Programme mit Process Hacker analysieren

Process Hacker beleuchtet, was auf Ihrem PC vor sich geht, und zeigt dabei weit mehr Details als etwa der Windows Task-Manager. Das Tool ist portabel und benötigt keine Installation.

Process Hacker analysiert Prozesse, Dienste und den Netzwerkverkehr. Ein Prozess ist einfach gesagt ein ausgeführtes Programm. Ein Dienst ist ein Programm, das im Hintergrund läuft.

Zudem zeigt das Tool neben vielen Detail-Informationen an, welche Programme bestimmte Dienste oder Prozesse starten, und beendet solche, die nicht mehr auf Benutzereingaben reagieren.

Nach dem Start sammelt Process Hacker zunächst Informationen und öffnet dann das Hauptfenster mit sämtlichen Prozessen, die auf Ihrem PC gerade aktiv sind. Sie sehen dort, wie viel Speicher und CPU-Zeit sie verbrauchen, und erhalten eine kurze Beschreibung. Um zu erfahren, welches Programm hinter einem Prozess steckt, klicken Sie dessen Zeile doppelt an. Es erscheint ein neues Fenster mit zahlreichen Reitern.

„General“ zeigt Informationen wie die Programmversion und den Pfad zur EXE-Datei . Zudem erfahren Sie, wann der Prozess gestartet wurde. „Performance“ listet in Echtzeit CPU- und Speichernutzung sowie den Datentransfer auf. „Statistics“ fasst Informationen anderer Reiter zusammen und „Environment“ zeigt die Umgebungsvariablen an. Die übrigen Reiter sind hauptsächlich für Programmierer interessant. So sehen Sie etwa unter „Modules“, auf welche DLLs ein Prozess zurückgreift.

Wenn Sie genauer wissen wollen, was hinter einem Prozess steckt und ob es sich etwa um einen Trojaner oder ein anderes Schadprogramm handelt, dann wählen Sie aus dem Kontextmenü den Punkt „Search online…“. Sie landen in einer Prozess-Datenbank wie File.net oder Hijackfree.de, die Sie ausführlich über diesen Prozess informiert.

Nicht selten kommt es vor, dass Windows-Programme nicht ordnungsgemäß beendet werden oder dass ein Prozess die komplette CPU-Kapazität für sich beansprucht. Darüber hinaus tarnen sich böswillige Prozesse so, dass der Windows Task-Manager sie nicht erkennt.

Process Hacker verfügt über spezielle Treiber, mit denen er beliebige Prozesse beenden und versteckte Prozesse anzeigen kann. Um einen Prozess zu beenden, markieren Sie ihn in der Prozessliste und drücken auf [Entf]. Zur Sicherheit fragt das Programm noch einmal nach, bevor es den Prozess stoppt.

Um versteckte Prozesse aufzuspüren, wählen Sie den Menüpunkt „Tools, Hidden Processes…“. Ein neues Fenster öffnet sich. Hier klicken Sie auf den Button „Scan“. Process Hacker listet daraufhin versteckte Prozesse in Rot und sogenannte Zombies mit grauer Farbe hinterlegt auf. Als Zombies werden Prozesse bezeichnet, die bereits beendet sind, auf die aber andere Prozesse noch verweisen.

Bevor Sie einen versteckten Prozess beenden, googeln Sie im Internet nach seinem Namen, ob es sich dabei auch wirklich um ein schädliches Programm handelt. Der Artikel „Überflüssige Prozesse in Windows 7 abschalten“ erläutert dazu eine Reihe wichtiger Details.

Neben Prozessen lassen sich mit Process Hacker auch Dienste analysieren. Ein Windows-Systemdienst ist ein Programm, das als Hintergrundprozess läuft.

Ein Dienst kann automatisch beim Hochfahren des Betriebssystems starten, manuell gestartet werden oder deaktiviert sein. Dienste besitzen keine Benutzerschnittstelle.

Um eine Liste aller Dienste zu sehen, wechseln Sie im Hauptfenster von Process Hacker zum Reiter „Services“. Die Spalte „Start Type“ listet auf, welche Dienste automatisch, von Hand oder gar nicht starten.

Über das Kontextmenü ermitteln Sie, welche Programme hinter einem Dienst stecken. Per Doppelklick auf einen Dienst verändern Sie bei Bedarf den Start-Modus und deaktivieren überflüssige Dienste. Damit sollten Sie aber so lange vorsichtig sein, bis Sie sich genau informiert haben, welche Aufgaben der entsprechende Dienst erfüllt. Der bereits erwähnte Artikel „Profi-Tipps: Windows-Prozesse“ behandelt auch den Umgang mit Diensten.

Wechseln Sie zum Reiter „Network“. Auf dieser Registerkarte sehen Sie den gesamten Netzwerkverkehr Ihres PCs. Dort finden sich normalerweise Browser, E-Mail-Client und einige Systemdienste, manchmal allerdings auch Programme, die ungefragt Kontakt mit ihrem Hersteller aufnehmen — beispielsweise um zu fragen, ob ein Update vorliegt. Ausgehende Verbindungen markiert Process Hacker in Grün, eingehende Verbindungen in Rot. Auch hier gelangen Sie über das Kontextmenü zu dem dazugehörigen Prozess.

Verdächtige Aktivitäten lassen sich zudem über „View, System Information…“ erkennen. Hier zeigt Process Hacker in Echtzeit Kurven der CPU-Belastung, des Speicherverbrauchs und von Schreib- und Lesevorgängen. Wenn Sie mit dem Mauszeiger über die Kurve fahren, dann zeigt Ihnen das Tool das Programm, das die Aktivität ausgelöst hat.