[ERLEDIGT] Komischer Autostart-Eintrag

[cyberjonny]

Hi miteinander,

ich habe gerade durch Zufall bemerkt, dass mein System einen komischen Autostart-Eintrag, nämlich ein '#' [Doppelkreuz, Hash-Zeichen, Raute], aufweist (siehe Screenshot).

Leider finde ich dazu nirgends etwas. Lange kann der Eintrag auch noch nicht existieren, maximal ein paar Tage, da ich meine Autostart-Einträge eigentlich routinemäßig relativ regelmäßig checke. Mein System ist Windows 8.1 x64.

Hat jemand eine Idee, was das für ein Eintrag sein könnte bzw. eine Erklärung dazu?
Oder weiß, wo/wie ich mich noch gezielt schlau machen könnte?

Danke und Gruß,
Jonny

 

[Kiff]

Gibt es unter Win 8.1 noch msconfig.exe? Falls ja, kann das vielleicht noch helfen.

Unter Win XP bis Win 7 würde ich jetzt nach dem Autostart-Eintrag in der Registry suchen oder im Startmenü im Autostart-Ordner:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run

C:\Users\[USER]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup

Ob das bei Win 8.1 noch klappt, weiß ich allerdings nicht.

 

[cyberjonny]

Hi,

danke für den Tipp!

Unter Win 8.1 wird im Autostart-Tab in der msconfig nur zum Task-Manager verlinkt; da kann man also nichts mehr diesbzgl. nachsehen/konfigurieren.

Unter den genannten Registry-Einträgen sowie in den Autostart-Verzeichnissen kann ich keine "komischen" bzw. zu '#' passenden Einträge finden.
In der Registry gibt es lediglich ein paar "(Standard) REG_SZ (Wert nicht festgelegt)"-Einträge, die ich nicht zuordnen kann, ansonsten nur die gewünschten Autostarts.

Gruß, Jonny

 

[Lpz3sn]

ich hab ja kein win8 zum probieren... aber der taskmanager sollte da ja auch ein pfad anzeigen...

 

[cyberjonny]

Ein Rechtsklick auf den #-Eintrag liefert zwar ein entsprechendes Menü, aber die Einträge "Dateipfad öffnen" und "Eigenschaften" sind ausgegraut und somit nicht anwählbar; es gibt nur "Deaktivieren" und "Online suchen" (wobei nichts gefunden wird, genauso wie auch bei einer manuellen Suche).

 

[mccs]

Ich würde mal die Sysinternals-Suite bemühen. Im Process-Explorer oder mit Autoruns müsste mehr zu sehen sein; ein Doppelklick auf den Process springt gleich an die betreffende Stelle in der Registry.
LG mccs

 

[mectst]

CCleaner wäre ein weiteres Tool, das diverse Infos zu Autostart-Einträgen liefert.

Grüße Thomas

 

[mectst]

Win 8 hab ich noch nicht in den Fingern gehabt, aber die Spalte "Status" legt ja nahe, dass man einzelne Einträge auch deaktivieren kann. Spontan-Idee: Was sagt ein Klick mit der rechten Maustaste dazu?
Wie sieht es denn aus, wenn Du als Administrator nach schaust?

Grüße Thomas

 

[cyberjonny]

Wie gesagt:

Ein Rechtsklick auf den #-Eintrag liefert zwar ein entsprechendes Menü, aber die Einträge "Dateipfad öffnen" und "Eigenschaften" sind ausgegraut und somit nicht anwählbar; es gibt nur "Deaktivieren" und "Online suchen" (wobei nichts gefunden wird, genauso wie auch bei einer manuellen Suche).

Ich habe den Eintrag jetzt mal deaktiviert, was auch problemlos funktioniert hat. Am Verhalten des Systems hat sich allerdings nichts geändert - es läuft (weiterhin) einwandfrei.
Ich bin im Übrigen immer als Admin angemeldet.

 

[mccs]

Au weia!

Ich bin im Übrigen immer als Admin angemeldet.

Au weia! Würde ich nie machen! Wenn da was eingefangen wurde, ist man ziemlich hilflos, weil ein Schädling Admin-Rechte hat. NSA (und alle anderen Schädlinge) freuen sich!
Abhilfe: Ein User-Konto mit den notwendigen Rechten auf bestimmte, dauend genutzte User-Pfade einrichten und damit ausschliesslich arbeiten. Einen Notfall-User einrichten mit vollen Admin-Rechten. Den benutzen, wenn irgend etwas verdächtiges läuft. Ist dann was verdächtig: Wlan-Schalter aus, Netzkabel raus, Nutzer auf Notfall ummelden und reparieren.
Beispiel: Ich hatte mir mal einen Schädling eingefangen, der sich in einem Hidden-Ordner im Papierkorb(!) einnistete (den zu entdecken ist schon mal eine gute Leistung!). Wollte man den Papierkorb leeren, gab's eine Fehlermeldung. Trotzdem löschen duplizierte den Hidden-Ordner und damit den Schädling. Nicht löschen lies alles beim alten. Als Notfall-User und mit einem kleinen Programm "Unlocker" konnte man den Papierkorb ganz einfach löschen. Der blieb auch gelöscht, wenn man die Systemwiederherstellung vor dem nächsten Booten vorläufig deaktivierte. Die üblichen Virenscanner waren völlig überfordert und konnten nichts löschen! Weil der Schädling das Verändern dieses Hidden-Ordners untersagte und sich ein Admin-User dieses Recht nicht verschaffen konnte.
Daher: Niemals als User mit Admin-Rechten ins Internet! Da kann man ja Google gleich erlauben, alles zu protokollieren und das alles der NSA zu schicken...
LG mccs

 

[cyberjonny]

Das "nie standardmäßig Admin-Konto nutzen" gilt schon seit Vista nicht mehr.
Bei XP und Vorgängern war das tatsächlich noch nicht ratsam, aber danach hat Microsoft einerseits entsprechende Sicherheitsmechanismen (UAC, etc.) integriert und andererseits sind die Viren/Malware ohnehin so clever geworden, dass sie für die gewünschten Aktionen nicht mehr auf einen Admin-Account angewiesen sind bzw. auch wenn sie über ein eingeschränktes Konto eingefangen wurden sich problemlos Adminrechte beschaffen können.


Ich konnte das Mysterium im Übrigen mithilfe der Sysinternals klären: Der #-Eintrag bezog sich noch auf eine alte (und gelöschte) Installation eines Tools. Ich habe den entsprechenden (leeren) Registry-Eintrag gelöscht - und der Autostart-Eintrag war dann auch weg.