Unsichtbare Einträge in der Registrierung bei XP?
botfreiNews

Unsichtbare Einträge in der Registrierung bei XP?

By 02.01.2012No Comments

Das Finden und Entfernen von Malware gestaltet sich immer schwieriger. Die Entwickler von Schädlinge wissen ganz genau, wie man diese und wo man diese verstecken kann. Herkömmliche AV- Lösungen haben da kaum eine Chance irgendetwas zu finden. Der Aufwand der Säuberung der System wird immer größer.
Das Problem der Registrierung

Abb.1

Der Registrierungseditor bei XP fungiert nur als Interface und kann Einträge, die mehr als 255 Zeichen lang sind nicht anzeigen. Dabei werden nicht nur mit überlangen Namen vom Typ REG_SZ ausgeblendet, sondern auch Einträge aller anderen Typen. Hiervon sind alle Schlüssel und Unterschlüssel betroffen, die eine Gesamt-Länge von 255 Zeichen überschreiten.
z.B. HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun…
Damit nicht genug: Ein weiteres Problem ist, dass danach angelegte Einträge desselben Schlüssels auch nicht angezeigt werden, selbst wenn sie eine ganz normale Länge aufweisen.

Doch: Nicht sichtbar, heißt nicht, wird vorhanden und damit ausgeführt!

Dieses machen sich Cyberkrimininelle zu nutze und binden Autostarts für verschiedene Schädlinge zur Ausführung in die Registrierung ein.
Was können wir tun um diese ausgeblendeten schädlichen Einträge zu finden?
Tool 1: Das Kommandozeilentool “Reg.exe”
Das Tool rufen wir folgendermaßen auf:

  • Start ->Ausführen ->cmd ->mit Enter bestätigen
  • In der Eingabeaufforderung dann folgenden String eingeben:
  • reg query HKLMSoftwareMicrosoftWindowsCurrentVersionRun

Abb.2

Nun sehen Sie alle Applikationen mit tatsächlichen Namen und Werten, die zum Systemstart ausgeführte werden. Mit dem Befehl reg query /? können Sie weitere Optionen anzeigen lassen.

Abb.3

Nachteil: reg.exe setzt voraus, dass man genau wissen muss, wo in der Registry was zu suchen ist.
Tool 2 : Das Bordmittel “msconfig.exe”

  • Start ->Ausführen ->msconfig ->mit Enter bestätigen
  • das Systemkonfiguratorsprogramm startet
  • auf dem Reiter Systemstart sehen Sie alle Applikationen, die zum Systemstart für das Profil ausgeführt werden.

Abb.4

Hier lässt sich im handumdrehen die Applikationen vom Systemstart durch Abwahl des Hakens deaktivieren, aber auch jederzeit wieder aktivieren.
Tool 3: “Autoruns” eine kostenfreie Erweiterung von Microsoft
Dieses Tool (hier geht’s zum Download) überwacht den Start des Systems und zeigt Ihnen an, welche Prozesse dabei selbständig gestartet werden.

Abb.5

In einzelnen übersehbare Kategorien gliedert Autoruns die einzelnen Applikationen. Die versteckten Registrierungseinträge und Pfade werden komplett mit allen Parametern angezeigt. So können Sie z. B. genau sehen welche Programme  evtl. ungefragt zum Systemstart mit ausgeführt werden. Diese Programmstarts werden durch Entfernen der Haken einfach deaktiviert.