Technologie

Wie kann ich mit Autoruns Autostart-Einträge nach ihrer Signatur überprüfen?

Melden
  1. Einleitung: was Autoruns ist und warum Signaturprüfung wichtig ist
  2. Vorbereitung: Administratorrechte und aktuelle Autoruns-Version
  3. Autostart-Einträge anzeigen und den relevanten Eintrag finden
  4. Signatur-Spalte aktivieren und integrierte Anzeige nutzen
  5. Manuelle Überprüfung einer Datei mit Windows Explorer
  6. Tiefere Prüfung: Signatur prüfen mit signtool und anderen Tools
  7. Beurteilung der Ergebnisse und weitere Schritte
  8. Fazit

Einleitung: was Autoruns ist und warum Signaturprüfung wichtig ist

Autoruns von Sysinternals ist ein leistungsfähiges Werkzeug zur Anzeige und Verwaltung von Autostart-Einträgen unter Windows. Viele Malware- oder unerwünschte Programme nutzen Autostart-Pfade; die Überprüfung der digitalen Signatur von ausführbaren Dateien hilft, legitime Software von manipulierten oder schädlichen Dateien zu unterscheiden. Eine gültige Signatur alleine garantiert keine Unbedenklichkeit, ist aber ein wichtiger Indikator.

Vorbereitung: Administratorrechte und aktuelle Autoruns-Version

Führen Sie Autoruns mit Administratorrechten aus, da nur so alle Autostart-Orte und Dateipfade sichtbar und zugreifbar sind. Laden Sie die aktuelle Version von der offiziellen Microsoft Sysinternals-Webseite herunter, damit Sie die neuesten Funktionen und Erkennungen nutzen.

Autostart-Einträge anzeigen und den relevanten Eintrag finden

Starten Sie Autoruns (Autoruns.exe oder Autoruns64.exe). Das Hauptfenster zeigt Reiter wie Everything, Logon, Services, Drivers, Scheduled Tasks usw. Wechseln Sie in den passenden Reiter – beispielsweise Logon für Anmeldestartprogramme oder Services für Hintergrunddienste. Suchen Sie in der Spalte Image Path den Pfad zur ausführbaren Datei, die Sie prüfen möchten. Notieren Sie sich den vollständigen Pfad, falls Sie die Datei manuell inspizieren wollen.

Signatur-Spalte aktivieren und integrierte Anzeige nutzen

Autoruns kann die Signaturinformationen im Fenster anzeigen. Aktivieren Sie gegebenenfalls die Spalte Publisher/Verified Publisher: im Menü Options schalten Sie „Verify Code Signatures“ ein. Nach Aktivierung versucht Autoruns automatisch, die digitalen Signaturen der aufgelisteten Dateien zu prüfen und zeigt in der Spalte „Publisher“ oder „Verified“ Informationen an. Eine angezeigte vertrauenswürdige Signatur listet den Herausgeber; fehlende oder ungültige Signaturen werden entsprechend leer oder als nicht vertrauenswürdig dargestellt.

Manuelle Überprüfung einer Datei mit Windows Explorer

Falls Autoruns keine ausreichende Information liefert oder Sie eine zweite Meinung wollen, navigieren Sie im Explorer zum Dateipfad, Rechtsklick auf die Datei, Eigenschaften, Registerkarte Digitale Signaturen. Dort sehen Sie Signaturdetails, Signaturdatum und Signer. Über „Details“ können Sie die Signatur öffnen und „Zertifikat anzeigen“, um Aussteller, Gültigkeitszeitraum und Vertrauenspfad zu prüfen. Gültigkeitsprobleme, abgelaufene oder nicht vertrauenswürdige Zertifikate sind Warnzeichen.

Tiefere Prüfung: Signatur prüfen mit signtool und anderen Tools

Für eine technische Prüfung nutzen Sie das Windows SDK-Tool signtool (sign verify). Beispiel: signtool verify /pa /v "C:Pfadzurdatei.exe" zeigt, ob die Signatur gültig ist und ob die Zertifikatskette vertrauenswürdig ist. Alternativ können Sie Tools wie PowerShell (Get-AuthenticodeSignature) verwenden: Get-AuthenticodeSignature "C:Pfadzurdatei.exe" liefert Status und Signer-Informationen.

Beurteilung der Ergebnisse und weitere Schritte

Wenn die Signatur gültig ist und der Herausgeber bekannt und erwartbar ist, ist das ein gutes Zeichen. Fehlt die Signatur, ist sie ungültig, abgelaufen oder der Herausgeber unbekannt, sollten Sie misstrauisch sein: weitere Schritte sind Virenscan (mehrere Engines z. B. VirusTotal), Prüfen der Datei-Hashes gegen vertrauenswürdige Quellen, Recherche zum Herausgeber und ggf. Entfernen oder Deaktivieren des Eintrags in Autoruns, wenn unklar oder verdächtig. Dokumentieren Sie Änderungen und erstellen Sie vor Entfernung einen Wiederherstellungspunkt.

Fazit

Autoruns vereinfacht die erste Sichtprüfung von Autostart-Einträgen und kann durch die Option „Verify Code Signatures“ digitale Signaturen anzeigen. Ergänzen Sie die integrierte Ansicht durch manuelle Prüfungen mit Explorer, signtool oder PowerShell und durch externe Scans, bevor Sie Einträge löschen oder deaktivieren. Eine mehrstufige Prüfung reduziert das Risiko, legitime Software fälschlich zu entfernen.

0

Kommentare