Technologie

Wie kann ich in Autoruns versteckte oder unsichtbare Autostart-Einträge aufdecken?

Melden
  1. Einführung in Autoruns und das Problem versteckter Einträge
  2. Warum sind manche Autostart-Einträge versteckt?
  3. Aktivieren von erweiterten Optionen in Autoruns
  4. Alle Registerkarten und Kategorien prüfen
  5. Manuelle Suche nach ungewöhnlichen Pfaden und Dateien
  6. Darstellung versteckter Registry-Schlüssel erzwingen
  7. Fazit und Tipps zum Umgang mit versteckten Autostarts

Einführung in Autoruns und das Problem versteckter Einträge

Autoruns ist ein weit verbreitetes und kostenloses Tool von Microsoft Sysinternals, das verwendet wird, um Autostart-Einträge auf einem Windows-System anzuzeigen und zu verwalten. Standardmäßig zeigt Autoruns eine sehr umfangreiche Liste von Autostart-Programmen, Diensten, Treibern und anderen Objekten an, die bei Systemstart geladen werden. Dennoch gibt es manchmal sogenannte versteckte oder unsichtbare Einträge, die nicht sofort erkennbar sind, etwa weil sie speziell getarnt oder an ungewöhnlichen Stellen abgelegt wurden.

Warum sind manche Autostart-Einträge versteckt?

Manche Programme, insbesondere Schadsoftware, versuchen, ihre Autostart-Einträge zu verbergen, um nicht vom Anwender oder von Sicherheitssoftware entdeckt zu werden. Diese Einträge können an ungewöhnlichen Stellen in der Registry oder im Dateisystem abgelegt sein, oder durch spezielle Techniken maskiert werden. Auch legitime Software kann manchmal komplexe Einträge an unerwarteten Orten hinterlassen, die in einer einfachen Übersicht nicht auffallen.

Aktivieren von erweiterten Optionen in Autoruns

Um möglichst viele Autostart-Kandidaten anzuzeigen, sollte man zuerst in den Einstellungen von Autoruns alle erweiterten Optionen aktivieren. Dafür öffnet man Autoruns, geht in das Menü Options und aktiviert dort mehrere Optionen. Wichtig ist, die Optionen Hide Empty Locations und Hide Windows Entries zu deaktivieren, damit keine Einträge ausgeblendet werden. Zudem sollte man Verify Code Signatures aktivieren, damit unsignierte oder verdächtige Dateien markiert werden. Mit der Option Include VirusTotal.com werden Dateien mit der Online-Datenbank abgeglichen und so verdächtige Autostarts besser identifizierbar.

Alle Registerkarten und Kategorien prüfen

Autoruns zeigt nicht nur Einträge aus den bekannten Registry-Pfaden, sondern auch aus vielen anderen, weniger offensichtlichen Bereichen an. Um wirklich alle Einträge zu sehen, sollte man alle Registerkarten durchgehen. Dazu gehören etwa Logon, Services, Scheduled Tasks, Drivers, AppInit und weitere. Manche Einträge sitzen in sogenannten Browser Helper Objects oder im Winsock Provider. Auch geplante Tasks oder Explorer-Shell-Erweiterungen können Autostart-Code enthalten. Ein gründliches Durchsehen all dieser Tabs kann versteckte Einträge offenbaren.

Manuelle Suche nach ungewöhnlichen Pfaden und Dateien

Es lohnt sich, in Autoruns auf Einträge zu achten, die ungewöhnliche oder nicht systemtypische Speicherorte aufweisen, beispielsweise im Benutzerverzeichnis, temporären Ordnern oder versteckten versteckten Verzeichnissen. Über das Kontextmenü kann man direkt zum Speicherort springen oder die Signatur prüfen. Einträge mit fehlender Signatur oder ungewöhnlichen Dateinamen sind oft verdächtig. Sollte ein Autostart-Eintrag nicht sichtbar sein, kann es sein, dass dessen Registrierung mit speziellen Attributen versehen wurde – in solchen Fällen hilft oft ein tieferer Registry-Scan mit spezialisierten Tools.

Darstellung versteckter Registry-Schlüssel erzwingen

Manchmal sind Registry-Schlüssel versteckt, indem sie mit speziellen Berechtigungen versehen oder mit bestimmten Flags manipuliert wurden. Autoruns kann in manchen Fällen diese Schlüssel nicht standardmäßig anzeigen. Um dennoch verborgene Registry-Einträge zu finden, verwendet man in Autoruns die Option Scan Locations und setzt dort Häkchen bei allen möglichen Standorten. Zusätzlich kann das Starten von Autoruns mit administrativen Rechten notwendig sein, damit vollständiger Zugriff auf alle Bereiche besteht. Zudem gibt es Tools wie Process Monitor, die dabei helfen können, Registry-Aktivitäten zur Laufzeit zu überwachen und so verborgene Autostart-Einträge zu identifizieren.

Fazit und Tipps zum Umgang mit versteckten Autostarts

Versteckte oder unsichtbare Autostart-Einträge lassen sich mit Autoruns meist durch sorgfältiges Aktivieren aller Optionen, Anzeigen aller Bereiche und Prüfen verdächtiger Einträge identifizieren. Wichtig ist es, das Tool stets als Administrator auszuführen und alle Registerkarten systematisch zu durchsuchen. Ergänzend kann man Online-Datenbanken wie VirusTotal nutzen, um verdächtige Einträge besser einschätzen zu können. Für besonders hartnäckige Fälle ist das Kombinieren von Autoruns mit anderen Tools zur Registry- und Prozessüberwachung ratsam, um so auch versteckte Systemmodifikationen aufzudecken.

0

Kommentare