Windows-Wartung: Profi-Tricks mit Sysinternals

Es gibt viele Gratis-Tools, mit denen sich Windows konfigurieren, kontrollieren oder tunen lässt. Die Sysinternals-Tools nehmen hier bereits seit vielen Jahren eine Sonderstellung ein. Die Sysinternals-Programmierer haben Windows besonders gründlich untersucht und nutzen dafür undokumentierte oder wenig bekannte Windows-Funktionen. Einige der Sysinternals-Tools sind für sehr spezielle Aufgaben gedacht, die nur für Administratoren größerer Netzwerke interessant sind. Viele Programme eignen sich aber für jeden Windows-Nutzer, der sich genauer mit seinem System beschäftigen möchte. Mithilfe des Tools beseitigen Sie Windows-Probleme und optimieren das System. Alle Tools lassen sich unter Windows Vista bis Windows 10 einsetzen.

1. Die Besonderheiten der Sysinternals-Tools

Die Programmierer der Sysinternals-Tools heißen Mark Russinovich und Bryce Cogswell. Beide gründeten zusammen 1996 die Firma Winternals Software LP, die auf die Entwicklung von Diagnose-Software für Windows spezialisiert war. Einige der Programme wurden unter dem Namen „Sysinternals“ als Freeware angeboten. Mark Russinovich hat auch einige Bücher unter dem Titel „Windows Internals“ verfasst, in denen er interne Windows-Funktionen für Entwickler und Administratoren erläutert und mit Programmierbeispielen belegt. Zwar stellt auch Microsoft eine umfangreiche Dokumentation von API-Aufrufen (Application Programming Interface) für Programmierer bereit, doch es fehlen oft Details und Beispiele. Diese Lücke füllt Russinovich mit seinen Büchern und Tools. 2006 hat Microsoft Winternals Software LP übernommen. Die beiden Gründer arbeiten seitdem an der Entwicklung von Windows mit. Die Sysinternals-Tools werden jetzt von Microsoft unter https://technet.microsoft.com/de-de/sysinternals angeboten. Die einzelnen Tools lassen sich über https://live.sysinternals.com herunterladen. Das komplette Paket mit über 60 nützlichen Tools erhalten Sie unter dem Namen Sysinternals Suite auch bei uns . Es ist jedoch komfortabler und einfacher, die gewünschten Toolpakete über WSCC gezielt auszuwählen und herunterzuladen (Punkt 2) .

Tipp: So beschleunigen Sie den Windows-Start

2. Sysinternals-Tools über WSCC installieren

Entpacken Sie WSCC in einen beliebigen Ordner. Beim ersten Start können Sie Optionen festlegen. In der Regel genügt es, mit „OK“ zu bestätigen. Im Fenster „Software Sources“ wählen Sie die Toolpakete für die Installation aus. Neben „Sysinternals“ kann WSCC auch Programme etwa von Nirsoft einbinden, auf die wir in diesem Artikel jedoch nicht weiter eingehen. Klicken Sie auf „OK“ und danach auf „Yes“. Im nächsten Fenster lässt sich der Installationspfad festlegen. Beim portablen Tool übernehmen Sie die Vorgabe „.SysInternals Suite“ per Klick auf „OK“. Danach wähen Sie „Install“, um alle Tools herunterzuladen, oder Sie entfernen die Häkchen vor denjenigen, die Sie nicht benötigen. WSCC zeigt in der Baumansicht auf der linken Seite des Fensters die Kategorie „Sysinternals Suite“ sowie „Nirsoft Utilities“ (sofern installiert), darunter jeweils Gruppen wie „File and Disk“ oder „Security“. Die Liste mit den zugehörigen Tools erscheint rechts im Fenster. Über die Schaltfläche neben jedem Programm lässt es sich starten, und teilweise führt eine „?“-Schaltfläche zur Hilfe-Datei. Sie können jedes Tool auch über den Windows-Explorer beziehungsweise die Eingabeaufforderung direkt aus dem Download-Verzeichnis starten.

3. Autoruns: Automatische Programmstarts kontrollieren

Windows kann Programme automatisch beim Systemstart ausführen. Bei einem frisch installierten System sind das nur wenige, aber es kommen bei fast jeder Softwareinstallation neue dazu. Das verzögert den Windows-Start und bremst das System aus. Einige der Autostart-Programme sind nützlich, etwa wenn sich darüber eine häufig genutzte Funktion schnell über den Infobereich in der Taskleiste aufrufen lässt. Sie müssen im Einzelfall abwägen, ob ein Autostart-Programm für Sie wichtig ist und ob Sie dafür einen verzögerten Systemstart in Kauf nehmen wollen. Sysinternals- Autoruns kennt alle Autostart-Rampen und kann zusätzlich auch Erweiterungen für den Windows-Explorer, Internet Explorer und Microsoft Office anzeigen und verwalten. Nach dem Start des Tools können Sie sich durch mehrere Registerkarten klicken und die unterschiedlichen Autostart-Einträge prüfen. Es ist jedoch einfacher, sich alles zusammen auf der Registerkarte „Everything“ anzeigen zu lassen. Die Liste kann ziemlich lang sein. Deshalb sollten Sie bei „Options -> Hide Microsoft Entries“ ein Häkchen setzen. Damit blenden Sie alle Einträge aus, die zu Windows gehören, und Sie sehen nur noch die nachträglich hinzugefügten Programme. Danach entfernen Sie die Häkchen bei allen Einträgen, die Sie nicht benötigen. Gelöscht wird dadurch nichts. Sollte sich später herausstellen, dass Sie ein Programm doch benötigen, setzen Sie das Häkchen wieder.

Handelt es sich dagegen um eine unerwünschte Software, sollten Sie das Programm löschen. Der bevorzugte Weg zur Deinstallation führt über die Systemsteuerung und – je nach Ansicht – „Programme deinstallieren“ oder „Programme und Features“. Sollte sich das Programm hier nicht lokalisieren lassen, wählen Sie in Autoruns im Kontextmenü den Punkt „Jump to Image“. Damit öffnen Sie den Ordner der ausführbaren Datei im Windows-Explorer. Benennen Sie die EXE-Datei um oder löschen Sie die Datei. Speichern und vergleichen: Nach einigen Softwareinstallationen sind häufig neue Autostart-Einträge entstanden. Um danach nicht mühsam suchen zu müssen, speichern Sie den momentanen Zustand über „File -> Save“ in einer Datei. Sie können dann später die Sicherung über „File -> Compare“ mit der aktuellen Konfiguration vergleichen. Autoruns unterlegt neue Einträge mit grüner Farbe, gelöschte Einträge erscheinen in Rot. Tiefergehende Analyse: Nicht immer ist klar, zu welchem Programm ein Autostart-Eintrag gehört und was seine Funktion ist. Über einen rechten Mausklick und „Search Online“ starten Sie im Browser eine Internetsuche nach dem Prozessnamen, die Ihnen weitere Informationen liefert. Sie werden darüber meist auf Webseiten stoßen, die Daten über Windows-Programme sammeln. Teilweise gibt es Kommentare von Benutzern, die Herkunft und Funktion eines Programms klären. Eine Sicherheitsprüfung führen Sie über den Kontextmenüpunkt „Check VirusTotal“ durch. Beim ersten Aufruf öffnet sich die Webseite von www.virustotal.com mit den Nutzungsbedingungen, und Sie müssen diese im Meldungsfenster von Autoruns mit „Ja“ bestätigen. Um alle Programme zu testen, gehen Sie auf „Options -> Scan Options“ und setzen ein Häkchen vor „Check VirusTotal.com“.

In der Spalte „VirusTotal“ sehen Sie das Ergebnis des Virenscans. Steht bei einem Programm beispielsweise „0/57“, können Sie die Datei mit hoher Wahrscheinlichkeit als unbedenklich einstufen. Erscheint „1/57“, hat einer von 57 Virenscannern bedenkliche Software gemeldet. Mit einem Klick auf das Virustotal-Ergebnis öffnen Sie den Prüfbericht im Browser. Haben nur ein oder zwei Virenscanner Auffälligkeiten gemeldet, können Sie von einer fälschlichen Einordnung ausgehen. Sind es mehr, könnte es sich aber um Schadsoftware handeln. In diesem Fall klicken Sie auf der Virustotal-Webseite auf den Link „Verhaltens-Informationen“ oder „Kommentare“, um mehr über die Datei zu erfahren. Im Zweifelsfall sollten Sie das betroffene Programm deinstallieren und mit einer aktuellen Antiviren-Software Ihr System einer gründlichen Überprüfung unterziehen.

25 Windows-10-Hacks: Mehr Speed, bessere Oberfläche

4. Process Explorer: Laufende Prozesse ermitteln

Welche Programme gerade auf Ihrem PC aktiv sind, können Sie unter jeder Windows-Version über den Task-Manager ermitteln. Den rufen Sie am schnellsten über die Tastenkombination Strg-Shift-Esc auf. Unter Windows 8.1 oder 10 klicken Sie auf „Mehr Details“ und gehen dann auf die Registerkarte „Details, um eine Liste mit allen laufenden Programmen zu sehen. Das Sysinternals-Tool Process Explorer bietet mehr Funktionen als der Windows-Task-Manager. Durch farbige Unterlegungen zeigt Ihnen das Programm, was gerade auf dem PC vor sich geht. Gerade erst gestartete Prozesse werden grün hinterlegt, solche, die beendet werden, erscheinen in Rot. Wenn Sie im Menü auf „Options -> Configure Colors“ gehen, zeigt Ihnen das Fenster eine Farblegende, und Sie können die Zuordnungen bei Bedarf ändern. Die Baumansicht wird bei vielen laufenden Programmen schnell unübersichtlich. Um eine Anwendung zu finden, klicken Sie in der Symbolleiste auf das Icon mit dem Fadenkreuz, halten die linke Maustaste gedrückt, bewegen das Fadenkreuz auf das Fenster der gewünschten Anwendung und lassen die Maustaste los. Der zugehörige Prozess wird dann in der Baumansicht hervorgehoben. Gehen Sie im Kontextmenü eines Prozesses auf „Properties“. Auf den Registerkarten „Performance“ und „Performance Graph“ erhalten Sie eine Übersicht mit den CPU- und Speicher-Aktivitäten. Die Registerkarte „TCP/IP“ zeigt Ihnen, auf welche Netzwerkressourcen eine Anwendung zugreift. Unbekannte Prozesse: Wenn Ihnen bestimmte Prozesse verdächtig vorkommen, gehen Sie im Kontextmenü auf „Search Online“. Wie bei Autoruns suchen Sie damit nach dem Namen der ausführbaren Datei und holen weitere Informationen ein. Besteht ein Verdacht, dass es sich um eine Schadsoftware handelt, gehen Sie im Kontextmenü auf „Check Virustotal“. Auch diese Funktion entspricht der für Autoruns, wie in Punkt 3 beschrieben. Tipp: Wenn Sie den Process Explorer dauerhaft statt des Windows Task-Managers verwenden wollen, gehen Sie im Menü auf „Options -> Replace Taskmanager“. Sie können das Programm dann bequem über die Tastenkombination Strg-Shift-Esc starten. Um die Änderung wieder rückgängig zu machen, rufen Sie den Menüpunkt erneut auf.

5. Ps-Tools: Fernzugriff über das Netzwerk

Die Sysinternals-Sammlung bringt einige Kommandozeilentools mit, deren Name mit „ Ps “ beginnt. Es ist damit möglich, die Aktionen nicht nur auf dem eigenen, sondern über das Netzwerk auch auf einem anderen PC auszuführen. Über die Ps-Tools können Sie sich laufende Prozesse anzeigen lassen, Prozesse beenden, den PC herunterfahren und beliebige Programme auf einem anderen PC starten. Der einzige Nachteil: Bevor Sie die Tools nutzen können, müssen Sie den oder die Zielcomputer dafür präparieren. Denn standardmäßig fehlen die Zugriffsrechte für den Fernzugriff. Vorbereitungen: Öffnen Sie auf dem Computer, auf den Sie über das Netzwerk zugreifen möchten, eine Eingabeaufforderung als Administrator (-> Kasten), und führen Sie folgende drei Befehlszeilen aus:

Bei der ersten Zeile muss hinter „start=“ ein Leerzeichen stehen. Mit den beiden sc-Befehlen aktivieren und starten Sie den Dienst „Remoteregistrierung“. Der net-Befehl aktiviert das Konto „Administrator“ und fordert Sie dazu auf, ein Passwort dafür zu vergeben. Unter Windows 8.1 und 10 müssen Sie einen weiteren Schritt durchführen. Drücken Sie die Tastenkombination Win-R und starten Sie Regedit. Gehen Sie auf den Schlüssel „Hkey_Local_ MachineSoftwareMicrosoftWindows CurrentVersionPoliciesSystem“. Erstellen Sie hier einen neuen Dword-Wert, dem Sie die Bezeichnung LocalAccountTokenFilterPolicy geben. Konfigurieren Sie ihn mit dem Wert 1. Damit aktivieren Sie die versteckte administrative Freigabe „admin$“.

Stellen Sie zudem sicher, dass Sie über den Windows-Explorer auf Netzwerkfreigaben zugreifen können. Sollte nach einem Klick auf „Netzwerk“ die Frage auftauchen, ob Sie die Datei- und Druckerfreigabe aktivieren möchten, bestätigen Sie dies. Nur dann ermöglichen passende Firewall-Regeln den Fernzugriff. Starten Sie Windows neu, damit die geänderten Einstellungen wirksam werden. Ps-Tools nutzen: Fast alle Tools arbeiten auf dem lokalen PC, wenn Sie keine weiteren Optionen angeben. Die Option „-?“ bringt einen kurzen Hilfetext auf den Bildschirm. Im Installationsverzeichnis finden Sie außerdem die Datei Pstools.chm mit Beschreibungen und einigen Beispielen. Für den Fernzugriff erwarten die Tools die IP-Adresse oder den Namen des PCs, auf den Sie zugreifen möchten. Die allgemeine Form des Aufrufs ist

Für Aufgaben, die keine administrativen Rechte benötigen, setzen Sie für „[Benutzer“] den Benutzernamen eines Standardbenutzers ein, andernfalls verwenden Sie „Administrator“. Wenn Sie „-p“ weglassen, fragt das Tool nach einem Passwort. psfile ermittelt ID und Pfad von Elementen im Dateisystem, die über das Netzwerk auf einem anderen PC geöffnet sind. Diese Informationen können wichtig sein, wenn Sie einen Computer über das Netzwerk herunterfahren und Datenverlust vermeiden möchten. pslist arbeitet ähnlich, zeigt aber die laufenden Prozesse an. Wenn Sie es mit

aufrufen, zeigt es wie der Windows Task-Manager eine Übersicht, die sich automatisch alle fünf Sekunden aktualisiert. Mit Strg-C beenden Sie das Programm. pskill beendet laufende Prozesse. Sie benötigen dafür die Prozess-ID, die Sie zuvor mit pslist ermittelt haben. psshutdown kann einen PC über das Netzwerk neu starten oder herunterfahren. Es bietet allerdings nicht mehr Möglichkeiten als das Tool shutdown aus dem Lieferumfang von Windows. psping arbeitet ähnlich wie das Standardtool ping. Mit der Befehlszeile

beispielsweise testen Sie den übr die „[IP]“ adressierten PC auf Erreichbarkeit. Interessanter sind allerdings die Geschwindigkeitstests, die Sie mit dem Tool durchführen können. Dazu starten Sie es auf einem PC im Servermodus mit der Zeile

Für „[IP“] setzen Sie die IP-Adresse dieses PCs ein. Auf einem anderen PC führen Sie folgende Befehlszeile aus:

„[IP]“ ist die Zieladresse des Server-PCs. Das Tool gibt Ihnen dann die minimale, maximale und durchschnittliche Übertragungsrate in MB pro Sekunde aus. Auf dem Server beenden Sie psping mit Strg-C. psexec ermöglicht es, Programme auf einem anderen PC zu starten. Es lässt sich ähnlich wie Telnet auf einem Unix-System nutzen. Dazu starten Sie folgende Befehlszeile:

Für die Platzhalter setzen Sie IP-Adresse und die Anmeldeinformationen auf dem Zielcomputer ein. Sie befinden sich dann in einer interaktiven Eingabeaufforderung, über die Sie so arbeiten können, wie wenn Sie direkt vor dem PC sitzen würden. Mit Strg-C verlassen Sie die Eingabeaufforderung und schließen die Remotesitzung. Sie können auch einzelne Befehle oder Scripte auf dem Zielsystem starten und sich die Ausgabe anzeigen lassen. Die Zeile

beispielsweise gibt Ihnen eine Liste mit den auf dem Zielrechner installierten Windows-Updates aus (nur Windows 8.1 und 10). Sie können auch Batchdateien starten und damit mehrere Befehle absetzen. Für eine flexible Lösung erstellen Sie die Batchdatei auf einer Netzwerkfreigabe. Unter der Voraussetzung, dass die Freigabe „ServerScriptsTest.bat“ vorhanden ist, sieht die Befehlszeile dann etwa so aus:

In der Datei „Test.bat“ bringen Sie alle Befehlszeilen unter, die Sie auf dem PC starten möchten. Es ist außerdem möglich, Befehle an alle PCs im Netzwerk zu übermitteln, indem Sie „*“ statt Namen oder IP-Adresse angeben. Alternative: Erstellen Sie eine Textdatei etwa mit dem Namen „PC-Liste.txt“, die eine IP-Adresse pro Zeile enthält. Verwenden Sie dann statt „[IP]“ die Angabe „@PC-Liste.txt“

Siehe auch: Windows 10 reparieren mit systemeigenen Tools und Software

6. Tcpview: Netzwerkverbindungen untersuchen

Mit Tcpview können Sie sich in einer grafischen Oberfläche alle TCP- und UDP-Endpunkte eines Computers anzeigen lassen. Zusätzlich erfahren Sie, welche Prozesse auf die Endpunkte und Ports zugreifen. Sie sehen also nicht nur geöffnete Ports wie bei anderen Programmen, sondern detaillierte Informationen über den Prozess, dessen ID, das Protokoll, die Remoteadresse und den Port. In der Sysinternals-Sammlung finden Sie außerdem das Programm tcpvcon.exe für die Kommandozeile und die gleiche Aufgabe. Im Tool können Sie auch Verbindungen trennen. Klicken Sie diese dazu mit der rechten Maustaste an, und wählen Sie „Close Connection“. Über das Kontextmenü lassen sich auch ausführlichere Informationen einholen, und Sie können den Prozess beenden, der die Verbindung aufgebaut hat. Tcpview aktualisiert die Verbindungen jede Sekunde. Über „View -> Update Speed“ lässt sich die Abtastrate ändern. Verbindungen, die ihren Status ändern, sind gelb markiert. Gelöschte Endpunkte erscheinen in Rot, neue in Grün. Den aktuellen Verbindungsstatus können Sie für eine spätere Untersuchung über „File -> Save“ in einer Textdatei speichern.

7. Process Monitor: Analyse von Programmzugriffen

Ob Fehlfunktionen oder Sicherheitsbedenken, manchmal ist es wichtig zu erfahren, was ein Programm eigentlich auf dem PC anstellt. Über den Process Monitor (Procmon.exe) ermitteln Sie, welche Dateien und Registry-Schlüssel ein Programm liest sowie schreibt und welche Internet- oder Netzwerk-Adressen es abruft. Die Untersuchung ist jedoch keine leichte Aufgabe, denn fast alle Programme greifen ständig auf die Festplatte oder das Netzwerk zu, und es ist schwierig, aus den Datenmengen die relevanten Informationen herauszufiltern. Sobald Sie den Process Monitor starten, beginnt die Überwachung des Systems. Beenden Sie die Aufzeichnung nach einiger Zeit über die Tastenkombination Strg-E. Sie sehen im Programmfenster eine chronologische Liste der Zugriffe von allen aktiven Programmen. Unter „Process Name“ steht der Name des Programms, das eine Aktion durchgeführt hat, unter „Operation“ die Aktion. Zum Beispiel bedeutet „RegQueryValue“, dass das Programm einen Wert aus der Registry abgefragt hat, während „CreateFile“ den Versuch zeigt, eine Datei anzulegen. Eine bestimmte Software lässt sich untersuchen, indem Sie einen Filter erstellen. Dazu gehen Sie auf „Filter -> Filter“, wählen unter „Display entries matching …“ im ersten Dropdown-Feld „Process Name“, rechts daneben den Operator „is not“. Im dritten Feld suchen Sie den Namen des gewünschten Prozesses aus und wählen ganz rechts „Exclude“. Das heißt: Alles, was nicht vom betreffenden Prozess stammt, wird weggefiltert. Das Ganze müssen Sie nun noch mit „Add“ in die Aktionsliste eintragen. Per Klick auf „OK“ übernehmen Sie die Änderung. Löschen Sie den Inhalt der bisher erfassten Zugriffe über die Tastenkombination Strg-X, und starten Sie die Analyse mit Strg-E. Der Inhalt der Zugriffsliste lässt sich über die fünf Schalter im rechten Bereich der Symbolleiste weiter einschränken, etwa auf Registry- oder Netzwerkzugriffe. Meist ist es sinnvoll, die Aufzeichnung mit Strg-E zu stoppen und die Liste mit Strg-X zu löschen. Dann starten Sie die Aufzeichnung wieder mit Strg-E und danach das Programm, das Sie untersuchen wollen. Oder Sie führen eine bestimmte Funktion des Programms aus, während die Aufzeichnung läuft.

8. Disk2vhd: System auf virtueller Festplatte sichern

Mit Disk2vhd können Sie den Inhalt der Festplatte in eine VHD-Datei kopieren. Das Tool ist vor allem für die Nutzung der Kopie eines installierten Windows in einer Virtualisierungssoftware gedacht. Windows lässt sich aber auch direkt aus der VHD-Datei booten. Das funktioniert jedoch nur bei Windows 7 Ultimate und Enterprise, Windows 8 Pro und Windows 10 und nur bei Systemen, die im Bios-Modus installiert sind. VHD-Dateien eignen sich auch für Backups, die nicht nur eine vollständige Rücksicherung, sondern auch den Zugriff auf einzelne Dateien erlauben. Nach dem Start von Disk2vhd und wählen Sie alle Partitionen der Systemfestplatte aus. In der Regel hat Disk2vhd diese bereits automatisch erkannt und ein Häkchen davor gesetzt. Setzen Sie außerdem ein Häkchen von „Use Vhdx“, wenn Sie die Datei mit Microsofts Virtualisierungslösung Hyper-V oder als Backup nutzen möchten. Für beispielsweise Virtualbox setzen Sie kein Häkchen. Geben Sie hinter „VHD File name:“ über die Schaltfläche „…“ den Namen und Speicherort der VHD-Datei an. Klicken Sie zum Abschluss auf die Schaltfläche „Create“. Eine VHD- oder VHD-X-Datei binden Sie über die Datenträgerverwaltung (Win-R, diskmgmt.msc) in das Dateisystem ein. Gehen Sie auf „Aktion -> Virtuelle Festplatte anfügen“. Windows weist der virtuellen Festplatte einen Laufwerksbuchstaben zu, und Sie können Dateien aus dem Backup wiederherstellen. Einen Vergleich von Virtualisierungslösungen finden Sie hier , Informationen zu Hyper-V hier .