Microsoft Sysinternals: Die besten Tools zur Wartung, Problembehandung und Analyse für Windows

Betriebssysteme benötigen wenigstens ein Minimum an Wartung, damit sie dauerhaft ordnungsgemäß laufen. Einige wichtige Werkzeuge gehören bereits zum Windows-Lieferumfang, Profis greifen aber gerne zu weiteren nützlichen Werkzeugen aus dem Hause Microsoft.

Das Unternehmen stellt zahlreiche Tools kostenlos zur Verfügung, die bei der Analyse, Wartung und Problembehandlung helfen. Einige davon leisten für jedermann nützliche Dienste im alltäglichen Gebrauch, andere nur in besonderen Situationen.

Dass die Tools nicht längst zur Standardausstattung von Windows gehören, kann mehrere Ursachen haben: Die Bedienung erschließt sich aufgrund der Menge der Funktionen oft nicht auf den ersten Blick, und manchmal müssen erst Voraussetzungen für die Nutzung der Tools geschaffen werden. Unser Artikel hilft dabei, die fast unentbehrlichen Werkzeuge optimal und sinnvoll einzusetzen.

Siehe auch: Die 7 besten KI-Tools, die Ihnen das Leben und die Arbeit erleichtern

Die Sysinternals-Tools von Microsoft einrichten

Wer systemnahe Tools für Windows entwickeln möchte, benötigte tiefergehendes Wissen über das Betriebssystem. Das besaßen bereits 1996 die Programmierer Mark Russinovich und Bryce Cogswell, die in ihrer Firma Winternals Software LP Diagnose-Software für Windows programmierten. 2006 übernahm Microsoft die Firma.

Unter dem Namen „Sysinternals“ werden die Tools fortwährend weiterentwickelt, für neuere Windows-Versionen wie Windows 10 und 11 angepasst und kostenlos zum Download bereitgestellt. Die Tools bieten teilweise eine grafische Oberfläche, andernfalls werden sie in der Powershell oder der Eingabeaufforderung gestartet. Unter „Download“ finden Sie die einzelnen Tools und auch die Sysinternals-Suite, die fast alle und damit mehr als 60 Tools enthält.

Wir empfehlen jedoch das Windows System Control Center (WSCC) für die Installation der Sysinternals-Tools. Es lädt alle oder nur die gewünschten Programme von Microsoft herunter und sorgt auch für die Aktualisierung. Kategorien und kurze Beschreibungen in englischer Sprache helfen bei der Benutzung.

Entpacken Sie WSCC in einen Ordner mit kurzem Namen und ohne Leer- oder Sonderzeichen, beispielsweise nach „C:\WSCC“ oder „C:\Tools\WSCC“. Das erleichtert die Nutzung der Kommandozeilentools.

Beim ersten Start können Sie einige Optionen festlegen. In der Regel genügt es, einfach mit „OK“ zu bestätigen. Im Fenster „Software Sources“ wählen Sie die Toolpakete für die Installation aus. Neben „Sysinternals“ kann WSCC auch Programme etwa von Nirsoft einbinden, auf die wir in diesem Artikel jedoch nicht weiter eingehen. Klicken Sie auf „OK“ und danach auf „Yes“. Im nächsten Fenster lässt sich der Installationspfad festlegen. Übernehmen Sie die Vorgabe „.\ SysInternals Suite“ per Klick auf „OK“. Danach klicken Sie auf „Install“, um alle Tools herunterzuladen, oder Sie entfernen die Häkchen vor denen, die Sie nicht benötigen.

WSCC zeigt in der Baumansicht auf der linken Seite des Fensters die Kategorie „Sysinternals Suite“ und darunter Gruppen wie „File and Disk“, „Network“ oder „Security“. Die Liste mit den zugehörigen Tools erscheint auf der rechten Seite des Fensters. Neben jedem Programm gibt es eine Schaltfläche, über die sich das Tool starten lässt, und teilweise eine „?“-Schaltfläche, die zur Hilfe-Datei führt.

In der Sysinternals-Suite sind einige Programme mit dem Zusatz „64“ im Namen enthalten. Dabei handelt es sich um die 64-Bit-Versionen. In WSCC können Sie über „Settings“ unter „General“ ein Häkchen vor „Launch the 64-bit version if available“ setzen. Dann wird – wenn verfügbar – das 64-Bit-Tool gestartet.

Konfiguration für die Kommandozeilentools: Sie können jedes Tool über den Windows-Explorer beziehungsweise die Eingabeaufforderung direkt aus dem Download-Verzeichnis starten. In der Powershell oder Eingabeaufforderung ist es erforderlich, das Verzeichnis vor den Programmnamen zu setzen. Das lässt sich vermeiden, indem Sie den Ordner in die Umgebungsvariable „Path“ aufnehmen. Für die Konfiguration suchen Sie in den „Einstellungen“ (Win-I) nach Umgebungsvariablen und klicken im Suchergebnis auf „Umgebungsvariablen für dieses Konto bearbeiten“. Klicken Sie unter „Benutzervariablen“ auf „Path“ und dann auf „Bearbeiten“. Über „Neu“ fügen Sie das Verzeichnis hinzu, in dem die Sysinternals-Tools liegen. Diese lassen sich danach einfach über ihren Namen starten.

Microsoft Powertoys: Diese Profi-Tools benötigt jeder Windows-Nutzer

Process Explorer: Was läuft gerade auf dem PC?

Auf dem Computer laufen Anwendungen, die Sie selbst gestartet haben, aber auch zahlreiche Hintergrundprozesse und Dienste. Einen Einblick ermöglicht der Windows Task-Manager, der sich mit Strg-Shift-Esc starten lässt. Unter Windows 10/11 klicken Sie zuerst links unten auf „Mehr Details“ und gehen dann auf die Registerkarte „Details“, um eine Liste mit allen laufenden Programmen zu sehen. Nutzer von Windows 11 ab Version 22H2 klicken im linken Bereich direkt auf „Details“.

Das Sysinternals-Tool Process Explorer (Procexp.exe, Procexp64.exe) bietet mehr Funktionen als der Windows-Task-Manager. Durch farbige Unterlegungen zeigt Ihnen das Programm, was gerade auf dem PC vor sich geht. Gerade erst gestartete Prozesse werden grün hinterlegt, solche, die beendet werden, erscheinen in roter Farbe.

Die Liste lässt sich per Klicks auf die Spaltenköpfe nach Namen, Prozessorbelastung („CPU“) und Speicherauslastung („Private Bytes“) sortieren. Damit finden Sie Anwendungen, die sehr viel Hauptspeicher belegen oder den Prozessor stark fordern.

Detailliertere Einblicke ermöglicht der Klick auf „Properties“ im Kontextmenü. Auf den Registerkarten „Performance Graph“ und „GPU Graph“ erhalten Sie eine grafische Übersicht mit den Prozessor- und Speicher-Aktivitäten über einen längeren Zeitraum. Die Registerkarte „TCP/IP“ zeigt Ihnen, auf welche Netzwerkressourcen eine Anwendung aktuell zugreift.

Abgestürzte Prozesse lassen sich über den Kontextmenüpunkt „Kill Process“ beenden oder über „Restart“ neu starten. Das funktioniert nur, wenn Sie die nötigen Zugriffsrechte besitzen. Wenn nicht, gehen Sie auf „File –› Run as Administrator“, um Process Explorer mit höheren Rechten zu starten.

Gefährliche Prozesse? Wenn Ihnen bestimmte Prozesse verdächtig vorkommen, gehen Sie im Kontextmenü auf „Search Online“. Damit starten Sie eine Internetsuche nach dem Prozessnamen im Browser, die Ihnen weitere Informationen liefert. Besteht ein Verdacht, dass es sich um eine Schadsoftware handelt, gehen Sie im Kontextmenü auf „Check Virustotal.com“. Beim ersten Aufruf müssen Sie die Nutzungsbedingungen von www.virustotal.com bestätigen. Um alle laufenden Programme zu testen, gehen Sie auf „Options –› VirusTotal.com –› Check VirusTotal.com“.

In der Spalte „VirusTotal“ sehen Sie das Ergebnis des Virenscans. Steht bei einem Programm beispielsweise „0/75“ können Sie die Datei mit hoher Wahrscheinlichkeit als unbedenklich einstufen. Erscheint „1/75“, ist einer von 75 Virenscannern fündig geworden. Mit einem Klick auf das Virustotal-Ergebnis öffnen Sie den Prüfbericht im Browser. Haben nur ein oder zwei Virenscanner Auffälligkeiten gemeldet, können Sie von einer irrtümlichen Erkennung ausgehen. Sind es mehr, könnte es sich auch um Schadsoftware handeln. In diesem Fall klicken Sie auf der Virustotal-Webseite auf „Behavior“ („Verhaltensinformationen“) oder „Community“, um mehr über die Datei zu erfahren. Im Zweifelsfall sollten Sie das betroffene Programm deinstallieren und mit einer aktuellen Antivirensoftware das System einer gründlichen Überprüfung unterziehen.

Autoruns: Automatische Programmstarts reduzieren

Ein frisch installiertes Windows startet schnell und reagiert ohne Verzögerungen. Das ändert sich meist nach einiger Zeit. Die Ursache dafür sind Programme, die sich bei der Installation für den automatischen Start konfigurieren. Ein Programm kann dann beispielsweise nach Updates suchen oder im Hintergrund auf Ereignisse warten. Das verzögert allerdings den Windows-Start und bremst das System aus. Wirklich notwendig ist keines der Autostart-Programme, es kann aber für mehr Komfort sorgen. Sie müssen daher in jedem Fall abwägen, ob ein Autostartprogramm für Sie wichtig ist und ob Sie dafür einen verzögerten Systemstart in Kauf nehmen wollen.

Sysinternals-Autoruns (Autoruns.exe, Autoruns64.exe) kennt alle Autostartrampen und kann zusätzlich auch Erweiterungen für den Windows-Explorer sowie Microsoft Office anzeigen und verwalten.

Das Tool zeigt nach dem Start mehrere Registerkarten für die unterschiedlichen Bereiche. Es ist praktischer, sich alles zusammen auf der Registerkarte „Everything“ anzeigen zu lassen. Die Liste ist ziemlich lang, lässt sich aber über „Options –› Hide Microsoft Entries“ auf Produkte beschränken, die nicht von Microsoft stammen und daher später als Software anderer Hersteller hinzugekommen ist.

Entfernen Sie die Häkchen bei allen Einträgen, die Sie nicht benötigen. Gelöscht wird dadurch nichts. Sollte sich später herausstellen, dass ein Programm doch automatisch gestartet werden soll, setzen Sie das Häkchen wieder.

Über „File –› Run as Administrator“ starten Sie Autoruns mit erhöhten Rechten. In der Regel ist das nicht erforderlich, außer wenn beispielsweise Systemdienste unter „Services“ abgeschaltet werden sollen. Dabei ist jedoch Vorsicht geboten. Schalten Sie keine Microsoft-Dienste ab, weil das zu Fehlfunktionen führen kann.

Speichern und vergleichen: Nach einigen Software-Installationen entstehen wahrscheinlich neue Autostart-Einträge. Um danach nicht mühsam suchen zu müssen, speichern Sie den momentanen Zustand über „File –› Save“ in einer Datei. Später lässt sich dann über „File –› Compare“ der gespeicherte Zustand mit der aktuellen Konfiguration vergleichen. Das Tool unterlegt neue Einträge mit grüner Farbe, gelöschte Einträge erscheinen in Rot.

Prozesse genauer untersuchen: Manchmal ist nicht klar, welches Programm sich hinter einem Autostart-Eintrag verbirgt und was seine Funktion ist. Wie beim Process Explorer können Sie nach einem rechten Mausklick „Search Online“ wählen und damit im Browser eine Internetsuche nach dem Prozessnamen starten.

Eine Sicherheitsprüfung führen Sie – ähnlich wie beim Process Explorer – über den Kontextmenüpunkt „Submit File to VirusTotal“ oder „Check VirusTotal.com“ durch. Programme, bei denen Virustotal viele Virenfunde meldet, sollten Sie genauer untersuchen und im Zweifelsfall löschen oder umbenennen.

Process Monitor: Verhalten von Programmen untersuchen

Ein Virenscanner kann in einem Programm Schadsoftware entdecken oder es Aufgrund seines Verhaltens als gefährlich einstufen. Man kann aber auch selbst untersuchen, auf welche Dateien, Registry-Einträge oder Netzwerkressourcen ein Programm zugreift und damit unerwünschtes Verhalten entdecken.

Mithilfe des Process Monitors (Procmon.exe, Procmon64.exe) lassen sich diese Informationen ermitteln. Das ist jedoch keine leichte Aufgabe, denn fast alle Programme greifen ständig auf die Festplatte oder das Netzwerk zu, und es ist schwierig, aus den Datenmengen die relevanten Informationen herauszufiltern.

Die Überwachung beginnt direkt nach dem Start des Process Monitors. Beenden Sie die Aufzeichnung nach kurzer Zeit über die Tastenkombination Strg-E. Das Programmfenster zeigt eine chronologische Liste der Zugriffe von allen aktiven Programmen. Unter „Process Name“ steht der Name des Programms, das eine Aktion durchgeführt hat, unter „Operation“ die Aktion. Zum Beispiel bedeutet „RegQueryValue“, dass das Programm einen Wert aus der Registry abgefragt hat.

Über einen Filter lässt sich eine bestimmte Software untersuchen. Öffnen Sie das Programm, das Sie untersuchen wollen, klicken Sie im Process Monitor auf das Icon mit der Zielscheibe („Include Process from Window“), halten Sie die linke Maustaste gedrückt und ziehen Sie das Fadenkreuz auf das Fenster des zu untersuchenden Programms. Gehen Sie auf „Filter –› Filter“. In der Liste sind bereits einige Einträge vorhanden, etwa um Procmon.exe selbst von der Untersuchung auszuschließen. Am Anfang neu hinzugekommen ist jetzt die Zeile „PID is [ID] include“, wobei „[ID]“ die Prozess- ID des ausgewählten Programms ist. Im Hauptfenster von Process Monitor aktivieren Sie die Aufzeichnung mit der Tastenkombination Strg-E.

Für eine alternative Konfiguration gehen Sie auf „Filter –› Filter“ und klicken auf „Reset“. Unter „Display entries matching these conditions:“ wählen Sie den Eintrag „Process Name“. Rechts daneben geben Sie „is“ an und dahinter den Namen des Programms, das Sie untersuchen wollen, inklusive der Dateinamenserweiterung „.exe“. Am Ende der Zeile wählen Sie „Include“. Ermitteln Sie den Programmnamen beispielsweise über Process Explorer. Bei Bedarf definieren Sie weitere Filter, beispielsweise „Event Class is Network include“, wenn Sie nur an Netzwerkzugriffen interessiert sind, oder „Event Class is File System include“. Klicken Sie jeweils auf „Add“ und zum Abschluss auf „OK“.

Nachdem Sie Ihre Filterauswahl gesetzt haben, löschen Sie die bisher aufgezeichneten Ereignisse über Strg-X und starten die Aufzeichnung mit Strg-E erneut. Der Bereich, den die Ereignisliste anzeigt, lässt sich übrigens auch über die fünf Schalter im rechten Bereich der Symbolleiste einschränken, etwa auf Registry- oder Netzwerkzugriffe.

Tipp: Mit dem Sysinternals-Tool Sysmon lassen sich alle oder ausgewählte Systemereignisse protokollieren, die auf schädlichen Code oder auf Hacker-Aktivitäten hindeuten können. Konfiguration und Verwendung des Tools haben wir hier ausführlich beschrieben.

PS-Tools: Kommandozeilen-Tools auch für die Fernwartung

Die Sysinternals-Tools enthalten mehrere Kommandozeilen-Tools, deren Namen mit „PS“ beginnen. Mit den PS-Tools können Sie sich laufende Prozesse anzeigen lassen, Prozesse beenden oder den PC herunterfahren. Eine Hilfe zu den Tools bietet die Datei Pstools.chm.

Interessant sind die Tools vor allem, weil sich damit andere PCs im Netzwerk fernsteuern lassen. Auf den Ziel-PCs müssen Sie dafür die folgenden drei Befehlszeilen in einer Eingabeaufforderung als Administrator ausführen und den PC danach neu starten:

sc config RemoteRegistry start=auto
sc start RemoteRegistry
reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f

Stellen Sie außerdem sicher, dass Sie über den Windows-Explorer auf Netzwerkfreigaben zugreifen können und die Datei- und Druckerfreigabe aktiviert ist.

Alle Tools arbeiten auf dem lokalen PC, wenn Sie keine weiteren Optionen angeben. Für den Fernzugriff erwarten die Tools die IP-Adresse oder den Namen des PCs, auf den Sie zugreifen möchten. Die allgemeine Form des Aufrufs ist

tool.exe \[IP] -u [Benutzer] -p [Passwort] [weitere Optionen]

Für Aufgaben, die keine administrativen Rechte benötigen, setzen Sie für „[Benutzer]“ den Namen eines Standardbenutzers ein, andernfalls verwenden Sie ein Konto, das administrative Rechte besitzt. Mit beispielsweise

psexec \[IP] -u [Benutzer] -p [Passwort] powershell.exe

lässt sich eine Powershell interaktiv auf dem anderen PC nutzen. Der Befehl

psshutdown -r -t 10 \[IP] -u [Benutzer] -p [Passwort]

startet den entfernten PC nach 10 Sekunden neu.

Handle: Blockierte Ordner freigeben

Manchmal lassen sich Ordner oder Dateien nicht löschen oder umbenennen. Die Fehlermeldung lautet dann „Die Aktion kann nicht abgeschlossen werden, da der Ordner (oder eine Datei darin) in einem anderen Programm geöffnet ist.“. Eine ähnliche Meldung erhält man, wenn ein USB-Laufwerk ordnungsgemäß ausgeworfen werden soll, eine geöffnete Datei das jedoch verhindert. Windows gibt in der Regel nicht an, in welchem Programm genau die Datei oder der Ordner geöffnet ist. Das Sysinternals-Tool Handle Viewer (handle.exe, handle64.exe) ist etwas gesprächiger. Führen Sie es in einer Powershell oder Eingabeaufforderung aus, die Sie mit administrativen Rechten starten. Rufen Sie das Tool mit

handle C:[MeinOrdner]

auf, wobei Sie für den Platzhalter den kompletten Pfad zum betroffenen Ordner oder der Datei eintippen. Handle gibt den Namen des Programms, seine Prozess-ID und die Handle-ID aus. Wenn das Programm noch läuft, schließen Sie es.

Sollte das Programm im Hintergrund abgestürzt sein, schließen Sie das Handle mit Eingabe des Befehls:

handle -p [Prozess-ID] -c [Handle-ID]

Nur das Handle wird geschlossen, das Programm läuft meist weiter. Bei ungespeicherten Dateien kommt es dabei allerdings wahrscheinlich zu Datenverlust.

Powershell-Scripte für Power-User

Über unseren PC-WELT Skript-Downloader lässt sich das Profilskript „Microsoft.PowerShell_profile.ps1“ für die Powershell einrichten. Es zeigt, wie sich Programmstarts abkürzen oder Ordnergrößen ausgeben lassen. Einige Beispielskripte demonstrieren zusätzlich Grundlagen der Skripterstellung; eine Dokumentation ist mit dabei. Außerdem können Sie über das Tool die Eingabeaufforderung, die Powershell oder das Windows-Terminal bequem per Mausklick starten – mit oder ohne administrative Rechte. Das ist praktisch, wenn Sie Sysinternals-Tools für die Kommandozeile nutzen.

Klicken Sie im Tool auf „Download/Installation starten“. Die Beispieldateien werden in den Standardordner „WindowsPowerShell“ von Powershell 5 im Ordner „Dokumente“ kopiert. Wenn hier schon Dateien liegen, legen Sie vorher ein Backup an. Für Powershell 7 erstellen Sie unter „Dokumente“ den Ordner „PowerShell“ und kopieren den Inhalt von „WindowsPowerShell“ hinein.