Windows 8: Starteinträge in der Registry zum Schutz vor Malware prüfen

Windows 8 sieht drei Wege zum automatischen Start von Anwendungen vor. Neben dem Autostart-Ordner und den Einträgen im Task-Manager (früher MSCONFIG) lassen sich Programme auch über die Registry starten. Sie sollten die entsprechenden Schlüssel unbedingt bei Verdacht auf Malware (Schadprogramme) überprüfen. Hier werden Sie Einträge finden, die im Autostart-Ordner und Task-Manager nicht auftauchen!

Wo Sie die Autostart-Einträge in der Registry finden

Die Autostart-Einträge von Windows 8 finden Sie in der Registry unter HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run sowie /RunOnce.

Dabei ist der Schlüssel Run für Programme bestimmt, die bei jedem Windows-Start gestartet werden sollen. Die bei RunOnce eingetragenen Programme werden nur einmal gestartet, dann wird dieser Eintrag automatisch entfernt. RunOnce findet zum Beispiel bei der Installation von Anwendungen und bei Updates Verwendung. Einige Schadprogramme nisten sich darüber allerdings auch ein, sie ändern den RunOnce-Start bei jeder Windows-Sitzung, um Antiviren-Programme auszutricksen.

Innerhalb der Schlüssel Run und RunOnce finden Sie immer den Wert (Standard). Das ist eine Zeichenfolge und weist darauf hin, wie Einträge bei Run und RunOnce in der Registry erfolgen. Es wird dazu eine neue Zeichenfolge mit dem Namen des jeweiligen Programms angelegt und bei Wert der Pfad zum Programm und der Programmname in Anführungszeichen angegeben. Sofern erforderlich, werden dahinter noch Parameter geschrieben.

Das Bild zu Beginn dieses Artikels zeigt als Beispiel den Eintrag "Speech Recognition", das ist die Spracherkennung von Windows 8, unter Run.

So gelangen Sie zu den Run- und RunOnce-Werten, um diese zu prüfen

Änderungen an der Registry nehmen Sie mit dem Registrierungseditor Regedit vor:

  1. Drücken Sie die Windows-Taste zusammen mit der Taste R, um das Fenster "Ausführen" aufzurufen.
  2. Geben Sie den Befehl regedit zum Aufruf des Registrierungs-Editors ein, drücken Sie die Eingabetaste und bestätigen Sie die Ausführung gegenüber der Benutzerkontensteuerung mit "Ja".
  3. Navigieren Sie zum Schlüssel HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Run
  4. Prüfen Sie nun im rechten Fenster von Regedit, ob Run außer (Standard) noch weitere Zeichenfolgen enthält und sehen Sie sich deren Daten an.
  5. Sollte sich hier ein Schadprogramm eingenistet haben oder eine Anwendung, die nicht mehr automatisch mit Windows gestartet werden soll, dann klicken Sie den entsprechenden Eintrag mit der rechten Maustaste an und wählen "Löschen".
  6. Direkt unter Run finden Sie RunOnce. Sofern Sie nicht gerade ein Programm oder Update installiert haben, sollte hier außer (Standard) kein Wert enthalten sein. Sofern hier Schadprogramm-Einträge vorhanden sind, löschen Sie diese ebenfalls wie bei Run über das Kontextmenü und "Löschen".

Warnung: Haben Sie in Run oder RunOnce ein Schadprogramm wie einen Trojaner entdeckt, dann ist dieser durch das Löschen des Eintrags noch nicht vollständig entfernt. Der Trojaner wurde ja schon beim Start von Windows aktiviert und befindet sich noch im Arbeitsspeicher, sofern Sie diesen nicht zuvor über den Task-Manager oder ein Antiviren-Programm deaktiviert haben.

Schadprogramme haben heute zudem meist mehrere Schadroutinen und so kann die Malware beim nächsten Start auch auf anderem Wege wieder aktiv werden. Führen Sie daher mit Ihrem Antiviren-Programm einen kompletten Scan der Festplatte durch.

Noch sicherer ist ein Virenscan, wenn Windows nicht gestartet ist. Sie starten den Rechner dann über Linux-Live-CD mit einem aktuellen Antiviren-Programm. Eine solche Live-CD bieten die meisten Hersteller von Antiviren-Programmen als ISO-Datei zum Download an. Nach dem Herunterladen brennen Sie die Datei auf eine CD oder DVD und booten damit Ihren PC.

Wenn Sie mehr über Autostart-Programme bei Windows 8 erfahren möchten, lesen Sie den Beitrag Windows 8: Wie Sie ohne Startmenü auf den Autostart-Ordner zugreifen.