Alles über Prozesse und Dienste

Dienste und Prozesse sind Lunge und Herz des Betriebssystems: Ohne geht gar nichts.

Der Artikel erläutert, wie Dienste und Prozesse funktionieren und worin sie sich unterscheiden. Darüber hinaus stellen wir Tools zur Analyse von Diensten und Prozessen vor. Und schließlich zeigt eine detaillierte Tabelle, welche Dienste Sie ohne Bedenken deaktivieren können. Das spart Ressourcen und macht das Betriebssystem flotter.

Der Artikel basiert auf Windows 7, die Unterschiede zu Windows 8 sind aber gering.

Die folgenden Abschnitte stellen die wichtigsten Systemprozesse vor und zeigen, welches Programm hinter einem Prozess steckt.

Ein Prozess kann mehrere Daseinsformen haben. Jedes ausgeführte Programm ist ein Prozess, der Arbeitsspeicher belegt und bei Bedarf den Prozessor nutzt. Viele Anwendungen wie Chrome brauchen mehrere Prozesse, da jeder Tab einen eigenen Prozess bekommt.

Jedoch läuft in den meisten Fällen für eine bestimmte Anwendung nur ein Prozess. So ist es etwa egal, wie oft Sie Microsoft Word aufgerufen haben, alle Word-Instanzen spiegeln sich in einem einzigen Prozess namens „WINWORD.EXE“ wider.

Auch jeder Dienst ist ein Prozess. Im Unterschied zu Anwendungen ist ein Dienst ein Programm, das im Hintergrund darauf wartet, dass es benötigt wird – sei es vom Anwender oder von einem anderen Programm. Prozesse, die durch aktive Dienste entstehen, erkennen Sie in der Prozessliste in der Regel am Besitzer „System“. Außerdem hat ein Dienst keine Schnittstelle zum Benutzer, kann also nicht direkt mit ihm interagieren.

Unter Windows heißen die Prozesse Tasks. Dementsprechend heißt das Programm, das die Prozesse anzeigt, auch Task-Manager und nicht Prozess-Manager.

Eine Microsoft-Besonderheit sind Jobs. In Jobs lassen sich mehrere Prozesse zu einer Gruppe vereinen. Darüber hinaus haben Jobs oft Begrenzungen, zum Beispiel was den Arbeitsspeicher oder die Prozessorzeit angeht.

Die Liste der laufenden Prozesse ist lang. Selbst auf frisch installierten Systemen sind es bereits knapp 50. Nicht immer ist klar ersichtlich, welches Programm sich hinter einem Prozess verbirgt. Viele Prozesse heißen genauso wie das Programm, das sie erzeugt hat. Beispiele sind etwa „WINWORD.EXE“, „firefox.exe“, „filezilla.exe“, „Dropbox.exe“ und „xnview.exe“.

Aber oft ist es nicht so einfach. Die erste Anlaufstelle, um mehr über Prozesse zu erfahren, ist der Task-Manager von Windows. Er liefert allerdings nur rudimentäre Informationen. Daher greifen Sie besser gleich zum kostenlosen Process Explorer. Starten Sie Process Explorer mit Administratorrechten. Dazu klicken Sie  mit der rechten Maustaste auf die Datei „procexp.exe“ und wählen „Als Administrator ausführen“.

Sie sehen eine lange Liste der Prozesse. Neben den Prozessnamen sehen Sie das Icon des dazugehörigen Programms. Das hilft oft bereits weiter. Weitere Anhaltspunkte erhalten Sie, wenn Sie mit dem Mauszeiger über den Prozessnamen fahren. Process Explorer zeigt daraufhin den Pfad zum Programm an.

Ein paar Beispiele: Ein Prozess, der häufig in der Liste zu finden ist, heißt „jusched.exe“. Process Explorer enthüllt, dass es sich dabei um die Updates für Java handelt.

Wenn Sie den Prozess „smc.exe“ in Ihrer Liste finden, dann haben Sie ein Sicherheitsprogramm von Symantec installiert. Das System-Tray-Icon von Quicktime taucht als „QTTask.exe“ auf, und „WUDFHost.exe“ weist darauf hin, dass Sie einen USB-Stick an Ihren Rechner gesteckt haben.

Wenn Sie einen Prozess mit der rechten Maustaste anklicken und „Window, Bring to Front“ wählen, dann maximiert Process Explorer das passende Fenster und Sie sehen sofort, welches Programm zu dem Prozess gehört. Das geht natürlich nur bei Prozessen, die auch ein Fenster haben, also nicht bei Diensten.

Process Explorer liefert alle möglichen Details zu Prozessen. Nach dem Start erscheint zunächst eine Liste. Sie zeigt in Echtzeit alle laufenden Prozesse an. Rosa eingefärbte Prozesse basieren auf Diensten. Grau bedeutet, dass der Benutzer im Besitz eines Prozesses ist – mit den entsprechenden Rechten. Neue Prozesse erscheinen grün hinterlegt.

Prozesse, die geschlossen werden, sind rot. Gelb bedeutet, das ist ein .NET-Prozess. Braun sind alle Jobs.

Die wichtigste Eigenschaft eines Prozesses ist die eindeutige Prozess-ID, kurz PID. Darüber lässt er sich ansprechen. „System“ hat immer die PID 4, alle anderen PIDs weist Windows zu. Eine Besonderheit: Es gibt keine Prozesse mit den PIDs 0 bis 3 und 5 bis 200, zudem sind alle PIDs durch 4 teilbar.

Die Spalte „CPU“ zeigt an, wie viel Prozessorzeit ein Prozess gerade benötigt. Hier steht fast immer der Leerlaufprozess „System Idle Process“ an erster Stelle.

Die weiteren Spalten zeigen eine kurze Beschreibung, den Hersteller und den Besitzer des Prozesses.

Process Explorer kennt aber noch viel mehr Details: Klicken Sie zum Beispiel auf „View, Show Lower Pane…“ und anschließend auf „View, Lower Pane View…, DLLs“. Das Programm zeigt daraufhin im unteren Bereich des Fensters an, welche DLLs ein Prozess verwendet.

Noch mehr Informationen erhalten Sie, wenn Sie einen Prozess mit der rechten Maustaste anklicken und dann „Properties…“ wählen. Es erscheint ein Fenster mit zehn oder mehr Reitern.

Ein praktisches Beispiel: Rufen Sie Firefox auf und wechseln Sie dann zu den Properties. Öffnen Sie dort den Reiter „Performance Graph“. Die mittlere Grafik zeigt den RAM-Bedarf.

Firefox geht verschwenderisch mit Arbeitsspeicher um. Kurz nach dem Start benötigt er bereits über 200 MByte. Wiederholen Sie das Ganze mit Chrome. Hier liegt der Bedarf nur bei rund 80 MByte.

Wenn Sie auf „View, System Information…“ klicken, dann sehen Sie detailliert, welcher Prozess wie viele Ressourcen belegt.

Direkt nach dem Systemstart laufen bereits über 50 Prozesse, auf älteren Systemen auch gern mal 80 oder mehr. Das sind die wichtigsten:

svchost.exe: Im Process Explorer taucht die Datei „svchost.exe“ mehrmals auf. Das ist eine Art Überprozess. Er dient als Host für einen oder mehrere Dienste. So verwendet etwa der Windows Defender einen Dienst, für den ein Prozess von „svchost.exe“ als Host dient.

Jede Instanz von „svchost.exe“ umfasst andere Dienste. Je nachdem wieviele Dienste aktiv sind, gibt es mehr oder weniger Instanzen der „scvhost.exe“. Wenn Sie sehen wollen, welche Dienste in einer gemeinsamen Instanz der „svchost.exe“ laufen, dann öffnen Sie zunächst den Registrierungs-Editor. Drücken Sie [Windows R] und geben Sie regedit ein. Navigieren Sie zu dem Schlüssel „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\svchost“. Dort sehen Sie die Dienste-Gruppen. So starten etwa die Dienste „Power“, „Plug & Play“ und „DcomLaunch“ in einer gemeinsamen Instanz der „svchost.exe“.

Um umgekehrt zu sehen, welche Dienste hinter einer bestimmten Instanz der „svchost.exe“ versammelt sind, öffnen Sie zunächst die Eingabeaufforderung. Dazu drücken Sie [Windows R] und geben cmd ein. Der Befehl tasklist /svc listet dann die Details auf: Unter „Abbildname“ finden Sie die Instanzen der Datei „svchost.exe“. Und dahinter stehen in der Spalte „Dienste“ die entsprechenden Windows-Dienste.

lsass.exe: Das ist der lokale Sicherheit-Authentifizierungsserver – Local Security Authority Subsystem Service. Er prüft, ob die Anmeldung an Ihrem Benutzerkonto korrekt ist. Das Ergebnis wird dann in Form eines Tokens an den Prozess „winlogon.exe“ übergeben. Wenn alles stimmt, dann startet Winlogon die Bedienoberfläche von Windows, also den Desktop.

winlogon.exe: Der Prozess „winlogon.exe“ hat viele Aufgaben: Er sorgt dafür, dass Sie sich an- und abmelden können. Deshalb läuft der Prozess immer im Hintergrund mit. Er überprüft auch den Aktivierungscode von Windows.

Nach dem Anmelden lädt Winlogon Ihr Benutzerprofil in die Registry unter „HKEY_CURRENT_USER“.

Winlogon überwacht auch Tastatur- und Mausaktivitäten, um zu bestimmen, wann der Bildschirmschoner aktiviert wird.

smss.exe: Das steht für Session Manager Subsystem. Der Prozess ist für den Start einer Benutzersitzung zuständig. Zudem startet er die Prozesse „winlogon.exe“ und „csrss.exe“ und wartet dann darauf, dass einer der beiden beendet wird. Wenn dies ordnungsgemäß geschieht, dann wird Windows heruntergefahren.

Zudem erstellt der Prozess die Umgebungsvariablen, etwa „%PATH%“ und „%APPDATA%“.

csrss.exe: Das ist das Client/Server Runtime Subsystem. In alten Windows-Versionen war dies ein zentraler Prozess, da er die grafische Bedienoberfläche und das Graphics Device Interface verwaltete. Später wanderten diese Komponenten in den Kernel.

Heute ist die Hauptaufgabe des Prozesses die Verwaltung der Kommandozeile und das Starten von Prozessen. „csrss.exe“ ist der einzige Prozess, der als kritisch markiert ist. Wenn er unerwartet beendet wird, führt dies zu einem heftigen Absturz des Betriebssystems.

Alle anderen Dienste und Prozesse lassen sich – die richtige Reihenfolge vorausgesetzt – vom Benutzer beenden, ohne dass Windows abstürzt. Der Task-Manager verweigert folgerichtig das Beenden von „csrss.exe“.

Achtung: Process Explorer beendet den Prozess nach Nachfrage. Das hat einen sofortigen Bluescreen zur Folge. Und danach haben Sie Probleme, Windows wieder zum Laufen zu bringen.

dwm.exe: Das ist der Desktop-Fenster-Manager. Er ist für grafische Effekte wie Aero Glas zuständig. Außerdem verwaltet er alle Programmfenster und setzt deren Oberflächen auf dem Bildschirm zusammen.

spoolsv.exe: Dahinter verbirgt sich die Druckerwarteschlange. Damit lassen sich Druckaufträge und Faxe im Hintergrund nacheinander abarbeiten, während Sie unbeeinträchtigt weiterarbeiten können. Normalerweise finden Sie „spoolsc.exe“ im Verzeichnis „C:\Windows\System32“. Indem Sie den Prozess kurz unterbrechen, lassen sich alle Druckaufträge löschen, die sich noch nicht im Speicher des Druckers befinden.

services.exe: Dies ist der Dienststeuerungsmanager, der Systemdienste startet und beendet. Beim Systemstart ruft der Prozess alle Dienste auf, die als Startmodus „automatisch“ haben. Der Prozess teilt zudem Programmen wie dem Windows-Explorer mit, wenn sich ein Netzlaufwerk mit einem Laufwerkbuchstaben verbunden hat oder entfernt wurde.

System: Der System-Prozess wird von der Windows-Update-Funktion und anderen Diensten verwendet. Er hat immer die PID 4. Jedes Mal, wenn Sie ein Programm starten oder eine Datei öffnen, stoßen Sie damit eine ganze Reihe von Aktivitäten an, die alle im System-Prozess zusammengefasst sind. Beispielsweise wird der Virtual Memory Manager aus dem Schlaf geholt, um der Datei Arbeitsspeicher zuzuweisen. Deshalb steigt bei jedem Starten und Beenden eines Programms die Prozessorlast des System-Prozesses an.

Wenn Sie den System-Prozess in Process Explorer anklicken, dann sehen Sie im unteren Teil sämtliche Treiber des Betriebssystems.

Leerlaufprozess: Der Leerlaufprozess ist eigentlich gar kein Prozess. Dementsprechend hat er auch keine Prozess-ID, auch wenn viele Programme ihm die PID 0 zuweisen.

Wenn der Task-Manager oder ein anderer Prozessmonitor anzeigen, dass der Leerlaufprozess eine CPU-Auslastung von über 90 Prozent beansprucht, dann ist das kein Anlass zur Sorge. In Wirklichkeit bedeutet es, dass die CPU gerade wenig zu tun hat. Dem Leerlaufprozess wird dann die übrige CPU-Zeit zugeordnet. Er zeigt also an, wie viel CPU-Last gerade nicht von anderen Prozessen erzeugt wird.

Es gibt eigentlich keinen Grund, einen Prozess einem bestimmten CPU-Kern zuzuordnen. Dennoch ist das möglich. Dazu genügt bereits der Task-Manager von Windows.

Klicken Sie den entsprechenden Prozess im Task-Manager mit der rechten Maustaste an. Aus dem Kontextmenü wählen Sie anschließend „Zugehörigkeit festlegen…“ aus und dann den oder die gewünschten CPU-Kerne.

Die Einstellung geht allerdings verloren, sobald Sie das Programm wieder beenden.

Nicht nur harmlose Programme tauchen in der Prozessliste auch, sondern gegebenenfalls auch Malware. Wenn Ihnen ein Prozess verdächtig vorkommt, dann verifizieren Sie ihn mit Process Explorer. Dazu klicken Sie den Prozess zunächst doppelt an. Dann wechseln Sie auf die Registerkarte „Image“. Klicken Sie dort auf den Button „Verify“.

Das Ergebnis erscheint im Bereich „Image File“. Dort steht dann zum Beispiel „(Verified) Dropbox“.

Wenn ein Programm abgestürzt ist, dann lässt es sich oft nicht mehr über die Bedienoberfläche beenden. Bei Firefox kommt es mitunter vor, dass der Browser meldet, er würde schon laufen. In diesem Fall wurde der Prozess der vorherigen Firefox-Instanz nicht ordnungsgemäß beendet.

In beiden Fällen lässt sich der Prozess bequem im Task-Manager abschießen. Klicken Sie dort den Problemprozess mit der rechten Maustaste an und wählen Sie „Prozess beenden“ aus dem Kontextmenü. Beantworten Sie die Nachfrage ebenfalls mit „Prozess beenden“.

Wer lieber mit der Kommandozeile arbeitet, der verwendet dort den Befehl „taskkill“ und die Prozess-ID in der Art taskkill /pid 2144.

In den folgenden Abschnitten analysieren Sie die Dienste, die auf Ihrem PC laufen, und lernen die wichtigsten Systemdienste kennen. Eine Tabelle zeigt, welche Dienste überflüssig sind und sich deaktivieren lassen.

Ein Dienst ist ein Prozess, der im Hintergrund läuft und nicht mit dem Desktop oder dem Windows-Anwender interagiert. In Windows laufen die meisten Dienste in Instanzen des Host-Prozesses „svchost.exe“.

Nach dem Systemstart laufen bereits Dutzende Dienste und gewährleisten, dass das Betriebssystem reibungslos arbeitet. Der Abschnitt „Wichtige Systemdienste“ stellt die wichtigsten davon vor.

Manchmal laufen Prozesse im Hintergrund und interagieren nicht mit dem Desktop, sind aber dennoch kein Dienst. Das trifft vor allem auf einige Treiber zu.

Viele Programme sind von bestimmten Diensten abhängig. Die Druckfunktion eines Programms etwa funktioniert nur, wenn die Druckerwarteschlange läuft. Ebenso benötigen Installationspakete den Dienst „Windows Installer“.

Auch viele Antivirenprogramme nutzen einen Dienst, um auch dann laufen zu können, wenn der Benutzer gar nicht angemeldet ist. Bei Linux heißen die Dienste übrigens Daemons.

Für die Analyse von Diensten ist das kostenlose Programm YAPM besser geeignet als Process Explorer.
YAPM steht für Yet Another Process Monitor. Starten Sie YAPM mit Administratorrechten. Klicken Sie dazu die EXE-Datei mit der rechten Maustaste an und wählen Sie aus dem Kontextmenü „Als Administrator ausführen“.

Nach dem Start klicken Sie oben auf „Services“. YAPM listet alle Dienste auf, die auf dem PC vorhanden sind, auf dem Redaktions-PC waren es 384.

Um sich nur die Dienste anzeigen zu lassen, die gerade aktiv sind, klicken Sie auf „State“. Damit werden die Dienste nach dem Zustand sortiert, also nach „Running“ und „Stopped“.

Um mehr über einen Dienst zu erfahren, klicken Sie ihn an. Darunter erscheinen Informationen wie Name, Pfad und dazugehöriger Prozess. Wenn Sie das Lupensymbol anklicken, dann erscheinen noch detailliertere Informationen wie Erstellungsdatum, Hersteller und Versionsnummer.

Rechts unten sehen Sie, welche anderen Dienste von dem ausgewählten Dienst abhängen und von welchen Diensten der ausgewählte Dienst abhängt. Wenn Sie etwa den Dienst „Schedule“ beenden – das ist die Aufgabenplanung –, dann reißen Sie auch das Windows-Ereignisprotokoll mit in den Abgrund.

Ein Dienst startet automatisch, manuell oder gar nicht. Über den Button „Start Type“ lässt sich das Startverhalten des ausgewählten Dienstes verändern. Die Tabelle „Windows 7: Unnötige Systemdienste“ zeigt, welche Dienste sich bedenkenlos abschalten lassen.

Wenn Sie auf „Network“ klicken, dann sehen Sie, welche Dienste und Prozesse Daten aus dem Internet empfangen oder selbst welche senden. Die Liste entlarvt Programme, die unaufgefordert mit dem Hersteller Kontakt aufnehmen, etwa um zu fragen, ob ein Update vorliegt.

Ein Klick mit der rechten Maustaste auf einen Eintrag in der Liste bringt Sie zum Kontextmenü. Klicken Sie auf „Select associated process“. Das führt Sie direkt zu dem Dienst oder Prozess, der den Netzwerkverkehr verursacht.

Windows kennt über 300 Dienste. Das sind die wichtigsten:

LanmanWorkstation: Der Arbeitsstationsdienst heißt bei Windows LanmanWorkstation. Er stellt  Funktionen zur Kommunikation zwischen Rechnern und Programmen bereit. Windows nutzt ihn etwa, um auf freigegebene Ordner, Dateien und Geräte zuzugreifen.

ProfSvc: Das ist der Benutzerprofildienst. Er ist für die Anmeldung am PC zuständig und stellt die Daten des Benutzerprofils anderen Diensten und Prozessen zur Verfügung.

gpsvc: Der Gruppenrichtlinien-Client ermöglicht es LAN-Administratoren einer Windows-Domäne, auf der jeweiligen Workstation Einstellungen und Restriktionen für System und Anwendungen gemäß vordefinierter Gruppenrichtlinien festzulegen.

BITS: Die Abkürzung steht für Background Intelligent Transfer Service, also intelligenter Hintergrund-Übertragungsdienst. Das ist eine Art Download-Manager. Der Dienst kümmert sich etwa bei Windows-Updates darum, dass ungenutzte Bandbreite verwendet und der Anwender nicht gestört wird.

Dhcp: Der DHCP-Client ist ein wichtiger Bestandteil der Netzwerkkonfiguration, indem er IP-Adressen und DNS-Namen registriert und aktualisiert.

Dnscache: Der DNS-Client führt die Namensauflösung durch und speichert die Ergebnisse zwischen.

nsi: Der Netzwerkspeicher-Schnittstellendienst überwacht die Netzwerkschnittstellen und gibt Änderungen an Systemprogramme und Anwendungen weiter. Wenn Sie den Dienst beenden, dann trennt Windows sämtliche Netzwerkverbindungen.

Plug & Play: Der Dienst ist für das automatische Erkennen neuer Hardware notwendig sowie für die Steuerung von Plug-&-Play-Geräten im laufenden Betrieb.

Schedule: Die Aufgabenplanung ist unentbehrlich und lässt sich nicht deaktivieren. Damit lassen sich automatische Aufgaben planen. Der Dienst löst zudem diverse Systemdienste aus.

SamSs: Das steht für Security Accounts Manager Service, zu Deutsch Sicherheitskonto-Manager. Dieser Dienst ist für die gesamte Sicherheit in Windows verantwortlich.

winmgmt: Die Windows-Verwaltungsinstrumentation bietet Zugriff auf verschiedene Daten und Funktionen des PCs.

Bevor Sie etwas an den Systemdiensten verändern, empfiehlt es sich, den Istzustand zu speichern. Dazu wechseln Sie zunächst in der Systemsteuerung zur Diensteverwaltung. Sie erreichen sie über „System und Sicherheit, Verwaltung, Dienste“. Klicken Sie dort auf „Aktion, Liste exportieren…“.

Sie haben die Auswahl zwischen einer Textdatei und einer CSV-Datei. Die Liste enthält Name, Beschreibung, Status, Starttyp und Besitzer der Dienste.

Windows bringt Hunderte Dienste mit. Ein Teil davon wird standardmäßig beim Systemstart automatisch gestartet.

Viele Dienste sind aber gar nicht sinnvoll. Der Dienst „Bluetooth-Unterstützung“ beispielsweise muss nicht im Hintergrund auf Bluetooth-Geräte warten, wenn er auf einem PC läuft, der überhaupt keine Bluetooth-Funktion hat.

Solche Dienste lassen sich in der Diensteverwaltung von Windows deaktivieren.

Die Tabelle „Windows 7: Unnötige Systemdienste“ gibt Ihnen einen Überblick, welche Dienste in den meisten Fällen überflüssig sind.

Um den Starttyp eines Dienstes zu ändern, klicken Sie ihn in der Diensteverwaltung doppelt an. Sie öffnen die Diensteverwaltung in der Systemsteuerung mit „System und Sicherheit, Verwaltung, Dienste“.

Zur Auswahl stehen „Automatisch (Verzögerter Start)“, „Automatisch“, „Manuell“ und „Deaktiviert“.

„Automatisch“ bedeutet: Der Dienst startet bei jedem Systemstart. Dienste mit verzögertem Start werden dann aufgerufen, wenn alle anderen fertig geladen sind.

„Manuell“ heißt, Sie oder Windows können den Dienst bei Bedarf jederzeit starten, er startet aber nicht automatisch. Das ist sinnvoll bei Diensten, die nur sehr selten benötigt werden. Deaktivierte Dienste starten nie.

Die Übersicht zeigt, welche Dienste Sie unter Windows 7 ohne Bedenken deaktivieren können. Bei der Einstellung „Manuell“ startet Windows den Dienst nur bei Bedarf.

---