11 Legitime Windows-Prozesse, die wie Malware aussehen

Windows-Prozesse spielen eine entscheidende Rolle für das ordnungsgemäße Funktionieren Ihres PCs oder Laptops. Einige, wie csrss.exe und winlogon.exe, sind so wichtig, dass Sie, wenn Sie sie versehentlich beenden, Ihr Gerät zum Absturz bringen können. Malware-Autoren nutzen diese Kritikalität aus, um gesunde Windows-Systeme zu infizieren. Die Prämisse ist, dass Viren, Adware, Spyware und Trojaner nach Belieben benannt werden können – sogar nach standardmäßigen Windows-Systemprozessen.

Im Folgenden finden Sie einige der führenden Windows 11 und 10 Prozesse, die oft fälschlicherweise mit ihrer Namensvetter-Malware verwechselt werden. Erfahren Sie, wie Sie die Fälschungen erkennen können, falls sie auf Ihrem System erscheinen.

Inhaltsverzeichnis

• Wie man herausfindet, ob ein Windows-Prozess legitim ist
• 1. Explorer.exe
• 2. lsass.exe
• 3. RuntimeBroker.exe
• 4. Winlogon.exe
• 5. Svchost.exe
• 6. OfficeClickToRun.exe
• 7. igfxem.exe
• 8. Csrss.exe
• 9. GoogleCrashHandler.exe
• 10. Spoolsv.exe
• 11. Task-Manager
• Zusammenfassung: Warnsignale von Malware, die Windows-Prozessen ähnelt
• Häufig gestellte Fragen

Auch lesen: Wie man ein Laufwerk in FAT32 in Windows formatiert

Wie man herausfindet, ob ein Windows-Prozess legitim ist

Es gibt zwei Möglichkeiten, um zu überprüfen, ob ein Windows-Prozess legitim oder eine Malware-Quelle ist: durch seine Anwendungsattribute und die Verwendung externer Werkzeuge wie CrowdInspect von CrowdStrike.

1. Überprüfung der Legitimität eines Windows-Prozesses durch seine Eigenschaften

Alle autorisierten Windows-Prozessdateien sind mit der Microsoft Corporation, dem offiziellen Programm-/App-Entwickler oder einem integrierten Microsoft-Konto wie TrustedInstaller.exe verbunden, das Ordner wie WindowsApps verwaltet.

Um festzustellen, ob ein Windows 11 oder 10 Prozess legitim ist und keine Malware-Quelle darstellt, müssen Sie unter die Haube in seinen Anwendungsattributen schauen. Gehen Sie zum Tab „Details“ und finden Sie den offiziellen Copyright-Inhaber des Prozesses. Wenn es Microsoft, einen App-Entwickler oder TrustedInstaller ist, sind Sie auf der sicheren Seite.

Auch in Windows 11/10 können Sie den Tab “Digitale Signaturen” der Eigenschaften eines Prozesses überprüfen. Hier finden Sie die offiziellen digitalen Signaturen mit den neuesten Zeitstempeln, die Ihnen eine zusätzliche Sicherheitsebene bieten.

Da das Signieren eines Treibers für diese Prozesse standardmäßige Microsoft-Berechtigungen erfordert (außerdem wird jeder unbefugte Zugriff auf den Geräte-Root durch den UEFI-Secure-Boot verhindert), ist es derzeit unmöglich für Malware-Autoren, die digitalen Signaturen in Windows 11 zu fälschen.

Von den alltäglichen bis hin zu den kritisch wichtigen, wie „services.exe“ oder „svchost.exe“, sind alle Windows 11 Prozesse digital signiert mit Zeitstempeln. Bei jedem erfolgreichen Windows-Update wird diese Authentifizierung erneut überprüft.

Andererseits könnten die Eigenschaften von Windows 10-Prozessen den Tab Digitale Signaturen ganz fehlen. Zudem werden einige der Prozesse möglicherweise nicht korrekt die Copyright-Informationen anzeigen.

Jedoch zeigt in Windows 10 ein systemkritischer interner Prozess wie Winlogon.exe immer diese Informationen an. Sie können die Authentizität der Software auf andere Weise überprüfen. Wenn Sie unsignierte Treiber in Windows 10 oder 11 installieren, werden sie bei einem nachfolgenden Neustart keine digitalen Signaturen anzeigen.

Auch lesen: 11 legitime Windows-Prozesse, die wie Malware aussehen

2. Überprüfung der Legitimität eines Windows-Prozesses mit CrowdInspect

Sowohl in Windows 10 als auch in Windows 11 können Sie die Authentizität einer Prozessdatei über eine externe Softwareanwendung überprüfen: CrowdInspect von CrowdStrike. CrowdInspect ist ein kostenloses, host-basiertes und Echtzeit-Prozessinspektionswerkzeug, das nach Hintergrund-Malware sucht, indem es Erkennungsmaschinen wie VirusTotal verwendet.

1. Laden Sie die CrowdInspect-ZIP-Datei von dem offiziellen Link herunter und klicken Sie auf das entpackte Programm, um es zu starten. Sie müssen nichts installieren.
2. Akzeptieren Sie eine Lizenzvereinbarung und fahren Sie mit dem Bildschirm fort, auf dem Sie eine hybride Analyse aller Hintergrundprozesse auf Ihrem Windows-Gerät durchführen können. Verwenden Sie den integrierten API-Schlüssel und klicken Sie auf „OK“.

1. Warten Sie, bis CrowdInspect Ihren Bildschirm mit dem gesamten Set an Hintergrundprogrammen und Prozessen auf Ihrem Windows-Gerät ausfüllt.

Sie können den Status von Programmen durch Farbsymbole überprüfen. Jedes Element, das sauber ist, wird durch ein grünes Symbol angezeigt. Bei Zweifeln sehen Sie Fragezeichen neben dem Symbol. Für Elemente mit niedrigem Schweregrad gibt es ein gelbes Symbol. Elemente mit hoher Bedrohungsstufe werden durch ein rotes Symbol angezeigt. Wenn Ihr Gerät gesund ist, werden Sie keine gelben oder roten Symbole sehen.

1. Um weiter zu überprüfen, dass es keine Malware-Bedenken gibt, klicken Sie mit der rechten Maustaste auf den Prozess und klicken Sie auf „HA-Test Ergebnisse anzeigen“. Sie sollten keine Fehler bemerken, ein sicheres Zeichen, dass Sie es nicht mit Malware zu tun haben.

Auch lesen: Wie man Windows herunterfährt und startet Zeitplan

Liste gängiger Windows 11/10 Prozesse, die Malware ähnlich sehen

1. Explorer.exe

Das universelle Windows-Dateiexplorer-Programm, explorer.exe, ist leicht über die Taskleiste und den Desktop zugänglich. Sein Hauptzweck ist es, als Dateimanager für alle Dateien und Ordner Ihres Windows 11/10 Geräts zu dienen. Aufgrund seiner vitalen Bedeutung ist das Programm explorer.exe ein beliebtes Ziel für Angreifer.

Virus Erkennung: Malware in explorer.exe zeigt sich normalerweise als Trojaner, Ransomware (insbesondere per E-Mail) und Adobe Flash-Dateien. Das legitime Programm befindet sich immer in „C:\Windows“, und die Duplikate können auf dem D-Laufwerk, in Programmdateien, in versteckten Ordnern oder an einem anderen PC-Standort erscheinen.

Handlung: Wenn es zwei bis drei Instanzen von explorer.exe auf Ihrem Gerät gibt, brauchen Sie sich keine Sorgen zu machen, solange sie alle gültige digitale Signaturen und Standorte haben. Wenn mehrere Prozesse die CPU beanspruchen, identifizieren Sie die gefälschten in CrowdInspect, klicken Sie dann mit der rechten Maustaste, um den Prozess „zu beenden“.

2. lsass.exe

lsass.exe steht für Local Security Authority Subsystem Service, der hinter Ihrer Windows-Benutzerauthentifizierung arbeitet. Neben der Malware sollten Sie die ursprünglichen Prozesse nicht beenden, da dies dazu führt, dass Ihr System den Zugriff auf Admin- und lokale Konten verliert, was einen Geräte-Neustart erforderlich macht.

Virus Erkennung: Eine übliche Methode, wie Malware-Autoren lsass verschleiern, besteht darin, das kleine „l“ durch ein „i“ in Großbuchstaben oder ein großes „L“ zu ersetzen. Achten Sie auf absichtliche Falschschreibungen. Auch ungültige digitale Signaturen und Dateien, die sich außerhalb des Ordners „C:\Windows\System32“ befinden, sind ein offensichtliches Indiz.

Handlung: Beenden Sie die gefälschten lsass-Prozesse im Task-Manager. Wenn Sie sich nicht sicher sind, ob es ein „l“ oder ein „i“ ist, tun Sie dasselbe in CrowdInspect. Mehrere gültige lsass-Instanzen sind in Ordnung und sollten nicht verändert werden.

3. RuntimeBroker.exe

RuntimeBroker.exe ist ein sicherer Microsoft-Prozess, der die Berechtigungen für alle aus dem Microsoft Store heruntergeladenen Apps verwaltet. Es überprüft die Authentizität von Programmen wie der Foto-App. Wenn eine App nicht auf Ihrem Windows-Gerät gehört, alarmiert Sie der Runtime Broker, indem er viel zusätzlichen Speicher verbraucht.

Virus-Erkennung: Wenn Ihr Windows-Gerät mit dem Virus RuntimeBroker.exe infiziert ist, werden Sie dessen Anwesenheit an anderen PC-Standorten neben „C:\Windows\System32“ sehen. Da das Programm nicht legitim ist, werden die Speicherlecks in die Höhe schießen, was Ihre CPU belastet. Sie werden auch eine ungültige digitale Signatur für die gefälschten Instanzen bemerken.

Handlung: Öffnen Sie den Task-Manager. Klicken Sie auf mehrere gültige Instanzen des Runtime Brokers und klicken Sie auf „Task beenden“. Dies wird Probleme mit einer bestimmten App beenden. Für die gefälschten RuntimeBroker.exe-Einträge beenden Sie sie in CrowdInspect.

4. Winlogon.exe

Wenn es um Windows-Hintergrundprozesse geht, gibt es nichts Wichtigeres als winlogon.exe. Es steuert nicht nur den Anmeldeprozess, sondern lädt auch Benutzerprofile, steuert den Bildschirmschoner und verbindet sich mit mehreren Netzwerken. Es befindet sich in „C:\Windows\System32“.

Virus-Erkennung: Oft eine Spyware- oder Keylogger-Anwendung, ist winlogon.exe eine sehr gefährliche Malware, die dazu führen kann, dass Systeme abstürzen, was leicht zu erkennen ist. Wenn Sie Windows Defender aktiviert haben, wird er Sie warnen, die Datei sofort zu löschen und alle verwendeten Vektoren (E-Mail, Webbrowser) zu beenden.

Handlung: Die sichere ausführbare Datei winlogon.exe hat in CrowdInspect nicht mehr als eine Instanz. Die anderen gefälschten Instanzen sollten bei Ankunft mit den Vorschlägen von Windows Defender gelöscht werden.

5. Svchost.exe

Svchost.exe bezieht sich auf Windows „service host“, einen gemeinsamen Dienstprozess, der als Shell für verschiedene Windows-Dienste dient. Je nach Anzahl der offenen Anwendungen gibt es normalerweise viele svchost.exe-Instanzen, die als individuelle Prozesse ausgeführt werden.

Virus-Erkennung: Sie werden auf einen svchost.exe-Malwarevorfall stoßen, wenn Sie einen geschützten Ordner oder ein Programm finden, das durch einen Duplikatprozess oder mit Varianten in der Schreibweise wie „svhosts.exe“ blockiert wird. Sie sind meist Ransomware oder Banking-Betrugswerkzeuge. Ihre Quellen umfassen PDF-Dateien, ZIP-Dateien und JavaScript.

Handlung: Diese Trojaner sind in der Regel eine niedriggradige Bedrohung, sollten jedoch so schnell wie möglich entfernt werden. Standard-Tools zum Scannen von Viren und Windows Defender sind in der Lage, alle Diensthostinstanzen zu löschen, die sich nicht in „C:\Windows\System32“ befinden.

Auch lesen: Neueste Probleme mit Windows-Updates und deren Behebung

6. OfficeClickToRun.exe

Wenn Sie Office-Tools wie Word, Excel oder PowerPoint verwendet haben, sind Sie möglicherweise auf ein ausführbares Programm namens OfficeClickToRun.exe gestoßen. Seine Aufgabe besteht darin, die neuesten Microsoft Office-Versionen auf Ihrem Gerät auszuführen und die Updates zu verwalten. Selbst wenn es keine Malware ist, kann OfficeClickToRun.exe speicherintensiv für Ihre CPU sein. Wenn Sie jedoch regelmäßig temporäre Dateien löschen, ist es viel weniger belastend.

Virus-Erkennung: Ist die ausführbare Datei an einem anderen Speicherort als Program Files im Microsoft Shared-Ordner vorhanden? Die zusätzliche Datei ist ungesund für Ihr System. Auch Ihr Windows-Gerät sollte nur eine Instanz von OfficeClickToRun.exe ausführen. Überprüfen Sie die digitalen Signaturen für andere.

Handlung: Obwohl nicht schädlich an sich, können gefälschte Instanzen von OfficeClickToRun.exe Ihren Systemspeicher verstopfen. Sie kommen in der Regel durch infizierte Dateien und Dokumente, die umgehend gelöscht werden sollten.

7. igfxem.exe

igfxEM.exe ist ein wenig bekannter Hintergrundprozess, der entscheidend für das Management der Intel-Grafikkarte ist und daher sehr wichtig für die Anzeige des Grafikprozessors. Es ist vorinstalliert auf Ihrem Gerät und sollte in Ruhe gelassen werden, da es das System nicht belastet.

Virus-Erkennung: Wenn Sie mehr als eine Instanz von igfxEM (und seinen Falschschreibungen wie gezeigt) haben, überprüfen Sie die digitalen Signaturen. Wenn sie Intel und Microsoft anzeigen, gibt es keine Malware. Andernfalls haben Sie keine echte igfxEM-Datei, und dieser Prozess muss entfernt werden.

Handlung: Es sollten keine Maßnahmen ergriffen werden, wenn Sie gültige digitale Signaturen haben – selbst bei mehreren Intel-Instanzen. Wenn Ihre ursprüngliche Intel-Grafikkarte beschädigt zu sein scheint, versuchen Sie, den Treiber über „devmgmt.msc“, das Gerätemanagement, im Startmenü neu zu installieren.

8. Csrss.exe

Csrss.exe steht für Client Server Runtime Subsystem, ein legitimer Benutzerprozess, der dazu dient, Windows-Grafikaktivitäten wie das Herunterfahren der GUI und den Systemkonsole-Dienst zu verwalten. Es wird häufig fälschlicherweise für Malware gehalten. Es zu beenden, kann fatal für Ihr System sein und zu einem unumgänglichen Absturz führen.

Virus-Erkennung: Wie andere Programme in „C:\Windows\System32“ bleibt csrss.exe still im Hintergrund, und Sie werden nur ein oder zwei Instanzen in CrowdInspect finden. Verdächtige Dateien haben ungültige digitale Signaturen und fehlende Urheberrechtsangaben.

Handlung: csrss.exe wird oft von betrügerischen Sicherheitssoftwareunternehmen und Tech-Scammern als „Beweis“ verwendet, dass ein Gerät infiziert ist. Dies ist keine echte Malware, also sollten Sie den bestehenden Prozess niemals wegen falscher technischer Ratschläge beenden.

Auch lesen: Wie man DirectX in Windows neu installiert

9. GoogleCrashHandler.exe

Wenn Sie irgendwelche Google-Programme auf Ihrem Windows-Gerät haben, einschließlich Google Chrome, finden Sie ein ausführbares Programm namens GoogleCrashHandler.exe, das Teil der Google Updater-Pakete ist. Dies ist kein kritischer Windows-Komponente und kann sicher und einfach entfernt werden, aber es ist auch nicht immer Malware.

Virus-Erkennung: Wenn die digitale Signatur von GoogleCrashHandler.exe ungültig ist, das heißt, sie wurde nicht von Google signiert, dann sehen wir hier ein mögliches Zeichen einer Spyware- oder Rootkit-Infektion, da der normale Prozess sicher ist.

Handlung: Entfernen Sie eine oder alle Instanzen von GoogleCrashHandler.exe aus Ihrem System-Task-Manager, auch wenn es nicht immer Malware ist. Sie möchten die CPU nicht unnötig belasten, es sei denn, Sie möchten Absturzberichte an Google senden.

10. Spoolsv.exe

Spoolsv.exe ist ein authentischer Windows-Prozess, der in den Druckspooler-Dienst integriert ist, Schriftarten und Grafiken in Druckhardware und virtuelle Drucker übersetzt. Dies ist ein Kernprozess in Windows, der seit den Anfängen von MS-DOS existiert. Das Beenden eines gültigen spoolsv.exe-Prozesseintrags führt zu einem Maschinenausfall und einem Systemneustart.

Virus-Erkennung: Obwohl es einigen Malware ähnelt, ist spoolsv.exe ein sicherer legitimer Windows-Prozess. Alle zusätzlichen Prozesse werden keine digitalen Signaturen von Microsoft haben. Wenn Malware-Autoren einen ähnlichen Namen verwenden, um Ihr System anzuvisieren, sollte Windows Defender Sie darauf hinweisen.

Handlung: Es sollten keine Maßnahmen ergriffen werden, wenn der Prozess spoolsv.exe durch eine digitale Signatur von Microsoft validiert wurde. Andernfalls gehen Sie zum Task-Manager, um den Prozess zu beenden.

11. Task-Manager

Der Windows Task-Manager (taskmgr.exe) ist ein sehr wichtiges Programm, das alle grundlegenden Windows-Prozesse sowie die Anwendungen steuert. Das Herunterfahren dieses essentiellen Programms und seiner Derivate, wie taskhostw.exe, kann fatal für Ihr System sein, und Malware-Autoren sind sich dessen bewusst.

Virus-Erkennung: Wenn Sie das Gefühl haben, dass ein taskmanagerbezogenes Programm sich nicht korrekt verhält, überprüfen Sie dessen Dateiort, der sich in „C:\Windows\System32“ befinden sollte. Starten Sie Ihr Gerät neu, um zu sehen, ob das Problem verschwunden ist. Wenn die verdächtige Task-Manager-Instanz weiter besteht, sehen wir uns möglicherweise an, ob es sich um Malware handelt. Ein weiteres Zeichen ist, dass seine digitale Signatur ungültig wäre.

Handlung: Jede von Malware infizierte „Task-Manager“-ähnliche ausführbare Datei kann im Task-Manager selbst identifiziert und beendet werden. Wenn Sie jedoch auf den Fehler TaskSchedulerHelper.dll in Windows 10 stoßen, unternehmen Sie entsprechende Schritte wie gezeigt.

Zusammenfassung: Warnsignale von Malware, die Windows-Prozessen ähnelt

Hier ist eine schnelle Zusammenfassung, wie mit verdächtigen Prozessen umzugehen ist, die standardmäßigen Windows-Systemprozessen ähneln. Sie können möglicherweise mit Malware zu tun haben oder auch nicht, aber es ist wichtig, diese Warnzeichen im Auge zu behalten.

• Überprüfen Sie die Anwendungseigenschaftendetails auf das richtige Copyright: Jedes Programm in Windows 11 und Windows 10 hat einen Dateistandort. Von dort aus können Sie auf die „Details“ im Eigenschaften-Tab zugreifen. Stellen Sie sicher, dass das Copyright Windows, TrustedInstaller oder legitimen Prozessbesitzern wie Google, Intel, NVIDIA usw. gehört. Andernfalls haben wir es mit einer potenziellen Quelle für Malware zu tun, die vom System entfernt werden sollte.
• Überprüfen Sie die CPU-Nutzung der Windows-Prozessprogramme: Es ist üblich, dass die CPU-Nutzung von Windows ansteigt, wenn mehrere Systeme gleichzeitig ausgeführt werden. Wenn jedoch viele Instanzen desselben Programms das System verlangsamen, ist das besorgniserregend. Die unnötigen Programme sollten identifiziert und sofort beendet werden.
• Überprüfen Sie die verdächtigen Windows-Prozesse auf digitale Signaturen: Dies ist der wichtigste und einfachste Weg, um die Authentizität eines Prozesses zu überprüfen. Wenn die digitale Signatur eines Prozesses ungültig ist und nicht von vertrauenswürdigen Quellen stammt, besteht eine hohe Wahrscheinlichkeit, dass es sich um Malware handelt.
• Überprüfen Sie den Dateiort verdächtiger Prozesse: Die meisten Windows-Dateiprogramme haben einen klar definierten Standort auf Ihrem PC. Es kann „C:\Windows\System32“, die Programmdaten oder einen anderen gut definierten Standort sein. Sie sollten Instanzen dieses Prozesses nicht in anderen Bereichen, wie dem D-Laufwerk, finden, da dies auf die Möglichkeit von Malware hinweist.

Auch lesen: Wie man OpenVPN in Windows einrichtet

Häufig gestellte Fragen

1. Was sollte getan werden, wenn ein bestimmter Windows-Prozess tatsächlich schädlich ist?

Kein legitimer Windows-Prozess kann Ihrem System schaden. Wenn jedoch Duplikate solcher Prozesse vorhanden sind, die Malware enthalten, gehen Sie zu CrowdInspect, klicken Sie mit der rechten Maustaste auf diesen Prozess und klicken Sie auf „Prozess beenden“. Wenn Sie Windows Defender aktiviert haben, wird er sich um solche Malware-Instanzen kümmern. Lesen Sie auch, warum Windows Defender das einzige Antivirenprogramm ist, das Sie benötigen.

2. Was passiert, wenn Sie einen gültigen Windows-Prozess beenden, und wie können Sie sich davon erholen?

Wenn Sie versehentlich einen gültigen Windows-Prozess beenden, hängen die Folgen davon ab, wie kritisch der Prozess für Ihr System ist. Wenn es sich um einen nicht kritischen Softwareprozess handelt, hat das keine Auswirkungen auf ein Windows-Gerät.

Für Prozesse mit hoher Auswirkung wie winlogon.exe und csrss.exe hat Windows einen eingebauten Mechanismus, um deren versehentliches Beenden zu verhindern. Wenn Sie jedoch bestehen bleiben und versuchen, das System über den Task-Manager zu beenden, wird Ihr Gerät von selbst heruntergefahren, was einen Neustart erfordert. Im schlimmsten Fall kann dies zu einem vollständigen Ausfall und dauerhaften Schäden durch einen Absturz führen.

Wenn es sich um einen wenig wichtigen Prozess handelt, der für die planmäßigen Abläufe und Wartung von Windows unerlässlich ist, wird das System einen kritischen Fehler melden und automatisch heruntergefahren. Nach dem Start ist das Problem verschwunden.