So prüfen Sie die versteckten Autostarts

19. Mai 2014
Joachim Müller (Herausgeber) Von Joachim Müller (Herausgeber), IT Sicherheit ...

Um die versteckten Autostarts aufzuspüren, sollten Sie auch noch diese Registry-Schlüssel unter „HKEY_Local_Machine\ Software\Microsoft\Windows\CurrentVersion“ sowie unter „HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\“ auf mögliche unerwünschte oder überflüssige Programmeinträge überprüfen.

Diese Schlüssel sollten Sie zusätzlich nach versteckten Autostart-Einträgen durchsuchen:

  • Run: Programme, die beim Starten asynchron ausgeführt werden. Dabei wird das unter „HKEY_LOCAL_MACHINE“ gespeicherte „Run“-Kommando direkt vor dem unter „HKEY_CURRENT_ USER“ gespeicherten Run-Kommando ausgeführt.
  • RunOnce: Programme, die nach der Anmeldung eines Benutzers einmalig und synchron ausgeführt werden. Beim Start von Windows im abgesicherten Modus wird der Eintrag ignoriert.
  • RunOnceEx: Eine Gruppe von Programmen, DLLs und OCX-Modulen, die beim Start einmal ausgeführt werden, wobei der Ausführungsstatus in einer Dialogbox angezeigt wird.
  • RunServices: Das angegebene Programm wird unabhängig von der Benutzeranmeldung direkt nach der Abarbeitung von „RunServicesOnce“ asynchron als Dienst ausgeführt.
  • RunServicesOnce: Das angegebene Programm wird unabhängig von der Benutzeranmeldung einmalig vor der Ausführung anderer Startprogramme asynchron als Dienst ausgeführt.

Für Windows gibt es weitere Möglichkeiten, ein Programm beim Systemstart von Windows zu aktivieren. Diese Alternative zum Registry-Schlüssel „Run“ ist aber kaum bekannt und wird deshalb gern verwendet, um Programme beim Systemstart versteckt zu aktivieren:

Der passende Registry-Schlüssel dazu befindet sich unter „HKEY _LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon“. Hier finden Sie die Zeichenfolge „Userinit“ mit dem Eintrag „C:\WINDOWS\system32\ userinit.exe“.

Nach dem Komma am Ende dieses Eintrags können weitere Programmaufrufe folgen. So könnte die Zeichenfolge „Userinit“ auch folgenden Eintrag enthalten: „C:\WINDOWS\system32\userinit. exe,c:\programme\versteckt.exe“.

Wenn also ein Programm in den Standard-Registry-Schlüsseln „Run“, „RunOnce“ usw. nicht auftaucht, sollten Sie auch hier einmal nachsehen. Das Gleiche gilt für den Schlüssel „HKEY_CURRENT_ USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load“. Ist ein Programm hier eingetragen, erfolgt der Start des Programms, wenn sich ein Benutzer am System anmeldet.

Nie wieder Windows-Probleme - fordern Sie jetzt kostenlose Hilfe an!

Jetzt gratis per E-Mail

DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Weitere Artikel zum Thema

Newsletter

Jetzt kostenlose Windows-Hilfe anfordern!

  • die besten Tipps
  • völlig kostenlos
  • jederzeit abbestellbar
DDV Ehrencodex E-Mail-Marketing
  • Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters.
  • Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter.
  • Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Datenschutzgarantie:

Wir benötigen Ihre E-Mail-Adresse für die Zusendung des Newsletters. Wir geben Ihre E-Mail-Adresse garantiert nicht an Dritte weiter. Jederzeit abbestellbar durch einen Link im Newsletter.

Unsere Experten

Rudolf Ring twittert für @Computerwissen

Die von Ihnen eingegebene E-Mail Adresse ist nicht korrekt. Bitte korrgieren Sie Ihre Eingabe und klicken Sie auf "OK":

Bitte wählen Sie mindestens einen Newsletter aus und klicken Sie auf "OK"