Skip to main content

AutoRuns for Windows

Von Mark Russinovich


Einführung

Dieses Dienstprogramm ist im Vergleich zu allen anderen Startüberwachungsprogrammen mit den derzeit umfassendsten Informationen zu den Autostartpfaden ausgestattet. AutoRuns zeigt, welche Programme für die Ausführung beim Starten des Systems oder bei der Benutzeranmeldung konfiguriert sind, wobei die Einträge in der Reihenfolge aufgeführt sind, in der sie in Windows verarbeitet werden. Zu diesen Programmen gehören die Anwendungen im Startordner sowie in den Registrierungsschlüsseln „Run“, „RunOnce“ und anderen Schlüsseln. Sie können AutoRuns so konfigurieren, dass auch andere Pfade berücksichtigt werden, beispielsweise Explorer-Shellerweiterungen, Symbolleisten, Browserhilfsobjekte, Winlogon-Benachrichtigungen, Autostartdienste und vieles mehr. AutoRuns geht weit über die Möglichkeiten des Dienstprogramms MSConfig in Windows ME und Windows XP hinaus.

Mit der Option Hide Signed Microsoft Entries in AutoRuns können Sie sich auf Autostartabbilder von Drittanbietern konzentrieren, die in Ihr System integriert wurden. Darüber hinaus ist es auch möglich, die Autostartabbilder für andere auf dem System konfigurierte Benutzer zu betrachten. Das Downloadpaket enthält außerdem das Befehlszeilenprogramm Autorunsc, mit der die Daten im CSV-Format ausgegeben werden können.

Sie werden sich wundern, wie viele ausführbare Dateien automatisch gestartet werden!

Screenshot

Autoruns

Verwendung

Lesen Sie den Artikel von Mark Russinovich über die fortgeschrittene Nutzung von AutoRuns vom November 2004. Bei Fragen oder Problemen besuchen Sie das Sysinternals AutoRuns Forum.

Führen Sie einfach AutoRuns aus, und schon sehen Sie die derzeit konfigurierten Autostartanwendungen und dazu eine vollständige Liste aller Registrierungs- und Dateisystempfade, die für die Autostartkonfiguration zur Verfügung stehen. Mit AutoRuns werden die folgenden Autostartpfade angezeigt: Anmeldeeinträge, Explorer-Add-Ons, Internet Explorer-Add-Ons (z. B. Browserhilfsobjekte), Appinit-DLLs, Abbildhijacks, Abbilder für die Ausführung beim Systemstart, Winlogon-Benachrichtigungs-DLLs, Windows-Dienste und Winsock-Mehrschicht-Dienstanbieter. Die automatisch gestarteten Objekte sind auf den einzelnen Registerkarten in Kategorien gegliedert.

Um die Eigenschaften einer ausführbaren Datei abzurufen, die für die automatische Ausführung konfiguriert ist, markieren Sie diese Datei, und wählen Sie im Menü die Option Properties, oder klicken Sie auf die entsprechende Schaltfläche in der Symbolleiste. Wenn Process Explorer ausgeführt wird und ein Prozess aktiv ist, mit dem die ausgewählte ausführbare Datei ausgeführt wird, dann gelangen Sie mit der Option Process Explorer im Menü Entry zum Dialogfeld mit den Eigenschaften für den Prozess, der das ausgewählte Abbild ausführt.

Um zum angezeigten Registrierungs- oder Dateisystempfad oder auch zur Konfiguration eines Autostartelements zu navigieren, markieren Sie das gewünschte Element, und wählen Sie dann die Menüoption Jump, oder klicken Sie auf die entsprechende Schaltfläche in der Symbolleiste.

Soll ein Autostarteintrag deaktiviert werden, deaktivieren Sie das zugehörige Kontrollkästchen. Zum Löschen eines Autostart-Konfigurationseintrags wählen Sie die Menüoption Delete, oder klicken Sie auf die entsprechende Schaltfläche in der Symbolleiste.

Um Autostartabbilder für verschiedene Benutzerkonten abzurufen, wählen Sie im Menü User die entsprechenden Einträge aus.


Weitere Informationen zu den Anzeigeoptionen und andere Angaben finden Sie in der Onlinehilfe.

Verwendung von Autorunsc

Autorunsc ist die Befehlszeilenversion von AutoRuns. Hier gilt die folgende Syntax:

Verwendung: autorunsc [-a <*|bdeghiklmoprsw>] | [-c|-ct] [-h] [-m] [-s] [-u] [-vt] [[-z ] | [user]]]

-aAutostart entry selection:
   *All.
   bBoot execute.
   dAppinit DLLs.
   eExplorer addons.
   gSidebar gadgets (Vista and higher)
   hImage hijacks.
   iInternet Explorer addons.
   kKnown DLLs.
   lLogon startups (this is the default).
   mWMI entries.
   nWinsock protocol and network providers.
   oCodecs.
   pPrinter monitor DLLs.
   rLSA security providers.
   sAutostart services and non-disabled drivers.
   tScheduled tasks.
   wWinlogon entries.
-cPrint output as CSV.
-cPrint output as tab-delimited values.
-hShow file hashes.
-mHide Microsoft entries (signed entries if used with -v).
-sVerify digital signatures.
-tShow timestamps in normalized UTC (YYYYMMDD-hhmmss).
-uIf VirusTotal check is enabled, show files that are unknown by VirusTotal or have non-zero detection, otherwise show only unsigned files.
-xPrint output as XML.
-v[rs]Query VirusTotal (www.virustotal.com) for malware based on file hash. Add 'r' to open reports for files with non-zero detection. Files reported as not previously scanned will be uploaded to VirusTotal if the 's' option is specified. Note scan results may not be available for five or more minutes.
-vtBefore using VirusTotal features, you must accept VirusTotal terms of service. See: https://www.virustotal.com/en/about/terms-of-service/ If you haven't accepted the terms and you omit this option, you will be interactively prompted.
-zSpecifies the offline Windows system to scan.
userSpecifies the name of the user account for which autorun items will be shown. Specify '*' to scan all user profiles.

 

AutoRuns und Autorunsc herunterladen (490 KB) AutoRuns und Autorunsc herunterladen
(524 KB)


Führen Sie Autoruns über Live.Sysinternals.com aus.

Führen Sie Autoruns über Live.Sysinternals.com aus.

Läuft unter:

  • Client: Windows XP oder höher
  • Server: Windows Server 2003 oder höher