Default-Prozesse und andere Prozesse in Windows XP (SP2)

Alg.exe

  • Kontext: LOKALER DIENST, kann nicht mit dem Task-Manager beendet werden

  • Gemeinsame Nutzung der Internetverbindung (ICS) und Internetverbindungsfirewall (ICF).

  • Lädt den Dienst

    • ALG

Csrss.exe

  • Kontext: SYSTEM, kann nicht mit dem Task-Manager beendet werden.

  • Es handelt sich hierbei um den Teil des Win32-Subsystems, der für den Benutzermodus zuständig ist. ("Win32.sys" dagegen ist der Teil, der zum Kernelmodus gehört.) "Csrss" steht für Client/Server Run-Time Subsystem (Client-/Server-Laufzeitsubsystem) und ist ein essentielles Subsystem, das immer ausgeführt werden muss. "Csrss" ist für Konsolenfenster, das Erstellen und Löschen von Threads und bestimmte Teile der virtuellen 16-Bit-MS-DOS-Umgebung zuständig.

Ctfmon.exe

  • Kontext: USER, kann mit dem Task-Manager beendet werden

  • Ctfmon.exe aktiviert den Texteingabeprozessor (Text Input Processor = TIP) "Alternative Benutzereingabe", überwacht die aktiven Fenster und unterstützt Texteingabedienste für Spracherkennung, Handschrifterkennung, Tastatur, Übersetzung und andere alternative Techniken für Benutzereingaben.

Dllhost.exe

  • Kontext: SYSTEM, kann nicht mit dem Task-Manager beendet werden.

  • Wird eine COM+ Serveranwendung verwendet, wird deren Code durch dllhost.exe in einem COM+-Hostprozess ausgeführt.

  • Lädt den Dienst

    • COMSysApp

Explorer.exe

  • Kontext: USER, kann mit dem Task-Manager beendet werden.

  • Es handelt sich hierbei um die Benutzeroberfläche, mit vertrauten Komponenten wie der Taskleiste, dem Desktop usw. Dieser Prozess ist für das Ausführen von Windows nicht so wichtig, wie man vielleicht annehmen würde, und kann mit dem Task-Manager beendet (und neu gestartet) werden. Dies hat normalerweise keine negativen Auswirkungen auf das System.

Iexplore.exe

  • Kontext: USER, kann mit dem Task-Manager beendet werden.

  • Microsoft Internet Explorer Startprozess

Leerlaufprozess

  • Kontext: SYSTEM, kann nicht mit dem Task-Manager beendet werden.

  • Hierbei handelt es sich um einen einzelnen Thread, der auf jedem Prozessor ausgeführt wird. Er dient lediglich der Verwendung von Prozessorzeit, die nicht von anderen Prozessen oder Threads in Anspruch genommen wird. Erwartungsgemäß nimmt dieser Prozess im Task-Manager normalerweise die meiste Prozessorzeit in Anspruch.

Lsass.exe

  • Kontext: SYSTEM, kann nicht mit dem Task-Manager beendet werden.

  • Es handelt sich hierbei um den lokalen Authentifizierungsserver. Er erzeugt den Prozess, der für die Authentifizierung von Benutzern am Anmeldedienst zuständig ist. Für diesen Vorgang werden Authentifizierungspakete verwendet, standardmäßig "Msgina.dll". Wenn die Authentifizierung erfolgreich war, erstellt "Lsass" einen Zugriffstoken für den Benutzer. Dieser wird zum Starten der ersten Shell verwendet. Weitere vom Benutzer gestartete Prozesse erben diesen Token.

  • Lädt typischerweise die Dienste

    • PolicyAgent

    • ProtectedStorage

    • SamSs

Mdm.exe

  • Kontext: SYSTEM, kann nicht mit dem Task-Manager beendet werden.

  • Machine Debug Manager. Der Computerdebug-Manager "Mdm.exe" ist ein Programm, das ggfls. zusammen mit dem Microsoft Skript-Editor installiert wird, um Unterstützung für das Debuggen von Programmen zu bieten

  • Lädt den Dienst

    • MDM

Msdtc.exe

  • Kontext: NETZWERKDIENST, kann nicht mit dem Task-Manager beendet werden.

  • Ein Transaktions-Manager zur Koordinierung von Transaktionen, die sich über verschiedene Ressourcen-Manager erstrecken, beispielsweise Message Queuing und Microsoft SQL Server.

  • Lädt den Dienst

    • MSDTC (Verteilter Transaktionskoordinator)

Ntvdm.exe

  • Kontext: USER, kann mit dem Task-Manager beendet werden.

  • In "Ntvdm.exe" ist die Windows NT Virtual DOS Machine enthalten. Diese Systemkomponente unterstützt die Ausführung von 16-Bit-Prozessen auf Windows NT

Services.exe

  • Kontext: SYSTEM, kann nicht mit dem Task-Manager beendet werden.

  • Dies ist der Verwaltungsprozess für Systemdienste. Starten und Beenden von Diensten, sowie alle übrige Interaktion mit Diensten wird über ihn abgewickelt. Parent-Prozess aller SVCHOST.EXE

  • Lädt typischerweise die Dienste

    • Eventlog

    • PlugPlay

Smss.exe

  • Kontext: SYSTEM, kann nicht mit dem Task-Manager beendet werden.

  • Es handelt sich hierbei um den Sitzungs-Manager, also das Subsystem, das für das Starten von Benutzersitzungen zuständig ist. Dieser Prozess wird vom Systemthread gestartet und ist für verschiedene Vorgänge zuständig, darunter das Starten der Winlogon- und Win32-Prozesse ("Csrss.exe") und das Setzen verschiedener Systemvariablen. Nach dem Starten dieser Prozesse wartet "Smss.exe" darauf, dass entweder Winlogon oder Csrss beendet wird. Geschieht dies auf normalen Weg, wird das System heruntergefahren; im Falle des unerwarteten Beendens wird das System nicht mehr reagieren.

Spoolsv.exe

  • Kontext: SYSTEM, kann nicht mit dem Task-Manager beendet werden.

  • Der Druckwarteschlangendienst ist für das Verwalten von zwischengespeicherten Druck- und Faxaufträgen zuständig.

  • Lädt den Dienst

    • Spooler

Svchost.exe

  • Kontext: SYSTEM, LOKALER DIENST, NETZWERKDIENST. Mehrfach vorhanden, kann nicht mit dem Task-Manager beendet werden.

  • "Svchost.exe" ist ein generischer Hostprozessname für Dienste, die aus Dynamic-Link Libraries (DLLs) heraus ausgeführt werden. Beim Start überprüft "Svchost.exe" den auf Dienste bezogenen Abschnitt der Registrierung, um eine Liste von Diensten zusammenzustellen, die geladen werden müssen. Es können gleichzeitig mehrere Instanzen von "Svchost.exe" ausgeführt werden. Jede Svchost.exe-Sitzung kann eine eigene Gruppe von Diensten enthalten. Svchost.exe-Gruppen sind in folgendem Registrierungsschlüssel angegeben: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Svchost.

  • Kommando, um die Liste der in "Svchost" ausgeführten Dienste anzuzeigen: Tasklist /SVC
     

  • Typisches Beispiel für SvcHost-Gruppen:

    • SVCHOST.EXE (SYSTEM) lädt die Dienste

      • DcomLaunch

      • TermService

    • SVCHOST.EXE (NETZWERKDIENST) lädt die Dienste

      • RpcSs (Remoteprozeduraufruf)

    • SVCHOST.EXE (SYSTEM) lädt die Dienste

      • AudioSrv

      • BITS

      • Browser

      • CryptSvc

      • Dhcp

      • dmserver

      • ERSvc

      • EventSystem

      • FastUserSwitchingCompatibility

      • helpsvc

      • lanmanserver

      • lanmanworkstation

      • Netman

      • Nla

      • RasMan

      • Schedule

      • seclogon

      • SENS

      • SharedAccess

      • ShellHWDetection

      • srservice

      • TapiSrv

      • Themes

      • TrkWks

      • W32Time

      • winmgmt

      • wscsvc

      • wuauserv

      • WZCSVC

    • SVCHOST.EXE (NETZWERKDIENST) lädt die Dienste

      • Dnscache

    • SVCHOST.EXE (LOKALER DIENST) lädt die Dienste

      • LmHosts

      • RemoteRegistry

      • SSDPSRV

      • WebClient

    • SVCHOST.EXE (SYSTEM) lädt die Dienste

      • stisvc

System

  • Kontext: SYSTEM, kann nicht mit dem Task-Manager beendet werden.

  • Die meisten Threads des Kernelmodus werden in Form des Systemprozesses ausgeführt.

Taskmgr.exe

  • Kontext: USER, kann mit dem Task-Manager beendet werden.

  • Hierbei handelt es sich um den Prozess des Task-Managers selbst.

Winlogon.exe

  • Kontext: SYSTEM, kann nicht mit dem Task-Manager beendet werden.

  • Dieser Prozess ist für das Verwalten von Benutzeran- und -abmeldung zuständig. Zudem ist der Winlogon-Prozess nur aktiv, wenn der Benutzer [STRG]+[ALT]+[ENTF] gedrückt hat. Er zeigt dann das Dialogfeld "Windows-Sicherheit" an.

Wmiprvse.exe

  • Kontext: NETZWERKDIENST, kann nicht mit dem Task-Manager beendet werden.

  • Wmiprvse.exe behandelt WMI (Windows Management Infrastructure) Operationen