Main Menu

Home
Artikel
News
UwiN Forum
Downloads
Web-Links
Impressum/Disclaimer
Board-Regeln
Web-Chat
Kontakt

Login Form






Passwort verloren?
Home arrow Artikel arrow Client Applications arrow Windows XP - Prozesslisten-Analyse
Windows XP - Prozesslisten-Analyse PDF Drucken E-Mail
Geschrieben von Carola 'Cat' Helfert   

eine kleine Anleitung um die seltsamen Prozesse die man im TaskManager so sieht zu identifizieren und kennenzulernen ..

Dieser Artikel ist alles andere als vollstaendig, da nur die eigene Prozessliste ausgewertet wurde und ist als Leitfaden zu verstehen

Wie man sein System kennenlernt ...

Ich habe an dem Betatest des CTP von Norman (http://www.norman.com/Download/Beta_versions) teilgenommen. Um aber Software zu testen, muss man auch wissen, was so alles dazugehoert. Das habe ich zum Anlass genommen, mein System mal wieder genauer unter die Lupe zu nehmen.

Mein System ist ein Windows XP Professional SP2. Doch nach fast 2 Jahren hat sich allerhand an Software und Prozessen eingenistet. Vorallem Software, die mal getestet wuerde, und dann vergessen ...  oder nach der Deinstallation noch Spuren im System hinterlassen hat.

In diesem Artikel moechte ich ein besonderes Augenmerk auf meine Prozessliste richten. Viele der dortigen Prozessnamen sind nicht auf den ersten Blick einem Programm zuzuordnen. Anhand der auf meinem System vorhandenen Prozessen moechte ich exemplarisch darstellen, wie man Informationen zu bekannten und unbekannten Prozessen herausfindet. Vielleicht sind die Informationen zu den einzelnen Prozessen auch fuer Euch nuetzlich.

Mein Vorgehen:

1. Windows Taskmanager

- mit "Start -> Run/Ausfuehren -> taskmgr" habe ich den Taskmanager geoeffnet und eine per Doppelklick auf "Name" die Prozessliste alphabetisch sortiert.
- unter "Ansicht" - "Spalten auswaehlen" -> "Benutzer" selektieren.

Damit habe ich bereits die ersten wichtigen Informationen. Eine Prozessliste mit den Namen der laufenden Prozesse und den Usernamen, der diesen Prozess gestartet hat.

ACHTUNG: Rootkits koennen die Ausgabe des Taskmanagers veraendern und Prozesse verstecken!


2. Explorer

- mit der Windows-Suche habe ich den Speicherort der Datei gesucht.

nun hatte ich ein gewaltiges Problem. Wer sagt mir, dass die Datei, die ich gefunden hatte, auch die Datei ist, die den Prozess in meiner Prozessliste gestartet hat? Fuer mich kein Problem, auf meiner Maschine ist "Services for Unix" (http://www.microsoft.com/SFU) installiert, einmal "ps -ef" eingegeben, und schon hatte ich die entsprechenden Informationen.

Fuer alle anderen hab ich eine andere Moeglichkeit Smile

3. Process Explorer (Sysinternals)

- unter http://www.microsoft.com/technet/sysinternals/ProcessesAndThreads/ProcessExplorer.mspx den ProcessExplorer herunterladen und starten.
- unter "View" - "Select Columns" -> "Image Path" selektieren

beim Process Explorer finde ich noch einige weitere interessante Informationen:
- Beschreibung des Prozesses
- den Namen des Herstellers
- uvm...

nun habe ich schon viele informationen ueber meine Prozesse .. aber nun gilt es herauszufinden, wie der Prozess dahingekommen ist ... Dafuer gibt es einige Moeglichkeiten:

4. Startarten

4.1 Dienste

- in der "Systemsteuerung" findet man im Ordner "Verwaltung" das Applet "Dienste". Bewaffnet mit der Beschreibung aus dem

Prozess Explorer kann ich schon die ersten Dienste einzelnen Prozessen zuordnen und den Starttyp sehen.

4.2 Autostart

- im Ordner C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart findet man alle Programme, die beim Einloggen eines jeden Users des Systems gestartet werden.
- im Ordner C:\Dokumente und Einstellungen\%USERNAME%\Startmenü\Programme\Autostart sind die Programme gelistet, die Benutzerspezifisch automatisch beim Einloggen gestartet werden

Programme, die ueber Autostart gestartet werden, muessen nicht zwingend auf jedem Rechner im selben Ordner liegen, da einige Programme bei der Installation nachfragen, ob das Programm nur fuer einen selber, oder fuer alle Benutzer gelten sollen

4.3. Registry

ACHTUNG: Bei der Registry immer sehr vorsichtig sein! Aenderungen koennen die Stabilitaet des Systems gefaehrden.

- "Start" - "Run/Ausführen" -> regedit startet den Registry Editor
- in folgenden Key's findet man Eintraege, die beim Systemstart/Logon abgearbeitet werden
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce
- manchmal kann es aber auch interessant sein, den Prozessnamen als Suchoption unter "Bearbeiten" - "Suchen" einzugeben ;)

nun fehlen noch die Informationen, was die Prozesse denn so genau machen und ob man die einfach so beenden kann .. aber wozu gibt es das Internet!

5. Internet

- Hersteller Seiten (siehe Company Name im Process Explorer)
- Internet Suchmaschine

Ok, nun komme ich zu einer endlos langen langweiligen Liste, mit meinen Ergebnissen, zu meiner Prozessliste, die ich analog zu dem oben beschriebenem Vorgehen erstellt habe. Aber bevor ihr nun einfach woandershin surft, schaut euch bitte noch mein Fazit hinter der Prozessliste an.

Prozessliste


alg
Application Layer Gateway
Typ: Dienst | Manuell
Prozess Pfad: %SystemRoot%\system32\alg.exe
User: Lokaler Dienst
alg.exe gehoert zum Microsoft Windows Operating System. Bietet Unterstützung für Protokoll-Plug-Ins von Drittanbietern für

die gemeinsame Nutzung der Internetverbindung und den Windows-Firewall.
Dieser Dienst soll nicht beendet werden.

BCMWLTRY
Broadcom Corporation Wireless Network (siehe auch: WLTRYSVC)
Typ: Dienst | Automatisch
Prozess Pfad: %SystemRoot%\system32\bcmwltry.exe
User: System
bcmwltry.exe ist der Zugriff zur Broadcom Corporation Wireless Network Software in der Tray
Dieser Dienst kann auch einfach entfernt werden, braucht man eh net, wenn man den WCZ hat ;)

BTTray
Widcomm's Bluetooth Tray Application
Typ: Programm | Autostart
Prozess Pfad: %ProgramFiles%\WIDCOMM\Buetooth Software\bttray.exe
User: %USERNAME%
bttray.exe gewaehrt einen einfachen Zugriff zur Konfiguration von Widcomm Inc Bluetooth Geraeten und ist in der Tray zu finden.
Das Programm kann beendet werden

btwdins
Bluetooth Support Server
Typ: Dienst | Automatisch
Prozess Pfad: %ProgramFiles%\WIDCOMM\Buetooth Software\btwdins.exe
User: System
btwdins.exe verwaltet als Teil des Betreibssystems die Bluetooth Funktionalitaeten.
Dieser Dienst sollte nicht beendet werden.

CClaw
Norman Virus Control hooking component
Typ: Modul
Prozess Pfad: %ProgramFiles%\Norman\nvc\bin\cclaw.exe
User: %USERNAME%
cclaw.exe gehoert zum Norman Virus Control "On Access" Scanner, der im Hintergurnd immer mitlaeuft und ist die "user-mode" Komponente des Echtzeitscanners.
Dieser Prozess sollte nicht beendet werden

cidaemon
Microsoft Indexing Service
Typ: System Process
Prozess Pfad: %SystemRoot%\system32\cidaemon.exe
User: System
Microsoft Indexing Service ist fuer den schnellere Suche zustaendig, da es die alle Dateien katalogisiert.
Dieser Prozess sollte nicht beendet werden

cisvc
Microsoft Content Index Service
Typ: System Prozess
Prozess Pfad: %SystemRoot%\system32\cisvc.exe
User: System
Microsoft Content Index Service monitort den Memory Verbrauch von cidaemon.exe und bewahrt das System vor "Low Memory" Problemen.
Der Prozess sollte nicht beendet werden

cron
Crontab - Interix Utility
Typ: SFU-Subsystem Prozess
Prozess Pfad: C:\SFU\usr\sbin\cron
User: Administrator
ist ein Teil meines Interix Subsystems (SFU = Services for UNIX http://www.microsoft.com/SFU) und ist das Gegenstueck zum "at" Befehl unter Windows ;)
Der Prozess kann beendet werden

csrss
Microsoft Client/Server Runtime Server Subsystem
Typ: System Prozess
Prozess Pfad: %SystemRoot%\system32\csrss.exe
User: System
Dieser Prozess verwaltet die meisten grafischen Kommandos in Windows (Fenster von Anwendungen und das Anlegen und Beenden von Threads von laufenden Anwendungen)
Dieser Prozess sollte nicht beendet werden

ACHTUNG: Es gibt auch Malware, die sich als csrss.exe tarnen. Bitte im Zweifelsfall den Pfad und die Signatur von csrss.exe ueberpruefen!


ctfmon
Alternative User Input Services
Typ: Office/System Process | Registry - Run Key
Prozess Pfad: %SystemRoot%\system32\ctfmon.exe
User: %USERNAME%
ctfmon.exe gehoert zu MS Office XP und ist die Datei, die für die Steuerung der verschiedenen Techniken der alternativen Benutzereingabe verantwortlich ist. Diese Datei startet die Sprachleiste (im Tray) und wird auch nach dem Beenden eines Office XP-Programms weiterhin im Hintergrund ausgeführt. Dieses Programm sollte nicht beendet werden.

Siehe auch:
http://support.microsoft.com/kb/282599

ACHTUNG: Es gibt auch Malware, die sich als ctfmon.exe tarnen. Bitte im Zweifelsfall den Pfad und die Signatur von ctfmon.exe ueberpruefen!


DLG
Digital Line Detect
Typ: Programm | Autostart
Prozess Pfad: %ProgramFiles%\Digital Line Detect\dlg.exe
User: %USERNAME%
Dlg.exe kommt mit DELL Notebooks und ist fuer das Broadcom Modem zustaendig.
Dieser Prozess kann gefahrlos gestoppt werden und aus dem Autostart entfernt werden


DPAgnt
DigitalPersona
Typ: Programm | Registry - Run Key
Prozess Pfad: %ProgramFiles%\DigitalPersona\bin\dpagnt.exe
User: %USERNAME%
Dieses Programm wird mit dem FingerPrint Reader von Microsodt installiert und ist fuer die Verwendung des Fingerprint Readeres bei Webapplikationen etc. noetig.
Das Programm sollte nicht beendet werden ;)


DPFUSMgr
DigitalPersona
Typ: Dienst | Automatisch
Prozess Pfad: %ProgramFiles%\DigitalPersona\bin\dpfusmgr.exe
User: System
Dieses Programm wird mit dem FingerPrint Reader von Microsodt installiert. / Windows XP FUS Manager
Der Dienst sollte nicht beendet werden


DpHost
DigitalPersona
Typ: Dienst | Automatisch
Prozess Pfad: %ProgramFiles%\DigitalPersona\bin\dphost.exe
User: System
Dieses Programm wird mit dem FingerPrint Reader von Microsodt installiert. Biometrischer Authentifizierungs Dienst, der der die Anmeldung per Fingerabdruck ermoeglicht.
Der Dienst sollte nicht beendet werden


DVDLauncher
CyberLink PowerCinema Resident Program
Typ: Programm | Registry - Run Key
Prozess Pfad: %ProgramFiles%\CyberLink\PowerDVD\dvdlauncher.exe
User: %USERNAME%
Ist dafuer zustaendig, dass PowerDVD beim einlegen einer DVD's geöffnet wird.
Der Dienst kann ohne Probleme beendet werden, was auch einiges an Performance bringt.


eTSrv
eToken Notification Service
Typ: Dienst | Automatisch
Prozess Pfad: %SystemRoot%\system32\eTSrv.exe
User: System
Internal Name eToken Run-time Environment / Encryption Service von Aladin.com
Der Dienst sollte nicht beendet werden.


explorer
Windows Explorer
Typ: System
Prozess Pfad: %SystemRoot%\explorer.exe
User: %USERNAME%
explorer.exe ist der Windows Programm Manager oder Windows Explorer. Er verwaltet die grafische shell, insbesondere Start Menu, Taskbar, Desktop und Datei Manager. Naja .. wir wissen wohl alle, dass das Grafische Interface verschwindet, wenn wir den killen ;). Dieser Prozess verwendet auch Netzwerk Funktionalitaeten.
Der Prozess sollte nicht beendet werden.

ACHTUNG: Es gibt auch Malware, die sich als explorer.exe tarnen. Bitte im Zweifelsfall den Pfad und die Signatur von explorer.exe ueberpruefen!


FwcAgent
Process Name: Microsoft Firewall Client Agent
Typ: Dienst | Automatisch
Process File: %ProgramFiles%\Microsoft Firewall Client 2004\fwcagent.exe
User: System
Der Prozess dient der Verwaltung des Microsoft Firewall Agents
Der Prozess sollte nicht beendet werden.


FwcMgmt
Microsoft Firewall Client Management
Typ: Programm | Autostart 
Prozess Pfad: %ProgramFiles%\Microsoft Firewall Client 2004\fwcmgmt.exe
User: %USERNAME%
Der Prozess dient der Verwaltung des Microsoft Firewall Agents
Der Prozess sollte nicht beendet werden.


hkcmd
Intel Hotkey
Typ: Modul | Registry - Run Key
Prozess Pfad: %SystemRoot%\system32\hkcmd.exe
User: %USERNAME%
hkcmd.exe wird mit den Intel multimedia Geraeten installiert und ermoeglicht die Konfiguration und Diagnose dieser Geraete.
Auch wenn dieser Prozess nicht zwingend noetig ist, ist es im Zweifelsfall besser, ihn laufen zu lassen


Idle
faulenzer Teil, das aber kein echter Prozess ist, vielmehr eine Art "Zaehler" fuer die verfuegbare ProzessorZeit.
Wenigstens eruebrigt sich die Frage, ob man ihn abstellen kann ... ;)


iexplore
Internet Explorer
Typ: Programm
Prozess Pfad: %ProgramFiles%\Internet Explorer\iexplore.exe
User: %USERNAME%
Ja, ... surfen mit dem IE tu ich auch ;) ...


igfxpers
Intel Common User Interface Module
Typ: Module | Registry - Run Key
Prozess Pfad: %SystemRoot%\system32\igfxpers.exe
User: %USERNAME%
igfxpers.exe wird mit Intel Grafikkarten installiert und wird zur Konfiguration verwendet.
Ausser bei akuten Problemen sollte er nicht deinstalliert werden


igfxsrvc
Intel Common User Interface
Typ: Modul
Prozess Pfad: %SystemRoot%\system32\igfxsrvc.exe
User: %USERNAME%
igfxsrvc.exe wird mit den Grafikkarten Treibern fuer Grafikkarten mit Intel Chipset installiert.
Dieser Prozess sollte nicht beendet werden


inetd
Prozess Pfad: C:\SFU\usr\sbin\inetd
Typ: Deamon | Startscript
User: Administrator
das ist der Internet "Super-Server" Prozess von meinem Interix Subsystem (SFU). Dabei handelt es sich um einen Dienst, der Netzwerk-Sockets abhört und bei Anfrage auf einem bestimmten Port ein voreingestelltes Programm startet.


inetinfo
IIS Admin Service Helper
Typ: Dienst | Automatisch
Prozess Pfad: %SystemRoot%\system32\INETSRV\inetinfo.exe
User: SYSTEM
inetinfo.exe gehoert zu Microsoft Windows Server Internet Information Services und sollte, wenn er schon installiert ist, nicht beendet werden ;)
http://technet2.microsoft.com/WindowsServer/en/library/3be1be76-8dfc-445e-99c6-2c9c3962ca7e1033.mspx?mfr=true


init
Typ: Deamon
Prozess Pfad: C:\SFU\usr\sbin\init
User: Administrator
init ist wieder ein Prozess aus meinem Interix Subsystem (SFU). Unter UNIX ist es immer der erste Prozess, der gestartet wird. Unter Windows hat er allerding nicht ganz so hohe Prio ;)


iPodService
Apple iTunes
Typ: Dienst | Manuell
Prozess Pfad: %ProgramFiles%\iPod\bin\ipodservice.exe
User: SYSTEM
ipodservice.exe gehoert zu Apple's iTunes mp3 Media Suite. Man kann ihn bedenkenlos abschalten.


iTunesHelper
Process Name: Apple Itunes
Typ: Programm | Registry - Run Key
Prozess Pfad: %ProgramFiles%\iTunes\ituneshelper.exe
User: %USERNAME%
ituneshelper.exe gehoert zu Apple's iTunes mp3 Media Suite. Dieser Prozess beschleunigt den iTunes Start und monitored ob ein iPod Geraet verbunden wird. Man kann ihn bedenkenlos abschalten.


jusched
Sun Java Update Scheduler
Typ: Programm | Registry - Run Key
Prozess Pfad: %ProgramFiles%\Java\jre1.5.0_06\jusched.exe (je nach version ;) )
User: %USERNAME%
jusched.exe kommt mit Sun Microsystem's Java suite und ueberprueft auf for Java updates.
Dieser Prozess sollte nicht beendet werden.


lsass
Local Security Authority Service
Typ: System
Prozess Pfad: %SystemRoot%\system32\lsass.exe
User: SYSTEM
lsass.exe gehoert zu den Microsoft Windows Security Mechanismen. Insbesondere handelt es mit Local Security und Login Policies.
Dieser Prozess sollte nicht beendet werden.

ACHTUNG: Es gibt auch Malware, die sich als lsass.exe tarnen. Bitte im Zweifelsfall den Pfad und die Signatur von lsass.exe ueberpruefen!


mdm
Machine Debug Manager
Typ: Dienst | Automatisch
Prozess Pfad: %ProgramFiles%\Gemeinsame Dateien\Script Debugger IDE Shared\Debug\MDM.EXE  
User: SYSTEM
mdm.exe wird mit dem Microsoft Skript-Editor installiert und bietet Unterstuetzung beim Debuggen von Scripten.
Er kann gefahrlos deinstalliert werden.
Siehe auch:
http://support.microsoft.com/default.aspx?scid=kb;de;321410

ACHTUNG: Es gibt auch Malware, die sich als mdm.exe tarnen. Bitte im Zweifelsfall den Pfad und die Signatur von mdm.exe ueberpruefen!


MSASCui
Microsoft Windows Defender Antispyware
Typ: Programm | Registry - Run Key
Prozess Pfad: %ProgramFiles%\Windows Defender\msascui.exe
User: %USERNAME%
msascui.exe gehoert zu Microsoft Windows Defender Antispyware, welches (in dem Fall noch als Beta) den Rechner vor Spywaere und Trojaner Schuetzen soll.
Das Programm sollte nicht beendet werden.


MsMpEng
Microsoft Windows Defender Antispyware
Typ: Dienst | Automatisch
Prozess Pfad: %ProgramFiles%\Windows Defender\msmpeng.exe
User: SYSTEM
msmpeng.exe gehoert zu Microsoft Windows Defender Antispyware, welches (in dem Fall noch als Beta) den Rechner vor Spywaere und Trojaner Schuetzen soll.
Der Dienst sollte nicht beendet werden.

msnmsgr
MSN Messenger
Typ: Programm
Prozess Pfad: %ProgramFiles%\MSN Messenger\msnmsgr.exe
User: %USERNAME%
msnmsgr.exe ist ein Chat-Programm.
Dieser Prozess kann beendet werden

NetDrive
Novell NetDrive
Typ: Programm | Registry - Run Key
Prozess Pfad: %ProgramFiles%\NetDrive\NetDrive.exe
User: %USERNAME%
NetDrive ist von Novell und ermoeglicht das Mappen von Laufwerken auf der Workstation und das Verbinden mit Ordnern auf Windows, Novell oder Linux Servern ueber das Internet. Dabei werden die verbundenen Laufwerke wie lokale Laufwerke behandelt


Nip
NVC Internet Protection
Typ: Modul
Prozess Pfad: %ProgramFiles%\Norman\nvc\BIN\NIP.EXE
User: %USERNAME%
nip.exe gehoert zum Norman Virus Control und ist fuer den real-time POP3, SMTP und NNTP Virus scan zustaendig.
Dieser Prozess sollte nicht beendet werden


Njeeves
Typ: Dienst | Manuell
Prozess Pfad: %ProgramFiles%\Norman\npm\bin\NJEEVES.EXE
User: SYSTEM
njeeves.exe gehoert zur Norman Anti Viren Suite und ist fuer die Kommunikation zwischen den einzelnen Modulen verantwortlich. 
Dieser Prozess benoetigt den TCP Port 2868.
Dieser Prozess sollte nicht beendet werden


notepad
Typ: Programm
Prozess Pfad: %SYSTEMROOT%\system32\NOTEPAD.EXE
User: %USERNAME%
dadrin tippte ich gerade diesen Artikel ;)


npfsvc32
NPF Background Service
Typ: Dienst | Automatisch
Prozess Pfad: %ProgramFiles%\Norman\npf\bin\npfsvc32.exe
User: SYSTEM
Dies ist der Personal Firewall Service der Norman Suite
Dieser Prozess sollte nicht beendet werden


npfuser
NPF User Interface
Typ: Modul
Prozess Pfad: %ProgramFiles%\Norman\npm\bin\npfuser.exe
User: SYSTEM
Norman Process
Dieser Prozess sollte nicht beendet werden


Nvcoas
NVC OnAccess Virus Scanner
Typ: Modul
Prozess Pfad: %ProgramFiles%\Norman\nvc\bin\nvcoas.exe
User: SYSTEM
Norman on Access Scanner
Dieser Prozess sollte nicht beendet werden
 

nvoy
Typ: Modul
Prozess Pfad: %ProgramFiles%\Norman\npm\bin\nvoy.exe
User: SYSTEM
Norman Process
Dieser Prozess sollte nicht beendet werden


PCMService
PowerCinema Resident Program for Dell / CyberLink Corp
Typ:  Programm
Prozess Pfad: %ProgramFiles%\Dell\Media Experience\PCMService.exe
User: %USERNAME%
pcmservice.exe ist ein Teil der Dell Media Experience Software.
Auch wenn der Prozess nicht zwingend noetig ist, sollte er aufgrund von Stabilitaetsgruenden laufen.


point32
Microsoft Intellimouse Monitor
Typ: Programm | Registry - Run Key
Prozess Pfad: %ProgramFiles%\Microsoft Hardware\Mouse\point32.exe
User: %USERNAME%
point32.exe gehoert zur Microsoft Intellimouse.
Dieser Prozess ist nicht zwingend noetig ;)


PrfldSvc
Microsoft Private Folder
Typ: Dienst | Automatisch
Prozess Pfad: %ProgramFiles%\Microsoft Private Folder 1.0\PrfldSvc.exe
User: SYSTEM
prfldsvc.exe gehoert zu Microsoft Private Folder. Ein kleines aber feines Tool von Microsoft, um einen einzelnen Ordner zu verschluesseln. Leider steht es nicht mehr zum Herunterladen zur Verfuegung.
Auch wenn der Prozess nicht zwingend noetig ist, sollte er aufgrund von Stabilitaetsgruenden laufen.


PSXRUN
Interix Subsystem Nonconsole Session Manager
Typ: SYSTEM
Prozess Pfad: %Systemroot%\system32\PSXRUN.exe
User: SYSTEM
gehoert zu SFU
Psxrun.exe agiert als Schnittstelle zwischen Microsoft Windows NT Service Manager und einem INTERIX Programm, (zB. inetd).
Dieser Prozess sollte nicht beendet werden


PSXSS
Interix Subsystem Server
Typ: SYSTEM
Prozess Pfad: %Systemroot%\system32\PSXSS.exe
User: SYSTEM
psxss.exe ist der HauptProzess des POSIX Subsystems.
Dieser Prozess sollte nicht beendet werden


qttask
Apple QuickTime Tray Icon
Typ: Programm | Registry - Run Key 
Prozess Pfad: %ProgramFiles%\Quick Time\qttask.exe
User: %USERNAME%
das Traybar Icon soll nur die Handhabung vereinfachen.
Der Prozess kann beendet werden.


quickset
Dell Quickset
Typ: Modul
Prozess Pfad: %ProgramFiles%\Dell\QuickSet\quickset.exe
User: %USERNAME%
quickset.exe wird mir Dell Notebooks ausgeliefert und stellt Power Management, Diabnose Tools und Einstellungen zur Verfuegung.
Auch wenn der Prozess nicht essentiell ist, sollte er nicht beendet werden.


rundll32
Microsoft Rundll32
Typ: SYSTEM
Prozess Pfad: %SYSTEMROOT%\system32\rundll32.exe 
User: SYSTEM
rundll32.exe fuehrt DLL's aus und verwaltet diese.
Dieser Prozess sollte nicht beendet werden.

ACHTUNG: Es gibt auch Malware, die sich als rundll32.exe tarnen. Bitte im Zweifelsfall den Pfad und die Signatur von rundll32.exe ueberpruefen!


scardsvr
Microsoft Smartcard-Ressource server
Typ: Dienst | Automatisch
Prozess Pfad: %SYSTEMROOT%\system32\scardsvr.exe
User: LOCAL Service
scardsvr.exe ermoeglicht die Authentifizierung mit Smardcards.
Dieser Dienst sollte nicht beendet werden


services
Dienststeuerungs-Manager
Typ: SYSTEM
Prozess Pfad: %SYSTEMROOT%\system32\services.exe
User: SYSTEM
Der Dienststeuerungs-Manager (Service Control Manager) services.exe verwaltet die System Services. Startet der Benutzer das SnapIn Dienste, so steuert er auf diese Weise services.exe.
Dieser Prozess sollte nicht beendet werden.

ACHTUNG: Es gibt auch Malware, die sich als services.exe tarnen. Bitte im Zweifelsfall den Pfad und die Signatur von services.exe ueberpruefen!


smss
Session Manager Subsystem  
Typ: SYSTEM
Prozess Pfad: %SYSTEMROOT%\system32\smss.exe
User: SYSTEM
smss.exe ist fuer die verwaltung der einzelnen Session auf einem System zustaendig.
Dieser Prozess sollte nicht beendet werden

ACHTUNG: Es gibt auch Malware, die sich als smss.exe tarnen. Bitte im Zweifelsfall den Pfad und die Signatur von smss.exe ueberpruefen!


spoolsv
Microsoft Printer Spooler Service
Typ: Dienst | Automatisch
Prozess Pfad: %SYSTEMROOT%\system32\spoolsv.exe
User: SYSTEM
spoolsv.exe verwaltet die Druckerwarteschlange
Dieser Dienst sollte nicht beendet werden

ACHTUNG: Es gibt auch Malware, die sich als spoolsv.exe tarnen. Bitte im Zweifelsfall den Pfad und die Signatur von spoolsv.exe ueberpruefen!


svchost
Microsoft Service Host Process
Typ: System, Dienst
Prozess Pfad: %SYSTEMROOT%\system32\svchost.exe 
User: meherere LOCAL Service, System, Network Service
Svchost.exe ist ein generischer Hostprozessname für Dienste, die aus Dynamic-Link Libraries (DLLs) heraus ausgeführt werden.
Davon gibt es in der Regel mehrere! Welche gerade was tun sieht man mit dem Befehl "Tasklist /SVC" sehen kann.
in meinem Fall sind es gerade 6 Prozesse, die nicht beendet werden sollten
svchost.exe -> DcomLaunch, TermService
svchost.exe -> RpcSs
svchost.exe -> Dnscache
svchost.exe -> LmHosts, RemoteRegistry, SSDPSRV, WebClient
spoolsv.exe -> Spooler
svchost.exe -> AppMgmt, AudioSrv, BITS, CryptSvc, Dhcp, dmserver, ERSvc, EventSystem, helpsvc, HidServ, lanmanserver, lanmanworkstation, Netman, Nla, RasMan, Schedule, seclogon, SENS, SharedAccess, ShellHWDetection, srservice, TapiSrv, Themes, W32Time, winmgmt, wuauserv, WZCSVC

Siehe auch:
http://support.microsoft.com/kb/314056

ACHTUNG: Es gibt auch Malware, die sich als svchost.exe tarnen. Bitte im Zweifelsfall den Pfad und die Signatur von svchost.exe ueberpruefen!


System
Typ: SYSTEM
User: SYSTEM
Grundlegende System Komponente. System beinhaltet alle Threads, die unmittelbar zum Kernel des Betriebssystems gehören.
Der Prozess kann nicht beendet werden.


type32
Microsoft Office Keyboard Console
Typ: Programm | Registry - RUN Key
Prozess Pfad: %ProgramFiles%\Microsoft IntelliType Pro\type32.exe
User: %USERNAME%
Der Prozess gehoert zur Microsoft IntelliType Pro Software, die es ermoeglicht, die Tastatur individuell anzupassen.
Daher sollte der Prozess nicht gestoppt werden, wenn man die Erweiterungen nutzt.


winlogon
Windows Logon Application
Typ: SYSTEM
Prozess Pfad: %SYSTEMROOT%\system32\winlogon.exe
User: SYSTEM
Der Prozess "winlogon.exe" ermöglicht das An- und Abmelden von Benutzer und läuft deswegen ständig im Hintergrund mit. Es überprüft auch den Windows XP Aktivierungscode.
Der Prozess darf nicht beendet werden.

ACHTUNG: Es gibt auch Malware, die sich als winlogon.exe tarnen. Bitte im Zweifelsfall den Pfad und die Signatur von winlogon.exe ueberpruefen!


WLTRYSVC
Broadcom Corporation Wireless Network Tray Applet
Typ: Dienst | Automatisch
Prozess Pfad: %SYSTEMROOT%\system32\WLTRYSVC.exe
User: SYSTEM
wltrysvc.exe gehoert zum Broadcom Corporation Wireless Network Tray Applet.
bcmwltry.exe ist der Zugriff zur Broadcom Corporation Wireless Network Software in der Tray
Dieser Dienst kann auch einfach entfernt werden, braucht man eh net, wenn man den WCZ hat ;)


wuauclt
Microsoft Windows Update
Typ: Programm
Prozess Pfad: %SYSTEMROOT%\system32\wuauclt.exe
User: SYSTEM
dieser Prozess ueberprueft fortlaufend, ob neue Updates verfuegbar sind.
Der Prozess sollte daher nicht beendet werden.


Zanda
Norman Virus Control
Typ: Dienst | Automatisch
Prozess Pfad: %ProgramFiles%\Norman\Npm\Bin\Zanda.exe
User: %USERNAME%
zanda.exe startet alle anderen Norman Antiviren Control Module.
Der Prozess sollte nicht beendet werden


Zlh
Norman Virus Control
Typ: Modul
Prozess Pfad: %ProgramFiles%\Norman\Npm\Bin\Zhl.exe
User: %USERNAME%
zlh.exe ist "Zanda's Little Helper".
Der Prozess sollte nicht beendet werden


zzInterix
Typ: Dienst | Automatisch
Prozess Pfad: %SYSTEMDrive%\SFU\usr\sbin\zzInterix
User: SYSTEM
zzInterix ist ein "trigger" der das Interix subsystem beim Windowsboot startet.
der trigger kann ohne Probleme disabled werden, da das subsystem gestartet wird, sobald ein Interix Utility aufgerufen wird.


Learnings und Fazit:

ich habe mich nun als allererstes hingesetzt und einigen der unnoetigen und vorallem auch gefaehrlichen Prozessen den Garaus gemacht ;) (auch wenn das ganze so ziemlich vergeblich war, da ich inzwischen Windows Vista installiert habe)

Ich muss ehrlich sagen, es sammelt sich allerhand Mist nach 2 Jahren Betrieb auf so einem Maschinchen. Ich kann jedem nur empfehlen auch eine kleine Inventur zu machen und somit aktiv zu einer Virenfreien Umgebung beizutragen.


Quellen

Registry
Filesystem
Internet
Brain.exe v1 ;)

(c) Carola 'Cat' Helfert, unterwegs-im.net 2006

 

 
 
< Zurück   Weiter >
© 2010 Unterwegs im Net
Joomla! is Free Software released under the GNU/GPL License.