Windows 10

Offline-Analyse unter Windows mit Autoruns

31.01.2020
Von 
Thomas Rieske arbeitet seit Oktober 2002 als freiberuflicher IT-Fachjournalist und Autor für IDG. Zu den Themenschwerpunkten des Diplom-Übersetzers zählen unter anderem Computersicherheit, Office-Anwendungen und Telekommunikation.
Ob langsamer Windows-Start oder obskure Meldungen beim Booten: Mit Autoruns lässt sich umfangreich prüfen, was das Betriebssystem so alles lädt. Doch wie gelingt das bei Windows-Installationen, die nicht mehr lauffähig sind, gerade weil ein Autostart-Eintrag dies verhindert?

Vorbereiten der Offline-Analyse mit Autoruns

Für solche Szenarien bietet das Utility in seinen Funktionen einen Offline-Modus an. Dazu muss Autoruns nicht unbedingt aus einem Notfallsystem heraus starten. Sie können auch die Festplatte aus dem betreffenden Rechner ausbauen und an einen anderen Windows-Rechner anschließen. Das ist zwar im Zweifelsfall mit einigem Aufwand verbunden, ist häufig aber die einzige Möglichkeit, um ein nicht mehr startendes Windows wieder flottzumachen.

Autoruns Offline-Analyse starten

Die zu untersuchende Windows-Installation binden Sie ein, indem Sie Autoruns starten und im File-Menü den Befehl Analyze Offline System auswählen. Im daraufhin geöffneten Fenster müssen Sie nun das Windows-Verzeichnis (Feld System Root) und den Profilordner des normalerweise verwendeten Users (Feld User Profile) angeben.

Autoruns-Filter setzen

Anschließend liest Autoruns die diversen Orte aus, über die Programme beim Systemstart und Benutzer-Login gestartet werden können und sortiert sie in verschiedene Kategorien ein. Falls das zu analysierende Dateisystem gravierend beschädigt ist oder etwa von einem Schädling verschlüsselt worden sein sollte, ist an der Stelle allerdings Schluss. Hier kommen Sie höchstens noch mit speziellen Forensik-Tools weiter.

Um nicht in der Flut von Einträgen zu ertrinken, empfiehlt es sich, über Options / Hide Microsoft Entries die Microsoft-Einträge - zumindest temporär - auszublenden. Verdächtige Einträge, für die zum Beispiel kein Publisher angegeben ist, lassen sich auf zwei Arten überprüfen. Zum einen bietet das Kontextmenü den Befehl Search Online an, um im Internet eine Recherche zu starten. Mit etwas Glück haben andere User bereits das gleiche oder ein ähnliches Problem gelöst.

Konfiguration mit VirusTotal checken

Zum anderen können Sie über das ebenfalls im Kontextmenü enthaltene Kommando Check VirusTotal den zu Google gehörenden Online-Dienst kostenlos konsultieren. Die hochgeladenen Dateien werden dabei von über 70 verschiedenen Malware-Scannern analysiert. Die Chance ist somit relativ hoch, dass ein Virenbefund nicht unerkannt durchrutscht. (hal)