Systemprozesse im Taskmanager erkennen

Ich habe Systemprozesse im Taskmanager, mit Denen ich nicht anfangen kann...(Virus?) zB: Smss.exe, oder gleich 4x Svchost.exe !

Manne B. aus S.

Antwort:

Hallo Manne,

Da kannst Du eigendlich ganz beruhigt sein, da beide Prozesse,
sogenannte Systemprozesse sind.
Um einen Prozess direkt auf der Registerkarte Prozesse zu beenden (vorausgesetzt, das ist möglich),
markierst Du diesen durch Anklicken.
Anschließend klickst Du einfach nur auf die Schaltfläche Prozess beenden,
um so diesen Prozess sofort zu beenden.

Tipp:
Um die Registerkarte Prozesse so anzupassen, dass Sie alle möglichen Spalten mit relevanten Prozessorinformationen sehen,
rufen Sie im Ansicht-Menü den Befehl Spalten auswählen auf. Dort bieten Euch der Taskmanager noch andere Anzeigemöglichkeiten
Hier mal Infos zu div. Prozessen:

Smss.exe = Bezeichnung des Sitzungs-Manager. Dieser Prozess wird vom Systemthread gestartet und ist für verschiedene Vorgänge zuständig,
darunter das Starten der Winlogon- und Win32-Prozess (CSRSS.EXE) sowie das Setzen verschiedner Systemvariablen. Beenden nicht möglich !

Csrss.exe = Die Abkürzung steht für »Client/Server Run-Time Subsystem« Der Prozess ist für das Konsolenfenster,
das Erzeugen und Löschen von Threads, sowie Teile der virtuellen 16-Bit-MS-Dos Umgebung zuständig. Beenden nicht möglich !

Lsass.exe = Dieser lokaler Authentifizierungsserver verwaltet die IP-Sicherheitsrichtlinien (Internet-Protokoll) und startet den
IP-Sicherheittreiber. Er erzeugt den Prozess, der für die Benutzeranmeldung am System zuständig ist. Beenden nicht möglich !

Winmgmt.exe = Ist eine Kernkomponente der Client-Verwaltung von Windows. Der Prozess
wird mit dem Verbinden der ersten Client-Anmeldung gestartet oder immer dann ausgeführt,
wenn Verwaltungsanwendungen Dienste bei ihm anfordern.
Unter WinXP startet er als Client eines Svchost-Prozesses.Beenden nicht möglich !

Svchost.exe = Dieser übergreifende Prozess dient als Host für andere, durch .dll's gestartete Prozesse.
Deshalb sind häufig mehrere Instanzen von Svchost - Prozessen gleichzeitig aktiv. Mit der »»tlist -s«« lässt sich anzeigen,
welche Prozesse auf Svchost zugreifen. Beenden nicht möglich !

msblast.exe = Herzlichen Glückwunsch...nun hast Du einen Wurm zu Besuch im System.
Der Wurm prüft entweder das Netzwerk des infizierten Systems oder einen zufälligen Bereich von IP-Adressen auf Systeme,
die er infizieren kann. Er prüft gleichzeitig bei 20 IP-Adressen, ob eine Verbindung auf Port 135 hergestellt werden kann.
Um auf das System Zugriff zu erlangen, verwendet er einen von mehreren DCOM-Angriffen. Er startet dann auf dem System eine
Shell, um sich per TFTP (Trivial File Transfer Protocol) auf das System zu übertragen (msblast.exe) und lokal zu starten.
msblast.exe wird zum automatischen Start in die Registry eingetragen:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows auto update
Infizierte Systeme mit Windows XP starten regelmäßig neu mit folgender Meldung:
This system is being shut down in 45 seconds by NT Authority/System
due to an interrupted Remote Procedure Call (RPC)
Mehr Infos hier: http://www.microsoft.com/technet/security/bulletin/MS03-026.asp


Hier nun noch weitere Tasks:

dmremote.exe= Logical Disk Manager
für Windows- NT Veritas Logischen Disk-Managerbestandteil und ist in Microsoft's MMC integriert,
um die Festplatte und anderer Laufwerke zu handhaben.

dllhost.exe = dllhost ist der Win-Prozeß stellvertretent für alle COM-Applikationen

de_serv.exe = Teilprog. von der AVM Fritzkarte.

elbycheck.exe = CloneCDChecks Filter Treiber, für das Virtuelle Laufwerk.

fast.exe= Ein Teilprog. von den "WindowsXP PowerToys", für schnelleren Userwechsel.

em_exec.exe= Logitech Mouse Ware

fnrb32.exe = Teilprog. eines AntiVirenProgs.

gtm.exe= Gator Client Application (GAIN) ua in FreeWare Ver.
von DIVX Pro, diese Version von DivX Pro ist for Free, aber sie umfaßt "ad-support"-Software vom Gator,
welche wieder als SpyWare gilt.

hh.exe = Sollte nur als Prozess vorhanden sein, wenn ein Hilfefenster geöffnet ist.

hkcmd.exe = Hot Key Command Module
Wird mit einigen INTEL-Graphiktreiber- und -Keyboard Shortcuts Funtionen gestratet.

ipssvc.exe = Diese Anwendung wird auf Laptops oder entfernten Rechnern benötigt,
um mit diesen bequem eine IPSec über WLAN oder WAN Verbindung zu Ihrem Gerät aufzubauen.

k9.exe = K9 ist eine "eMail filtering application"

kencapi.exe = Server CAPI-Dienst von AVM-Ken (Internetfreigabe für kleine Netze)

kpf4gui.exe = Kerio Personal Firewall 4 - GUI Interface

LSASS.exe = Unterstützt Durchsatzauthentifizierung von Kontoanmeldungsereignissen
für Computer in einer Domäne

MAPISP32.exe = Microsoft Win Messaging Subsystem Spooler (Microsoft Exchange)

mdm.exe = Machine Debug Manager (Script Debugging für Internet Explorer4)

mgabg.exe = Teil des Treibers von Matrox Grafikkarten

mobsync.exe = Microsoft Synchronization Manager
(Hintergrundfunktion vom Internet Explorer 5.x/6, um Seiten Offline zu betrachten)

msbb.exe = Spyware die Deine "wsock32.dll"- File überschreibt und
kann Listen von URLs übertragen, das Du besuchen sollst.
Zu suchen in "\system32\msbb.exe", und löschen.

msiexec.exe = Windows Installer Componente.

msimn.exe = Microsoft Outlook Express

mssearch.exe = MS Index Service

MSstat.exe = MSstat MFC Application bzw zu einem Sony Memorystick
VORSICHT: Es gibt eine anderen msstat.exe, die zu einem Trojaner/Backdoor gehört.

NeroCheck.exe = NeroCheck.exe überwacht die nerocd2k.sys
Das Tool soll Konflikte mit anderen Brennprog.-treibern verhindern.

ntfrs.exe = File Replication Service (Ntfrs) genutzt vom Domain Controller

NTRTSCAN.exe = Trend Micro OfficeScan, Teil von AntiVirus Software der Firma Trend Micro

nvsvc32.exe/nwiz.exe = Teil der Nvidia-Detonator Treiber Software

nwtray.exe = Novell Netware Client Software

OSA.EXE = Gehört u.a. zu MS Office97, 2000, & XP und
soll Office-Programme schneller starten.

pccntupd.exe = PC Cillin NT Updateter von der AntiVirus Software "PC-cillin 2000"

rasman.exe = MS Remote Access Service

regsvc.exe = Remote Registry Service.
Erlaubt Zugang auf das System von einem Remotecomputern.
SERVICES.EXE = MS Services Control Manager
Dieser ist für das Beginnen, das Stoppen und das Einwirken auf Systemdienste verantwortlich.

sistray.exe = Chipset "SiS 300/305 Super VGA" Tray Application.

smlogsvc.exe = Konfiguriert Leistungsdatenprotokolle und Warnungen

snmptrap.exe = Empfängt Trap-Nachrichten, die von lokalen oder
Remote-SNMP-Providern generiert wurden, und leitet diese an
SNMP-Verwaltungsprogramme auf diesem Computer weiter.

SpeedMgr.exe = T-Online SpeedManager

spoolss.exe = Spooler Subsystem Controls - Manager (Drucker)

starter.exe = z.B. Ensoniq-Mixer von Creative Sound Blaster
(aber VORSICHT, sehr allgemeiner Name)

stisvc.exe = PlugIn zur Verarbeitung von DigitalKameras, scanner und WebCams.

Sysmon.exe = Genesys Logic System Health Monitorgehört z.B. zu Elitegroup Mainboards.
Basiert auf dem Baustein GL520SM

USERINIT.EXE = Wenn ein Benutzer sich anmeldet, läßt WinLogon de Userinit.exe laufen,
welches dann auch Logon-Script für Network Connections startet.

version.exe/keyhost.exe = Spyware (malware - Hijacker - background application)

WinFS.exe = WindowsXP Longhorn Applikation

WinMgmt.exe = Windows-Verwaltungsinstrument bis 2000, in XP nun nur noch eine svchost.exe

winnet.exe = Spy-Maleware

wisptis.exe = MS Tablet input subsystem

wowexec.exe = ist das "Windows-on-Windows-Subsystem". Kompatibiltät zu 16bit Applikation

Taskleiste verschwunden (leerer Desktop)

Hi Micha, letztens hatte ich keine Icons und keine Taskleiste mehr, ich wusste mir nicht anderes zu helfen,
und habe die kleine hässliche Resettaste drücken müssen. Geht's nicht auch anderes...?

Timo M. aus B.

Antwort:

hi Timo;

Ja, es geht auch anders.
Wenn die Taskleiste & der Desktop bereits verschwunden ist, muss Du nicht den Rechner neu starten.
Denn, damit die Taskleiste wieder zum Vorschein kommt sind folgende Schritte notwendig:

- Taskmanager aufrufen (Strg+Alt+F4)
- Prozess "explorer.exe" beenden
- unter "Anwendungen" "Neuer Task".... anklicken und "explorer" eingeben,
oder Du klickst Dich unter Suchen durch bis
"C:\WINDOWS" und dann "explorer.exe" doppelklicken.
Anschließend ist die Taskleiste wieder da!

Weitere Infos

Neustarten oder Herunterfahren per Desktopverknüpfung

Neustarten oder Herunterfahren per Desktopverknüpfung Durch eine Desktopverknüpfung könnt Ihr, den Rechner schnell neuzustarten oder herunterzufahren. Dafür ist das Programm
Shutdown.exe zuständig, welches Ihr im Verzeichnis"C:\Windows\System32\" findet. Über div. Parameter lässt sich das
Verhalten noch anpassen.
Das könnte dann etwa so ausschaun:

Herunterfahren:
%systemroot%\system32\shutdown.exe -s -t 01 -f
Rechner fährt mit einer Verzögerung von 1 Sek.herunter und schliesst alle Anwendungen ohne Kompromisse.

Neustarten:
%systemroot%\system32\shutdown.exe -r -t 01 -f
Rechner fährt mit einer Verzögerung von 1 Sek. herunter und schliesst alle Anwendungen.

Hier nun noch die Parameter:
-s = herunterfahren (shutdown)
-r = neustarten (reboot)
-t = Zeit (time) ohne Angabe 30 sec.
-f = alle laufenden Programme beenden.
-01= Zeitangabe 1 sec. in Verbndung mit -t.
-a = den shutdown abbrechen (zB: bei BlasterWurmbefall ;o) )
...und wer dazu zu faul ist, kann sich die 3 Verknüpfungen hier als Zip-File auch saugen,
entpacken, und dann auf den Desktop schieben.

WinXP-Tastenfunktionen (SHORTCUTS)

{Windows} ...............Anzeigen des Startmenüs
{Windows+D} ..........Windows Desktop anzeigen
{Windows+E} ...........Ruft den Windws Explorer auf
{Windows+F} ...........Assistent für die Dateisuche
{Windows+Strg+F} ...Assistent für die Comutersuche
{Windows+L} ..........Schneller Benutzerwechsel
{Windows+Pause} ...Anzeigen der Systemeigenschaften
{Windows + P}........Wechsel zum Dektop-Papierkorb
{Windows+R} ..........Aufrufen der Komandozeile
{Windows+Tabulator} ..Zwischen Tasks wechseln
{Windows+U} .........Hilfsprogramm-Manager öffnen
{Windows + F}........Hilfe- und Supportcenter anzeigen
{Kontextmenütaste} .Ruft Windows-Kontextmenüs auf

{Alt+F4} .................Schließt das aktive Programm
{F1} .......................Windows-Hilfe starten
{F2} .......................Markiertes Objekt umbenennen
{F3} .......................Explorer im Suchmodus starten
{F4} .......................Adressleiste im Explorer öffnen
{F5} .......................Aktualisiert den Inhalt des aktiven Fensters
{F6} .......................Wechselt Desktop- und Fensterelemente
{F10} .....................Aktiviert Menüleiste der aktiven Applikation

{Umschalt+F10} .......Kontextmenü anzeigen
{Strg+Alt+Entf} .......Aufruf des Task-Managers
{Alt+(Tab)ulator} ........Wechseln zwischen Programmen
{Alt+Esc} ................Wechselt zwischen aktiven Fenstern
{Alt+Eingabe} ..........Eigenschaften anzeigen
{Alt+Leertaste} ........Systemmenü der aktiven Software
{Alt+Druck} .............Aktives Bildschirmobjekt in den Zwischenspeicher kopieren (Sreenshot).

..einige ASCII-Zeichen (TastenNr. kann vareieren)

{Alt+NumBlock 143} ...... " Å "
{Alt+NumBlock 145} ...... " æ "
{Alt+NumBlock 146} ...... " Æ "
{Alt+NumBlock 155} ...... " ø "
{Alt+NumBlock 157} ...... " Ø "
{Alt+NumBlock 159} ...... " ƒ "
{Alt+NumBlock 169} ......" ® "
{Alt+NumBlock 170} ......" ¬ "
{Alt+NumBlock 174} ......" « "
{Alt+NumBlock 175} ......" » "
{Alt+NumBlock 184} ......" © "
{Alt+NumBlock 189} ......" ¢ "
{Alt+NumBlock 171} ......" ½ "
{Alt+NumBlock 172} ......" ¼ "
{Alt+NumBlock 243} ......" ¾ "
{Alt+NumBlock 167} ......" º "
{Alt+NumBlock 208} ......" ð "
{Alt+NumBlock 231} ......" þ "
{Alt+NumBlock 232} ......" Þ "
{Alt+NumBlock 241} ......" ± "
{Alt+NumBlock 248} ......" ° "
{Alt+NumBlock 176} ......" ¦ "
{Alt+NumBlock 250} ......" · "
{Alt+NumBlock 190} ......" ¥ "
{Alt+NumBlock 207} ......" ¤ "
{Alt+NumBlock 298} ......" * "
{Alt+NumBlock 223} ......" ¯ "
{Alt+NumBlock 247} ......" ¸ "
{Alt+NumBlock 252} ......" ³ "
{Alt+NumBlock 253} ......" ² "
{Alt+NumBlock 251} ......" ¹ "
{Alt+NumBlock 255} ......"   "
{Alt+NumBlock 261} ......" ± "
{Alt+NumBlock 265} ......" µ "
{Alt+NumBlock 266} ......" ¶ "
{Alt+NumBlock 360} ......" ð "

Wirklich schneller booten & herunterfahren
schnelleres Herunterfahren

Mit einem Registry Eintrag kann man Windows XP Beine machen bzw anweisen, laufende Programme automatisch vor dem Herunterfahren zu beenden, anstatt jede Application einzeln zu schließen. Gehe zu HKEY_CURRENT_USER\CONTROL PANEL\DESKTOP und weise AutoEndTasks den Wert 1 zu. Gehe zu HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control und weise der Zeichenfolge "WaitToKillServiceTimeout"
den Wert von 3000 anstatt 20000 Millisekunden zu, jetzt wird Alles was nach 3 Sek. nicht beendet ist, gekillt,
was das lange Warten verkürzt. Sollten Fehler auftreten muß man in 1 Sekunden Schritten hochgehen.

Prefetcher enträtselt - schnelleres booten

Diese Funktion optimiert den Bootvorgang, in dem Sie Bootdateien optimiert. Standardmäßig ist diese Funktion aktiviert.
Bei Problemen kann man mal unter
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Control\ Session Manager\ Memory Management\ PrefetchParameters
checken ob der Wert 3 gesetzt ist. Bei langsamen booten kann auch ein entmüllen der Autostarteinträge helfen,
oder ein setzen einer festen IP bei Netzwerkkarten. Ein weiterer Tip ist das löschen der Prefetch Dateien ( Windows\Prefetch)
Sollte alles nichts helfen kann man mit dem Tool BootVis den Bootvorgang optimieren. (Download)

XP sucht auch bei jedem Startvorgang im Netzwerk nach Freigaben für Dateien und Ordner.
Diese meist entbehrliche Suche deaktivieren Sie über den Weg
"Windows Explorer Menü /Extras/Ordneroptionen/Ansicht" entfernt den Haken von dem Eintrag
"Automatisch nach Netzwerkordnern und Druckern suchen".

Ports blocken
S.h. auch AnalogX Port Blocker
Dieses Programm kann ich nur empfehlen (für Ottonormal), da es (mit) die wichtigste Funktion einer
Firewall ausreichend abdeckt, die da wären Ports zu blocken. Prinzipiell könnten 65 535 Ports an Deinem
Rechner geöffnet sein. In der Regel sind alle Ports bis 49152 bereits für definierte Dienste reserviert.
Alle Ports darüber verwalten den Rückstrom. Offenen Ports machen nur Sinn, wenn diese auch von Programmen
benötigt werden.