Wichtige Systemprozesse

Direkt nach dem Systemstart laufen bereits über 50 Prozesse, auf älteren Systemen auch gern mal 80 oder mehr. Das sind die wichtigsten:

svchost.exe: Im Process Explorer taucht die Datei „svchost.exe“ mehrmals auf. Das ist eine Art Überprozess. Er dient als Host für einen oder mehrere Dienste. So verwendet etwa der Windows Defender einen Dienst, für den ein Prozess von „svchost.exe“ als Host dient.

Jede Instanz von „svchost.exe“ umfasst andere Dienste. Je nachdem wieviele Dienste aktiv sind, gibt es mehr oder weniger Instanzen der „scvhost.exe“. Wenn Sie sehen wollen, welche Dienste in einer gemeinsamen Instanz der „svchost.exe“ laufen, dann öffnen Sie zunächst den Registrierungs-Editor. Drücken Sie [Windows R] und geben Sie regedit ein. Navigieren Sie zu dem Schlüssel „HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\svchost“. Dort sehen Sie die Dienste-Gruppen. So starten etwa die Dienste „Power“, „Plug & Play“ und „DcomLaunch“ in einer gemeinsamen Instanz der „svchost.exe“.

Um umgekehrt zu sehen, welche Dienste hinter einer bestimmten Instanz der „svchost.exe“ versammelt sind, öffnen Sie zunächst die Eingabeaufforderung. Dazu drücken Sie [Windows R] und geben cmd ein. Der Befehl tasklist /svc listet dann die Details auf: Unter „Abbildname“ finden Sie die Instanzen der Datei „svchost.exe“. Und dahinter stehen in der Spalte „Dienste“ die entsprechenden Windows-Dienste.

lsass.exe: Das ist der lokale Sicherheit-Authentifizierungsserver – Local Security Authority Subsystem Service. Er prüft, ob die Anmeldung an Ihrem Benutzerkonto korrekt ist. Das Ergebnis wird dann in Form eines Tokens an den Prozess „winlogon.exe“ übergeben. Wenn alles stimmt, dann startet Winlogon die Bedienoberfläche von Windows, also den Desktop.

winlogon.exe: Der Prozess „winlogon.exe“ hat viele Aufgaben: Er sorgt dafür, dass Sie sich an- und abmelden können. Deshalb läuft der Prozess immer im Hintergrund mit. Er überprüft auch den Aktivierungscode von Windows.

Nach dem Anmelden lädt Winlogon Ihr Benutzerprofil in die Registry unter „HKEY_CURRENT_USER“.

Winlogon überwacht auch Tastatur- und Mausaktivitäten, um zu bestimmen, wann der Bildschirmschoner aktiviert wird.

smss.exe: Das steht für Session Manager Subsystem. Der Prozess ist für den Start einer Benutzersitzung zuständig. Zudem startet er die Prozesse „winlogon.exe“ und „csrss.exe“ und wartet dann darauf, dass einer der beiden beendet wird. Wenn dies ordnungsgemäß geschieht, dann wird Windows heruntergefahren.

Zudem erstellt der Prozess die Umgebungsvariablen, etwa „%PATH%“ und „%APPDATA%“.

csrss.exe: Das ist das Client/Server Runtime Subsystem. In alten Windows-Versionen war dies ein zentraler Prozess, da er die grafische Bedienoberfläche und das Graphics Device Interface verwaltete. Später wanderten diese Komponenten in den Kernel.

Heute ist die Hauptaufgabe des Prozesses die Verwaltung der Kommandozeile und das Starten von Prozessen. „csrss.exe“ ist der einzige Prozess, der als kritisch markiert ist. Wenn er unerwartet beendet wird, führt dies zu einem heftigen Absturz des Betriebssystems.

Alle anderen Dienste und Prozesse lassen sich – die richtige Reihenfolge vorausgesetzt – vom Benutzer beenden, ohne dass Windows abstürzt. Der Task-Manager verweigert folgerichtig das Beenden von „csrss.exe“.

Achtung: Process Explorer beendet den Prozess nach Nachfrage. Das hat einen sofortigen Bluescreen zur Folge. Und danach haben Sie Probleme, Windows wieder zum Laufen zu bringen.

dwm.exe: Das ist der Desktop-Fenster-Manager. Er ist für grafische Effekte wie Aero Glas zuständig. Außerdem verwaltet er alle Programmfenster und setzt deren Oberflächen auf dem Bildschirm zusammen.

spoolsv.exe: Dahinter verbirgt sich die Druckerwarteschlange. Damit lassen sich Druckaufträge und Faxe im Hintergrund nacheinander abarbeiten, während Sie unbeeinträchtigt weiterarbeiten können. Normalerweise finden Sie „spoolsc.exe“ im Verzeichnis „C:\Windows\System32“. Indem Sie den Prozess kurz unterbrechen, lassen sich alle Druckaufträge löschen, die sich noch nicht im Speicher des Druckers befinden.

services.exe: Dies ist der Dienststeuerungsmanager, der Systemdienste startet und beendet. Beim Systemstart ruft der Prozess alle Dienste auf, die als Startmodus „automatisch“ haben. Der Prozess teilt zudem Programmen wie dem Windows-Explorer mit, wenn sich ein Netzlaufwerk mit einem Laufwerkbuchstaben verbunden hat oder entfernt wurde.

System: Der System-Prozess wird von der Windows-Update-Funktion und anderen Diensten verwendet. Er hat immer die PID 4. Jedes Mal, wenn Sie ein Programm starten oder eine Datei öffnen, stoßen Sie damit eine ganze Reihe von Aktivitäten an, die alle im System-Prozess zusammengefasst sind. Beispielsweise wird der Virtual Memory Manager aus dem Schlaf geholt, um der Datei Arbeitsspeicher zuzuweisen. Deshalb steigt bei jedem Starten und Beenden eines Programms die Prozessorlast des System-Prozesses an.

Wenn Sie den System-Prozess in Process Explorer anklicken, dann sehen Sie im unteren Teil sämtliche Treiber des Betriebssystems.

Leerlaufprozess: Der Leerlaufprozess ist eigentlich gar kein Prozess. Dementsprechend hat er auch keine Prozess-ID, auch wenn viele Programme ihm die PID 0 zuweisen.

Wenn der Task-Manager oder ein anderer Prozessmonitor anzeigen, dass der Leerlaufprozess eine CPU-Auslastung von über 90 Prozent beansprucht, dann ist das kein Anlass zur Sorge. In Wirklichkeit bedeutet es, dass die CPU gerade wenig zu tun hat. Dem Leerlaufprozess wird dann die übrige CPU-Zeit zugeordnet. Er zeigt also an, wie viel CPU-Last gerade nicht von anderen Prozessen erzeugt wird.