System-Check mit Autoruns: Das bedeuten die roten Markierungen wirklich und so reagieren Sie richtig

Ihr Computer fühlt sich langsam an, reagiert träge, oder Sie haben das Gefühl, dass im Hintergrund Dinge ablaufen, von denen Sie nichts wissen? Dann ist es Zeit für einen tiefgreifenden System-Check. Eines der mächtigsten und gleichzeitig am meisten missverstandenen Tools für diese Aufgabe ist Autoruns von Microsofts Sysinternals. Viele Nutzer starten das Programm, sehen eine Flut von Einträgen – und dann fallen sie ins Auge: die ominösen roten Markierungen. Was bedeuten diese roten Linien wirklich, und wie gehen Sie damit um, ohne Ihr System zu gefährden oder wichtige Funktionen zu deaktivieren? Dieser Artikel nimmt Sie an die Hand und führt Sie durch die Geheimnisse von Autoruns, entschlüsselt die roten Markierungen und zeigt Ihnen, wie Sie Ihr System sicher und effektiv optimieren können.

Was ist Autoruns und warum ist es unverzichtbar?

Im Kern ist Autoruns ein kostenloses Werkzeug, das von Mark Russinovich und Bryce Cogswell entwickelt und später von Microsoft übernommen wurde. Es gehört zur Sysinternals-Suite, einer Sammlung fortschrittlicher Systemdienstprogramme. Während der Task-Manager oder die Systemkonfiguration (msconfig) nur einen Bruchteil der Autostart-Einträge anzeigen, geht Autoruns weit darüber hinaus. Es listet jeden einzelnen Eintrag auf, der automatisch beim Systemstart, bei der Benutzeranmeldung, beim Öffnen bestimmter Programme oder sogar bei der Initialisierung von Gerätetreibern geladen wird.

Das Spektrum reicht von regulären Anwendungen über Dienste, geplante Aufgaben, Browser-Erweiterungen, Explorer-Erweiterungen, Druckmonitor-Bibliotheken bis hin zu Low-Level-Treibern und Codecs. Diese immense Detailtiefe macht Autoruns zu einem unverzichtbaren Werkzeug für Systemadministratoren, fortgeschrittene Benutzer und jeden, der die Kontrolle über sein System zurückgewinnen möchte. Es ist das Schweizer Taschenmesser für die Windows Autostart-Analyse.

Der erste Blick: Navigation und Spalten in Autoruns

Bevor wir uns den roten Markierungen widmen, werfen wir einen kurzen Blick auf die Benutzeroberfläche von Autoruns. Nach dem Start (als Administrator, um alle Einträge zu sehen!) präsentiert sich das Tool mit mehreren Tabs. Jeder Tab repräsentiert eine Kategorie von Autostart-Einträgen:

• Everything: Zeigt alle Einträge gebündelt an.
• Logon: Programme, die beim Benutzer-Login starten.
• Explorer: Kontextmenü-Erweiterungen, Shell-Erweiterungen usw.
• Internet Explorer: Browser Helper Objects (BHOs), Toolbars.
• Services: Alle Windows-Dienste.
• Drivers: Geladene Gerätetreiber.
• Scheduled Tasks: Geplante Aufgaben.
• …und viele weitere spezifische Kategorien.

Jeder Eintrag ist in mehreren Spalten organisiert:

• Entry: Der Name des Eintrags.
• Description: Eine kurze Beschreibung der Software/Funktion.
• Publisher: Der Herausgeber des Programms (sehr wichtig!).
• Image Path: Der vollständige Pfad zur ausführbaren Datei.
• Timestamp: Datum und Uhrzeit der Erstellung/Änderung.

Es ist diese Fülle von Informationen, die auf den ersten Blick überwältigend wirken kann, aber auch der Schlüssel zur Diagnose ist. Standardmäßig sind Einträge von Microsoft ausgeblendet (Optionen -> „Hide Microsoft Entries”), was eine gute Ausgangsbasis ist, um sich auf Drittanbieter-Software zu konzentrieren. Für eine vollständige Analyse sollten Sie diese Option jedoch deaktivieren.

Die roten Markierungen: Das Geheimnis lüften

Nun zum Kernpunkt: Die roten Markierungen in Autoruns. Sie sind keine Alarmsignale im Sinne von „Malware gefunden!”, sondern eher Warnhinweise, die auf potenzielle Probleme oder Inkonsistenzen hindeuten. Es gibt hauptsächlich zwei Gründe, warum ein Eintrag rot markiert sein kann:

1. Rote Markierung: „File Not Found” oder „Image Path Not Found”

Dies ist die häufigste und oft harmloseste rote Markierung. Sie bedeutet, dass die ausführbare Datei, auf die der Autostart-Eintrag verweist, auf dem System nicht gefunden werden konnte. Die Gründe hierfür sind vielfältig:

• Unvollständige Deinstallation: Oft deinstallieren Programme nicht alle ihre Spuren vollständig. Sie entfernen die Hauptdateien, vergessen aber, den Autostart-Eintrag in der Registry zu löschen.
• Verschobene oder gelöschte Dateien: Der Benutzer oder ein anderes Programm hat die verlinkte Datei verschoben oder gelöscht, ohne den Autostart-Eintrag zu aktualisieren.
• Malware-Remnants: Eine Malware wurde (teilweise) entfernt, aber ihr Autostart-Mechanismus blieb bestehen.
• Fehlerhafte Registry-Einträge: Selten, aber möglich: Ein Fehler im Registrierungseditor hat zu einem ungültigen Pfad geführt.

Was tun bei „File Not Found”? In den allermeisten Fällen ist es sicher, diese Einträge zu entfernen. Sie verweisen ins Leere, verursachen aber oft kleine Verzögerungen beim Systemstart, da Windows versucht, die nicht vorhandene Datei zu finden. Markieren Sie den Eintrag und drücken Sie Entf oder klicken Sie mit der rechten Maustaste und wählen Sie „Delete”. Aber Vorsicht: Bevor Sie löschen, prüfen Sie immer den Image Path und die Beschreibung. Ein „File Not Found” für einen Eintrag namens „updater.exe” eines Ihnen bekannten Programms ist wahrscheinlich harmlos. Ein „File Not Found” für einen Eintrag mit kryptischem Namen aus einem verdächtigen Pfad könnte ein Hinweis auf Überreste von Malware sein.

2. Rote Markierung: „No Publisher” oder „Publisher Not Verified”

Diese Markierung ist kritischer und erfordert mehr Aufmerksamkeit. Sie bedeutet, dass der Herausgeber der Datei (der Publisher) nicht verifiziert werden konnte. Dies geschieht, wenn:

• Keine digitale Signatur vorhanden ist: Viele kleinere oder ältere Programme, Open-Source-Software, selbstgeschriebene Skripte oder auch bestimmte Hardware-Treiber haben keine digitale Signatur. Dies ist nicht per se schädlich, aber ein Mangel an Verifizierung.
• Die digitale Signatur ungültig ist: Die Signatur ist vorhanden, aber beschädigt, manipuliert oder abgelaufen. Das ist ein ernstes Warnsignal!
• Unbekannter oder verdächtiger Herausgeber: Selbst wenn eine Signatur vorhanden ist, kann der Herausgeber unbekannt oder mit betrügerischen Aktivitäten in Verbindung gebracht werden.
• Potenzielle Malware/Adware: Viele schädliche Programme oder unerwünschte Software (PUPs) tarnen sich, indem sie keine oder gefälschte Signaturen verwenden.

Was tun bei „Publisher Not Verified”? Hier ist Vorsicht geboten! Löschen Sie nicht blind. Gehen Sie systematisch vor:

1. Identifizieren Sie den Eintrag: Schauen Sie auf den „Entry”-Namen, die „Description” und vor allem den „Image Path”. Handelt es sich um eine Datei in einem bekannten Programmordner (z.B. Program Files)? Oder ist der Pfad verdächtig (z.B. im Temp-Ordner oder einem kryptischen Verzeichnis)?
2. Recherchieren Sie: Geben Sie den Dateinamen und den Herausgeber (falls vorhanden) in eine Suchmaschine ein. Oft finden Sie schnell heraus, ob es sich um eine legitime Komponente handelt.
3. VirusTotal-Check: Dies ist Ihr bester Freund! Klicken Sie mit der rechten Maustaste auf den Eintrag in Autoruns und wählen Sie „Search Online” -> „Submit to VirusTotal”. VirusTotal scannt die Datei mit Dutzenden von Antivirenprogrammen und zeigt Ihnen das Ergebnis. Wenn mehrere Scanner eine Bedrohung melden, ist es mit hoher Wahrscheinlichkeit Malware oder Adware.
4. Kontext ist König: Ein unbekannter Herausgeber für einen Treiber ist anders zu bewerten als für eine Browser-Erweiterung. Treiber ohne Signatur können (besonders bei älterer Hardware oder Spezialgeräten) normal sein, müssen aber verifiziert werden. Eine Browser-Erweiterung ohne Signatur sollte misstrauisch machen.

Richtig reagieren: Schritt für Schritt

Nachdem Sie die Art der roten Markierung verstanden haben, geht es an die Aktion. Der wichtigste Grundsatz lautet: Nicht in Panik geraten und nicht blind löschen!

Schritt 1: Vorsichtsmaßnahmen treffen

Bevor Sie wichtige Änderungen vornehmen, besonders wenn Sie unsicher sind:

• Systemwiederherstellungspunkt erstellen: So können Sie im Notfall die Änderungen rückgängig machen.
• Einträge deaktivieren statt löschen: Wenn Sie sich nicht sicher sind, ob ein Eintrag wichtig ist, deaktivieren Sie ihn zunächst (Haken entfernen). Starten Sie den Computer neu und prüfen Sie, ob alles noch funktioniert. Wenn ja, können Sie ihn später löschen. Wenn nicht, reaktivieren Sie ihn.

Schritt 2: Analyse und Entscheidung

Gehen Sie jeden rot markierten Eintrag einzeln durch. Stellen Sie sich folgende Fragen:

• Kenne ich dieses Programm/diesen Herausgeber?
• Welchen Zweck erfüllt der Eintrag? (Manchmal gibt die Beschreibung Aufschluss.)
• Ist der Pfad zur Datei logisch und vertrauenswürdig?
• Was sagt die Online-Recherche und VirusTotal?

Basierend auf den Antworten können Sie eine Entscheidung treffen:

• Löschen: Wenn es sich um „File Not Found”-Einträge handelt oder um bestätigte Malware/Adware.
• Deaktivieren (und beobachten): Wenn Sie unsicher sind, ob der Eintrag wichtig ist, aber er Ihnen verdächtig vorkommt.
• Belassen: Wenn die Recherche ergab, dass es sich um eine legitime, aber nicht signierte Komponente handelt (z.B. ein älterer Gerätetreiber, ein selbstgeschriebenes Skript, bestimmte Open-Source-Tools).

Schritt 3: Die Bereinigung

Nachdem Sie Ihre Entscheidungen getroffen haben, führen Sie die Aktionen aus:

• Um einen Eintrag zu deaktivieren, entfernen Sie einfach den Haken links neben dem Eintrag.
• Um einen Eintrag zu löschen, wählen Sie ihn aus und drücken Sie die Entf-Taste oder klicken Sie mit der rechten Maustaste und wählen „Delete”. Autoruns entfernt dann den entsprechenden Registry-Eintrag oder Verknüpfung.

Starten Sie Ihren PC nach größeren Änderungen neu, um die Auswirkungen zu überprüfen. Achten Sie auf Fehlermeldungen oder fehlende Funktionalitäten.

Typische Szenarien und Beispiele

Um Ihnen die Arbeit zu erleichtern, hier einige häufige Szenarien, die Sie in Autoruns sehen könnten:

• Alte Software-Reste: Programme wie alte VPN-Clients, Grafiktreiber-Suites oder Spiele-Launcher hinterlassen oft Autostart-Einträge, auch wenn die Software deinstalliert ist. Diese sind meist „File Not Found” und können sicher entfernt werden.
• Adware und PUPs (Potentially Unwanted Programs): Diese Programme schleichen sich oft unbemerkt auf den PC und erstellen eigene Autostart-Einträge, oft mit dubiosen Pfaden und ohne gültige Signatur. Hier ist VirusTotal Gold wert. Bestätigte Funde sollten gelöscht werden.
• Treiber ohne Signatur: Besonders bei älterer Hardware oder Nischenprodukten kann es vorkommen, dass Treiber nicht digital signiert sind. Wenn Sie sicher sind, dass es sich um einen Treiber für Ihre Hardware handelt und diese korrekt funktioniert, ist dies oft unbedenklich. Aber immer prüfen!
• Microsoft-Einträge: Auch Microsoft-Dateien können unter Umständen als „No Publisher” erscheinen, wenn die Signatur beschädigt ist oder in einer virtuellen Umgebung nicht korrekt erkannt wird. Dies ist selten und sollte genau geprüft werden. Aktivieren Sie dafür in den Optionen „Check VirusTotal.com” und „Submit to VirusTotal” – Autoruns zeigt dann direkt die VT-Ergebnisse neben den Einträgen an (nach dem ersten Scan).

Regelmäßige Wartung und Best Practices

Autoruns ist kein einmaliges Tool. Betrachten Sie es als Teil Ihrer regelmäßigen Systempflege:

• Regelmäßige Checks: Führen Sie alle paar Monate einen Autoruns-Check durch, besonders nach der Installation neuer Software oder der Deinstallation alter Programme.
• Auf neue Einträge achten: Wenn Ihr System plötzlich langsamer wird, könnte ein neuer, unerwünschter Autostart-Eintrag die Ursache sein.
• Sicherheit an erster Stelle: Ergänzen Sie Autoruns durch eine gute Antivirensoftware und ein wachsames Auge beim Surfen und Installieren von Software.
• Lesen Sie die Installationsanleitungen: Viele Programme versuchen, im Autostart zu landen. Achten Sie bei der Installation auf Custom-Installationen und deaktivieren Sie unerwünschte Optionen.

Fazit: Ihr System unter Kontrolle

Die roten Markierungen in Autoruns sind keine Bedrohung, sondern wertvolle Hinweise. Sie sind der Schlüssel zu einem tieferen Verständnis dessen, was auf Ihrem System beim Start passiert. Mit dem Wissen, das Sie nun haben, können Sie Fehlkonfigurationen beheben, Systemleistungs-Bremsen identifizieren und vor allem potenzielle Malware und Adware aufspüren und eliminieren, die sich im Autostart versteckt. Autoruns gibt Ihnen die volle Kontrolle über Ihren Windows-Start zurück und ermöglicht Ihnen, ein schnelleres, saubereres und sichereres System zu betreiben. Nehmen Sie sich die Zeit, lernen Sie das Tool kennen, und Ihr PC wird es Ihnen danken.