Wer sich mit Windows berufsbedingt als Administrator auseinander setzen muss, kam an »Sysinternals« nicht vorbei.
Inzwischen ist aus »Sysinternals« das Produkt beziehungsweise die Produktsammlung »Windows Sysinternals«[1] geworden. Die Entwickler der früher als Freeware angebotenen Programme sind inzwischen bei Microsoft angestellt, die Sammlung an »kleinen Helferlein« ist weiterhin als Freeware verfügbar.
67 Anwendungen umfasst mittlerweile die »Sysinternals Suite«[2], nicht alle benötige ich zur Fehlerdiagnose oder auf der Suche nach Programmen, welche vorgeben ein normaler Systembestandteil zu sein (weiter unten mehr dazu).
Eine vollständige Übersicht mit ein paar Sätzen zu jedem Programm ist natürlich auch vorhanden. Beim Index der Sysinternals-Dienstprogramme[3] einfach mal einen Blick riskieren bevor man sich teure Programme kauft, welche einem dann eventuell auch keinen größeren Leistungsumfang bieten.
Von den 67 Programmen will ich drei näher beschreiben da ich sie relativ häufig auf fremden Rechnern im Einsatz habe: »Autoruns«, »Process Explorer« und »TCPView«. Darüber hinaus noch ein Tipp für eine kleine Anwendung, welche bei Präsentationen hilfreich sein kann: »ZoomIt«.
Autoruns
Bei vielen Rechnern ist die Leiste rechts unten voll mit vielen kleinen Icons. Dies sind alles Anwendungen, welche beim Start von Windows gestartet werden. Häufig kommen während der Nutzung noch weitere Anwendungen hinzu.
Braucht man diese Anwendungen wirklich alle? Muss bei jedem Start des Betriebssystems auch die kleine Armee von Instant Messengern und Game-Tools (ICQ, MSN, Skype, Comrade, Xfire, Steam, etc.) mitgeladen werden? Nicht wirklich wenn man eigentlich nur ein wenig im Internet surfen will.
Doch sie sind nun einmal schon im sogenannten Autostart vermerkt und werden stets gestartet. Hier kommt nun »Autoruns« zum Zuge.
Wird Autoruns mit Administratorrechten ausgeführt, können sämtliche im Autostart befindlichen Anwendungen angezeigt und auch auf Wunsch bequem per Mausklick aus selbigem genommen werden.
Der Eintrag bleibt natürlich erhalten, es wird der Startvorgang lediglich von »automatisch« auf »manuell« geändert.
Klickt man einen Eintrag an erhält man wie auf dem Screenshot ersichtlich unten am Rand zusätzliche Informationen angezeigt. Insbesondere der vollständige Pfad kann dabei praktisch sein wenn man nach einem Programm sucht, welches nur vorgibt eines der gewünschten Programme im Autostart zu sein – nur für den Fall das beispielsweise Malwarebytes' Anti-Malware noch nicht durchgelaufen ist, man aber schon einen konkreten Verdacht hegt.
Dies ist eigentlich auch schon die Überleitung zur zweiten Anwendung, welche ich häufiger verwende – gerade für die Suche nach Anwendungen, welche vorgeben eine andere zu sein.
Process Explorer
Über den Windows Taskmanager kann man sich bequem und übersichtlich die aktuell gestarteten Prozesse anschauen. Allerdings erhält man keine Informationen darüber wo genau die Anwendungen liegen, welche im Hintergrund mitlaufen.
Ist beispielsweise der angezeigte Prozess »iexplore« wirklich ein Internet Explorer? Schließlich hat man eigentlich nur Firefox oder Opera im Einsatz? Oder verbirgt sich dahinter ein Schadprogramm, welches tatsächlich im Benutzerverzeichnis liegt?
»Process Explorer« zeigt im Gegensatz zum Taskmanager viel mehr Informationen zu den einzelnen Prozessen an (auf das Bild für eine größere Version klicken):
Als Beispiel habe ich beim Screenshot den Mauszeiger über einen Prozess der VirtualBox platziert. Anders als im Taskmanager erhalte ich den vollständigen Pfad angezeigt.
Wäre der Prozess ein Schadprogramm würde er mit sehr hoher Wahrscheinlichkeit nicht im angegebenen Verzeichnis liegen sondern irgendwo anders.
Dies ist immer wieder bei der Fehlersuche praktisch wenn sich beispielsweise keine Antivirus-Anwendung mehr herunterladen und/oder installieren lässt oder der Rechner seltsamerweise stets eine hohe Auslastung hat, welche sich zunächst nicht erklären lässt.
TCPView
Bei einem unerklärlichen Aufkommen an Netzwerktraffic könnte es sich um einen Wurm oder ein anderes Schadprogramm handeln, welches im Hintergrund eifrig Daten ins Internet schickt und holt und somit den infizierten PC als Quelle für weitere Infektionen missbraucht.
Ein Beispiel dafür wäre der Wurm »SQLSlammer« welcher im Jahr 2003 sein Unwesen getrieben hat.
Mit TCPView lässt sich der aktuelle Netzwerktraffic überwachen (auf das Bild für eine größere Version klicken):
Angezeigt werden der Prozessname, welcher Daten über das Netzwerk schickt, welches Protokoll verwendet wird und was Quelle oder Ziel der Daten sind.
Schadprogramme fallen in der Regel schon durch ihren Namen, spätestens allerdings durch die auffällig starke Netzlast auf.
ZoomIt – zum Abschluss noch eine kleine Präsentationshilfe
Die bisher beschriebenen drei Anwendungen haben alle etwas mit Windows als Betriebssystem zu tun. Zum Abschluss aber noch ein kleiner Tipp abseits der Tiefen von Windows als Betriebssystem.
Wer häufiger Anwendungen und deren Bedienung präsentiert sollte sich einmal »ZoomIt« anschauen. Eine »Bildschirmlupe«, welche auch die Möglichkeit bietet auf dem Bildschirm mit der Maus zu »zeichnen«.
Ein rotes Kreuz damit alle sehen »bitte klicken Sie jetzt hier«? Kein Problem mit »ZoomIt«. Einfach mal ausprobieren – schließlich ist es Freeware. 
X_FISH
