Autostarts unter Windows
Egal ob Viren, Würmer oder Trojaner, ob Dialer oder ob Browser-Manipulationen, die Suche nach Ungereimtheiten in Windows beginnt bei den zahlreichen Autostart-Mechanismen von Windows.
Bei Autostarts handelt es sich um automatisch von Windows beim Hochfahren mit gestartete Programme. Eigentlich ist der Mechanismus für Programme gedacht, die man bei jeder Windows-Sitzung benötigt, also beispielsweise Virenscanner oder Firewall. Je nach Einsatzzweck des PC kann auch der Autostart des Office-Pakets oder des Mail-Clients sinnvoll sein. Ärgerlicherweise nutzen aber weit mehr Software-Hersteller als nötig den Mechanismus. Und auch Angreifer missbrauchen die Autostart-Mechanismen, um ihre Schädlinge im System zu verankern.
Bei der Suche nach der Ursache eines Problems sollte man zunächst die Autostarts durchforsten, die in allen Windows-Varianten verfügbar sind, da sie von den meisten Programmierern bevorzugt werden. Werkzeuge helfen, Autostarts gesammelt anzuzeigen. Das wichtigste ist das nur bei 98, ME und XP enthaltene "Systemkonfigurationsprogramm", welches nach Eingabe von "msconfig" im Startmenü unter "Ausführen" startet. Im letzten Reiter "Systemstart" führt es viele wichtige Autostarts auf. Auskunftsfreudiger zeigt sich die Freeware Autoruns von Sysinternals. Es läuft unter allen Windows-Versionen ab 95.
Eine detaillierte Anleitung zur Fehlersuche unter Windows liefert der Artikel "Aus heiterem Himmel" in c't 10/04, S. 100 (Kostenpflichtiger Download).
| Autostarts via Dateien | 95 | 98 | ME | 2000 | XP |
| C:\Msdos.sys2 | + | + | + | - | - |
| C:\Winboot.ini3, 4 | + | + | - | - | - |
| C:\Config.sys, Einträge "Device=", "Install=", "Devicehigh=" und "Installhigh=" | + | + | - | - | - |
| C:\Config.sys, Eintrag "Shell="5 | + | + | - | - | - |
| C:\Autoexec.bat | + | + | - | - | - |
| C:\Win.bat4 | + | + | - | - | - |
| C:\Windows\Dosstart.bat | + | + | - | - | - |
| C:\Window\Command\Cmdinit.bat | - | - | + | - | - |
| C:\Winnt\Autoexec.nt und Config.nt | - | - | - | + | - |
| C:\Windows\Autoexec.nt und Config.nt | - | - | - | - | + |
| Winstart.bat4 | + | + | - | - | - |
| C:\Windows\system\vmm32\loader.exe4 | - | - | + | - | - |
| C:\Windows\Wininit.ini1, 4, 6 | + | + | + | - | - |
| C:\Windows\System.ini, Eintrag "Shell="7 | + | + | + | - | - |
| C:\Windows\Win.ini, Einträge "run=" und "load="4 | + | + | + | - | - |
| C:\Windows\Startmenü\Programme\Autostart | + | + | + | - | - |
|
C:\Windows\Profiles\ |
+ | + | + | - | - |
| C:\Windows\All Users\Startmenü\Programme\Autostart | + | + | + | - | - |
|
C:\Dokumente und Einstellungen\ |
- | - | - | + | + |
| C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart | - | - | - | + | + |
| Autostarts via Registry | |||||
| HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run | + | + | + | + | + |
| HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce1 | + | + | + | + | + |
| HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run | - | - | - | + | + |
| HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load | - | - | - | + | + |
| HKEY_CURRENT_USER\Software\Policies\Microsoft\System\Scripts8 | - | - | - | + | + |
| HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run | + | + | + | + | + |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run | + | + | + | + | + |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\RunOnce1 | + | + | + | + | + |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\RunOnceEx1, 9 | + | + | + | + | + |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\RunServices | + | + | + | - | - |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\RunServicesOnce | + | + | + | - | - |
| HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Startup | - | - | - | + | + |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Userinit10 | - | - | - | + | + |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current Version\ShellServiceObjectDelayLoad | - | + | + | + | + |
| HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\User Shell Folders\Startup12 | + | + | + | + | + |
| HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Explorer\Shell Folders\Startup12, 13 | - | - | - | + | + |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Explorer\User Shell Folders\Common Startup12 | + | + | + | + | + |
| HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Explorer\Shell Folders\Common Startup12, 13 | + | + | + | + | + |
| HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Current Version\Explorer\User Shell Folders\Startup12 | + | + | + | + | + |
| HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Current Version\Explorer\Shell Folders\Startup12, 13 | + | + | + | + | + |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Update\NetworkPath14 | + | + | + | + | + |
| HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Update\UpdateMode15 | + | + | + | + | + |
| HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\ @="\"%1\" %*"16 | + | + | + | + | + |
| Autostarts über aktive Inhalte des Explorers | |||||
| Active Desktop17 | + | + | + | + | + |
| C:\Windows\Desktop als Webansicht17 | + | + | - | - | - |
| C:\Windows\Profiles\\Desktop als Webansicht17 | + | + | - | - | - |
|
C:\Dokumente und Einstellungen\ |
- | - | - | + | + |
| C:\Windows\Web\*.htt18 | - | + | + | - | + |
| C:\Winnt\Web\*.htt18 | - | - | - | + | - |
| Sonstiges | |||||
| geplante Vorgänge /geplante Tasks | - | + | + | + | + |
| Anmeldeskripte für Netware-Server11 | + | + | + | + | + |
| HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects17 | + | + | + | + | + |
|
1 Windows löscht enthaltene Enträge nach dem Abarbeiten 2 erlaubt das Verbiegen wichtiger Systempfade, etwa des Windows-Ordners 3 ersetzt die Msdos.sys 4 normalerweise nicht vorhanden / leer 5 legt den Kommandozeileninterpreter für die DOS-Ebene fest 6 bei Existenz führt Windows das DOS-Programm wininit.exe aus 7 startet normalerweise den Explorer 8 konfigurierbar über die Gruppenrichtlinien [13] 9 siehe Artikel 232509 in der Microsoft Knowledge Base 10 ruft normalerweise "%windir%\system32\userinit.exe," auf 11 auszuschalten in der Systemsteuerung unter CSNW 12 legt den Pfad des jeweiligen Autostartordners fest 13 gilt nur bei gelöschtem Schlüssel "User Shell Folders" 14 enhält den Pfad einer mit Poledit zu bearbeitenden POL-Datei, die eventuell weitere Autostarts enthalten kann 15 muss auf 0 stehen, damit Windows keine Pol-Datei abarbeitet 16 Eintrag könnte durch zusätzlich enthaltenen Programm-Aufruf verfälscht sein, gilt für alle *file-Schlüssel 17 unter Windows 95 nur mit IE 4.0 oder höher 18 alle Dateien mit der Endung *.htt können Code ausführen + vorhanden - nicht vorhanden |
|||||
(ju)
