Seite 2: Autostart

Inhaltsverzeichnis

Autostart

Fast alle Schädlinge wollen sich irgendwie verewigen – und zwar so, dass sie auch einen Neustart des Systems überleben. Die erste Anlaufstelle für die Suche nach Ungeziefer sind somit die sogenannten Autostarts, die das System irgendwann automatisch ausführt. Dummerweise gibt es unter Windows davon sehr viele und mit Bordmitteln wie msconfig findet man nur einen Teil davon. Das beste Tool zur systematischen Analyse ist Autoruns von SysInternals, das seit einiger Zeit Microsoft gehört. Am besten besorgt man sich gleich die komplette SysInternals-Suite, die noch weitere sehr nützliche Tools enthält.

Bereits auf einem neuen System findet Autoruns mehr Einträge, als man wirklich detailliert untersuchen möchte – und im Lauf der Zeit sammeln sich immer mehr an. Neben den wohl allseits bekannten Run-Keys in der Registry gibt es eine ganze Reihe weniger prominente Stellen, an denen sich Trojaner und insbesondere Spyware ins System einklinken. So installieren bestimmte Spyware-Programme beispielsweise einen sogenannten Layered Socket Provider (LSP). Das ist eine dokumentierte Schnittstelle zum TCP/IP-Stack, über die sich zusätzliche Netzwerkfunktionen realisieren lassen. Microsoft nutzt dies unter anderem, um Quality-of-Service-Erweiterungen einzubinden. Autoruns zeigt diese LSPs unter dem Register "Winsock Providers" an.

Eine vollständige Beschreibung aller Autostarts würde den Rahmen dieses Artikels sprengen. Doch die ist für eine gezielte Suche auch gar nicht unbedingt erforderlich. Mehr Übersicht verschafft das Ausblenden aller Einträge, die auf Programme mit digitaler Signatur von Microsoft verweisen ("Verify Code Signatures" und "Hide Signed Microsoft and WIndows Entries" unter "Options"). Die digitale Signatur bestätigt, dass dieses Programm von Microsoft stammt und nicht verändert wurde. Bereits das Ändern eines einzelnen Bytes in der EXE-Datei macht die Signatur ungültig. Nach dem Aktualisieren der Ansicht bleiben schon deutlich weniger Kandidaten übrig, die man nun systematisch abarbeiten muss.

Ab hier ist mühselige Detektivarbeit angesagt; auf eindeutige Beweise darf man nur noch in Ausnahmefällen hoffen. Erste Anlaufstelle sollten die Einträge ohne "Publisher" oder mit nicht überprüfbarem Hersteller sein. Allein der Name einer Datei sagt wenig aus, verwenden Schädlinge doch bevorzugt solche, die entweder ähnlich aussehen wie echte Systemdateien oder denen sogar gleichen und nur einen anderen Pfad aufweisen. Und wer weiß schon aus dem Kopf ganz sicher, ob lsass.exe in \Windows oder \Windows\system32 liegt? Aber eine angebliche Systemdatei wie "servce.exe" im Verzeichnis Windows\system32\ ohne Herstellerangabe ist verdächtig. Andersrum kann man eine Bibliothek von Symantec, die ordentlich im Ordner unter \Programme\Norton Internet Security\ abgelegt ist, in erster Näherung als o.k. betrachten – sofern man dieses Produkt installiert hat, versteht sich.

Weitere Indizien fördert vielleicht eine Google-Suche zum Dateinamen zu Tage, die über die rechte Maustaste zu erreichen ist. Bei der Recherche im Internet ist allerdings zu beachten, dass die dort verfügbaren Informationen nicht unbedingt sonderlich vertrauenswürdig sind und oft auch mal in die Irre führen können. Mit etwas gesundem Menschenverstand kann man jedoch die Spreu vom Weizen trennen.

Autoruns bietet auch die Möglichkeit, einzelne Einträge zu deaktivieren oder ganz zu löschen. Bevor man sich jedoch vergewissert hat, mit was man es überhaupt zu tun hat, sollte man nicht an einzelnen Symptomen herumdoktern.