Auf einem typischen Windows-Rechner zeigt der Task-Manager gut und gerne 70 und mehr Vorgänge an. Für unerwünschte Programme ist es ein Kinderspiel, sich in dieser Masse zu verstecken. Mit unseren Tipps und den Tools haben Sie wieder alles im Blick.
Ein Blick in den Task-Manager von Windows, und es steht fest: Hier fehlt es an Klarheit. Bei vielen der Prozesse weiß man nicht, wozu sie gut sind, ob sie harmlos sind oder gefährlich. Damit sich das ändert, finden Sie hier die besten Tools und Tipps zur Analyse der aktiven Programme. Die große Inspektion läuft dabei in drei Schritten ab: Mit Monitoringtools entdecken Sie die meisten laufenden Programme. Mit Spezialtools kommen Sie weiteren aktiven Anwendungen auf die Spur, und mit klassischen Scannern finden Sie auch komplett versteckte Prozesse, sogenannte Rootkits.
Monitoringtools
Wenn es um aktive Anwendungen geht, ist der Windows Task-Manager die erste Anlaufstelle. Sie starten ihn über die Tastenkombination Strg-Alt-Entf und einen Klick auf „Task-Manager“. Er zeigt alle aktiven Prozesse und Dienste an. Jede Anwendung, die Sie nutzen, hat mindestens einen Prozess, der ihr zugrunde liegt. Der Task-Manager gibt zudem Auskunft darüber, wie stark ein Prozess das System hinsichtlich CPU, Arbeitspeicher, Festplatte und Netzwerk belastet. In Windows 10 hat Microsoft den Task-Manager etwas umgebaut. Prozesse und Dienste finden sich jetzt zusätzlich in einem gemeinsamen Bereich und sind dort etwas besser sortiert. Im Grunde hat sich aber nicht viel verändert: Bei vielen der Einträge weiß man nicht, wozu sie dienen. Die folgenden drei Tipps können dem abhelfen.
Drei schnelle Tipps für den Task-Manager von Windows
Natürlich sollte der Name des Tasks bereits einen Hinweis darauf geben, zu welchem Programm er gehört. Namen lassen sich allerdings leicht fälschen und sind somit kein verlässlicher Hinweis.
Anwendung anzeigen lassen: Gibt es zu einer Anwendung ein Programm mit Bedienerführung, können Sie sie manchmal über den Task-Manager in den Vordergrund holen. Dafür klicken Sie mit der rechten Maustaste auf die Anwendung und wählen – sofern angeboten – „In den Vordergrund“.
Dateipfad öffnen: Hilfreicher ist die Funktion „Dateipfad öffnen“, die sich im Kontextmenü (rechte Maustaste) von jedem Dienst findet. Hilfreich ist sie deshalb, weil der Dateipfad oft den genauen Programmnamen der zugehörigen Anwendung enthält. Zudem können Sie nachsehen, welche weiteren Dateien sich in dem Ordner befinden. Auf diese Weise bekommt man gute Hinweise, wofür der Task dient.
Online suchen: In Windows 10 startet die Funktion „Online suchen“ im Kontextmenü eines Tasks eine Internetsuche zu dem Task. Unter den ersten Suchtreffern sind meist die Sites www.file.net (deutschsprachig) und www.bleepingcomputer.com(englischsprachig), die jeweils gute Hinweise zu einem Task liefern. Für Windows 7 bietet diese Funktion der Process Explorer.
Process Explorer: Programme und Prozesse zuordnen
Die Freeware Process Explorer bietet gegenüber dem Task-Manager von Windows etliche zusätzliche Funktionen. Nützlich ist etwa das Zielscheiben-Symbol. Klicken Sie darauf, und ziehen Sie es per Drag & Drop auf ein Programmfenster. Der Process Explorer zeigt Ihnen den zugehörigen Task an. Auf diese Weise können Sie harmlose Tasks identifizieren.
Unbekannte Prozesse: Bei Verdacht auf eine Schadsoftware gehen Sie im Kontextmenü auf „Check Virustotal“.
Auch die weiteren Funktionen des Tools verschaffen Ihnen einen besseren Überblick über die laufenden Programme. Durch farbige Unterlegungen zeigt Ihnen der Process Explorer, was gerade auf dem PC vor sich geht. Gerade erst gestartete Prozesse werden grün hinterlegt, solche, die beendet werden, erscheinen in Rot. Wenn Sie im Menü auf „Options –› Configure Colors“ gehen, zeigt Ihnen das Fenster eine Farblegende, und Sie können die Zuordnungen bei Bedarf ändern. Die Baumansicht wird bei vielen laufenden Programmen schnell unübersichtlich.
Gehen Sie im Kontextmenü eines Prozesses auf „Properties“. Auf den Registerkarten „Performance“ und „Performance Graph“ erhalten Sie eine Übersicht mit den CPU- und Speicheraktivitäten. Die Registerkarte „TCP/IP“ zeigt Ihnen, auf welche Netzwerkressourcen eine Anwendung zugreift.
Wenn Sie den Process Explorer dauerhaft statt des Windows Task-Managers verwenden wollen, gehen Sie im Menü auf „Options –› Replace Task-Manager“. Sie können das Programm dann bequem über die Tastenkombination Strg-Shift-Esc starten. Um die Änderung wieder rückgängig zu machen, rufen Sie den Menüpunkt erneut auf.
So entschlüsseln Sie die vielen svchost-Prozesse
Viele Aufgaben erledigen sowohl Windows also auch die Programme von anderen Herstellern nicht als Task, sondern als Dienst. Das bietet einige Vorteile. So lassen sich Dienste beispielsweise auch schon dann starten, wenn sich noch kein Nutzer in Windows angemeldet hat. Ein entscheidendes Merkmal von Diensten ist, dass sie nicht als ausführbare EXE-Dateien daherkommen, sondern meist als DLL-Datei (Dynamic Link Library). Zwar enthalten diese DLLs grundsätzlich denselben Code wie EXE-Dateien, etwa Portable Executable und Maschinencode, doch unter Windows können DLLs alleine keine Programmaktionen ausführen.
Stattdessen lassen sich die DLLs oft von der Windows-Systemdatei svchost.exe laden und ausführen. So finden Sie die Informationen zur Systemdatei svchost.exe: Wenn Sie den Windows Task-Manager starten, finden Sie auf der Registerkarte „Details“ meist einige Dutzend Einträge mit dem Namen Svchost.exe. Wofür diese Datei gut ist, verrät der Task-Manager nicht oder nur ansatzweise, nämlich unter der Registerkarte „Prozesse –› Windows-Prozesse“.
Mehr Informationen zum jeweiligen svchost-Prozess liefert das Open-Source-ToolProcess Hacker . Dafür müssen Sie das Tool unbedingt mit Administratorrechten starten. Klicken Sie dazu mit der rechten Maustaste auf die Programmverknüpfung zum Process Hacker und wählen Sie „Als Administrator starten“.
Infos zu einem der svchost-Prozesse bekommen Sie über einen Doppelklick auf einen Task. Im Falle von svchost.exe gibt’s den besten Hinweis auf den Nutzungszweck der Datei auf der Registerkarte „General“. Hinter „Command Line“ sehen Sie, mit welchem Parameter die Datei gestartet wurde. In unserem Beispiel (siehe Abbildung) ist das etwa C:\Windows\System32\svchost.exe -k dcom-launch.
Markieren und kopieren Sie davon den Teil ab svchost, also: „svchost.exe -k dcomlaunch“, und suchen Sie genau nach diesem Text bei Google. In der Regel finden Sie auf der ersten Trefferseite auch einen Link zu einer deutschsprachigen Seite, die Sie über den Zweck der svchost-Zeile aufklärt. In unserem Beispiel hat Windows selbst ein Systemprogramm geladen.
Verdächtige Prozesse mit dem Security Task Manager finden
Das bewährte Tool Security Task Manager analysiert alle laufenden Prozesse und gibt zu jedem eine Einschätzung über dessen Gefährlichkeit ab. Die Tasks listet das Tool nach dem Wert in der Zeile „Bewertung“ auf. Je höher hier die Zahl, desto verdächtiger ist der Task. Aber auch ein hoher Wert bedeutet nicht zwingend, dass der Task bösartig ist. Um zu sehen, weshalb ein Task eine schlechte Bewertung bekommt, markieren Sie diesen und schauen Sie unten in der Bedienerführung unter „Eigenschaften“ nach. Wenn Sie sich zudem die Bewertungen von ein paar harmlosen, aber vom Security Task Manager als risikoreich bewerteten Tasks ansehen, bekommen Sie schnell ein Gefühl dafür, wie die Bewertungen zustande kommen und was als verdächtig gilt.
Aktivitäten anderer Rechner im Heimnetz überwachen
In diesem Punkt geht es weniger um heimliche Programme auf einem PC, als viel mehr um heimliche PCs in Ihrem Heimnetz. Doch auch diese möchten man ja auf keinen Fall haben.
Hier hilft das Tool Softperfect Wifi Guard . Die Shareware listet alle Computer und Geräte auf, die in Ihrem WLAN angemeldet sind. Nach der Installation zeigt Ihnen das Tool zunächst ein Einstellungsfenster an. Dort müssen Sie unter „Netzwerkadapter“ Ihre WLAN-Karte auswählen. Ist Ihr PC per Kabel mit den Heimnetz verbunden, wählen Sie die Netzwerkkarte aus. In den Standardkonfigurationen der meisten Router sind auch dann die WLAN-Geräte im Netz für den PC sichtbar. In den Einstellungen können Sie auch festlegen, dass das Tool zusammen mit Windows starten soll. Nach einem Klick auf „OK“ stoßen Sie den ersten Suchlauf über „Start Scan“ an. So scannt das Tool das Netzwerk und listet alle Teilnehmer auf. Über einen Doppelklick auf einen Eintrag können Sie genauere Infos über einen Computer erhalten und dann per „Ich kenne dieses Gerät“ als bekannten PC markieren. Das Gerät erscheint nun mit einem grünen Punkt. Haben Sie so alle vorhandenen Geräte markiert, werden neue Geräte beim nächsten turnusmäßigen Scan per Pop-up-Fenster angezeigt. In der Standardeinstellung passiert dieser Scan alle 30 Minuten. Tauchen bei einem solchen Scan neue Geräte auf, die weder Ihnen noch ein Familienmitglied noch einem Besucher gehören, sollten Sie das WLAN-Passwort ändern. So lange Sie Softperfect Wifi Guard kostenlos nutzen, verbirgt es einige Infos, etwa die MAC-Adresse von einigen Geräten, bei großen Netzwerken auch einige Geräte.
Alle automatisch startenden Programme anzeigen
Wenn Sie auf der Suche nach heimlich laufenden Programmen sind, dann sollten Sie sich unbedingt alle automatisch mit Windows startenden Tools ansehen. Diese finden Sie in den Autostart-Rampen von Windows. Dabei hilft das Tool Autoruns . Es kennt nicht nur alle Windows-Autostart-Ordner, sondern auch alle Erweiterungen für den Windows-Explorer, Internet Explorer und Microsoft Office. Nach dem Start des Tools können Sie sich durch mehrere Registerkarten klicken und die unterschiedlichen Autostart-Einträge prüfen. Es ist jedoch einfacher, sich alles zusammen auf der Registerkarte „Everything“ anzeigen zu lassen. Die Liste kann ziemlich lang sein. Deshalb sollten Sie bei „Options –› Hide Microsoft Entries“ ein Häkchen setzen. Damit blenden Sie alle Einträge aus, die zu Windows gehören, und Sie sehen nur noch die nachträglich hinzugefügten Programme. Danach entfernen Sie die Häkchen bei allen Einträgen, die Sie nicht benötigen. Gelöscht wird dadurch nichts. Sollte sich später herausstellen, dass Sie ein Programm doch benötigen, setzen Sie das Häkchen wieder. Handelt es sich dagegen um eine unerwünschte Software, sollten Sie das Programm löschen. Der bevorzugte Weg zur Deinstallation führt über die Systemsteuerung und – je nach Ansicht – „Programme deinstallieren“ oder „Programme und Features“. Sollte sich das Programm hier nicht lokalisieren lassen, wählen Sie in Autoruns im Kontextmenü den Punkt „Jump to Image“. Damit öffnen Sie den Ordner der ausführbaren Datei im Windows-Explorer. Benennen Sie die EXE-Datei um, oder löschen Sie die Datei.
Speichern und vergleichen: Nach einigen Softwareinstallationen sind häufig neue Autostart-Einträge entstanden. Um danach nicht mühsam suchen zu müssen, speichern Sie den momentanen Zustand über „File –› Save“ in einer Datei. Sie können dann später die Sicherung über „File –› Compare“ mit der aktuellen Konfiguration vergleichen. Autoruns unterlegt neue Einträge mit grüner Farbe, gelöschte Einträge erscheinen in Rot.
Tiefergehende Analyse: Nicht immer ist klar, zu welchem Programm ein Autostart-Eintrag gehört und was seine Funktion ist. Über einen rechten Mausklick und „Search Online“ starten Sie im Browser eine Internetsuche nach dem Prozessnamen, die Ihnen weitere Informationen liefert. Sie werden darüber meist auf Webseiten stoßen, die Daten über Windows-Programme sammeln. Teilweise gibt es Kommentare von Benutzern, die Herkunft und Funktion eines Programms klären.
Spezialtools
Mit den folgenden zwei Tools kommen Sie Programmen und Browsererweiterungen auf die Spur, die Sie über den Task-Manager nicht oder nicht so einfach finden können.
Gestartete Programme mit Executed Programs List checken
Sobald eine Anwendung startet, hinterlässt sie Spuren im System. Mit dem ToolExecuted Programs List machen Sie diese Spuren sichtbar. Die Freeware sammelt dafür entsprechende Vermerke aus mehreren Stellen in der Registrierdatenbank. Die Ergebnisliste reicht oft mehrere Monate zurück. In der Liste können Sie bei den meisten Anwendungen den Namen des Programms auslesen sowie ganz rechts in der letzten Spalte das Datum der letzten Ausführung.
Nach einem Rechtsklick in das Programmfenster können Sie zugunsten einer besseren Übersicht mit „Choose Columns“ einzelne, nicht benötigte Spalten ausblenden. Mit „Open Folder in Explorer“ springen Sie direkt zu dem Ordner, in dem die Anwendung liegt. Executed Programs List läuft ohne Installation. Sie können es einfach durch den Aufruf seiner EXE-Datei starten.
Manipulationen des Browsers mit einer Shareware aufdecken
Ein häufiges Opfer von Manipulationen ist der Internetbrowser. Vor allem Adware hat es auf Ihren Browser abgesehen. Das sind Programme, die Ihnen Werbung anzeigen wollen. Der Browser ist dafür der ideale Ort – aus Sicht der Adware. Denn der Browser hat natürlich Zugriff aufs Internet und kann damit jederzeit neue Werbung herunterladen. Zudem maskiert er die Adware, da man als Nutzer nur den Browser und die Werbung darin wahrnimmt, aber nicht das verursachende Programm. Solche Adware läuft meist ebenfalls heimlich auf dem PC. Oft ist sie genauso schwer zu entdecken wie ein Virus, da sie sich mit denselben Mitteln tarnt. Ein gutes Hilfsmittel gegen diese Plagen ist die Shareware Anti Browser Spy , die sich 30 Tage kostenlos nutzen lässt. Wenn das Tool eine unerwünschte Erweiterung in einem Browser findet, kann sie diese über „Jetzt reinigen“ meist auch löschen.
Scantools
Bei der Suche nach heimlich laufenden Programmen darf natürlich ein Scan mit einem Virenscanner und einem Anti-Adware-Tool nicht fehlen. Empfehlenswert sind etwa die kostenlose Avira Free Security Suite 2018 für den Virenscan und der ebenfalls kostenloseAdwcleaner gegen die Adware.
Zusätzlich zu Ihrem installierten Antivirenprogramm sollten Sie auch einen Scanlauf mit einem anderen Antivirentool starten. So finden Sie vielleicht Schädlinge, die das eine Sicherheitsprogramm übersieht. Falls Sie also das Programm von Avira nutzen, empfiehlt sich als Zusatzscanner Kaspersky Security Scan . Das Tool lässt sich auch dann nutzen, wenn bereits eine Antivirensoftware installiert ist. Wer ein Sicherheitstool von Kaspersky nutzt, kann im Gegenzug den Scanner Avira PC Cleaner einsetzen, der ebenfalls kostenlos ist und auch parallel zu einer installierten Antivirensoftware arbeitet.
Rootkit-Scanner gegen versteckte Schädlinge
Erkennen und entfernen Sie bösartige Rootkits mit dem kostenlosen Tool Malwarebytes Anti-Rootkit . Rootkits sind Programme, die sich so im System einnisten, dass sie für die meisten Tools, etwa den Windows-Explorer, aber auch für normale Antivirentools, unsichtbar sind. Malwarebytes Anti-Rootkit zählt zu den wenigen Tools, die Rootkits auch ohne Boot-DVD oder Boot-USB-Stick finden können. Das Programm startet ohne Installation, ist einfach zu bedienen, und führt Sie in Englisch durch die Schritte. Sie müssen lediglich die Ziele angeben, die Sie gescannt haben wollen. Nach dem Scan lassen sich gefundenen Schädlinge per „Cleanup“ beseitigen. Danach ist auf jeden Fall ein Neustart des PCs nötig.