Autoruns für Windows-Computer Mit diesem Programm prüfen Sie, was alles mitstartet

Sie haben einen Virenverdacht? Fehlermeldungen nerven beim Hochfahren des Rechners? Hin und wieder will man genau wissen, was Windows beim Systemstart lädt. Das Programm Autoruns hilft dabei.

Software Autoruns
ct

Software Autoruns

Von "c't"-Redakteur Jan Schüßler


Wenn Windows sich beim Starten nicht so verhält, wie Sie es erwarten, kann das verschiedene Ursachen haben. Recht häufig kommt es vor, dass das System versucht, irgendetwas zu laden, das inkompatibel ist, abstürzt oder schlicht nicht vorhanden ist. Das Programm Autoruns aus Microsofts Tool-Sammlung Sysinternals listet auf, was Windows beim Starten alles lädt, es schaltet per Klick einzelne Autostart-Einträge ab und bietet zudem eine Schnellprüfung auf Malware.

Autoruns können Sie direkt bei Microsoft herunterladen. Nach dem Entpacken des Programmpakets Autoruns.zip finden Sie vier ausführbare Dateien im Programmordner. Autoruns.exe und Autoruns64.exe sind die 32- und die 64-Bit-Ausgaben des Programms. Nehmen Sie einfach die, die zu Ihrer Windows-Architektur passt (die ermitteln Sie aus den "Basisinformationen über den Computer", die Sie über die Tastenkombination Windows+Pause öffnen).

Etwas anderes ist es bei Autorunsc.exe und Autorunsc64.exe: Dies sind spezielle Kommandozeilenversionen, die rein textbasiert in einer Eingabeaufforderung oder PowerShell bedient werden müssen. Sinnvoll ist das in erster Linie für den Einsatz auf Windows-Servern, die keine grafische Bedienoberfläche bieten, sondern komplett per PowerShell administriert werden. Einen Überblick über alle Schalter dieser Programmversionen finden Sie in der Autoruns-Dokumentation.

Überblick verschaffen

Anders als viele andere System-Tools braucht Autoruns nicht sofort Administratorrechte. Sobald es sie doch braucht, etwa für Eingriffe in die Startkonfiguration, fordert es sie automatisch an.

Eine Warnung ist unerlässlich: Wenn Sie aus reinem Spaß am Herumprobieren irgendwelche Treiber-Autostarts lahmlegen, nimmt Windows das mit etwas Pech sehr übel und bootet danach nicht mehr. Erstellen Sie also stets ein Backup, bevor Sie mit Autoruns experimentieren.

Autoruns durchsucht die Orte der Registry, die dafür bekannt sind, Windows mitzuteilen, was es bei Systemstart und Benutzer-Login laden soll. In der Standardansicht wirft es alle gefundenen Einträge in eine einzelne Liste, gruppiert nach Fundort, auf der Registerkarte "Everything". Zudem kategorisiert es alle Einträge in weitere Registerkarten. So finden sich Gerätetreiber unter "Drivers", Windows-Dienste unter "Services" und so weiter.

Auf der Registerkarte "Logon" erscheinen die Elemente, die erst bei der Anmeldung des gerade angemeldeten Benutzers geladen werden. Sie können sich auch die Autostarts anderer Benutzer anzeigen lassen. Dazu muss Autoruns mit Administratorrechten laufen. Tut es das noch nicht, klicken Sie zunächst im Menü "File" auf "Run as Administrator" und bestätigen Sie die Abfrage der Benutzerkontensteuerung. Nun können Sie über das Menü "User" ein anderes Benutzerprofil auswählen.

Was ist was?

Die linke Spalte mit dem Namen "Autorun Entry" gibt an, wo sich in der Windows-Konfiguration die Anweisung zum automatischen Start eines Elements befindet - also Name und Pfad des Registry-Schlüssels oder, auf der Registerkarte "Scheduled Tasks", Name und Pfad in der Windows-Aufgabenplanung. In seltenen Fällen kann sich ein Autorun-Eintrag auch direkt im Dateisystem befinden, nämlich dann, wenn etwas im "Autostart"-Ordner des Startmenüs liegt.

Autostart-Einträge können Sie übrigens aus Autoruns heraus per Doppelklick öffnen (oder per Rechtsklick und "Jump to Entry"). Je nach Art des Eintrags öffnet sich dann der Registry-Editor, die Aufgabenplanung oder der Datei-Explorer. Die Aufgabenplanung zeigt den gewünschten Eintrag allerdings nicht direkt an - möchten Sie etwas an einer Aufgabe ändern, müssen Sie sich über den linken Navigationsbereich zum passenden Eintrag hangeln.

In der Spalte "Image Path" zeigt Autoruns Pfad und Namen der Datei, die ein Eintrag startet. Im Regelfall sind das ausführbare Dateien mit der Endung .exe sowie Programmbibliotheken, Treiber und Codecs. Doch Obacht: Was unter "Image Path" steht, ist nur die halbe Wahrheit. Mit welchen Parametern, Schaltern oder sonstigen Argumenten ein Programm ausgeführt wird, steht erst im Detailbereich unterhalb der Liste, wenn Sie einen Eintrag per Klick markieren.

Das ist vor allem bei der Virensuche wichtig zu wissen. Angreifer verschleiern den Autostart ihrer Schädlinge gern, indem sie ihnen nicht einen direkten Autostart-Eintrag geben, sondern dafür sorgen, dass ein vertrauenswürdiger Windows-Bestandteil die Malware lädt. So könnten Angreifer etwa den Windows-Hostprozess rundll32.exe auffordern, die Programmbibliothek shell32.dll zu laden, die wiederum den Schädling startet. Beispiele für solche Fälle hat Microsoft-Mitarbeiter Moti Bani in einem Blogeintrag zusammengetragen.

Sinnvoll filtern

Wie lang die Liste ist, die Autoruns Ihnen anzeigt, können Sie über das Menü "Options" steuern. Vieles ist uninteressant, allen voran Orte, an denen Autoruns gar keine Autostart-Einträge findet. Die Option "Hide Empty Locations" können Sie also getrost aktiv lassen.

Mit den Optionen "Hide Windows Entries" und "Hide Microsoft Entries" blendet Autoruns Einträge aus, die zu Windows selbst beziehungsweise zu anderen Microsoft-Produkten gehören, also etwa zu Office, Outlook und Co.

Wie Autoruns das ermittelt, hängt davon ab, ob Sie unter "Scan Options" ein Häkchen vor "Verify Code Signatures" gesetzt haben. In der Standardeinstellung ist das nicht der Fall. So blendet "Hide Microsoft Entries" alle Einträge aus, die im "Image Path" auf Dateien verweisen, die in ihren Eigenschaften Microsoft als Hersteller nennen. "Hide Windows Entries" begrenzt diese Filterfunktion auf Einträge, die ins Windows-Verzeichnis verweisen.

Haben Sie in den Scan-Optionen das Verifizieren der Codesignaturen eingeschaltet, funktioniert der Filter etwas anders: "Hide Windows Entries" blendet dann Einträge aus, die im "Image Path" auf Dateien mit einer gültigen Signatur des Betriebssystems zeigen. "Hide Microsoft Entries" blendet zudem alles aus, was eine gültige Signatur der Microsoft Corporation aufweist.

Schalten Sie die Signaturverifizierung stets ein. Spätestens dann, wenn Sie die Autostarts nach Viren absuchen, ist es sowieso unerlässlich: Für Kriminelle ist es ein Leichtes, in den Dateieigenschaften ihrer Schädlinge einfach "Microsoft" als Herausgeber einzutragen. Eine gültige Signatur vorzugaukeln, ist dagegen ungleich komplizierter.

Manche Einträge lassen sich übrigens nicht ausblenden, obwohl sie zu Windows gehören: Systemprozesse wie rundll32.exe und cmd.exe, hinter denen Kriminelle gern ihre Schädlinge verstecken (siehe oben), bekommen Sie immer zu sehen.

Virencheck

Für die Prüfung, ob Windows beim Booten Viren mitlädt, bietet Autoruns einen komfortablen Mechanismus. Die verlässlichsten Ergebnisse sind bei einem Offline-Scan zu erwarten - in einem laufenden System versuchen manche Schädlinge, sich vor der Entdeckung zu tarnen.

Für die Virenprüfung bedient sich Autoruns des kostenlosen Online-Virenscan-Dienstes VirusTotal.com. Der lässt sich per Upload übers Netz mit Dateien füttern, die er auf rund 70 Antivirenprogrammen auf Schädlichkeit prüft. Um Bandbreite zu sparen, akzeptiert VirusTotal auch Hash-Werte - einzigartige Prüfsummen, die sich der Dienst für jede gescannte Datei merkt.

Virenprüfung mit Autoruns
ct

Virenprüfung mit Autoruns

Um die Virenprüfung zu verwenden, klicken Sie im Menü "Options" auf "Scan Options". Setzen Sie Häkchen vor "Verify Code Signatures", "Check VirusTotal.com" und "Submit Unknown Images". Sobald Sie den Dialog mit "Rescan" bestätigen, bittet Autoruns Sie, die Nutzungsbedingungen von VirusTotal abzunicken.

Autoruns ermittelt nun zunächst die Hash-Werte aller Autostart-Elemente und schickt sie an VirusTotal. Sobald der Dienst das Scan-Ergebnis zurückmeldet, taucht es in der Tabellenspalte "VirusTotal" auf. "2/68" zum Beispiel bedeutet: 2 von 68 Scannern stufen die Datei als schädlich ein. Ein Klick auf das Ergebnis führt Sie zum ausführlichen Bericht bei VirusTotal.com. Kennt VirusTotal einen Hash-Wert nicht, wird Autoruns es für diesen Eintrag nicht beim Übermitteln des Hashs belassen, sondern automatisch die ganze Datei zur Überprüfung bei VirusTotal hochladen.

Um einen guten Überblick über die Scan-Ergebnisse zu bekommen, aktiveren Sie die Optionen "Hide Windows Entries" und "Hide VirusTotal Clean Entries". Was jetzt noch angezeigt wird, hat mindestens einen Virenscanner bei VirusTotal Alarm anschlagen lassen.

Locker bleiben

Lassen Sie sich nicht ins Bockshorn jagen, wenn einer von 70 Scannern glaubt, einen Schädling gefunden zu haben. Bei VirusTotal sind immer wieder Scanner mit von der Partie, die diverse harmlose Windows-Bestandteile für Malware halten, weil sie zu einem bestimmten Verhaltensmuster passen. Hellhörig sollten Sie werden, wenn drei oder mehr Scanner einen Fund melden - vor allem, wenn auch renommierte Scanner dabei sind, wie etwa Avira, BitDefender, Kaspersky oder Norton.

Ein Tipp, falls Sie einen Schädling vermuten, der so neu ist, dass nur wenige Scanner ihn erkennen: Warten Sie ein bisschen ab. Bei tatsächlicher Malware steigt die Erkennungsquote meist nach ein paar Minuten bis Stunden rapide an. Schicken Sie einen Verdachtsfall also eine Stunde später einfach noch mal zur Prüfung ein.

Klicken Sie dazu mit der rechten Maustaste auf den Listeneintrag und wählen Sie "Resubmit to VirusTotal". Per Klick auf "Scanning file" in der Tabellenspalte "VirusTotal" öffnet sich ein Browserfenster, in dem Sie den Scan-Status live überwachen können. Wenn nun nicht mehr zwei, sondern zehn oder zwanzig Scanner Alarm schlagen, haben Sie tatsächlich einen Befall, dem Sie zum Beispiel mit Desinfec't zu Leibe rücken können.

Was nervt da?

Andere Anwendungsfälle für Autoruns haben nichts mit Viren zu tun: wenn Windows etwa bei jedem Systemstart meckert, weil es eine Komponente, DLL oder Treiberdatei nicht finden kann. Die Ursache ist oft eine längst deinstallierte Software oder ein unsauber entfernter Treiber für ein Gerät, das gar nicht mehr existiert.

Bekommen Sie eine solche Fehlermeldung, ist es eine gute Idee, in Autoruns danach zu suchen. Setzen Sie im Optionen-Menü den Filter "Hide Windows Entries" und durchforsten Sie die Autostart-Liste - ruhig in der Registerkarte "Everything". Im besten Fall erkennen Sie den Namen der Treiberdatei vom Fehlerdialog wieder.

Falls nicht, können die Beschreibungen in den Spalten "Description" und "Publisher" hilfreich sein. Hier steht in den meisten Fällen, wofür der Eintrag gut ist und wie der Hersteller des Treibers heißt. Entfernen Sie das Häkchen vor dem passenden Eintrag; beim nächsten Neustart sollte die Fehlermeldung verschwunden sein.

Auf ähnliche Weise könnten Sie auch den Autostart diverser Software samt ihrer Symbole im Infobereich der Taskleiste unterdrücken - sei es bei Grafik- und Soundkartentreibern oder bei Programmen wie Spotify, OneDrive, Steam und ähnlichen.

Wir raten aber stets dazu, in solchen Fällen den vom Anbieter vorgegebenen Weg zu gehen: Den allermeisten Programmen und Tools können Sie den automatischen Start auch in ihren Einstellungen abgewöhnen - und auch in den Tools von Grafiktreibern lassen sich Taskleistensymbole und Kontextmenü-Erweiterungen meist irgendwo abschalten. Ein Eingriff mittels Autoruns birgt hingegen stets das Risiko, dass Sie zu viel abschalten und Funktionen lahmlegen.



insgesamt 21 Beiträge
Alle Kommentare öffnen
Seite 1
kalsu 17.09.2018
1. Sinnfreie Tools
Taskmanager -> mehr Details - > Autostart zusammen mit einem aktuellen Virenscanner tut genau das gleiche. "Anders als viele andere System-Tools braucht Autoruns nicht sofort Administratorrechte. Sobald es sie doch braucht, etwa für Eingriffe in die Startkonfiguration, fordert es sie automatisch an." - und genau darum sollte man solche Tool schon mal gar nicht verwenden. Der einzige, der Admin-Rechte vergeben darf, ist der Admin selbst!
paperboy-1 17.09.2018
2. Unverantwortlich!
Sorry, aber ich finde es unverantwortlich ein solch mächtiges Werkzeug normalen Nutzern zu empfehlen! In der täglichen Arbeit reichen schon die Auswirkungen von msconfig. Niemand will was gemacht haben... Und auf die Idee, das da einer rumgespielt hat kommt man idR erst mal nicht. Bei autoruns hinterlässt es nicht mal Spuren, wenn man direkt löscht anstelle den Haken raus zu nehmen.
cosmose 17.09.2018
3.
Zitat von kalsuTaskmanager -> mehr Details - > Autostart zusammen mit einem aktuellen Virenscanner tut genau das gleiche. "Anders als viele andere System-Tools braucht Autoruns nicht sofort Administratorrechte. Sobald es sie doch braucht, etwa für Eingriffe in die Startkonfiguration, fordert es sie automatisch an." - und genau darum sollte man solche Tool schon mal gar nicht verwenden. Der einzige, der Admin-Rechte vergeben darf, ist der Admin selbst!
Windows 10 ist mittlerweile zwar ziemlich weit verbreitet, aber ihre o.g. Methode funktioniert z.B. mit Windows 7 noch nicht. Da muss man tatsächlich händisch in die entsprechenden Reg-Keys schauen, oder eben "Autostarts" benutzen. Die Tools von Sysinternals sind ohnehin nicht für den 08/15 Anwender gedacht. Ich finde z.B. Process Explorer und Process Monitor zur tieferen Diagnose sehr nützlich. Allerdings mache ich das Ganze schon seit 2003 beruflich, bilde mir also ein, zu wissen, was ich da tue. Noch gefährlicher sind übrigens diverse "Tuning-Tools" oder der berüchtigte CCleaner. Wenn ich sowas entdecke, verweigere ich direkt jeglichen Support...
Nonvaio01 17.09.2018
4. wer solche programme empfiehlt
hat keine ahnung von PC's. Diese funktion ist eingebaut und mit 2 klicks weiss amn was alles im hintergrund started.
Celegorm 17.09.2018
5.
Zitat von kalsuTaskmanager -> mehr Details - > Autostart zusammen mit einem aktuellen Virenscanner tut genau das gleiche. "Anders als viele andere System-Tools braucht Autoruns nicht sofort Administratorrechte. Sobald es sie doch braucht, etwa für Eingriffe in die Startkonfiguration, fordert es sie automatisch an." - und genau darum sollte man solche Tool schon mal gar nicht verwenden. Der einzige, der Admin-Rechte vergeben darf, ist der Admin selbst!
Was Windows auf diese Weise anzeigt, ist wesentlich weniger und v.a. weniger detailliert, insofern ist es eben nicht "genau das Gleiche". Mal davon abgesehen, dass die Schnittstelle zum Virenscanner in gewissen Situationen durchaus praktischer sein kann als eine händische Überprüfung. Last but not least gilt: bei einem PC lassen sich vergleichbare Resultate immer über etliche verschiedene Methoden erzielen. Diese Redundanz ist durchaus nützlich und macht ein spezifisches Vorgehen nicht unnütz. Mir scheint die Autoruns-Anwendung darum durchaus praktisch für gewisse Situationen, wenn auch eher sehr bestimmte, fortschrittene Sachen angesichts der Detailtiefe und den Möglichkeiten, Schaden anzurichten. Um irgendein 0815-Startup-Programm abzuwürgen, reichen natürlich die Windows-Einstellungen, aber nicht jedes Problem ist derart trivial.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2018
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.