title image


Smiley Die besten Verstecke für automatisch startende Programme
Außer unter "Run" können selbststartende Programme auch unter "RunServices" oder "...Once" eingetragen sein.



Es ist zu beachten, dass diese Einträge an zwei verschiedenen Stellen in der Registrierdatenbank vorkommen. Es muss nach sämtlichen Einträgen gesucht werden, da außerdem der eine Eintrag stets zweimal identisch aufgefunden wird. Wichtig: Nach Änderungen vor dem Weitersuchen Taste [F5] drücken, um Verwirrungen vorzubeugen. (Unter HKEY_CURRENT_USER sowie mit demselben Inhalt auch unter HKEY_USERS\.DEFAULT oder statt .DEFAULT mit dem bei der Anmeldung verwendeten Benutzernamen, unter HKEY_LOCAL_MACHINE stehen dagegen andere Einträge mit denselben Namen.)



Weitere Verstecke sind:



c:\windows\win.ini

und zwar unter [windows] hinter den Einträgen



run=

load=



c:\windows\system.ini

unter [boot] der Eintrag



shell=



Dahinter muss "explorer.exe" ohne irgendwelche Zusätze wie Pfadangaben stehen. Darauf achten, dass es ein kleines L und kein großes I ist (Tarnung eingenisteter Schadprogramme).



c:\autoexec.bat

sämtliche Zeilen (enthält normalerweise nur 3 Zeilen)



c:\config.sys

sollte nur zwei Zeilen enthalten und insbesondere keinen "INSTALL="- und keinen PATH- oder SET PATH-Befehl



wininit.ini

winstart.bat



Diese Dateien können sich sowohl in c:\ und c:\windows als auch in c:\windows\system oder sogar in c:\windows\command befinden, wenn weder C:\CONFIG.SYS noch C:\AUTOXEC.BAT einen Befehl mit dem Schlüsselwort PATH enthalten. Anderenfalls könnte ein Eindringling den PATH manipuliert haben, um wininit.ini oder winstart.bat in jedem beliebigen Ordner auf der Festplatte verstecken zu können.



Ein weiteres Versteck ist der Taskmanager. Diesen erreichst Du über das Symbol mit dem Anwendungsfenster hinter einem Kalenderblatt und einer Uhr, welche kaum als solche zu erkennen sind, in der Taskleiste (rechts in der Regel das erste Symbol von links). Anderer Weg: Im Explorer unter Arbeitsplatz den Systemordner "Scheduled Tasks" oder "Geplante Vorgänge" öffnen. Doch darin enthaltene Einträge können versteckt sein und sind dann unsichtbar, selbst wenn im Explorer "Alle Dateien anzeigen" eingestellt ist. Um auch versteckte Einträge zu entdecken, musst Du eine "MS-DOS-Eingabeaufforderung starten und den Befehl



dir /a c:\windows\tasks\*.*



eingeben. Jedes über diesen Mechanismus aufgerufene Programm wird hier mit einer Datei mit der Endung .JOB verwaltet. Die Dateien DESKTOP.INI und FOLDER.HTT und die <DIR>-Einträge sind unbedenklich und haben eine andere Funktion. Die eingetragenen Programme werden nicht unbedingt beim Hochfahren gestartet, sondern zu in diesen Dateien gespeicherten festgelegten Zeiten.



Wenn Du dabei Einträge entdecken solltest, die im Explorer nicht zu sehen und somit sehr verdächtig sind, melde Dich noch einmal für weitere Informationen, wie Du diese Einträge im Explorer sichtbar machen kannst, um sie überprüfen und entfernen zu können.



Des weiteren solltest Du die Hinweise in dem angehängten Beitrag von mir beachten.






geschrieben von

Login

E-Mail:
  

Passwort:
  

Beitrag anfügen

Symbol:
 
 
 
 
 
 
 
 
 
 
 
 
 

Überschrift: