuristic" ist ein Teil eines Antimalware scanns

Uuups... Alex, dann nehm ich das mal zurück,mangels besseren Wissens.
Ich lösche immer alles was Adw als PUP findet, selbst wenn da HKEY davor steht.
 
Erstmal danke. Wie man sieht, 2 Kommentare, 2 Meinungen. Ja ich vertrau dem AdwCleaner auch nicht zwangsläufig, aber wurde hier halt bei einem anderen Problem -wo ich bis jetzt nicht weiß, ob es wirklich ein "Problem" war- empfohlen. Da ich mir auch nicht sicher war, setzte ich den Laptop heute einfach mal zurück und hoffte, das Problem erledigt sich von selbst. Jetzt zeigt der AdwCleaner aber immer noch dasselbe. Das ist die Geschichte dazu.
 
Falls ich da richtig bin -kenn mich bei der Registry nie aus- hier mal ein Bild: Unbenannt.png
 
Du hast dort genau das von mir genannte Szenario, bei dem sich zusätzlich zu "Userinit.exe" noch ein "Schutztool" eingetragen hat, nämlich HP Protect. Würdest Du deshalb den gesamten Eintrag löschen lassen, wäre an Windows keine Anmeldung mehr möglich, denn Userinit.exe führt den Anmeldevorgang durch.
 
Dann wären es also die HP Bloadware die man eher entfernen sollte,sehe ich das richtig ?
 
Verstehe ich das alles richtig, wenn es der besagte Trojaner wäre, dann würde er auch dort stehen, wo jetzt HP Protect Tools bla bla DP Agent steht (in der Registriy bei Userinit). Da es aber von HP ist, ist es einfach Bloatware, die "ungünstig" platziert wurde und somit auf einem typischen Platz für Malware sitzt, womit der AdwCleaner es erkennt.
 
Was passiert, wenn man den "HP Security Client" deinstalliert ?

Ich denke, das der Eintrag ok ist, aber Adw meckert halt, weil es eben verändert ist.

Und wenn man den Fingerprint auch benutzt, wird man es auch brauchen. Oder ?
 
Naja der AdwCleaner sollte Userinit schon differenzierter betrachten und nicht einfach sofort losmeckern, wenn da mehr als nur Userinit.exe drin steht. Avira und andere Virenscanner erweitern diesen Eintrag ebenfalls gerne mal. Da müsste AdwCleaner also zumindest eine Liste der zulässigen Erweiterungen führen. Denn das führt den Anwender definitiv in die Irre und hinterlässt ihm bei einer ungeprüften Löschung möglicherweise ein unbrauchbares System, was in den meisten Fällen völlig unnötig ist.

Zumal eine Änderung dieses Wertes Adminrechte erfordert und die müssen explizit angefordert werden, was einen UAC Dialog hervorbringt. Also mal eben ganz heimlich und im Stillen kann dieser Wert eigentlich gar nicht geändert werden.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Anzeige
Oben