3. Besserer Ersatz für den Task-Manager in Windows
Der Process Explorer von Microsoft-Sysinternals bietet mehr Funktionen als der Task-Manager in Windows. Sie können das Tool über das Windows System Control Center (WSCC) herunterladen und starten.
Durch farbige Unterlegungen zeigt Ihnen Process Explorer, was gerade auf dem PC vor sich geht. So leuchten etwa gerade erst gestartete Prozesse grün und solche, die beendet werden, rot auf. Gehen Sie im Menü auf "Options -> Configure Colors". Das Fenster zeigt Ihnen eine Farblegende, und Sie können die Zuordnungen bei Bedarf ändern. Darüber hinaus lässt sich für jeden Prozess ermitteln, auf welche Dateien und Registryschlüssel er gerade zugreift. Sie aktivieren und deaktivieren diese Ansicht mit der Tastenkombination Strg-L.
Die Baumansicht ist bei vielen laufenden Programmen nicht gerade übersichtlich. Um eine Anwendung zu finden, klicken Sie in der Symbolleiste auf das Icon mit dem Fadenkreuz, halten die linke Maustaste gedrückt, bewegen das Fadenkreuz auf das Fenster der gewünschten Anwendung und lassen die Maustaste los. Der zugehörige Prozess wird dann in der Baumansicht aktiviert. Ein anderer Weg führt über das Menü "Find -> Find Handle or DLL". Tippen Sie den Namen einer Anwendung beziehungsweise eines Prozesses ein, und klicken Sie auf "Search". Klicken Sie auf eine Zeile im Suchergebnis, um in der Baumansicht zum Eintrag für diesen Prozess zu navigieren.
Gehen Sie im Kontextmenü eines Prozesses auf "Properties". Auf den Registerkarten "Performance" und "Performance Graph" erhalten Sie eine Übersicht mit den CPU-und Speicher-Aktivitäten. Die Registerkarte "TCP/IP" zeigt Ihnen, auf welche Netzwerkressourcen eine Anwendung gerade zugreift.
Unbekannte Prozesse: Wenn Ihnen ein Prozess verdächtig vorkommt, gehen Sie im Kontextmenü der Zeile auf "Search Online". Process Explorer öffnet dann ein Browserfenster mit einer Suche nach dem Namen beziehungsweise der ausgeführten EXE-Datei. Meist zeigt das Suchergebnis Seiten von www.file.net und anderen Online-Datenbanken, die Informationen zu Windows-Programmen sammeln. Sie erfahren hier, zu welcher Anwendung eine EXE-Datei gehört und ob es sich dabei um Schadsoftware handeln kann.
Besteht ein Verdacht, gehen Sie im Kontextmenü auf "Check Virustotal". Beim ersten Aufruf öffnet sich die Webseite von www.virustotal.com mit den Nutzungsbedingungen; diese müssen Sie im Meldungsfenster des Process Explorers mit "Ja" bestätigen. Sie können auch alle laufenden Prozesse prüfen lassen, indem Sie bei "Options -> VirusTotal.com -> Check Virustotal.com" ein Häkchen setzen. In der Spalte "VirusTotal" sehen Sie das Ergebnis des Virenscans.
Steht bei einem Prozess "0/57" können Sie die Datei mit hoher Wahrscheinlichkeit als unbedenklich ansehen. Erscheint "1/57", hat einer von 57 Virenscannern bedenkliche Software gemeldet. Mit einem Klick auf das Virustotal-Ergebnis öffnen Sie den Prüfbericht im Browser. Haben nur ein oder zwei Virenscanner Auffälligkeiten gemeldet, können Sie von einer fälschlichen Einordnung durch die Suchheuristik ausgehen. Sind es mehr, könnte es sich um Schadsoftware handeln. In diesem Fall klicken Sie auf der Virustotal-Webseite auf den Link "Verhaltens-Informationen" oder "Kommentare", um mehr über die geprüfte Datei zu erfahren. Im Zweifelsfall sollten Sie das betroffene Programm deinstallieren und mit einer aktuellen Antivirensoftware das System einer gründlichen Überprüfung unterziehen.
Tipp: Wenn Sie den Process Explorer dauerhaft statt des Windows Task-Managers verwenden wollen, gehen Sie im Menü auf "Options -> Replace Taskmanager". Sie können das Programm dann bequem über die Tastenkombination Strg-Shift-Esc starten. Um die Änderung wieder rückgängig zu machen, rufen Sie den Menüpunkt erneut auf.
4. Detaillierte Untersuchungen mit dem Ressourcenmonitor
Task-Manager und Process Explorer eignen sich zur ersten Übersicht; der Ressourcenmonitor erlaubt eine weitergehende Analyse. Sie rufen das Tool über den Task-Manager und den Link "Ressourcenmonitor öffnen" auf der Registerkarte "Leistung" auf (Windows 7: Schaltfläche "Ressourcenmonitor"). Für den direkten Start drücken Sie die Tastenkombination Win-R, tippen resmon ein und klicken auf "OK".
Die Grafiken auf allen Registerkarten zeigen den Verlauf über die letzten 60 Sekunden an. Sie enthalten eine blaue und grüne Kurve, die aber jeweils etwas anderes bedeutet. Bei den CPU-Diagrammen symbolisiert die blaue Linie die Taktfrequenz. Liegt die Linie bei 100 Prozent, läuft der Prozessor mit maximaler Taktfrequenz. Sinkt die Systemauslastung, wirken die Stromsparmechanismen aktueller CPUs, die Taktfrequenz kann reduziert werden und die blaue Linie zeigt geringere Werte.
Die grüne Linie ist wichtiger, denn sie steht für die momentane CPU-Auslastung in Prozent. Bei den Graphen für Datenträger und Netzwerk passt der Ressourcenmonitor die Skalierung dagegen dynamisch an. Maximale Ausschläge der grünen Linie sind relativ zum Wert rechts oben über dem Diagramm zu verstehen. Steht bei "Datenträger" beispielsweise "100 KB/s", passiert auf der Festplatte gerade nicht viel, obwohl die starken Ausschläge der grünen Linie auf etwas anderes hindeuten. Wenn Sie testweise eine Datei kopieren, sehen Sie, dass sich die Skalierung des Diagramms auf "100 MB/s" ändert. Für die Bewertung des PCs ist hier die blaue Linie wichtiger, denn sie entspricht der prozentualen Auslastung.
Der Ressourcenmonitor zeigt anders als der Task-Manager detaillierter an, welche Prozesse den PC gerade besonders beschäftigen. Dafür ein Beispiel: Der Dienst Svchost.exe ist für mehrere Dienste verantwortlich und taucht daher auch mehrfach in der Prozessliste auf. Wechseln Sie im Ressourcenmonitor auf die Registerkarte "CPU", und sortieren Sie die Liste per Klick auf den Spaltenkopf nach Namen ("Abbild") oder CPU-Last. Klicken Sie den Svchost.exe-Eintrag an, der gerade viel Prozessorleistung benötigt, und setzen Sie ein Häkchen davor.
In der Liste unter "Dienste" sehen Sie, was genau das System stark belastet. Das kann beispielsweise der Dienst Wuauserv sein, der für Windows-Updates zuständig ist. Der zugehörige Abbild-Name lautet in diesem Fall "svchost.exe (netsvc)". Um das Problem für den Moment zu beseitigen, stoppen Sie in unserem Beispiel den Dienst Wuauserv über den Kontextmenüpunkt "Dienst beenden". Sie können dann erst einmal wieder die volle Leistung des PCs nutzen.
Starten Sie Windows neu und prüfen Sie, ob das Problem weiterhin besteht. Sollte das der Fall sein, holen Sie im Ressourcenmonitor über den Kontextmenüpunkt "Online suchen" des betroffenen Dienstes weiter Informationen ein. Folgen Sie dann aber nur Empfehlungen aus sicheren Quellen. Manchmal sind im Suchergebnis Anbieter zu finden, die schnelle PC-Reparaturen mit einem Klick versprechen. Die Tools enthalten aber oft Schadsoftware. Laden Sie nur Tools von Microsoft oder von anderen als sicher geltenden Webseiten herunter.