Das Finden und Entfernen von Malware gestaltet sich immer schwieriger. Die Entwickler von Schädlinge wissen ganz genau, wie man diese und wo man diese verstecken kann. Herkömmliche AV- Lösungen haben da kaum eine Chance irgendetwas zu finden. Der Aufwand der Säuberung der System wird immer größer.
Das Problem der Registrierung
z.B. HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun…
Damit nicht genug: Ein weiteres Problem ist, dass danach angelegte Einträge desselben Schlüssels auch nicht angezeigt werden, selbst wenn sie eine ganz normale Länge aufweisen.
Doch: Nicht sichtbar, heißt nicht, wird vorhanden und damit ausgeführt!
Dieses machen sich Cyberkrimininelle zu nutze und binden Autostarts für verschiedene Schädlinge zur Ausführung in die Registrierung ein.
Was können wir tun um diese ausgeblendeten schädlichen Einträge zu finden?
Tool 1: Das Kommandozeilentool “Reg.exe”
Das Tool rufen wir folgendermaßen auf:
- Start ->Ausführen ->cmd ->mit Enter bestätigen
- In der Eingabeaufforderung dann folgenden String eingeben:
- reg query HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Nachteil: reg.exe setzt voraus, dass man genau wissen muss, wo in der Registry was zu suchen ist.
Tool 2 : Das Bordmittel “msconfig.exe”
- Start ->Ausführen ->msconfig ->mit Enter bestätigen
- das Systemkonfiguratorsprogramm startet
- auf dem Reiter Systemstart sehen Sie alle Applikationen, die zum Systemstart für das Profil ausgeführt werden.
Tool 3: “Autoruns” eine kostenfreie Erweiterung von Microsoft
Dieses Tool (hier geht’s zum Download) überwacht den Start des Systems und zeigt Ihnen an, welche Prozesse dabei selbständig gestartet werden.
In einzelnen übersehbare Kategorien gliedert Autoruns die einzelnen Applikationen. Die versteckten Registrierungseinträge und Pfade werden komplett mit allen Parametern angezeigt. So können Sie z. B. genau sehen welche Programme evtl. ungefragt zum Systemstart mit ausgeführt werden. Diese Programmstarts werden durch Entfernen der Haken einfach deaktiviert.