WindowsProblemlöser

Hochsicherheits-WindowsMit diesen Bordmitteln bekommt Ihr Windows Profi-Schutz

AnalysierenProbleme aufspüren und verstehenProzessen auf die Finger schauen

AbsichernSofortmaßnahmen ergreifenWindows radikal abdichten

ReparierenNotfall-Windows bauen und einsetzenProbleme beim Update beseitigen

AusreizenGratis auf Windows 10 wechselnWindows schnell mit der Tastatur bedienen

c’t-Notfall-Windows • Viren-Check • Sicherheits-Tools • Analyse-Software

Einige von Ihnen haben in den letzten Wochen in unserer Redaktion angefragt, ob es denn bald wieder ein Sonderheftmit geballtem Windows-Wissen von uns geben wird – nun ist es da! Und anders als im vergangenen Jahr, in dem wir unsspeziell dem neuen Windows 10 widmeten, ist dies wieder ein ganz klassisches Best-of der Artikel aus c’t, die sich um Microsofts Betriebssysteme drehen.

Systemanalyse, Fehlersuche und -behebung sind schon langeKernthemen unserer Windows-Sonderhefte. Dabei widmen wiruns diesmal nicht nur Windows-Bordmitteln wie Task-Managerund Ressourcenmonitor, sondern zeigen auch, wie man Win -dows wirklich präzise überwachen und jedem einzelnen Pro-zess auf die Finger schauen kann.

Ein Universalwerkzeug bei PC-Problemen ist seit Jahren das c’t-Notfall-Windows – ein Baukasten für ein bootfähiges Not-fallmedium, gespickt mit allerhand Hilfsmitteln. Es eignet sichnicht nur zur Behebung von Startproblemen, für die Viren -suche und ähnliches, sondern bietet auch Tools zur Hardware-Analyse. Selbstverständlich darf es in diesem Heft nicht fehlen.

Unser c’t-Tool für ein Hochsicherheits-Windows ist ein Viren-schutz der eher ungewöhnlichen Art. Es eignet sich, um in

allen gängigen Windows-Versionen die bordeigene Blockier-funktion für unbekannte Programme scharfzuschalten: Mit denrichtig gesetzten System Restriction Policies lässt sich selbstein Windows 10 Home so undurchlässig gegen Trojaner abdichten, wie man es sonst eher auf speziell gesicherten Firmensystemen mit Enterprise-Windows erwarten würde.

Der Umstieg auf Windows 10 und der parallele Betrieb miteiner älteren Version ist nach wie vor ein Thema. Wir zeigenWege zur Parallelinstallation sowie Tricks, um gängige Proble-me von Anfang an zu umschiffen oder sie zu beheben, wennsie doch einmal auftauchen.

Viel Spaß und gutes Gelingen!

Jan Schüßler

Alle Jahre wieder

3c’t Windows (2018)

Editorial

Inhalt

4 c’t Windows (2018)

Analysieren7 Die besten Systemwerkzeuge professionell

einsetzen

10 Windows mit Task-Manager & Co. ausforschen

15 Die Ereignisanzeige bei Windows-Problemennutzen

16 Windows Analyse mit dem Process Monitor:Einführung

22 Windows Analyse mit dem Process Monitor:Funktionen

26 Windows Analyse mit dem Process Monitor:Spezialwissen

Absichern31 c’t-Tool aktiviert Profi-Schutz

36 Mit Restric’tor zum sicheren Windows

42 Gefahren von Downloads abschätzen

46 Mehr Sicherheit durch gezieltes Deaktivierenunnötiger Funktionen

54 Browser und E-Mail gegen Angriffe absichern

58 Neuer Schutz im Windows 10 Fall Creators Update

Zum Heft3 Editorial

121 Impressum

AnalysierenWindows tut nicht, was es soll? Lesen Sie, wie SieIhrem Betriebssystem mit den bordeigenen undanderen kostenlosen Werkzeugen auf den Zahnfühlen und als Königsdisziplin laufende Prozesse bisins Detail überwachen können.

Seite 6

AbsichernSie wollen Angriffe verhindern? Schon einfacheMaßnahmen im System wappnen Windows gegen vieleAttacken von außen. Mit sogenannten Software RestrictionPolicies können Sie es aber auch zur Hochsicherheitszonemachen.

ab Seite 30

Schlagwort | Rubrik

Reparieren und helfenDer Schadensfall ist eingetreten? Oder Sie müssenungeplant ein System administrieren? Wir helfen – mitunserem Bausatz für ein Notfall-Windows sowieRatschlägen für Familen- und Aushilfs-Admins. Dazu gibtes Tipps gegen bockige Upgrades und Updates.

ab Seite 64

Ausreizen, optimieren,individualisierenSie reizt das riesige Potenzial von Windows? In unsererAuswahl zeigen wir, wie Sie virtuelle Festplatten fürParallelinstallationen nutzen und geben Tipps, wie SieIhr System an die eigenen Bedürfnisse anpassen.

ab Seite 108

Reparieren undhelfen65 c’t-Notfall-Windows 2018: Bausatz anwenden

68 Notfall-Windows: Viren-Alarme einordnen

70 Notfall-Windows: Tipps und Tricks

76 Notfall-Windows: Viren suchen

82 Hilfestellungen für (un-)freiwillige IT-Hausmeister

84 Tipps für Admins wider Willen

90 Fernwartungssoftware statt Turnschuh-Administration

96 Rechtliches für Freizeit- und Auftrags-Admins

100 Updates und Upgrades für Windows 10beherrschen

104 Fragen und Antworten zum Windows-Alltag

Ausreizen,optimieren,individualisieren109 Parallelinstallationen zum Testen,

Experimentieren, Reinschnuppern

110 Zweit-Windows per Drag & Drop

116 Upgrade für Windows 10 in einer VHDdurchführen

118 VHDs mit Snapshots einfrieren

122 Automatisierung mit der Windows-Aufgabenplanung

124 Tipps für Power-User

129 An Windows 10 mit PIN anmelden

130 Windows 7 neben Windows 10 installieren

134 Richtig umsteigen von Windows 7 aufWindows 10

141 Hochauflösende Monitore an Windows 10betreiben

142 Windows-Benutzerkonten mit Sprachprofilenausstatten

144 Mit Windows-Tastenkürzeln schneller ans Ziel

148 Fragen und Antworten zum Windows-Alltag

5c’t Windows (2018)

AnalysierenWindows tut nicht, was es soll? Lesen Sie, wie Sie IhremBetriebssystem mit den bordeigenen und anderen kostenlosenWerkzeugen auf den Zahn fühlen und als Königsdisziplin laufendeProzesse bis ins Detail überwachen können.

Die besten Systemwerkzeuge professionell einsetzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

Windows mit Task-Manager & Co. ausforschen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

Die Ereignisanzeige bei Windows-Problemen nutzen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15

Windows Analyse mit dem Process Monitor: Einführung . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16

Windows Analyse mit dem Process Monitor: Funktionen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

Windows Analyse mit dem Process Monitor: Spezialwissen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26

W indows-Problemen sowohl am eige-nen als auch an fremden Rechnernrücken Sie am besten zielgerichtet

und mit geeignetem Werkzeug zu Leibe. Indiesem und den folgenden Artikeln zeigenwir, wann sich welche Programme empfeh-len und wie Sie möglichst großen Nutzen da-raus ziehen. Unterteilt haben wir die Artikelnach Aufgaben: Analyse laufender Prozesse,Auswerten der umfangreichen Windows- eigenen Protokolle sowie Anlegen und Aus-werten zusätzlicher Protokolle über sämt -liche Zugriffe auf die Festplatte und auf dieRegistry.

Doch nicht immer muss man gleich zuSpezialwerkzeugen greifen, denn viele Pro-bleme lassen sich viel simpler lösen. Probie-ren Sie zunächst die in diesem Artikel ge-nannten Tipps durch. Damit erfahren Siezwar nicht immer, was eigentlich das Pro-blem war, doch macht das ja erst mal nichts.Falls es später doch wieder auftreten sollte,kann man es ja immer noch genauer unter-suchen.

Oh, ein ProblemEines noch vorab: Wenn Sie mit den Werk-zeugen aus den nachfolgenden Artikeln aufWindows losgehen, werden Sie auf haufen-weise Fehlermeldungen stoßen – so viele,dass man glauben könnte, dass Windows nuraus purem Glück noch läuft. Doch dem ist

keineswegs so, denn Windows stuft allesMögliche als „Fehler“ ein, was in Wirklichkeitgar kein Problem darstellt. Zum Beispiel prüftWindows beim Öffnen des Startmenüs, obfür diesen Vorgang vom Administrator Grup-penrichtlinien vorgegeben wurden. Fallsnicht – was der Normalfall ist – sieht man imProcess Monitor (siehe Seite 16) als Ergebnisein „Not found“. Auch in der Ereignisanzeigewerden Sie massenhaft auf angebliche Feh-ler stoßen. Wenn Windows beispielsweisebeim nächsten Neustart Updates installiert,dauert das halt etwas. Windows notiert dieseVerzögerung als Fehler, je nach Dauer sogarals „kritischen“, nachzulesen in der Ereignis-anzeige unter „Anwendungs- und Dienst -protokolle/Microsoft/Windows/Diagnostics-Performance“. Mehr zur Ereignisanzeigelesen Sie auf Seite 15.

Daher das Allerwichtigste zur Windows-Analyse gleich vorab, denn so trivial undselbstverständlich es auch klingt, wird esdoch allzu oft vergessen: Ein Problem habenSie nur, wenn etwas nicht funktioniert. Igno-rieren Sie also erst mal sämtliche Fehlermel-dungen und Hinweise, die nicht offensicht-lich mit dem Problem zusammenhängen,welches Sie gerade haben.

ErsthelferNun zu den angesprochenen einfacherenHandgriffen: Manche davon sind so trivial,dass gerade Profis sie immer wieder verges-sen, zum Beispiel einfach etwas noch mal zuversuchen – vielleicht hat man ja nur verse-hentlich einen Dialog weggeklickt oder so.Auch gern vergessen wird das Befolgen dieses schönen Spruchs: „Wenns nicht tut,hilft Reboot.“ Letzteres löst zum Beispiel vieleProbleme, die auftreten, weil Windows Up-dates einspielen will, damit aber nur halb fertig geworden ist, weil eben der Neustartnoch fehlt.

Des Weiteren bringt Windows einigeHausmittelchen mit, etwa die „Problembe-handlung“. Tippen Sie diesen Begriff insSuchfeld des Startmenüs, öffnen Sie den pas-

senden Suchtreffer und klicken dann obenlinks auf „Alle anzeigen“. Schauen Sie nach,ob eine Problembehandlung für Ihren aku-ten Fall vorhanden ist und wenn ja, lassen SieWindows einfach mal selbst machen. GuteErfahrungen damit haben wir vor allem beivermurksten Einstellungen der Netzwerk -karte gesammelt. Details zur Problembe-handlung finden Sie in [1].

Wenn der neue Hardware-Treiber zickt,kann man ihn ganz einfach wieder durchden alten ersetzen. Drücken Sie dazu Win -dows+Pause und klicken dann oben links auf„Geräte-Manager“. Im Kontextmenü der be-treffenden Hardware klicken Sie auf „Eigen-schaften“ und dort auf „Treiber“. Ein Klick aufden Knopf „Vorheriger Treiber“ restauriertden alten Treiber und nach einem Rebootgeht hoffentlich wieder alles.

Ebenfalls als Bordmittel dabei ist die Op-tion, zum letzten Systemwiederherstel-lungspunkt zurückzukehren. Dabei setztWindows sich selbst auf einen älteren Standzurück. Doch Vorsicht: Das bedeutet nichtnur, dass es bei der Rückkehr zu einem Wiederherstellungspunkt die seitdem über-schriebenen Dateien restauriert, sonderneben auch die seitdem neu hinzugekomme-nen löscht. Ihre persönlichen Daten sinddabei zwar normalerweise nicht gefährdet,weil die üblichen Dokumententypen alle-samt unangetastet bleiben. Selbst geschrie-bene Skripte allerdings können dabei verlo-ren gehen, und dieses Schicksal droht auchselbst kreierten und exotischen Dateitypen.Daher ist vor der Rückkehr zu einem älterenStand unbedingt ein Backup ratsam – aberdas ist es ja sowieso immer. Zum Aufrufender Systemwiederherstellung drücken SieWindows+Pause, klicken dann links auf„Computerschutz“ und im folgenden Dialogauf „Systemwiederherstellung“. Nach einemKlick auf „Weiter“ werden Ihnen die letztenWiederherstellungspunkte angeboten, miteinem Häkchen vor „Weitere Wiederherstel-lungspunkte …“ alle vorhandenen. WeitereDetails zur Systemwiederherstellung findenSie in [1].

7c’t Windows (2018)

Windows auf den Zahn gefühlt | Analysieren

Wenn Windows zickt, ist das wieZahnweh: Es bringt einen zwar nichtum, geht aber kolossal auf die Nerven, und die angeblichen Wunder -mittelchen vom Quacksalber aus derSeitengasse helfen nicht auf Dauer. Im realen Leben muss man dann zum Zahnarzt, in der Windows-Weltkönnen Sie sich mit professionellemWerkzeug selbst helfen.

Axel Vahldiek

Die bestenSystemwerkzeugeprofessionell einsetzen

Apropros Backup: So eines zurückzuspie-len ist ein weiteres simples Mittel zur Lösungvon Windows-Problemen. Unterscheiden Siedabei zwischen dem täglichen Backup Ihrerpersönlichen Daten (Tipps dazu standenin  [2]) sowie dem Backup der komplettenWindows-Installation mitsamt allen Einstel-lungen und Anwendungen. Ab Windows 8.1können Sie für letzteres c’t-WIMage einset-zen (siehe ct.de/wimage). Wer noch Windows7 nutzt, kann stattdessen zu Drive Snapshotgreifen; eine kostenlose, aber zeitlich be-schränkte Vollversion der Software steckt imc’t-Notfall-Windows (siehe S. 65).

SparpotenzialWenn die simplen Handgriffe nichts bringen,ist es Zeit für eine Online-Recherche – viel-leicht hatten andere das Problem ja auchund konnten es bereits lösen. Dabei werdenSie aber womöglich über Werbeanzeigenstolpern, die Ihnen das Blaue vom Himmelversprechen, gern verbunden mit dem An-gebot, kostenlos Ihren PC zu scannen. Spa-ren Sie sich den Klick darauf: Selbst bei seriö-sen Angeboten ist nur der Scan kostenlos,die fällige Reparatur aber nicht. Denn von irgendwas muss der Anbieter ja die Anzei-gen bezahlen. Und eine Garantie, dass dieReparatur wirklich klappt, gibt es auch nicht.

Sie werden bei der Web-Recherche außer-dem viele Ratschläge finden, einfach mal irgendwelche Programme laufen zu lassen,beispielsweise die Freeware „CCleaner“.Doch Obacht: Dieses Tool ist eigentlich zumEntfernen von Datenmüll gedacht und keineswegs ein Universal-Problemlöser. Unddie Registry-Optimierung des Programmsmacht erfahrungsgemäß sogar mehr kaputtals sie repariert  [3]. Eine Zeitlang steckte

sogar eine Backdoor drin [4]. Seien Sie alsobesser vorsichtig sowohl mit diesem als auchmit allen anderen Programmen, die Ihr Pro-blem irgendwie von alleine lösen sollen – jeunspezifischer und unbegründeter ein Lö-sungsvorschlag ist, umso mehr Misstrauenist angebracht.

Richtig googlenDas Netz ist durchaus voll von sinnvollenRatschlägen, man muss nur wissen, wie mansie findet. Dazu gehören zuerst mal die rich-tigen Suchbegriffe.

Sofern Fehlermeldungen erscheinen,tippt man deren Wortlaut daher kurzerhandeins zu eins ab, und zwar in Anführungsstri-chen, damit nur Suchtreffer mit genau der-selben Meldung gefunden werden. Viele

Fehlermeldungen lassen sich per Strg+Cund Strg+V woanders einfügen, das vermei-det Tippfehler. Falls dabei chaotisch forma-tierter Text im Suchschlitz landet, fügen Sieden Text stattdessen in Notepad ein und kopieren dort die entscheidende Fehlermel-dung heraus.

Sonst verwenden Sie möglichst präziseBegriffe und vermeiden dabei Umschreibun-gen. Tippen Sie die Namen der betroffenenDialoge aus deren Titelzeilen ab. Sofern mög-lich, hilft auch eine Übersetzung der Frage insEnglische – dafür sind oft mehr Lösungsvor-schläge im Netz zu finden als auf Deutsch.

Falls der PC gelegentlich unvermitteltneustartet oder gar in einer Neustart-Schleifehängt, deutet das auf einen Bluescreen hin,dessen Fehlercode ebenfalls bei der Recher-che nützlich sein kann. Um den Bluescreenzu sehen, müssen Sie Windows allerdingserst anweisen, ihn auch anzuzeigen statt ein-fach neuzustarten. Drücken Sie dazu Win -dows+Pause, klicken dann auf „ErweiterteSystemeinstellungen“, unter „Starten undWiederherstellen“ auf „Einstellungen“ undentfernen das Häkchen vor „AutomatischNeustart durchführen“.

Microsoft befragenNoch zielgerichteter suchen Sie, wenn Sie andie Suchanfrage noch etwas anhängen.Denn Microsoft stellt selbst jede Menge Lö-sungen zum Nachlesen bereit, vor allem inseiner Knowledge Base oder als Antwortenfachkundiger Mitarbeiter in den hauseige-nen Foren. Bei letzteren muss man sich aller-dings oft erst durch längere Threads lesen,daher zuerst zur Knowledge Base. Um die ge-zielt zu durchsuchen, hängen Sie hinter IhreSuchanfrage mit einem Leerzeichen ge-

8 c’t Windows (2018)

Analysieren | Windows auf den Zahn gefühlt

Viele Fehlermeldungen weisen nicht etwa auf ein Problem hin, sondern auf ganz normale Vorgänge. Hier prüft Windows vor demAnlegen eines neuen Registry-Schlüssels, ob es ihn schon gibt. Falls nicht – was der Normalfall ist –, meldet es „Name not found“.

Nicht für jedes Windows-Problem braucht manschweres Gerät. Mitunter reicht stattdessen einNeustart, etwa wenn sich Windows seltsamverhält, weil es Updates bereits teilweise einge -spielt hat, damit aber noch nicht ganz fertig ist.

trennt noch „site:support.microsoft.com“ an.Die dort angebotenen Artikel sind meist imOriginal englischsprachig, und was Ihnen imBrowser angezeigt wird, ist deren maschinel-le Übersetzung. Die Qualität der Übersetzun-gen ist oft fragwürdig, aber wenn man denMauszeiger über einen Satz hält, erscheintdarüber wenigstens das englischsprachigeOriginal.

Sollte in der Knowledge Base nichts zu fin-den sein, kürzen Sie den Anhang der Such -anfrage auf „site:microsoft.com“. Dann zeigtGoogle auch die Treffer aus den Microsoft-Foren (answer.microsoft.com). Sie werdenhier zwar auch massenhaft unbeantworteteFragen finden, doch lohnt es trotzdem, nachAntworten Ausschau zu halten. Einige Grup-pen von Foren-Teilnehmern stechen dabeibesonders heraus: Jene mit der Abkürzung„MSFT“ arbeiten genau wie jene mit demNamen „Microsoft“ im Profil direkt für denKonzern. Die Wahrscheinlichkeit, dass derenAntwort stimmt, ist daher recht hoch. Die Ab-kürzung „MVP“ steht für „Most Valuable Pro-fessional“, was wiederum eine Auszeichnungvon Microsoft für in der Community beson-ders engagierte Freiwillige ist. Diese Teilneh-mer arbeiten also nicht direkt für Microsoftund können für den Konzern nicht sprechen,dafür sind deren Praxis-Tipps mitunter mehrwert als die mancher Microsoft-Mitarbeiter.

Suchtreffer aus den Technet- und MSDN-Bibliotheken von Microsoft (technet.microsoft.com/de-de/library und msdn.microsoft.com/de-de/library) bieten oft qualitativ hoch-wertige Artikel, die von Menschen ins Deut-sche übersetzt wurden. Allerdings vermittelndie Artikel eher Hintergrundwissen und An-leitungen für bestimmte Handgriffe im Unter-nehmensumfeld sowie für Entwickler. Kon-

krete Lösungen für ein akutes Problem sindeher selten zu finden, dafür aber das Fach -wissen, mit dem man das Problem vielleichtselbst lösen kann.

Erst wenn das alles nichts bringt, lohntder Versuch ohne „site:microsoft.com“.Schließlich können Sie das Ganze noch malohne Anführungsstriche durchspielen.

Wenn partout keine Antwort zu finden ist,kann man auch einfach selbst eine Fragestellen. Voraussetzung ist ein Microsoft-Konto. Achten Sie beim Schreiben auf dieüblichen Netiquette. Und auch wenn IhnenWindows gerade furchtbar auf den Keksgeht: Vermeiden Sie beleidigende Begriffedafür. Wer Ihnen helfen soll, muss sich damitauskennen, und so mancher Kenner mag dasfragliche Produkt halt auch und nimmt dieBeleidigung des Produkts prompt persön-lich.

Erst wenn das alles nichts bringt, schlägtdie Stunde spezieller Systemwerkzeuge –dann aber richtig. (axv) c

Literatur

[1] Axel Vahldiek, Heilt von allein, Manchmalreichen für Windows die Hausmittelchen,c’t 13/14, S. 84

[2] Gerald Himmelein, Lutz Labs, Axel Vahldiek,Backup statt Lösegeld, Daten Trojaner-si-cher speichern, c’t 11/16, S. 102

[3] Axel Vahldiek, Gezielt ausmisten, Platzschaffen auf der Windows-Partition,c’t 12/16, S. 116

[4] Axel Vahldiek, Olivia von Westernhagen,Schadsoftware vom Virenschutz-Hersteller,Wochenlang Backdoor in CCleaner, c’t21/2017, S. 47

9c’t Windows (2018)

Windows auf den Zahn gefühlt | Analysieren

So manchesProblem kannWindows selbstlösen, beispiels -weise mit derbordeigenen„Problembe -hand lung“.

Der PC fühlt sich irgendwie langsam an,die Festplatte rödelt ständig vor sichhin, der Notebook-Akku ist schon

nach der halben Zeit leer: Es gibt die unter-schiedlichsten Gründe, warum man wissenwill, was Windows so alles treibt. Ist das Sys-tem mal wieder mit sich selbst beschäftigt,weil es gerade den Suchindex aktualisiertoder nach Updates sucht? Oder treibt wo-möglich eine Malware ihr Unwesen und ver -sendet megabyteweise Spam?

Je nachdem, wie detailliert die Antwortenauf diese Fragen ausfallen sollen und wie in-tensiv Sie sich überhaupt damit beschäftigenwollen, bieten sich unterschiedliche Diagno-sewerkzeuge an. Schon in Windows selbst

sind brauchbare Messinstrumente enthalten,deren erweiterte Funktionen sich aber nichtauf den ersten Blick erschließen. Wer nochtiefer einsteigen will, findet im Internet hau-fenweise kostenlose Software, die den vollenDurchblick verspricht – wirklich empfehlens-wert sind nur wenige Tools, und auch dieguten brauchen Einarbeitung, wenn man sievoll ausnutzen will.

Task-ManagerFür einen ersten Überblick darüber, was ge-rade so alles läuft, ist der in Windows enthal-tene Task-Manager das ideale Werkzeug. Mitder Tastenkombination Strg+Umschalt+Esc

10 c’t Windows (2018)

Hajo Schulz

Windows mit Task-Manager& Co. ausforschen

Der Task-Manager liefert durchausbrauchbare Informationen, wenn esdarum geht herauszufinden, womitsich Windows gerade beschäftigt.Einige seiner Ausgaben sind aberinterpretationsbedürftig. Wo er anseine Grenzen stößt, stehen weitmächtigere Werkzeuge zur Verfügung.

ist er schnell gestartet. Seit Windows 8 hat ergegenüber den Vorversionen deutlich hinzu-gelernt. Beim ersten Aufruf präsentiert ersich allerdings erst einmal sehr reduziert:Man sieht lediglich eine Liste der gerade ge-ladenen Apps und Programme; die Einträgebesitzen ein kurzes Kontextmenü mit denwichtigsten Befehlen. Seinen vollen Funk -tionsumfang offenbart der Task-Managernach einem Klick auf „Mehr Details“.

Schon das erste Register „Prozesse“ reichthäufig aus, um herauszufinden, womit derPC gerade seine Zeit vertrödelt: Die globaleAuslastung von CPU, Hauptspeicher, Fest-platte und Netzwerkanschluss steht in denSpaltenköpfen über den jeweiligen Einträ-gen der laufenden Prozesse. Ein Klick aufeinen Spaltenkopf sortiert – wie bei allen ta-bellarischen Ansichten des Task-Managers –die Prozessliste nach diesem Kriterium, so-dass das Programm, das aktuell beispielswei-se die meiste Datenträgeraktivität verur-sacht, ganz oben erscheint. Ebenfalls wie beiallen Tabellen im Task-Manager lassen sichüber einen Rechtsklick auf einen Spaltenkopfweitere Detail-Spalten ein- oder angezeigteausblenden.

Praktisch ist die Kategorisierung der lau-fenden Prozesse in Apps, Hintergrund- undWindows-Prozesse, wobei sich die Unter-scheidung der letzten beiden Kategoriennicht immer erschließt. Apps – und dazu ge-hören auch traditionelle Windows-Anwen-dungen, die sich mit einem Fenster auf demBildschirm zeigen – erscheinen nach einemKlick auf die Spaltenüberschrift „Name“ ganzoben in der Liste. Ein Klick auf den Pfeil voreinem Eintrag öffnet die Liste der zum jeweili-gen Prozess gehörenden Fenster, die sichüber das Kontextmenü schließen („Task been-den“) oder in den Vordergrund holen lassen.Wem die Kategorisierung der Prozesse nichtgefällt, der kann sie über den Menübefehl„Ansicht/Nach Typ gruppieren“ ausschalten.

Etwas eigentümlich verhält sich die Spalte„Status“, wenn man sie einblendet: In derGrundeinstellung ist der Eintrag bei allen Pro-zessen leer. Erst wenn man sie mit dem Me-nübefehl „Ansicht/Statuswerte/Anhaltestatusanzeigen“ aktiviert, erscheint bei inaktivenApps „Angehalten“.

Wer die Auslastung verschiedener Res-sourcen im zeitlichen Verlauf beobachten

möchte, ist auf dem Task-Manager-Register„Leistung“ richtig: Für jede der RessourcenProzessor, Arbeitsspeicher, Datenträger undNetzwerk gibt es hier eine Kurve, die zeigt,wie stark das System und Anwendungen diejeweilige Komponente während der letztenMinute beansprucht haben. Ein Klick in dieListe auf der linken Seite ruft rechts eine ver-größerte Ansicht der jeweiligen Ressourcemit Zusatzinformationen auf den Plan.

Hat man die CPU-Auslastung ausgewählt,kann man das Diagramm per Rechtsklickumschalten zwischen einer kumulierten An-sicht und einer, bei der jeder logische Prozes-sorkern eine eigene Grafik bekommt. Der Er-kenntnisgewinn ist dabei aber nur gering:Eine unter Volllast arbeitende Single-Thread-Anwendung zeigt sich nur selten daran, dassein einzelner Kern zu 100 Prozent beschäftigtist.

Um zu erkennen, dass ein Prozess einenCPU-Kern voll auslastet, zum Beispiel weil einBug ihn in eine Endlosschleife gestürzt hat,muss man also die Gesamtauslastung derCPU im Auge behalten: Sinkt die etwa aufeinem Vierkerner mit Hyper-Threading dau-

erhaft nicht unter 12,5 Prozent, liegt der Ver-dacht nahe, dass ein Prozess einen Kern vollbeschäftigt.

Bei der Analyse eines aktuellen Perfor-mance-Problems sind die Task-Manager-Re-gister „App-Verlauf“ und „Benutzer“ meistvon untergeordneter Bedeutung. Interessan-ter ist da schon der Tab „Autostart“: Auf ihmfinden Sie möglicherweise die Antwort aufdie Frage, warum ein bestimmtes Programmüberhaupt gerade läuft. Außerdem liefertder Task-Manager eine Einschätzung, wiesehr die erkannten Autostart-Programmeden Windows-Start verzögern. Die größtenZeitfresser lassen sich per Kontextmenü anOrt und Stelle deaktivieren. Allerdings wertetder Task-Manager bei Weitem nicht alle Me-chanismen im Dateisystem und in der Regis-try aus, über die Windows Programme,Dienste und Treiber beim Systemstart lädt.Ein gründlicheres Werkzeug stellen wir wei-ter unten vor.

Die ausführlichsten Informationen übergerade laufende Prozesse liefert der Task-Ma-nager auf seinem Register „Details“. Erwäh-nenswert ist hier vor allem der Befehl „Spalten

11c’t Windows (2018)

Auf den Zahn gefühlt: Prozesse | Analysieren

Der Windows-eigene Task-Manager hat mit Windows 8 viele Funktionen hinzugewonnen.Er zeigt sie aber erst nach einem Klick auf „Mehr Details“.

WERKZEUGE ZUR PROZESSANALYSEProgramm Quelle FunktionTask-Manager

Windows schneller Überblick über laufendeProzesse und Systemlast

Ressourcen-monitor

Windows Analyse der Auslastung von CPU,Festplatte und Netzwerk

Process Explorer

sysinternals.com tiefgehende Analyse laufenderProgramme

Autoruns sysinternals.com Analyse und Konfiguration vonAutostart-Programmen

auswählen“ im Kontextmenü der Überschrif-ten der Tabellenspalten. Darüber lässt sichunter anderem recht schnell herausfinden, obein bestimmtes Programm 32- oder 64-bittigist (Spalte „Plattform“) und ob es mit Adminis-tratorrechten läuft („Heraufgestuft“). Trotz-dem gilt auch für den „Details“-Tab: Wer wirk-lich alles über einen laufenden Prozess erfah-ren will, greift besser zu einem potenterenWerkzeug – dazu gleich mehr.

Auch das Register „Dienste“ dient eherder schnellen Übersicht als der ausführlichenKonfiguration und Diagnose. Immerhin las-sen sich von hier aus einzelne Dienste überihr Kontextmenü starten und beenden. DerBefehl „Dienste öffnen“ lädt das zuständigeSnap-in der Computerverwaltung zur Diens-te-Konfiguration. Um einen bestimmtenDienst hier wiederzufinden, sollte man eineUngereimtheit kennen: Was die Computer-verwaltung „Name“ nennt, heißt im Task-Ma-nager „Beschreibung“; der „Name“ aus demTask-Manager taucht in der Dienste-Konfigu-ration nur auf den Eigenschaften-Seiten auf.

RessourcenmonitorDas zweite wichtige Tool zur Performance-Diagnose aus dem Lieferumfang von Win -dows, der Ressourcenmonitor, spielt seineStärken gegenüber dem Task-Manager vorallem dann aus, wenn es darum geht, die Ak-tivitäten einzelner Prozesse genauer zu un-tersuchen. Starten lässt er sich am einfachs-ten über einen Link unten auf der Seite „Leis-tung“ des Task-Managers, alternativ mit der

Eingabe resmon im „Ausführen“-Dialog(Win+R).

Ein frisch geöffnetes Ressourcenmonitor-Fenster zieren am rechten Rand vier Grafi-ken, deren Interpretation sich allerdingsnicht auf den ersten Blick erschließt. Gemein-sam ist ihnen, dass sie die Systemaktivitätender letzten 60 Sekunden darstellen unddabei jeweils zwei Graphen in einem ge-meinsamen Fensterchen verwenden: einegrüne Fläche und eine blaue Linie. Im Falleder CPU-Auslastung ist der wichtigere Graphder grüne, denn er zeigt die Prozessorauslas-tung in Prozent. Die blaue Linie steigt umsomehr, je länger die CPU mit vollem Takt ge-laufen ist; umgekehrt deutet ein tiefer Wertdarauf hin, dass der Prozessor es sich leistenkonnte, durch Heruntertakten Strom zu spa-ren.

Am missverständlichsten sind wahr-scheinlich die Grafiken für den Datenverkehrmit Datenträgern und dem Netzwerk: „Allesgrün“ bedeutet noch lange keine Volllast,denn die grüne Fläche skaliert sich jeweilsautomatisch so, dass die Spitzen nicht allzuweit aus der Anzeige herausragen. Die aktu-elle Skalierung steht in der rechten Ecke überder Grafik. Sind hier bei den Datenträgernbeispielsweise nur „100 KB/s“ angegeben,dreht sich die Festplatte praktisch im Leer-lauf, selbst wenn sich die grüne Kurve imoberen Bereich bewegt. Aussagekräftiger istdie blaue Kurve, die stets die prozentualeAuslastung anzeigt. Beim Netzwerk hat aberauch sie nur beschränkte Aussagekraft: Istder Rechner per Gigabit-Ethernet mit einem

Router verbunden, wertet der Ressourcen-monitor erst 1000 MBit/s als 100 Prozent,selbst wenn der Router Daten nur mit 20MBit/s aus dem Internet saugen kann.

Beim Arbeitsspeicher gibt die blaue Liniedie prozentuale Belegung des RAM an, diegrüne Fläche die – skalierten – „Seitenfehler“(seit Windows 10 1607: „Harte Fehler“) proSekunde. Trotz der Bezeichnung gibt einWert jenseits von null hier erst einmal keinenAnlass zur Besorgnis: Ein Seitenfehler – eng-lisch „page fault“ – tritt immer dann auf,wenn ein Prozess versucht, auf eine Adresseim virtuellen Speicher zuzugreifen, der ge-genwärtig kein physisches RAM zugeordnetist. Das passiert, wenn Windows diesen Spei-cherbereich ausgelagert hat oder wenn einProzess zum ersten Mal auf einen Adressbe-reich im Programmcode zugreift. Dann mussWindows diesen Speicherbereich zunächstaus der Auslagerungsdatei oder aus einerEXE- oder DLL-Datei von der Festplatte fül-len; das geschieht immer für eine kompletteSpeicherseite von üblicherweise 4 KByteGröße am Stück. Wenn Sie gerade eine grö-ßere Anwendung laden, ist eine hohe Zahlvon Seitenfehlern also völlig normal. Erstwenn Sie hier im laufenden Betrieb ständigeine grüne Linie am Anschlag beobachten,steckt offenbar zu wenig RAM für die derzei-tigen Aufgaben in Ihrem Rechner. Sie solltendann darüber nachdenken, ihn aufzurüstenoder weniger Programme gleichzeitig zu be-treiben.

Die Listen in der linken Seite des Ressour-cenmonitors schlüsseln die Angaben derGraphen nach Prozessen auf. Die Tabellenfür Datenträger- und Netzwerkzugriffegehen sogar noch einen Schritt weiter undspendieren den Zugriffen auf einzelne Datei-en beziehungsweise Netzwerk-Gegenstelleneigene Einträge. Ständige Lese- und Schreib-zugriffe auf die Auslagerungsdatei C:\page -file.sys ergeben so etwa einen weiteren Hin-weis auf die Überlastung des Arbeitsspei-chers. Alle Tabellen lassen sich durch Klicksauf Spaltenüberschriften neu sortieren; dieKontextmenüs der Spaltenköpfe enthaltenBefehle zum Aus- und Einblenden von De-tailangaben.

Mit den Kästchen vor den Einträgen derProzessliste unter „CPU“ kann man die Zeilender anderen Tabellen filtern, sodass dort nurnoch die Daten der ausgewählten Prozessezu sehen sind. Zu den globalen Graphen ge-sellt sich dann jeweils eine orangefarbeneLinie, die den Anteil der markierten Prozessean der grünen Fläche darstellt.

Der Filter bleibt auch bestehen, wennman über die Karteireiter am oberen Fenster-rand auf eine der anderen Seiten des Res-sourcenmonitors umschaltet, um sich weite-re Details anzeigen zu lassen. Besonders er-wähnenswert ist hier die Seite „CPU“: Sie hilft

12 c’t Windows (2018)

Analysieren | Auf den Zahn gefühlt: Prozesse

Den Aktivitäten einzelner Programme kann man mit dem Ressourcenmonitor auf den Grund gehen.Die Grafiken geben aber Gelegenheit zu Fehlinterpretationen.

bei der Jagd nach CPU-Zeit fressendenDiensten. Stellt sich nämlich in der Übersichtheraus, dass svchost.exe schuld an den uner-klärlichen Systemaktivitäten ist, kann mandamit zunächst meist nicht viel anfangen:Jede Instanz dieses Programms birgt in derRegel mehrere Dienste. Um herauszufinden,welcher davon gerade durchdreht, klappenSie im Ressourcenmonitor einfach die Listeder Dienste auf und sortieren sie nach derSpalte „CPU“. Wie beim Task-Manager liefertdie Spalte „Beschreibung“ die Namen, unterdenen Sie die Dienste in der Computerver-waltung wiederfinden.

Process ExplorerWo die Diagnose-Tools aus dem Windows-Lieferumfang an ihre Grenzen stoßen, müs-sen externe Werkzeuge her, allen voran dieaus der Sysinternals-Serie. Sie lassen sich kos-tenlos herunterladen und laufen ohne be-sondere Installation (siehe ct.de/wgbv).

Eines der populärsten Werkzeuge aus die-ser Reihe ist der Process Explorer. Einge-fleischte Fans bezeichnen ihn gerne als Task-Manager auf Steroiden, aber das wird seinemFunktionsumfang nur teilweise gerecht: Ereignet sich unter anderem auch zur Mal -ware-Jagd und steht Entwicklern bei derFehlersuche zur Seite.

Beim ersten Start möchte der Process Ex-plorer einmalig seine Lizenzbestimmungenbestätigt haben und präsentiert sich dannals zunächst ziemlich furchteinflößende, un-übersichtliche und bunte Liste der laufendenProzesse. Die vermeintliche Unordnungrührt daher, dass der Process Explorer die ak-tiven Prozesse in einer Baumstruktur anzeigt,bei der der „Vater“ eines Prozesses immerderjenige ist, der das „Kind“ gestartet hat.Top-Level-Einträge repräsentieren entwederProzesse, die das System beim Start geladenhat, oder solche, deren Erzeuger nicht mehrläuft. Über einen Klick auf die Spaltenköpfelässt sich die Liste ohne Einrückungen nachjedem angezeigten Merkmal sortieren;mehrfache Klicks auf die Überschrift „Pro-cess“ bringen die Strukturansicht zurück.

Die angezeigten Attribute lassen sichüber den Befehl „Select Columns“ aus demKontextmenü der Spaltenköpfe oder demView-Menü den eigenen Bedürfnissen an-passen. Dabei kann man aus insgesamt 117Werten auswählen – zu viele, um ständig alleim Blick zu haben. Das muss man aber garnicht: Der Process Explorer kann über Befeh-le aus dem View-Menü bis zu zehn „Columnsets“ speichern und wieder laden. Man stelltsich also die angezeigten Spalten so ein, wiees für die anstehende Aufgabe gerade sinn-voll ist, und speichert diese Zusammenstel-lung dann unter einem Namen. Mit wenigenKlicks oder den Tastaturkürzeln Strg+1 bis

Strg+0 lassen sich diese Konfigurationen je-derzeit wiederherstellen.

Die Konfigurationen speichern nicht nurdie in der Prozessliste angezeigten Spalten,sondern auch diejenigen, die die Tabelle inder unteren Fensterhälfte darstellt: Ein-schalten lässt sie sich mit dem Menübefehl„View/Show Lower Pane“ oder dem Tasten-kürzel Strg+L. Sie kennt zwei Ansichten: Inder ersten, auszuwählen mit Strg+D, listetsie alle DLLs, die der ausgewählte Prozessgerade geladen hat. Die zweite (Strg+H)bietet eine Übersicht über alle Handles desaktuellen Prozesses, also seine geöffnetenDateien, Registry-Schlüssel, Synchronisa -tionsobjekte und so weiter. Mit dem Menü-befehl „Find/Find Handle or DLL“ (Strg+F)kann man auch global über alle Prozessenach solchen geöffneten Objekten suchenund sie über den Befehl „Close Handle“ ausihrem Kontextmenü dem Eigentümer-Pro-zess entreißen. Aber Achtung: Damit brin-gen Sie unter Umständen das jeweilige Pro-gramm zum Absturz. Trotzdem kann derBefehl als letzte Rettung sinnvoll sein, etwawenn sich eine Datei partout nicht löschenlässt, weil ein Prozess sie ständig in Benut-zung hat.

Viren-SchnellcheckZu den Spalten-Auswahlsätzen, die erfahre-ne Process-Explorer-Anwender in ihrerSammlung haben, gehört einer, der dabeihilft, dem Verdacht auf Schädlinge im Sys-tem nachzugehen. Zusätzlich zu den stan-dardmäßig dargestellten Spalten zeigt er

mindestens die Attribute „Company Name“,„Verified Signer“ und „VirusTotal“; die zustän-digen Schalter finden sich auf den Registern„Process Image“ und „DLL“ des „Select Co-lumns“-Dialogs.

Damit die Spalte „Verified Signer“ sinnvol-le Werte anzeigt, muss im Options-Menü derEintrag „Verify Image Signatures“ eingeschal-tet sein. Daraufhin erscheint bei jedem Pro-zess die Angabe, wer die dazugehörige aus-führbare Datei digital signiert hat. Unsignier-te Dateien oder solche, bei denen hier eineFehlermeldung auftaucht, sind per se nochkein Sicherheitsrisiko. Erhöhtes Misstrauenist aber angesagt, wenn eine unsignierteDatei in der Spalte „Company Name“ be-hauptet, von einem großen Hersteller wieMicrosoft, Intel oder Nvidia zu stammen,oder wenn „Company Name“ und „VerifiedSigner“ nicht zusammenpassen.

Um die „VirusTotal“-Spalte mit Leben zufüllen, empfiehlt es sich, im Options-Menüunter „VirusTotal.com“ die Option „Check Vi-rusTotal.com“ zu setzen; bei einer stabilen In-ternetverbindung ohne Volumenkosten soll-te man auch „Submit Unknown Executables“aktivieren. Das bewirkt, dass der Process Explorer die ausführbare Datei jedes laufen-den Prozesses durch den Webdienst VirusTo-tal.com überprüfen lässt: Dort suchen derzeit67 verschiedene Virenscanner in den über-mittelten Dateien nach Virensignaturen. DasScan-Ergebnis merkt sich die Webseite mit-samt eines SHA256-Hashes der Datei. Dasnutzt der Process Explorer, indem er im ers-ten Anlauf nur die Hashes von EXE- und DLL-Dateien an VirusTotal.com übermittelt; erst

13c’t Windows (2018)

Auf den Zahn gefühlt: Prozesse | Analysieren

Nur nicht bange machen lassen: Die Detailfülle der Informationen, die der Process Explorer anzeigt,kann erschlagen, lässt sich aber bändigen.

wenn dabei ein „Unknown“ herauskommt,überträgt er die komplette Datei und lässt sieneu scannen.

Das Ergebnis in der Spalte „VirusTotal“lautet im Idealfall bei allen Prozessen „0/n“mit n zwischen 50 und 67. Kleine von 0 ver-schiedene Zahlen deuten meist auf Fehlalar-me einiger der befragten Scanner hin; wer esgenauer wissen will, klickt das Ergebnis imProcess Explorer an und schickt damit seinenBrowser auf die VirusTotal-Seite mit den aus-führlichen Ergebnissen.

Hat man einen oder gar mehrere Prozesseals Malware identifiziert, ist es nur die zweit-beste Idee, sie über den Menübefehl „Pro-cess/Kill Process“ sofort zu beenden. Statt-dessen empfiehlt es sich, sie erst einmal mitdem Menübefehl „Process/Suspend“ anzu-halten. Gegen das Abschießen schützen sichnämlich viele Schädlinge, indem sie mehrereProzesse starten, die einander sofort neuladen, sobald einer verschwindet. Ein schla-fender Prozess ist einerseits schwerer zu er-kennen und kann andererseits seine Kumpa-ne nicht mehr schützen.

Unheil kann ein angehaltener Prozess vor-läufig ebenso wenig anrichten wie ein been-deter. Er steckt aber noch im Speicher undman kann über seine Eigenschaften in Ruheversuchen, Informationen zu sammeln, umden Infektionsweg oder mögliche Nebenwir-kungen zu identifizieren. Besonders interes-sant sind unter anderem die Felder „Auto-start Location“ und „Parent“ auf der Seite

„Image“ sowie die Seite „Strings“ des „Pro-perties“-Dialogs. Beim Sammeln weitererHinweise kann auch der Befehl „Process/Search Online“ helfen, der den Standard-Browser öffnet und eine vorformulierte An-frage an die dort konfigurierte Suchmaschi-ne richtet.

Löschen kann man die infizierte EXE-Dateifreilich nicht, solange sie noch als Prozess ge-öffnet ist. Aber das fällige Herunterfahrensowie eine gründliche Analyse und Reini-gung des Systems mit einem externen Anti-virenprogramm ersetzt der Process Explorerohnehin nicht.

AutorunsEin weiteres beliebtes Sysinternals-Werkzeughört auf den Namen Autoruns. Der Perfor-mance-Analyse dient es zwar nur indirekt,kann aber trotzdem wertvolle Hilfe leisten,wenn es darum geht herauszufinden, wasgerade so alles im System läuft – und vorallem: warum. Dazu klappert Autoruns allebekannten Stellen in der Registry und im Da-teisystem ab, die dafür zuständig sind, dassProgramme beim Systemstart, bei der Benut-zeranmeldung und zu einigen anderen Gele-genheiten automatisch gestartet werden.

Das Programm präsentiert sich ähnlichbunt und auf den ersten Blick unübersicht-lich wie der Process Explorer, die innereLogik erschließt sich aber recht schnell: Diehellblau hervorgehobenen Zeilen repräsen-

tieren die Registry-Schlüssel und Dateiord-ner, in denen das Tool nach Autostart-Pro-grammen sucht, darunter zeigt es jeweils diedort gefundenen Einträge. Hellrot sind Ein-träge markiert, bei denen etwas mit der Sig-natur der zugehörigen Programmdatei nichtstimmt, gelb solche, die auf eine nicht exis-tierende Datei verweisen.

Die Liste lässt sich auf verschiedene Artenfiltern: Den größten Durchblick verschaffendie Karteireiter am oberen Fensterrand, diedie Einträge nach dem Anlass des Starts ka-tegorisieren; die wichtigsten sind „Logon“und „Services“. Über Befehle im Options-Menü lassen sich alle Einträge ausblenden,bei denen das Programm von Microsoftstammt, oder nur solche, die von Haus aus zuWindows gehören – an letzteren sollte mannicht ohne Not herumfummeln, um die Sys-temstabilität nicht zu gefährden.

Der Befehl „Options/Scan Options“ bietetSchalter für Funktionen, die denen des Pro-cess Explorer für den Malware-Check ähneln:Autoruns kann die Signaturen der automa-tisch gestarteten Programme überprüfenund sie von VirusTotal.com auf Viren che-cken lassen.

Dem Kampf gegen Malware dienen auchder Befehl „File/Analyse Offline System“sowie die Einträge im „User“-Menü: Mit ihnenlassen sich die Autostarts eines gerade nichtlaufenden, parallel installierten Windows be-ziehungsweise die eines anderen Benutzer-kontos analysieren. Damit umgeht man wirk-sam Schutzmechanismen, die mancheSchädlinge enthalten und die im laufendenBetrieb verschleiern, wer oder was sie startet.

Um den automatischen Start eines Pro-gramms oder Dienstes zu verhindern, klicktman einfach das Häkchen vor seinem Ein-trag aus. Das löscht ihn nicht komplett, son-dern deaktiviert ihn erst einmal nur. Wennsich nach dem nächsten Systemstart he-rausstellt, dass man dadurch eine wichtigeFunktion außer Betrieb gesetzt hat, kannman den Autostart an derselben Stelle wie-der aktivieren.

Wer lieber von Hand in der Registry oderim Dateisystem herumfummeln möchte, fin-det im Kontextmenü von Autoruns-Einträgenden Befehl „Jump to Entry“, der den Exploreroder den Registry-Editor an der Stelle öffnet,wo der jeweilige Autostart konfiguriert ist.„Jump to Image“ schickt einen Explorer inden Ordner mit der ausführbaren Datei. Istneben Autoruns auch der Process Explorer in-stalliert, kann man letzteren mit dem gleich-namigen Kontextmenübefehl aufrufen undsich dort die Eigenschaften des laufendenProzesses anzeigen lassen. (hos) c

14 c’t Windows (2018)

Analysieren | Auf den Zahn gefühlt: Prozesse

Wie der Process Explorer bietet das Programm Autoruns Funktionen an, die der Abwehr von Viren undanderen Schädlingen dienen.

Sysinternals-Tools:

ct.de/wgbv

15c’t Windows (2018)

Auf den Zahn gefühlt: Protokolle | Analysieren

W indows protokolliert in der Ereignis-anzeige, was es für erwähnenswerthält. Das sind nicht nur schwere Sys-

temfehler, ungewöhnliche Neustarts undÄhnliches, sondern auch Hinweise auf un-sauber konfigurierte Netzwerkschnittstellen,Erfolg oder Fehlschlag bei Windows-Up-dates, gestartete Dienste und ganz schlichtdas Hoch- und Runterfahren.

Die allermeisten Ereignisse, die Windowsauflisten kann, sind rein informativer Naturund allenfalls für statistische Zwecke oder fürEntwickler zum Debugging von Interesse.Macht Windows Probleme, landen allerdingsauch darüber oft Einträge in den Ereignispro-tokollen.

Material sichtenDie Ereignisanzeige starten Sie am schnells-ten per Tastatur (Windows-Taste, „ereig“, Ein-gabetaste) oder ab Windows 8 per Mausüber das WinX-Menü (Rechtsklick in der lin-ken unteren Bildecke, Klick auf Ereignisanzei-ge). Auf der Startseite präsentiert sie eine„Zusammenfassung der administrativen Er-eignisse“ der letzten sieben Tage. Hier sindvor allem die Ereignistypen „Kritisch“ und„Fehler“ einen Blick wert. Ein Klick auf dasPluszeichen links neben dem Ereignistypna-men klappt die Kategorie auf und zeigt, wel-che Ereignis-IDs in der letzten Zeit protokol-liert wurden, welche Quelle sie ausgelöst hatund in welchem Protokoll sie gelandet sind.

Apropos „in welchem Protokoll“: Proto-kolle gibts massenhaft; klappt man in einemWindows 10 Pro in der aktuellen Version1709 die Kategorien „Windows-Protokolle“

und „Anwendungs- und Dienstprotokolle“komplett auf, zählt man über 380 Stück.

Auch wenn Ihr PC absolut einwandfreifunktioniert, wird die Ereignisanzeige Sietrotzdem mit reichlich Einträgen zu Fehlernund Warnungen konfrontieren. Doch dabeigilt: locker bleiben, denn im Alltag fallenreichlich harmlose Ereignisse an, die Wind-ows als Fehler oder Warnungen bezeichnet.Typisch sind etwa Warnungen zu Zeitüber-schreitungen bei der Namensauflösung (Er-eignis-ID 1014, Quelle DNS Client Events),wenn die Verbindung zum WLAN zwischen-drin abgerissen ist. Windows 10 erzeugtjedes Mal, wenn eine Kachel-App aktualisiertwird, einen Eintrag zu einem „Fehler beimÄndern des AppModel Runtime-Status“ (69,AppModel-Runtime). Solange alles stabilläuft, können Sie diese Einträge getrost igno-rieren. Mehr noch: Sie sollten gar nicht erstin die Versuchung kommen, diese vermeint-lichen Fehler zu beheben – effektiver lässtsich keine Lebenszeit vernichten.

Um bei tatsächlich instabil laufendemWindows nicht die Nadel im Heuhaufen su-chen zu müssen, bieten sich zwei Ansätze an.Der erste ist ein Doppelklick auf die nach IDsortierten Ereigniseinträge in der „Zusam-menfassung der administrativen Ereignisse“:Er listet alle Ereignisse dieses Typs chronolo-gisch sortiert auf. Ein Klick auf ein Ereigniszeigt unterhalb der Liste Details an, die beider Eingrenzung des Fehlers hilfreich seinkönnten – zum Beispiel, welcher Treiber ab-gestürzt ist oder welche Festplatte zickt. Wiein einem Webbrowser gelangt man mit derZurück-Schaltfläche oben links wieder aufdie Zusammenfassungsseite.

Der zweite Ansatz ist vor allem bei Sys-temabstürzen sinnvoll: Unter „Windows-Pro-tokolle/System“ landet das Gros der Ereignis-se, die auf defekte Hardware hinweisen kön-nen. Hier finden sich Bluescreens (1001, Bug-Check) ebenso wieder wie völligunkontrollierte Neustarts (41, Kernel-Power)und aussteigende Festplatten (beispielswei-se 51, disk oder 157, disk oder 129, storahci).

Abgesehen von solchen typischen Fällenist die Fülle an Ereignis-IDs schier unüber-

schaubar; dass die IDs je nach Quelle völligunterschiedliche Bedeutungen haben,macht die Sache nur noch unübersichtlicher.Der kommerzielle Anbieter eventid.netpflegt eine umfangreiche und kostenlosnutzbare Datenbank von ID-/Quellen-Kombi-nationen (siehe ct.de/w9yw). Oft sind diedort gebotenen Informationen schon hilf-reich; für eine Jahresmitgliedschaft ab 29 US-Dollar gibts Extraleistungen wie bevorzugteAnalyse neuer Ereignisse, weiterführendeLinks zu Problemlösungen und Hintergrun-dinfos.

FrühwarnerDarüber hinaus lässt sich die Ereignisanzeigeauch als Frühwarnsystem einsetzen. Komfor-tabel klappt das mit einem Eintrag in derWindows-Aufgabenplanung, der ein indivi-duelles Skript zum Filtern der Ereignisflutstartet, etwa das c’t-EventWatch-Skript (siehect.de/w9yw). Das kann vor allem für die Früh-erkennung von Festplattenausfällen hilfreichsein, erfordert jedoch ein umfangreichesBlacklisting unbedenklicher Warnungen undFehler. Eine ausführliche Anleitung dafür fin-den Sie in [1] und [2].

Auch dann, wenn Windows gar nichtzickt, kann die Ereignisanzeige hilfreich sein:Etwa um herauszufinden, wann sich welcherBenutzer am PC angemeldet hat (4624, Mi-crosoft Windows Security Auditing), wannder PC in den Energiesparmodus ging (42,Kernel-Power) oder ob Windows in Abwe-senheit des Besitzers hochgefahren wurde(12, Kernel-General). (jss) c

Literatur

[1] Peter Siering, Selbstüberwachung, Ereignis-protokolle im Blick, c’t 10/12, S. 148

[2] Peter Siering, Fehlerfrühwarnsystem, Win -dows-Ereignisse und -Protokolle, c’t 13/14,S. 88

Jan Schüßler

Die Ereignisanzeige bei Windows-Problemennutzen

Wenn Windows rumzickt, kann einBlick in die Ereignisanzeige erhellendsein. Allerdings ist nicht allesproblematisch, was Windows einenFehler nennt – es gilt, in der Masse derEreignisse die tatsächlichenWarnsignale zu erkennen.

Ereignisdatenbank, EventWatch-Skript:

ct.de/w9yw

D ie Freeware Process Monitor protokol-liert sämtliche Zugriffe von Windowsund allen laufenden Anwendungen

auf Dateien, Ordner und Registry-Schlüssel,außerdem Netzaktivitäten, Start und Endevon Prozessen und einiges mehr. Damit fin-det man beispielsweise heraus, an welcherStelle eine Anwendung an fehlenden Rech-ten scheitert und wo genau in der Registryeine spezielle Einstellung gespeichert wird.Der Process Monitor kann sogar den kom-pletten Boot-Vorgang überwachen. Das Pro-gramm erfordert allerdings Einarbeitung,beispielsweise enthält die Symbolleiste ab-gesehen von „Öffnen“ und „Speichern“ nur

Symbole, die man nicht von anderen Pro-grammen kennt. Des Weiteren passiert beiWindows und den laufenden Anwendungenunter der Haube dermaßen viel, dass derProcess Monitor in jeder Sekunde Hundertevon Ereignissen protokolliert, selbst wennsich auf dem Desktop gar nichts tut. Undwenn wirklich etwas los ist, kommen schnellmal Hunderttausende oder gar Millionen Er-eignisse zusammen. Solche Massen lassensich nicht durch bloßes Drüberschauen ana-lysieren.

Die Ergebnisse bekommen Sie mit Filternin den Griff. Bei Bedarf hilft eine Online- Recherche dabei herauszufinden, um was

16 c’t Windows (2018)

Axel Vahldiek

Windows-Analyse mit demProcess Monitor: Einführung

Wenn es um das Lösen von Windows-Problemen geht, kann mitunter nurnoch der mächtige Process Monitorweiterhelfen. Sein Einsatz stellt zwarkeinerlei Gefahr, jedoch selbst fürFortgeschrittene eine Herausforderungdar. Diese Einführung hilft bei denersten Schritten.