Raw Record Source

{
  "$type": "site.standard.document",
  "bskyPostRef": {
    "cid": "bafyreihjab63rauk62d54iy5geiegxnt3xepv5fi5b5e4u7itonahwnv64",
    "uri": "at://did:plc:lcqnmkieaiknpxjwvmcefo6g/app.bsky.feed.post/3mmbmlij5wd22"
  },
  "coverImage": {
    "$type": "blob",
    "ref": {
      "$link": "bafkreifdalx5xchxekqoewojqyn77qogubsecy3xm2keuoxohfmgykyei4"
    },
    "mimeType": "image/jpeg",
    "size": 253661
  },
  "path": "/article/3129951/windows-startprozesse-anzeigen-sysmon-integriert-tool.html",
  "publishedAt": "2026-05-20T08:30:00.000Z",
  "site": "https://www.pcwelt.de",
  "tags": [
    "Windows",
    "Im Frühjahr hat Microsoft den System Monitor, kurz Sysmon, über ein Update ins Betriebssystem integriert.",
    "Download",
    "Sysinternals-Suite",
    "Mark Russinovich",
    "Webseite",
    "veröffentlicht",
    "hier",
    "Virustotal",
    "gratis zum Download",
    "Procmon",
    "Sysmon"
  ],
  "textContent": "Bei Windows bleibt vieles unter der Oberfläche verborgen. Bereits beim Starten fährt das Betriebssystem mehrere Anwendungen hoch, initialisiert Treiber und sucht nach neuen Software-Updates. Viele Programme, die Windows automatisch lädt, werden anschließend als Prozesse im Arbeitsspeicher ausgeführt und laufen unsichtbar im Hintergrund.\n\nDer Task-Manager, erreichbar über einen Rechtsklick auf die Taskleiste und Auswahl von „Task-Manager“, zeigt unter „Prozesse“ eine lange Liste. Doch die ist beileibe nicht vollständig, so fehlen darin beispielsweise:\n\n  * Prozesse im Kernel-Modus. Dazu gehören unter anderem die Kernel-Threads, also die Aufgaben, die der Kern des Betriebssystems ausführt. Der Task-Manager fasst sie unter der Bezeichnung „System“ zusammen.\n  * Gerätetreiber sowie einige Dienste, die über die Registrierdatenbank gestartet werden.\n  * Browser-Tabs und ‑Erweiterungen. Es kommt vor, dass der Task-Manager beispielsweise 20 Instanzen von chrome.exe anzeigt, aber nicht verrät, welche Webseiten in den einzelnen Tabs geladen sind. Auch die Bezeichnungen von Powershell-Skripten gibt der Task-Manager nicht preis.\n  * Im Hintergrund laufende Virenprogramme, die sich mit verschiedenen Techniken getarnt haben.\n\n\n\nFür eine vollständige Liste der laufenden Prozesse müssen Sie daher auf andere Tools ausweichen. Im Frühjahr hat Microsoft den System Monitor, kurz Sysmon, über ein Update ins Betriebssystem integriert.\n\nZuvor war er als eigenständiger Download sowie als Teil der Sysinternals-Suite bei Microsoft erhältlich. Das Programm läuft nach der Installation unsichtbar als Dienst im Hintergrund und platziert seine Meldungen im Ereignisprotokoll von Windows.\n\n## Verdächtige Prozesse erkennen\n\nDer Entwickler der Sysinternals-Suite, Mark Russinovich, hat aufgelistet, was einen Prozess verdächtig macht:\n\n  * In den Details findet man keine Symbole, Beschreibungen oder Firmennamen.\n  * Der Prozess wird aus einem Windows-Verzeichnis oder einem Benutzerprofil heraus ausgeführt.\n  * Er wurde mit einem falschen, übergeordneten Prozess gestartet.\n  * Der Prozessname ist falsch geschrieben.\n  * Der Prozess besteht aus nicht signierten, ausführbaren Dateien.\n  * Die ausführbaren Dateien des Prozesses sind gepackt.\n  * Der Prozess hostet verdächtige DLLs oder Dienste.\n  * Er besitzt offene TCP/IP-Endpunkte.\n  * Er enthält in seiner ausführbaren Datei ungewöhnliche URLs oder Zeichenfolgen.\n\n\n\n## Sysmon installieren und starten\n\nZum Installieren von Sysmon tippen Sie _system_ ins Suchfeld der Taskleiste und klicken auf den Treffer „Systemsteuerung“. Klicken Sie dort in der Symbolansicht auf „Programme und Features“ – oder in der Kategorieansicht auf „Programm deinstallieren“ – und gehen im folgenden Fenster auf der linken Seite auf „Windows-Features aktivieren oder deaktivieren“.\n\nScrollen Sie nach unten, setzen ein Häkchen vor „Sysmon“ und bestätigen mit „OK“. Windows kopiert nun die Sysmon-Dateien auf Ihren Rechner. Danach klicken Sie auf „Schließen“ und booten den PC neu.\n\nNach einem Windows-Update im Frühjahr lässt sich Sysmon sich nun direkt über die Liste „Programme und Features“ in der Systemsteuerung einrichten.\n\nRoland Freist\n\nIn einem zweiten Schritt wird Sysmon nun eingerichtet und aktiviert. Dazu starten Sie die Eingabeaufforderung, indem Sie den Befehl _cmd_ ins Suchfeld der Taskleiste tippen. Damit öffnen Sie das Startmenü mit dem Eintrag „Eingabeaufforderung“. Diesen klicken Sie auf der rechten Fensterseite mit „Als Administrator ausführen“ an und bestätigen die Sicherheitsabfrage.\n\nDie Eingabeaufforderung zeigt in der Voreinstellung den Ordner C:\\Windows\\System32. In diesem Ordner liegt auch die Datei sysmon.exe. Sie können also einfach den Befehl _sysmon.exe -i_ eingeben und die Enter-Taste drücken.\n\nDie endgültige Inbetriebnahme des Systemmonitors erfolgt mit dem Befehl sysmon.exe -i in der Eingabeaufforderung.\n\nRoland Freist\n\nDaraufhin erscheinen einige Systemmeldungen. Ganz unten steht „Sysmon started“. Damit ist die Installation abgeschlossen, Sysmon läuft indessen als Dienst im Hintergrund. Über den Befehl _sysmon.exe -u_ können Sie das Tool später auch wieder deinstallieren.\n\nSie können die Installation überprüfen, indem Sie _Dienste_ ins Suchfeld der Taskleiste eingeben, in der Liste nach unten scrollen und doppelt auf den neuen Eintrag „Sysmon“ klicken. Als Starttyp sollte dort „Automatisch“ eingestellt sein, neben Diensttyp sollte „Wird ausgeführt“ stehen.\n\nSysmon wird in Windows als Dienst ausgeführt. Ein Blick in die Liste der Dienste in der Systemsteuerung zeigt, ob das Programm gestartet ist.\n\nRoland Freist\n\n## Die Sysmon-Meldungen einsehen\n\nSysmon besitzt keine eigene Bedienoberfläche. Stattdessen schickt der Dienst die protokollierten Ereignisse wie den Start und die Beendigung von Programmen sowie Benachrichtigungen über das Laden von Treibern an die Ereignisanzeige.\n\nDieses Tool rufen Sie auf, indem Sie _event_ ins Suchfenster der Taskleiste eingeben und auf den Treffer „Ereignisanzeige“ klicken.\n\nIm Fenster der Ereignisanzeige klicken Sie im Fenster ganz links auf den kleinen Pfeil vor „Anwendungs- und Dienstprotokolle“. Bis anschließend die Unterordner angezeigt werden, kann es einen Moment dauern. Folgen Sie dem Pfad „Microsoft > Windows > Sysmon > Operational“. Im Fenster in der Mitte sehen Sie nun die Ereignisse, die Sysmon registriert hat.\n\nSysmon besitzt keine eigene Bedienoberfläche, sondern kommuniziert ausschließlich über die Ereignisanzeige mit dem Benutzer. Wichtig ist der Bereich in der Mitte.\n\nRoland Freist\n\nBitte nicht erschrecken, denn dort kommen schnell einige Tausend Einträge zusammen. Das aber ist normal und kein Grund zur Beunruhigung. Sysmon arbeitet sehr penibel und zeichnet wirklich alle Programm- und Treiberaktivitäten auf Ihrem Rechner auf.\n\nNach einem Doppelklick auf ein von Sysmon protokolliertes Ereignis erfahren Sie, wie die zugehörige EXE-Datei heißt und um welches Programm es sich dabei handelt.\n\nRoland Freist\n\nKlicken Sie einige der Einträge doppelt an, um sie zu öffnen. Sie werden schnell sehen, dass die meisten davon uninteressant sind. Welche Anwendung das Ereignis ausgelöst hat, erkennen Sie jeweils am Pfad neben „Image“.\n\nSysmon legt die protokollierten Ereignisse in einer eigenen Datei ab. Diese finden Sie im Ordner C:\\Windows\\System32\\winevt\\Logs unter der Bezeichnung _Microsoft-Windows-Sysmon%4Operational.evtx_.\n\nDie Ereignisanzeige erlaubt in der Voreinstellung Protokolle bis zu einer Größe von 65.536 KB, das entspricht 64 MByte. Sobald dieser Wert erreicht ist, überschreibt die Ereignisanzeige jeweils die ältesten Ereignisse. Das kann bereits nach wenigen Tagen der Fall sein.\n\nDas Sysmon-Protokoll kann in der Voreinstellung bis maximal 64 MByte groß werden. Zur besseren Protokollierung sollten Sie diesen Wert auf 256 oder mehr Megabytes erhöhen.\n\nRoland Freist\n\nEs empfiehlt sich daher, die maximale Protokollgröße heraufzusetzen, beispielsweise auf 256 MByte. Klicken Sie dazu in der Ereignisanzeige mit der rechten Maustaste auf den Ordner „Operational“ und dort auf „Eigenschaften“. Im Abschnitt Protokollierung können Sie die maximale Größe entsprechend ändern.\n\n## Die Sysmon-Protokolle auswerten\n\nWenn Sie in der Ereignisanzeige oben im mittleren Fenster ein Ereignis markieren, erscheinen darunter wichtige Erläuterungen. In der dritten Zeile stehen jeweils Datum und Uhrzeit und wann das Ereignis stattgefunden hat.\n\nIn der Zeile „Image“ sehen Sie den vollständigen Pfad inklusive Dateinamen, darunter die jeweilige Dateiversion. Die vier folgenden Einträge enthalten die Beschreibung, den Produktnamen, den Hersteller sowie den ursprünglichen Dateinamen.\n\nSysmon ist ein leistungsfähiges Werkzeug für die Suche nach Schadsoftware, die sich im System eingenistet hat und dort dauerhaft aktiv ist. Zur Analyse gehen Sie die Ereignisliste mit den Pfeiltasten durch und achten dabei auf alle Ereignisse, die von unbekannten oder verdächtig anmutenden Anwendungen ausgelöst wurden. Sehen Sie sich auch eventuelle Treiberänderungen genau an.\n\n## Sysmon-Ereignisse eingrenzen\n\nSie werden schnell feststellen, dass die Suche nach verdächtigen Ereignissen eine langwierige Angelegenheit ist. Die meisten Ereignismeldungen stammen von unverdächtigen Anwendungen wie Ihrem Browser oder Microsoft Edge Webview2.\n\nDas wird für die Darstellung von Webinhalten in Windows-Programmen wie Teams oder Outlook genutzt. Um solche uninteressanten Ereignisse aus der Liste herauszufiltern, können Sie in Sysmon eine Konfigurationsdatei im XML-Format laden.\n\nEine solche Datei von Grund auf selbst aufzubauen, ist nicht einfach. Microsoft hat daher auf seiner Website eine einfache Grundversion einer solchen Konfigurationsdatei veröffentlicht. Diese filtert zunächst einmal alle Ereignisse heraus, die sich auf Treiber mit einer anderen Signatur als Microsoft oder Windows beziehen.\n\nAußerdem werden alle Ereignisse zur Beendigung von Prozessen und zu Netzwerkverbindungen über die Ports 80 und 443 herausgefiltert. Über diese Ports laufen die klassischen Webprotokolle HTTP und HTTPS.\n\nUm die Konfigurationsdatei zu laden, öffnen Sie diese Webseite, scrollen dort nach unten zum Abschnitt „Konfigurationsdateien“ und klicken dort rechts auf den Button „Kopieren“.\n\nFügen Sie den Text in den Editor von Windows ein, gehen auf „Datei > Speichern unter“, stellen bei Dateityp „Alle Dateien (*.*)“ ein, ändern neben Dateiname die Endung von txt in xml und speichern das File unter einem frei wählbaren Namen wie _config_sysmon.xml_ in einem beliebigen Ordner.\n\nAuf seiner Website hat Microsoft ein Beispiel für eine Sysmon-Konfigurationsdatei veröffentlicht. Diese kann von jedem Benutzer beliebig angepasst werden.\n\nRoland Freist\n\nDer Microsoft-Mitarbeiter, der diese Datei angelegt hat, heißt Moti Bani. Er hat darüber hinaus auf Github eine erweiterte Version mit dem Dateinamen _config-v17.xml_ veröffentlicht.\n\nKlicken Sie den Dateinamen auf der Webseite an und gehen Sie im folgenden Fenster in der Symbolleiste auf das Downloadsymbol mit der Quickinfo „Download raw file“. Die Datei landet daraufhin in Ihrem Downloadordner.\n\nMoti Bani versteht beide Dateien als Vorlagen, die von Anwendern nach eigenen Vorstellungen und Bedürfnissen angepasst werden können. Hilfestellung dazu gibt es auf der oben angegebenen Downloadseite von Sysmon oder hier.\n\n## Eine Sysmon-Konfiguration laden\n\nUm eine XML-Konfigurationsdatei mit Sysmon zu laden, benötigen Sie wieder die Eingabeaufforderung mit Administratorrechten. Tippen Sie dort den Befehl _sysmon.exe -i [Pfad zur XML-Datei]_ ein. Wenn die Datei beispielsweise _config_sysmon.xml_ heißt und im Ordner C:\\Temp liegt, lautet der Befehl _sysmon.exe -i C:\\Temp\\config_sysmon.xml_.\n\nWenn Sie zu einer anderen Konfigurationsdatei wechseln wollen, etwa zu config-v17.xml, dann geben Sie _sysmon.exe -i C:\\Temp\\config-v17.xml_ ein – vorausgesetzt natürlich, auch diese Datei befindet sich im Ordner C:\\Temp. Falls Sie Sysmon wieder in den Ausgangszustand versetzen und alle Konfigurationen löschen möchten, verwenden Sie den Befehl _sysmon -c —_.\n\n## Was tun nach der Auswertung?\n\nWenn Ihnen ein laufender Prozess oder geladener Treiber seltsam vorkommt, so sollten Sie in einem ersten Schritt den Virenscanner Ihres Antivirentools starten und eine vollständige Überprüfung durchführen lassen.\n\nAuch dann, wenn das mehrere Stunden dauert. Ergänzend können Sie die im Ereignisprotokoll angegebene Datei zu Virustotal hochladen und dort analysieren lassen.\n\nSie können Sysmon natürlich auch einfach nur einsetzen, um Ihren Rechner etwas zu entlasten. Überlegen Sie sich dann, auf welche der geladenen Prozesse beziehungsweise Programme Sie verzichten können.\n\nSuchen Sie dann den angegebenen Pfad auf und benennen Sie die angegebene Datei vorsichtshalber zunächst nur um. Starten Sie Ihren Computer neu und beobachten Sie, was passiert. Falls es zu keinen Störungen kommt, können Sie das Programm endgültig deinstallieren.\n\n## Process Monitor versus System Monitor\n\nEs gibt diverse Tools, um die laufenden Prozesse vollständig aufzulisten. Dazu zählen neben Sysmon auch der Process Monitor, kurz Procmon. Dieser stammt ebenfalls von Mark Russinovich oder seiner Firma Sysinternals.\n\nMicrosoft hat Russinovich längst als Chief Technology Officer eingestellt und bietet die Sysinternals-Tools gratis zum Download.\n\nDer Hauptunterschied zwischen Sysmon und Procmon ist, dass Procmon eine Momentaufnahme aller aktuell laufenden Prozesse liefert. Sysmon hingegen läuft dauerhaft im Hintergrund und protokolliert den Start und das Beenden der Windows-Prozesse.\n\nProcmon steht zum Download bereit. Auch Sysmon findet man als Download bei Microsoft – alternativ zur Installation über Windows 11.\n\nAuch der Process Monitor liefert eine Übersicht der geladenen Dienste. Im Unterschied zu Sysmon zeigt er jedoch lediglich eine Momentaufnahme.\n\nRoland Freist",
  "title": "Dieses versteckte Windows-Tool deckt jeden laufenden Prozess auf"
}