Windowsprozesse
(Stand: Mai 2011)

Sichtbare und versteckte Prozesse von Windows und seinen Anwendungen.

Ein Prozess ist innerhalb der Informatik ein gerade aktuell im Ablauf befindliches Programm.
Immer wieder starten Windows oder Fremdprogramme mehr oder weniger versteckte Prozesse oder Dienste im Hintergrund,
die den Rechner teilweise nicht nur erheblich verlangsamen, sondern zuweilen auch zu unbekannten Fehlermeldungen
bis hin zu kompletten Systemabstürzen führen können.
Dabei handelt es sich nicht selten um Viren, Trojaner, Rootkits und sonstige Schadprogramme, aber auch um ganz legitime Windowsdienste
oder selbst installierte Fremdanwendungen, die sich leider nur zu gerne in den Autostartregistern eintragen
und bei jedem Booten ungefragt automatisch mitstarten wollen.
Dabei sollte es meiner Ansicht nach aber zunächst auch nur beim "wollen" bleiben, und dem User schon während der Erst-Installation
grundsätzlich jegliche
Autostartoption einschließlich der (möglicherweise erforderlichen) Programmupdates freigestellt werden.
Leider setzen sowohl Microsoft als auch viele Fremdanbieter bei Installation ihrer Software stillschweigend dessen Einverständnis
mit den versteckt im Hintergrund sowohl lokal als auch online ablaufenden automatischen Programm-Starts und Serveraktivitäten voraus,
so dass man normalerweise als Durchschnittsnutzer nichts von alledem mitbekommt.
Erst wenn dann irgendwann mysteriöse Probleme, versteckte Logfiles oder unerklärliche Fehlermeldungen auftauchen,
wird auch das Interesse von Ottonormalverbraucher an solch versteckten Prozessen geweckt.
Wobei sich nun natürlich die berechtigte Frage stellt, wie man diese denn überhaupt aufspüren, sichtbar machen,
analysieren und bei Bedarf auch eliminieren kann.
Die Liste solcher Prozesse ist in den meisten Systemen oft sehr lang und vom Laien nur schwer zu beurteilen.
Ich erspare Ihnen hier daher ganz bewusst die explizite Auflistung aller mir bekannten bös- und gutartigen Prozesse,
und zeige Ihnen statt dessen alle erforderlichen Schritte, wie Sie sowohl mit windowsinternem Bordwerkzeug,
als auch mit ein paar zusätzlichen Tools die allermeisten dieser Prozesse finden,
teilweise automatisch analysieren lassen und bei Bedarf auf ungefährliche Weise unterbinden können.


1. Vorwort
Tun Sie
bitte nichts, was Sie später bereuen könnten!
Löschen Sie insbesondere keine Dateien, deren Funktion und Bedeutung sie nicht 100 %ig kennen.
Je nach Ihrem persönlichen Kenntnisstand würde ich Ihnen daher unbedingt raten,
im Zweifelsfalle lieber selbst die Finger von der Sache zu lassen und stattdessen qualifizierten, professionellen Rat einzuholen.
Sollten Sie dennoch unbedingt persönlich Hand anlegen wollen, bitte in jedem Falle unter
Win ME/2000/XP/Vista/Win7
einen
Systemwiederherstellungspunkt erstellen bzw. unter Win95/98/SE eine manuelle
oder automatische
Sicherung der Registry z.B. per Batchdatei vornehmen.


2. Laufende Prozesse
mit windowseigenen Mitteln
sichtbar machen und beenden.

A...Mit windowsinternem Taskmanager.
Dies geschieht unter den geläufigen Windowsversionen (
Win98-Win7) am einfachsten,
indem Sie mittels dem sog. "Affengriff " (
Strg-Alt-Entf) den Taskmanager des Systems aufrufen,
welcher sich am Beispiel
Win XP und Win 98/SE/ME folgendermaßen darstellt:

 
Taskmanager von Win98/SE/ME ......... Taskmanager von WinXP

Der Taskmanager in 98SE/ME stellt sich eher bescheiden dar und bietet außer dem reinen Auflisten und Beenden
von gestarteten Anwendungen sowie Herunterfahren des Systems keinerlei erwähnenswerte Optionen.
Einzige Besonderheit:
Führt man wie oben bereits beschrieben den Affengriff
Strg-Alt-Entf aus und drückt dann bei weiterhin gehaltener
Strg-Alt
Taste nochmals oder auch mehrmals die Entf Taste, führt dies sofort zu einem sofortigen Sutdown von Windows
mit anschließendem,
automatischen Systemneustart.

Der Taskmanager von XP ist dagegen schon ein wenig üppiger ausgelegt:
Hier können Sie ebenfalls alle aufgelisteten Prozesse beenden und haben noch zusätzliche weitere Optionen
wie die Anzeige aller
installierten Anwendungen, Systemleistungsmonitor, Netzwerkstatus und Benutzerverzeichnis zur Verfügung.

 

Unter Win 7 öffnet sich zunächst mal nur ein Auswahlbildschirm mit verschiedenen anderen Optionen (linkes Bild),
von welchen Sie die rot markierte Auswahl treffen müssen, um in den gewünschten Taskmanager zu gelangen (rechtes Bild).
Auch hier können Sie Prozesse beenden und haben, ähnlich wie in XP, weitere Optionen wie
Anwendungen,
Systemleistung, Netzwerk und Benutzerverzeichnis zur Verfügung.
Zusätzlich wird hier aber auch noch eine Liste von ausgeführten
Diensten angeboten,
die Sie ebenfalls auf diese Art bequem und sicher beenden können.

 
Auswahlbildschirm von Win 7 -------- Taskmanager von Win 7

 

Wie man in den verschiedenen Screenshots deutlich sehen kann, werden zwar bei allen Betriebssystemen offensichtlich sehr viele der im Hintergrund laufenden Prozesse aufgelistet.
Leider sind diese Listen aber oftmals doch nicht ganz vollständig. So gibt es eine Reihe versteckter Prozesse, die zumindest in der Win-Standardkonfiguration nicht angezeigt werden.

Spezielle Infos zu den meisten im Taskmanager aufgelisteten Windowsprozessen
finden sie u.a. hier:
http://www.frankn.com


B...Mit windowsinternem "Dr.Watson".
Ein weiteres Bordmittel aller Windowsversionen ist das System-Analysetool "Dr. Watson".
Am einfachsten ruft man Dr.Watson
durch die Eingabe des Befehles "drwatson" oder "drwatson.exe" mittels "Ausführen" auf.
Er überwacht und protokolliert dann alle nur denkbaren Windowsaktivitäten und stellt sie unter
Win98SE/ME
dann fein säuberlich sortiert in folgendem oder ähnlichem Dialogfeld zur Verfügung:

Dr.Watson unter Win98/SE/ME


Unter Win XP/Win7 fehlen leider diese reichhaltigen Optionen, stattdessen wird nur noch das Überprüfungsergebnis mitgeteilt.
Die
Überprüfungsoptionen selbst lassen sich unter XP und Win7 vorab mit dem expliziten Befehl: Ausführen..."drwtsn32" konfigurieren:

   
Dr.Watson-Meldung in XP .... Dr.Watson-Meldung in Win7 prof .... Überprüfungsoptionen in XP und Win7

Ausführlichere Infos über Dr.Watson und seine Fähigkeiten finden Sie u.a. hier:

Laufende Prozesse mit Dr.Watson erkennen


3. Laufende Prozesse
mit Fremdprogrammen
sichtbar machen und beenden.

Viele kostenlose Tools zur Systempflege enthalten ebenfalls Registerkarten für das Autostartregister sowie ausgeführte Prozesse und Dienste.
Dabei werden bei vielen dieser Tools oft zusätzlich auch noch
versteckte Prozesse erfasst,
die der standardmäßige Windows Taskmanager absolut nicht anzeigen will.
Auch die Anzeige selbst ist in der Regel sehr viel übersichtlicher sowie mit
zusätzlichen Infos und Optionen zum Beenden
oder gar zum Debuggen mit Neustart der angezeigten Prozesse versehen.
Solche Programme sind z.B.:


1...Spybots S&D
S&D ist nicht nur einer der besten und gründlichsten Trojanerscanner, sondern erkennt und entfernt auf Wunsch auch Dialer, Gebrauchsspuren
(Logfiles, Verlaufslisten etc.), Spyware, Keylogger, aufgezwungene Startseiten, Registryfehler, bekannte Sicherheitslücken,
verdächtige Software und Cookies. Im hier behandelten Zusammenhang sind einige Features besonders erwähnenswert,
die Sie allesamt im
"Advanced Modus " unter der Registerkarte "Werkzeuge" aufrufen können.
In den folgenden beiden Scrennshots sehen Sie eine Auflistung aller laufenden Prozesse, die S&D finden konnte.
Dabei kommt es aufgrund seiner extrem guten Abwärtskompatibilität (Bis Win 95!) mit älteren DOS-basierten Betriebssystemen genauso gut klar,
wie mit den moderneren NT-Systemen.

Prozessliste unter Win98/SE/ME

.....

Prozessliste unter WinXP/Win7

 

Wie Sie deutlich erkennen können, sind den gefundenen Prozessen mehrere prozesstypische Infos wie die PID,
die Anzahl der
Threads, der Pfad, der Hersteller der Software, eine Kurzbeschreibung der Software, sowie die Optionen
"PROZESS BEENDEN"
und "MODUL BEENDEN" zugeordnet.
Dies alles ermöglicht Ihnen weitere Analysen und erleichtert das gefahrlose Erkennen und Entfernen verdächtiger
und möglicherweise gefährlicher Prozesse.
Die hier aufgeführten Prozesse haben die verschiedensten Programmquellen.
Einige entspringen bestimmten Autostarteinträgen von regulär in der Systemsteuerung unter "Software" angemeldeten Programmen.
Diese können leicht durch entsprechende manuelle Konfiguration oder notfalls kompletter Deinstallation des betreffenden Progs entfernt werden.
Andere wiederum werden dagegen durch (meist versteckte) Registryeinträge oder/und eigenständige Aktive-X-Module erzeugt,
die sich aufgrund ihrer komplexen Struktur einer normalen Kontrolle durch den User weitgehend entziehen.
Spyots S&D hat aus diesem Grunde noch einige weitere Features anzubieten:

Ebenfalls unter der Registerkarte "Werkzeuge" können Sie noch eine Liste aller installierten
AktiveX-Anwendungen
und Systemstarteinträge einsehen und bearbeiten.
Eine interne Farblogik (Weiß-Grün-Gelb-Rot) weist dabei auf mögliche Risiken der aufgelisteten Einträge hin.
Alle Einträge lassen sich vorübergehend oder auch dauerhaft
deaktivieren oder auch völlig entfernen.
Im Falle der Aktiv-X-Module wird das Modul entfernt, im Falle der Systemstartliste werden die Registryeinträge gelöscht.

.......
Liste der installierten ActiveX-Module unter Win98/SE/ME/XP/Win7

.......

......... Liste aller Autostarteinträge unter Win98/SE/ME/XP/Win7

.......

ActiveX ist eine Microsoft-Technologie, mit deren Hilfe Internet-Anwendungen mehr Funktionen haben,
als mit bloßen Skripten erreicht werden kann.
ActiveX-Anwendungen funktionieren nur im Internet Explorer,
deshalb ist die Verwendung von ActiveX auf Webseiten nicht zu empfehlen. Aufgrund des großen Einflusses, den ActiveX auf das System haben kann
(ActiveX-Anwendungen haben Zugriff auf alle Dateien, auf die Sie auch zugreifen können, was auf den meisten privaten Computern
alle Dateien bedeutet),
wird empfohlen, mit ActiveX
sehr vorsichtig umzugehen.
Es gibt zwei Arten von ActiveX-Anwendungen - zertifizierte und nicht-zertifizierte.
Nicht zertifizierten Anwendungen sollte nie getraut werden, doch auch zertifizierte
können unter Umständen hinterhältige Funktionen beinhalten.

Deswegen sollte auch zertifizierten ActiveX-Anwendungen
nur getraut werden, wenn Sie von vertrauenswürdigen Webseiten kommen,
und auch dann nur über die IE-Einstellung Eingabeaufforderung, die jedes Mal nachfragt
Spybot-S&D ist in der Lage, eine Liste der installierten ActiveX-Anwendungen zu zeigen.
Außerdem hat es eine kleine integrierte Datenbank, die einen grünen Haken bei Anwendungen zeigt,
die als legitim bekannt sind und einen roten Haken bei Anwendungen, die nicht als legitim bekannt sind.

Quelle: Infodatei Spybot S&D 1.6

  Dieses Werkzeug listet alle Programme auf, die beim Start von Windows gestartet werden.
Wenn diese in der Spybot-S&D Datenbank sind, dann werden Ihnen noch weitere Informationen darüber angezeigt.
Es erlaubt Ihnen ebenso, diese zu (de)aktivieren, zu löschen, neue zu schaffen oder sie zu verändern.
Die Autostarteinträge werden in verschiedenen Farben angezeigt:
Grün:
Legitime Programme
Gelb:
Unbekannte, nicht benötigte
oder nicht eindeutige Programme
Rot:
Bösartiges Programm

(Malware-Programme können z.B. den gleichen Dateinamen verwenden wie legitime)

Bei Windows 9x und ME hat der Benutzer vollen Zugriff auf diese Liste.
Bei Windows NT/2000/XP/Vista werden in der Liste sowohl allgemeine als auch benutzerspezifische Einträge angezeigt.
Für einige Funktionen, wie z.B. die, alle Einträge zu sehen oder diese sogar zu ändern, braucht der Benutzer Administratorrechte oder Hauptbenutzerrechte.

Quelle: Infodatei Spybot S&D 1.6

 

Kurzanleitung zu Spybots Search & Destroy:

Version 1.2

Version 1.3/1.4/1.5/1.6

 


Noch schneller, noch effektiver und noch komfortabler:
Spybot-Search & Destroy 2.0 ist da!
Die Betaversion 2.0.3.0 ist ab sofort für die Öffentlichkeit zugänglich.....
Nur zum Test für erfahrene User...
Installation auf eigene Gefahr!

Direktdownload von meinen Seiten:
ACHTUNG!... Betaversion 2.0.3.0. - Nur zum Test für erfahrene User...Installation auf eigene Gefahr! spybotsd-2.0.3-beta1.exe


2...Spybots RunAlyzer

Autostart- und Konfigurationswerkzeug, das es Ihnen ermöglicht, alle Orte,
an denen Windows beim Systemstart nach Programmen und Diensten sucht, anzusehen und zu bearbeiten.
Er beinhaltet ebenso eine ausführliche Prozessliste, wie auch eine Liste aller vorhandenen Dienste.
Er ist eine Kombination aus einem Standard-Konfigurationsmanager und einem erweiterten Werkzeug,
um Orte zu lokalisieren, an denen sich Hijacker, Spyware und sonstige Malware verstecken.
Der RunAlyzer zeigt eine Menge Orte, die Anwendungen nutzen, um beim Systemstart ausgeführt zu werden.
Das ist nützlich, um Ihr System zu optimieren, aber auch, um Spyware, Viren oder sonstige Malware aufzuspüren....

Für alle Registerkarten gilt:
Markiert man einen der gefundenen Einträge, erhält man zusätzliche Infos dazu im unteren Teil des Programmfensters.
Diese Daten können dann zur bloßen Information, aber auch als Entscheidungshilfe zur weiteren Vorgehensweise genutzt werden.
Im
oberen Teil des Fensters werden Ihnen dazu die jeweils aktiv zur Verfügung stehenden Optionen zur Bearbeitung
der ausgewählten Einträge angezeigt. Das Tool startet zwar
standardmäßig zunächst in Englisch,
steht aber in verschiedenen Sprachen zur Verfügung, die Sie über die Option
Languages einstellen können.

Liste der aktiven Prozesse (Hier XP/Win7)

..........

Liste der Services (Hier: XP/Win7)

.....

Erweiterte Autostart-Liste (Hier: XP/Win7)

ACHTUNG!
Der RunAlyzer befindet sich zwar zurzeit noch in der
Beta-Phase,
bietet aber schon jetzt eine Menge hilfreiche Funktionen.
Weitere Informationen finden Sie in den Spybot Foren.
(Stand: Mai 2011)


3...HijackThis

HijackThis ist ein schon fast legendäres Tool und scannt alle laufenden Prozesse
und alle installierten Module einschließlich Trojanern und sonstiger Malware.

Nach dem Programmstart öffnet sich zunächst folgende Oberfläche:

 
Hier kann man wählen, ob man sofort einen Systemscan mit oder Logfile durchführen oder zunächst einfach nur das Programm
ohne weitere Aktionen starten möchte. Startet man lediglich das Prgramm mit dem untersten Button, gelangt man zur Oberfläche im rechten Bild.

.....

Entscheidet man sich hier für die Option Scan, werden sofort
alle gefundenen Prozesse in bestimmten Gruppenkathegorien (R/F/N/O) aufgelistet...
 
Nach abgeschlossenem Scan erhält man zum Beispiel obiges Ergebnis

.....

  .....deren Bedeutung Sie in dieser Liste entnehmen können.
Hier können Sie nun beliebige Funde markieren, um diese dann von HijackThis Fixen (=Entfernen) oder Analysieren zu lassen,
oder auch einer
Ausschlussliste zuzufügen, damit diese bei weiteren Scans nicht mehr aufgeführt werden.
Im aktuellen Beispiel kann hier z.B. der
userdefinierter Name für die Titelleiste des IE6 markiert werden, damit HijackThis ihn fortan ignoriert.
Beim Fixen selbst wird zudem ein
Backup erstellt, um etwa bei einer vorschnellen Entscheidung zum Löschen
den alten Zustand sicher wiederherstellen zu können. Wer sich beim Fixen nicht sicher ist, kann den Scan natürlich
auch jederzeit im
Logfilemodus wiederholen. HijackThis (hier eine ältere Version 1.99.1) speichert dann eine Textdatei in folgender Form:
 
Solche Logfiles kann man zur Auswertung u.a. jederzeit in einem der
HijackThis-Foren posten und dort um eine fachliche Beurteilung bitten.

 

Sie können alle drei Tools auch in meinem Downloadbereich herunterladen.


4...Prozessexplorer

Der Prozessexplorer ist Teil der Microsoft Sysinternals!
Er kann
während des laufenden Betriebes von Windows
alle aktiven Prozesse quasi in Echtzeit darstellen wie ein Monitor.
Einmal gestartet, beginnt das Tool sofort mit seiner Arbeit
und präsentiert sich mit folgender Oberfläche.

Dabei hinterlegt er standardmäßig alle aktuellen
Prozessänderungen im laufenden Betrieb einschließlich
seiner eigenen Aktivitäten mit bestimmten Farben.

 
Neu gestartete Prozesse leuchten z.B. kurz in GRÜN auf.

....

..... Beendete Prozesse dagegen in ROT

....

 
Über Options...
gelangen Sie zur Registerkarte Configure Highlighting
  Dort können Sie die farbliche Markierung der Vorgänge
nicht nur selbst auswählen, sondern ihnen
auch beliebige Farben zuordnen.
Markiert man einen Eintrag mit der rechten Maustaste, kann man den ausgewählten Prozess
entweder entfernen (Kill Process), neu starten (Restart) oder vom Tool auf Fehler untersuchen lassen (Debug)

Den Prozessexplorerdownload finden Sie in den Sysinternals von Microsoft
in der jeweils neuesten Version hier:
Sysinternals-Tools

ACHTUNG!
Der ProzessExplorer
11.xx kann leider nur noch ab 2000 SP4 Rollup 1 oder höher ausgeführt werden.
Ältere Versionen (8.0.x + 9.0.x) für Windows 95/98/SE/ME/2k/XP/Vista finden Sie hier:

http://gonzo.uni-weimar.de/~richte10/system.html (Version 8.3)

ftp://ftp.fh-niederrhein.de/public_html/pcw9de.htm (Version 9.3)

Sollten diese älteren Versionen irgendwann nicht mehr auf diesen Servern zur Verfügung stehen,
bin ich gerne bereit Ihnen diese per E-Mail zu senden.

Anfrage bitte an : info@technodoctor.de


5...AutoRuns und AutoRunsc für Windows

Diese nützlichen Tools von Mark Russinovich und Bryce Cogswell
sind zwar keine direkten Dienstprogramme aus den Microsoft Sysinternals,
liefern
jedoch die derzeit umfassendsten Informationen über alle Programme,
die für die Ausführung beim Starten des Systems oder bei der Benutzeranmeldung konfiguriert sind.
Nach dem
Download und Entpacken der autoruns.zip erhalten Sie zwei ausführbare Tools (AutoRuns.exe, AutoRunsc.exe),
sowie eine Hilfsdatei und die zugehörige EULA
. Die Tools benötigen keine Installation,
sondern können sofort von jedem beliebigen Ort des Systems (
auch externer Datenträger) ausgeführt werden.

Beim Ausführen der autoruns.exe werden dann alle Einträge in der Reihenfolge aufgeführt, in der sie in Windows verarbeitet werden.
Das Funktionsspektrum geht dabei weit über die Möglichkeiten des Windows-Dienstprogramms
MSConfig hinaus.
Die aktuelle
Version 11.34 vom 10. September 2012 listet sofort auf einzelnen Registerkarten und in Kategorien gegliedert alle aktuell konfigurierten
Autostartanwendungen
sowie folgende umfangreiche Liste aller Registrierungs- und Dateisystempfade auf,
die für die aktuelle Autostartkonfiguration zur Verfügung stehen:

 

Beim Ausführen der Befehlszeilenversion Autorunsc.exe gilt folgende Syntax:

autorunsc [-a] | [-c] [-b] [-d] [-e] [-h] [-i] [-l] [-m] [-n] [-p] [-r][-s] [-v] [-w] [Benutzer]

-a Alle Einträge anzeigen.
-b Ausführung beim Systemstart.
-c Druckausgabe als CSV.
-d Appinit-DLLs.
-e Explorer-Add-Ons.
-g Sidebar gadgets (Vista and higher).
-h Abbildhijacks.
-i Internet Explorer-Add-Ons.
-l Anmeldestarts (Standardeinstellung).
-m Signierte Microsoft-Einträge ausblenden.
-n Winsock-Protokollanbieter.
-p Druckermonitortreiber.
-r LSA-Anbieter.
-s Autostartdienste und nicht deaktivierte Treiber.
-t Geplante Aufgaben.
-v Digitale Signaturen überprüfen.
-w Winlogon-Einträge.
user AutoRuns für das angegebene Benutzerkonto sichern.

Weitere Infos über die fortgeschrittene Nutzung von AutoRuns erfahren Sie im englischsprachigen Artikel von Mark Russinovich vom November 2004.
Fragen oder Probleme lassen sich sehr gut im
Sysinternals AutoRuns Forum diskutieren!


Weitere nützliche Tools
von Microsofts Sysinternals
sind
hier erhältlich:

Sysinternals Suite

Sysinternals-Dienstprogramme: Sicherheit

Sysinternals-Dienstprogramme: Netzwerk

Sysinternals-Dienstprogramme: Prozess

AutoRuns for Windows (Download)

AutoRuns for Windows (Beschreibung)

 

Sonstige Tools

neuber.com/taskmanager/deutsch)


Bitte beachten Sie auch meine Beiträge:

Wissenswertes über Ports und Trojaner

Laufende Prozesse erkennen und Schädlinge aufspüren.

 

DER TECHNODOCTOR


Tools   Tipps&Tricks 1   Ports und Trojaner   Startseite