91876

Hier verstecken sich die Viren im System

28.02.2009 | 09:11 Uhr |

Die meisten schädlichen Programme klinken sich so in Windows ein, dass sie bei jedem Systemstart mit geladen werden. Dafür schreiben sie sich in einen der vielen Startordner oder -schlüssel. Wir zeigen, an welchen Stellen sich überall Malware einklinken kann.

Wichtig: Bei den meisten Programmen und Einträgen handelt es sich durchaus um erwünschte Tools, die Sie nicht löschen sollten.
Für die Kontrolle hilft das Windows-Bordmittel Msconfig.EXE. Rufen Sie es über „Start, Ausführen“ auf. Im Folgenden beschreiben wir die Kontrolle der Autostart-Einträge mit Msconfig.

Run-Schlüssel: Die meisten stets aktiven Programme, etwa die Firewall, starten über Run-Schlüssel in der Registry. Welche Programme Windows automatisch über die Registry lädt, sehen Sie mit Msconfig auf der Registerkarte „Systemstart“. Ein Klick auf das Häkchen deaktiviert das Programm ab dem nächsten Windows-Start.

Msconfig zeigt hier Programme aus mehreren Registry-Schlüsseln an. Wenn Sie selber in der Registry suche wollen, dann finden Sie die Schlüssel hier:

Registry
Hkey_Local_Machine\System\CurrentControlSet\Services
Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion
Darin die Werte unter:
RunServicesOnce
RunServices
RunOnce\Setup
RunOnce
RunOnceEx
Run

Hkey_Current_User\Software\Microsoft\Windows\CurrentVersion
Darin die Werte unter:
Run
RunOnce
RunServices
RunServicesOnce

Hkey_Current_User\Software\Microsoft\Windows NT\CurrentVersion\Windows
Darin die Werte unter:
Run
Load

Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Policiesxplorer\Run
Hkey_Current_User\Software\Microsoft\Windows\CurrentVersion\Policiesxplorer\Run
Hkey_Local_Machine\Software\Policies\Microsoft\Windows\System\Scripts
Hkey_Current_User\Software\Policies\Microsoft\Windows\System\Scripts
Hkey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Hkey_Local_Machine\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ Userinit
Hkey_Local_Machine\System\CurrentControlSet\Control\Session Manager\BootExecute
Hkey_Current_User\Software\Microsoft\Windows NT\CurrentVersion\Windowsoad

Autostart-Ordner: Einige Programme laden sich über die Autostart-Ordner von Windows ins System. Das Tool Msconfig listet diese Einträge ebenfalls unter „Systemstart“ auf.

Auf dem System finden Sie die Ordner hier:
%windir%\All Users\Startmenü\Programme\Autostart
%windir%\Startmenü\Programme\Autostart
%windir%\Profiles\<Benutzername>\Startmenü\Programme\Autostart
Dokumente und Einstellungen\All User\Startmenü\Programme\Autostart
Dokumente und Einstellungen\<Benutzername>\Startmenü\Programme\Autostart

Autostar-Ordner über die Registry gibt’s überigens auch. Sie lauten:
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersionxplorer\ User Shell Folders\Startup
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersionxplorer\Shell Folders\Startup
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersionxplorer\Shell Folders\Common Startup
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersionxplorer\ User Shell Folders\Common Startup
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionxplorer\Shell Folders\Startup
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersionxplorer\ User Shell Folders\Startup

Win.INI: Prüfen Sie die Einträge in der [Win.INI]. hinter den Befehlen „run“ und „load“. Das geht mit Msconfig auf der Registerkarte „Win.ini“. Bei Windows 2000 und XP sollten diese Einträge nicht vorhanden sein. Unter Vista gibt’s die Registerkarte nicht mehr, die Datei im Windows-Verzeichnis aber schon noch.

Dienste: In Windows 2000, XP und Vista kann sich gefährlicher Code auch als Dienst starten. Unter Windows 95/98/ME gibt es diese Möglichkeit nicht. Mit Msconfig sehen Sie alle Dienste auf der Registerkarte „Dienste“. Die Liste ist lang. Der Überblick fällt leichter, wenn Sie die Option „Alle Microsoft Dienste ausblenden“ wählen.

Autoexec.BAT
Anwender von Windows 95/98/ME kontrollieren die Einträge in der Autoexec.BAT. Die DOS-Startdatei liegt im Stammverzeichnis der Windows-Partition. Unter Windows 2000 und XP ist sie in der Regel leer – wenn nicht, deutet das sehr wahrscheinlich auf einen Schädling hin. In Vista gibt’s die Datei nicht mehr.

Active-X-Anwendungen
Active-X-Anwendungen aus dem Internet sind im Ordner „Downloaded Program Files“ im Windows-Verzeichnis gespeichert. Ein Doppelklick auf eine Datei zeigt an, von welcher Web-Seite Sie stammt. Wenn Sie bedenken haben, dass eine Anwendung gefährlich sein könnte, können Sie sie in der Regel einfach löschen. Im schlimmsten Fall müssen Sie das Programm neu herunterladen. Einen Überblick über Active-X-Anwendungen erhalten Sie auch im Internet Explorer über „Extras, Add-Ons Verwalten“

Zertifikate
Kontrollieren Sie im Internet Explorer, ob Sie ein Zertifikat für ein Active X gespeichert haben. Das geht über „Extras, Internetoptionen, Inhalte, Zertifikate“ auf der Registerkarte „Vertraute Herausgeber“. Zertifikate, die dort aufgelistet werden, werden ausgeführt, ohne dass Sie darüber informiert werden. Im Zweifelsfall entfernen Sie ein Zertifikat. Sollten Sie es später brauchen, lässt es sich einfach nachladen.

0 Kommentare zu diesem Artikel
91876