Process Explorer: So prüfen Sie unbekannte Windows-Prozesse

Wurden Dateien oder die Registry unerwartet verändert, bleibt der Benutzer oft im Unklaren, welches Programm oder welche Windows-Komponente dafür verantwortlich war. Wir zeigen, wie Sie das prüfen können.

Microsoft bietet das kostenlose Werkzeug Process Explorer​ an. Dieses äußerst leistungsfähige Dienstprogramm zeigt, mit Admin-Rechten gestartet, die Dateien, Registryschlüssel und andere Objekte, die in Prozessen geöffnet sind, die geladenen DLLs und vieles mehr.

Schritt 1

Ganz oben werden die CPU- und Systemauslastung in Echtzeit grafisch dargestellt. Diese Anzeige lässt sich mit der Tastenkombination [Strg] + [I] in ein eigenes Fenster vergrößern.

Schritt 2

Das Symbol Show Lower Pane in der Symbolleiste blendet ein Teilfenster ein, in dem zu jedem Prozess geöffnete Dateien und Registry-Schlüssel angezeigt werden.

Schritt 3

Das Symbol View DLLs zeigt alle vom markierten Prozess aufgerufenen DLL-Dateien. 

Schritt 4

Mit dem Radar-Symbol in der Symbolleiste können Sie herausfinden, welches Windows-Fenster welche Prozesse startet. Ziehen Sie dieses Symbol aus der Symbolleiste auf das zu untersuchende Fenster. Die zugehörigen Prozesse werden im Process Explorer hervorgehoben.

Schritt 5

Schalten Sie über Options / Check Virustotal.com die automatische Überprüfung durch den Online-Dienst www.virustotal.com ein, sehen Sie die Ergebnisse in einer eigenen Spalte. Hier testen die Anti-Malware-Engines von derzeit über 60 Virenscannern unabhängig voneinander die Datei, sodass Fehlalarme weitgehend auszuschließen sind. Neben wirklicher Malware werden auch Programme, die wegen penetranter Werbung oder aus anderen Gründen als unerwünscht bekannt sind, dort angezeigt.