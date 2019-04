So prüfen Sie die versteckten Autostarts

Um die versteckten Autostarts aufzuspüren, sollten Sie auch noch diese Registry-Schlüssel unter „HKEY_Local_Machine\ Software\Microsoft\Windows\CurrentVersion“ sowie unter „HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\“ auf mögliche unerwünschte oder überflüssige Programmeinträge überprüfen.

Diese Schlüssel sollten Sie zusätzlich nach versteckten Autostart-Einträgen durchsuchen:

Run: Programme, die beim Starten asynchron ausgeführt werden. Dabei wird das unter „HKEY_LOCAL_MACHINE“ gespeicherte „Run“-Kommando direkt vor dem unter „HKEY_CURRENT_ USER“ gespeicherten Run-Kommando ausgeführt.

RunOnce: Programme, die nach der Anmeldung eines Benutzers einmalig und synchron ausgeführt werden. Beim Start von Windows im abgesicherten Modus wird der Eintrag ignoriert.

RunOnceEx: Eine Gruppe von Programmen, DLLs und OCX-Modulen, die beim Start einmal ausgeführt werden, wobei der Ausführungsstatus in einer Dialogbox angezeigt wird.

RunServices: Das angegebene Programm wird unabhängig von der Benutzeranmeldung direkt nach der Abarbeitung von „RunServicesOnce“ asynchron als Dienst ausgeführt.

RunServicesOnce: Das angegebene Programm wird unabhängig von der Benutzeranmeldung einmalig vor der Ausführung anderer Startprogramme asynchron als Dienst ausgeführt.

Für Windows gibt es weitere Möglichkeiten, ein Programm beim Systemstart von Windows zu aktivieren. Diese Alternative zum Registry-Schlüssel „Run“ ist aber kaum bekannt und wird deshalb gern verwendet, um Programme beim Systemstart versteckt zu aktivieren:

Der passende Registry-Schlüssel dazu befindet sich unter „HKEY _LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\ CurrentVersion\Winlogon“. Hier finden Sie die Zeichenfolge „Userinit“ mit dem Eintrag „C:\WINDOWS\system32\ userinit.exe“.

Nach dem Komma am Ende dieses Eintrags können weitere Programmaufrufe folgen. So könnte die Zeichenfolge „Userinit“ auch folgenden Eintrag enthalten: „C:\WINDOWS\system32\userinit. exe,c:\programme\versteckt.exe“.

Wenn also ein Programm in den Standard-Registry-Schlüsseln „Run“, „RunOnce“ usw. nicht auftaucht, sollten Sie auch hier einmal nachsehen. Das Gleiche gilt für den Schlüssel „HKEY_CURRENT_ USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load“. Ist ein Programm hier eingetragen, erfolgt der Start des Programms, wenn sich ein Benutzer am System anmeldet.