Protokolliert Windows Programme, die ausgeführt / aufgerufen wurden?

36

Gibt es unter Windows ein Protokoll, in dem aufgezeichnet wird, welche Programme ausgeführt / aufgerufen wurden?

Beim Surfen im Internet, Anzeigen einer statischen Seite ohne Werbung, Mausklicks, Tastendruck oder verschiedene Plugins / Addons / Skripte wurde gerade eine spontane CMD.exe-Konsole geöffnet und dann blitzschnell geschlossen konnte nichts im Fenster sehen - und das ohne erkennbares Auslösen von meiner Seite.

Ich frage mich, ob es eine Art Windows-Protokoll gibt, das anzeigt, welche Programme ausgeführt / aufgerufen / aktiviert wurden. Ich würde gerne sehen, was sich hinter den Kulissen abspielte, als dieses Konsolenfenster aufleuchtete, und hoffentlich feststellen, dass es sich nicht um einen Schurken handelte.

Als Referenz verwende ich Windows 7 Ultimate x64.

windows-7 windows command-line logging event-log Kaltschwarz
quelle
War dies beim Start oder haben Sie etwas installiert?
Jan Doggen
Ich habe nur im Internet gebrowst - und nicht einmal aktiv. Ich las eine statische Webseite, die bereits geladen war, ohne dass Klicks, Tastendrücke oder Anfragen eingereicht wurden. Ich bearbeite die Frage jetzt, um sie zu verbessern, da ich wirklich frage, ob es eine Art Protokoll von Programmläufen / -initiationen und speziell eine Eingabeaufforderung gibt.
Coldblackice
Versuchen Sie, in der Ereignisanzeige von Windows zu sehen.
Stderr
@JanDoggen Es war mitten am Tag, nicht in der Nähe von Starts, Herunterfahren, Neustarts oder Installationen. Ich habe gerade in meinem Browser eine bereits geladene Seite gelesen, bei der alle Popups / Anzeigen / Skripte deaktiviert waren und für die keine Virenscans / Updates geplant waren. Außerdem konnte ich sehen, dass es sich um ein Eingabeaufforderungsfenster handelte, das blitzte und dann verschwand.
Coldblackice
1
Sie standen vor einem ähnlichen Problem und sind auf Ihre Frage gestoßen. Haben Sie herausgefunden, was das war?
Onkel Lem

Antworten:

29

Sie können nicht überprüfen, was ausgeführt wurde, aber Sie können sich auf das nächste Mal vorbereiten. Wenn Sie öffnen secpol.msc, können Sie zu gehen local policies/audit policy. Wenn Sie Success(und möglicherweise auch Failure) aktivieren Audit process tracking, wird jedes Mal, wenn ein Prozess gestartet oder beendet wird, ein Ereignisprotokolleintrag im Sicherheitsereignisprotokoll angezeigt. Leider sehen Sie den Prozess, der ausgeführt wurde, aber nicht die Befehlszeile, mit der er gestartet wurde.

Wenn Sie die Überwachung aktivieren, werden möglicherweise viele Protokolle generiert. Passen Sie daher die Größe des Sicherheitsereignisprotokolls an.

Sie können mit eventvwr.msc, Windows-Protokolle, Sicherheit auf die Protokolle zugreifen .

Werner Henze
quelle
Wenn ich die Befehlszeile nicht sehe, was sehe ich dann?
Dims
@Dims Wenn "notepad myfile.txt" gestartet wurde, sehen Sie "notepad", aber nicht "myfile.txt".
Werner Henze
@WernerHenze, Wie auch immer, um dies auf einem Heimcomputer zu tun? ... Windows kann nicht findensecpol.msc
Pacerier
@Pacerier Welche Windows Version / Edition?
Werner Henze
Wo befinden sich die Protokolle?
Tisaconundrum
10

Mark Russinovich Sysinternals Process Monitor macht das. Unter den Verfolgungsdateien / reg / Netzwerkzugriffen kann die Lebensdauer von Prozessen / Threads verfolgt und eine Menge Filterung ermöglicht werden.

Val
quelle
1
Wäre dies ausgeführt worden, um einen Prozess zu erfassen, der geöffnet wurde? Oder ist es in der Lage, die Thread-Lebensdauer unabhängig von Procmons Tracking zu melden?
Coldblackice
Was "das" ist unabhängig von pmon? Meinen Sie das Überwachen ohne den Monitor? Wie stellst du dir das vor?
Val
1
Was ich damit gemeint habe - müsste Process Monitor ausgeführt werden, um die Lebensdauer von Prozessen / Threads zu verfolgen, oder ist dieser global unabhängig von Process Monitor gespeichert?
Coldblackice
2
Process Monitor heißt es - ein Monitor. Es ist kein Windows Log Viewer. Es injiziert einige Treiber in die Windows-Kernfunktionen und protokolliert die Anrufe selbstständig. Sie können nicht ohne den Monitor überwachen. OK?
Val
1
Hoppla - Ich habe Process Monitor mit Process Explorer verwechselt. Process Explorer kann die Start- / Ausführungszeiten von Prozessen anzeigen, ohne beim ersten Start des jeweiligen Programms aktiv gewesen zu sein (Überwachung). Ich dachte, es wäre Process Explorer, von dem Sie gesprochen haben. Vielen Dank.
Coldblackice
2

Möglicherweise wurde eine geplante Aufgabe ausgeführt. Überprüfen Sie den Taskplaner auf Aufgaben.

Sie können auch die Ereignisanzeige auf alles überprüfen, obwohl sie wahrscheinlich nichts enthält.


quelle
-2

Gleiche hier Windows 7 Ultimate x64 (Spanisch).

Ich fand heraus, dass der Täter ist: C: \ Programme (x86) \ Microsoft Office \ root \ Office16 \ officebackgroundtaskhandler.exe

Anscheinend ist es ein Know Bug.

Jorge Ramirez
quelle
Dies ist wahrscheinlich nicht das Problem, auf das das ursprüngliche Poster gestoßen ist. Als ich jedoch die Audit-Protokollierung für Prozesse aktivierte (wie von Werner Herze vorgeschlagen), stellte sich heraus, dass dies das Problem in meinem Fall war. Ab Mai 2017 soll dies in einem zukünftigen Windows-Update "bald" behoben werden. Wenn das Problem nach der Aktualisierung von Windows weiterhin besteht (und Sie aus der Zukunft stammen), liegt dies wahrscheinlich nicht an Ihrem Problem.
user2711915