Windows 10

Offline-Analyse unter Windows mit Autoruns

31.01.2020 von Thomas Rieske
Ob langsamer Windows-Start oder obskure Meldungen beim Booten: Mit Autoruns lässt sich umfangreich prüfen, was das Betriebssystem so alles lädt. Doch wie gelingt das bei Windows-Installationen, die nicht mehr lauffähig sind, gerade weil ein Autostart-Eintrag dies verhindert?

Vorbereiten der Offline-Analyse mit Autoruns

Für solche Szenarien bietet das Utility in seinen Funktionen einen Offline-Modus an. Dazu muss Autoruns nicht unbedingt aus einem Notfallsystem heraus starten. Sie können auch die Festplatte aus dem betreffenden Rechner ausbauen und an einen anderen Windows-Rechner anschließen. Das ist zwar im Zweifelsfall mit einigem Aufwand verbunden, ist häufig aber die einzige Möglichkeit, um ein nicht mehr startendes Windows wieder flottzumachen.

Windows 10 - Offline-Analyse mit Autoruns
Autoruns unter Windows 10
Standardmäßig analysiert Autoruns den Rechner, von dem es startet. Um andere Systeme einzubinden, klicken Sie in der Menüleiste auf „File“.
Autoruns unter Windows 10
Im Pulldown-Menü wählen Sie das Kommando „Analyze Offline System“.
Autoruns unter Windows 10
Nun öffnet sich ein separates Fenster. Darin müssen Sie den Ort der Windows-Installation und das User-Profil angeben. Klicken Sie dazu auf die Schaltfläche neben dem jeweiligen Feld.
Autoruns unter Windows 10
Wird das Laufwerk noch erkannt, erscheint es in der Übersicht, im Beispiel mit dem Laufwerksbuchstaben D:.
Autoruns unter Windows 10
Navigieren Sie durch die Ordnerstruktur bis zum Windows-Verzeichnis und klicken dann auf OK.
Autoruns unter Windows 10
Automatisch erscheint anschließend im Feld „User Profile“ der aus dem Feld „System Root“ abgeleitete Pfad zum Default-Nutzer.
Autoruns unter Windows 10
Tragen Sie statt des Standard-Users Ihren Benutzernamen ein.
Autoruns unter Windows 10
Nach einem Klick auf den OK-Button versucht das Tool die Offline-Windows-Installation einzulesen. Bei gravierenden Fehlern kann an der Stelle jedoch bereits Schluss sein.
Autoruns unter Windows 10
Die Starteinträge werden in verschiedene Kategorien, die über die Tabs erreichbar sind, eingeteilt. Entscheidend dürfte vielfach die Frage sein, was genau beim Logon geladen wird.
Autoruns unter Windows 10
Um die Übersicht zu behalten, lassen sich bestimmte Elemente über das Options-Menü ausblenden.
Autoruns unter Windows 10
Kommen Ihnen Einträge merkwürdig vor, etwa weil die Publisher-Angabe fehlt, können Sie über das Kontextmenü direkt im Internet recherchieren oder Dateien zu VirusTotal hochladen. Dort werden die Files mit über 70 Virenscannern untersucht.

Autoruns Offline-Analyse starten

Die zu untersuchende Windows-Installation binden Sie ein, indem Sie Autoruns starten und im File-Menü den Befehl Analyze Offline System auswählen. Im daraufhin geöffneten Fenster müssen Sie nun das Windows-Verzeichnis (Feld System Root) und den Profilordner des normalerweise verwendeten Users (Feld User Profile) angeben.

Autoruns-Filter setzen

Anschließend liest Autoruns die diversen Orte aus, über die Programme beim Systemstart und Benutzer-Login gestartet werden können und sortiert sie in verschiedene Kategorien ein. Falls das zu analysierende Dateisystem gravierend beschädigt ist oder etwa von einem Schädling verschlüsselt worden sein sollte, ist an der Stelle allerdings Schluss. Hier kommen Sie höchstens noch mit speziellen Forensik-Tools weiter.

Um nicht in der Flut von Einträgen zu ertrinken, empfiehlt es sich, über Options / Hide Microsoft Entries die Microsoft-Einträge - zumindest temporär - auszublenden. Verdächtige Einträge, für die zum Beispiel kein Publisher angegeben ist, lassen sich auf zwei Arten überprüfen. Zum einen bietet das Kontextmenü den Befehl Search Online an, um im Internet eine Recherche zu starten. Mit etwas Glück haben andere User bereits das gleiche oder ein ähnliches Problem gelöst.

Konfiguration mit VirusTotal checken

Zum anderen können Sie über das ebenfalls im Kontextmenü enthaltene Kommando Check VirusTotal den zu Google gehörenden Online-Dienst kostenlos konsultieren. Die hochgeladenen Dateien werden dabei von über 70 verschiedenen Malware-Scannern analysiert. Die Chance ist somit relativ hoch, dass ein Virenbefund nicht unerkannt durchrutscht. (hal)