c’t Helper 2.0: Was die mitgelieferten Werkzeuge leisten

Bitten Freunde, Bekannte oder Familie um Pannenhilfe am PC, möchte man diese Aufgabe möglichst schnell und souverän meistern – schnell, weils die Freizeit frisst und souverän, weil es den Ruf als Computerversteher zu behalten gilt. Die Werkzeuge des c’t Helper 2.0 assistieren beim Erreichen beider Ziele.

Der c’t Helper 2.0 stellt 21 Hilfsprogramme zur Diagnose und Beseitigung von PC-Problemen auf einem USB-Stick bereit. Wir haben die Programme drei Rubriken zugeordnet: Systemanalyse, Schädlingsentfernung und unterstützende Werkzeuge.

Ein wesentliches Kriterium bei der Auswahl war, dass die Tools möglichst schnell zu Ergebnissen führen. Die meisten der Programme lassen sich direkt vom Stick ausführen. Alle sind für den privaten Gebrauch kostenlos einsetzbar.

Im Kasten „Ratschläge für Helfer“ finden Sie einen kurzen Ratgeber zur Vorbereitung eines Hilfseinsatzes. Der Kasten „Bärendienste“ gibt Tipps zur Etiquette. Für den BKA-Trojaner und andere Erpressungsprogramme gelten gesonderte Bedingungen; sie werden im Kasten „Erpressungsopfer“ erläutert.

Achten Sie vor der Fahrt zu einem Hilfsbedürftigen darauf, dass der c’t Helper auf dem neuesten Stand ist: Einige Komponenten veralten innerhalb weniger Tage. Und stellen Sie unbedingt sicher, dass das Medium schreibgeschützt ist, bevor Sie es einem fremden Rechner anvertrauen – mehr dazu im vorangegangenen Artikel.

Nehmen Sie zum Einsatz ein Smartphone, ein Notebook oder ein anderes Gerät mit Internet-Zugang mit. Im Zweifelsfall kann man auf diesem Weg eine Suchmaschine zu Rate ziehen, um etwa verdächtige Dateien zu identifizieren oder Hinweise auf die Ursache von Fehlermeldungen zu finden. Kommt der hilfsbedürftige Rechner selbst nicht mehr ans Netz, können Sie über Ihr Net- oder Notebook auch Treiber und Software nachladen und diese per Wechselmedium an den Patienten durchreichen.

Systemanalyse

Nach einem Image der Systempartition und dem Backup aller wichtigen Anwenderdaten gilt es zunächst, die Fehlerquelle einzukreisen. Oft liefert die Problembeschreibung des Hilfsbedürftigen erste Indizien, ob die Fehlerquelle eher auf Hardware zurückzuführen ist oder auf Software beziehungsweise das Betriebssystem.

Steht eine Hardware-Komponente unter Verdacht, sollte man zuerst deren Anschlüsse überprüfen. Erstaunlich viele Hardware-Fehler entpuppen sich als lose Kabel. Saugt der PC-Besitzer wohlmeinend die Staubknäuel hinter seinem Gerät weg, löst er dabei womöglich unabsichtlich den Stecker vom Druckerkabel – zwar steckt er noch, die Kontakte sitzen aber nicht mehr stabil. Übersieht man das, lässt man womöglich ein Dutzend tintenfressende Reinigungsdurchgänge durchlaufen, bevor einem die wahre Ursache für den Ausfall dämmert.

Selbst wenn der Stecker bombenfest sitzt, hilft es oft, einen anderen USB-Anschluss auszuprobieren. Dann initialisiert Windows den Port neu und plötzlich geht alles wieder. Auch wenn es albern klingt: Bei Problemen mit der Peripherie sollte die erste Rückfrage stets lauten: „Hast du die Kabel abgezogen und wieder eingesteckt?“ Und zwar an beiden Enden.

Kann man diese Fehlerquelle ausschließen, sollte man überprüfen, was der Rechner an Fehlermeldungen hergibt. Die ersten Anlaufstellen sind der Windows-eigene Geräte-Manager sowie die Ereignisanzeige. Mit Ausrufezeichen markierte Geräte weisen im Ersteren auf Probleme hin; ein Doppelklick liefert Details. Die Ereignisanzeige hat eventuell eine zugehörige Fehlermeldung protokolliert, anhand derer sich die Ursache weiter einkreisen lässt.

Kurze Hardware-Inventur gefällig? Speccy identifiziert den Prozessor, das Mainboard, die Grafikkarte und vieles mehr. Womöglich lässt sich das Problem mit einem Treiber-Update beseitigen – gewusst, welches. Hier springt Speccy in die Bresche. Speccy benötigt nach dem Start bis zu 30 Sekunden, um die Eckdaten zu Prozessor, Arbeitsspeicher, Motherboard, Grafikkarte, Festplatte und mehr zu erfassen. Zur Analyse gehört auch die Protokollierung von Zustandswerten wie der CPU-Temperatur und der S.M.A.R.T.-Daten der Festplatte. So findet man en passant heraus, ob der Rechner Hitzeprobleme hat oder eine kurz vor dem Tod stehende Festplatte für spontane Ausfälle verantwortlich sein könnte.

Unter „Betriebssystem“ zeigt Speccy auch den Status von Benutzerkontensteuerung, Firewall, Defender sowie die installierten Windows-Hotfixes an. Zudem führt das Werkzeug alle laufenden Dienste und Programme auf. Alle Daten lassen sich als Text, XML oder Snapshot abspeichern, um den vorgefundenen Systemzustand festzuhalten. Der Snapshot lässt sich auch auf einem anderen Rechner laden. So kann man mit Speccy beispielsweise ohne Anreise herausfinden, welche RAM-Erweiterung zum analysierten PC passen könnte.

Deuten die Indizien eher auf ein Problem mit Software hin oder gar Windows selbst, helfen drei von Sysinternals entwickelte Analysewerkzeuge bei der Spurensuche: Autoruns, Process Explorer und Process Monitor.

Autoruns zeigt, was Windows beim Booten alles mitstartet. Die Browser-Toolbar von Ask.com etwa verewigt sich gleich an mehreren Stellen. Auch der „Lexware Info Service“ des Steuersparprogramms vom Vorjahr wurde gewiss nicht vom Anwender eingerichtet. Zuerst einmal sollte man sich ansehen, was alles mitstartet, wenn Windows hochfährt. Hierfür kann man entweder das zum Betriebssystem gehörige Systemkonfigurationswerkzeug verwenden, das mit „msconfig“ aufgerufen wird. Wesentlich mehr Informationen zeigt jedoch Autoruns. Anders als bei MSconfig lassen sich die von Windows automatisch gestarteten Prozesse mit Autoruns nicht nur deaktivieren, sondern auch ganz entfernen.

Starten Sie Autoruns auf Systemen mit Windows 7/Vista mit Administratorrechten, um alle Autostarts zu sehen. Auf langsamen Systemen dauert es bis zu einer Minute, bis ein „Ready“ am unteren linken Fensterrand signalisiert, dass das Programm die Registry komplett eingelesen hat.

Noch bevor Autoruns seinen ersten Durchlauf durch hat, sollten Sie die Ansicht anpassen: Setzen Sie unter „Options/Filter Options“ Häkchen vor „Verify code signatures“ und „Hide Microsoft entries“. Dann überprüft Autoruns einerseits, ob die Programme tatsächlich vom angegebenen Hersteller stammen, und zeigt zudem nur noch diejenigen Autostarts, die Microsoft nicht selbst signiert hat.

Gelb hinterlegte Einträge weisen darauf hin, dass diese Programmdateien nicht erreichbar sind. Solche „Leichen“ entstehen durch schlampige Deinstallationswerkzeuge oder wenn das fragliche Programm auf einer gerade nicht verfügbaren Netzwerkfreigabe liegt.

Eine rote Hinterlegung signalisiert, dass Autoruns die Herstellerangaben nicht verifizieren kann. Sieht etwas verdächtig aus, suchen Sie online nach dem Dateinamen und der Beschreibung.

Bringt das keine Erleuchtung, sollten Sie einen Blick in die ausführbare Datei werfen – bei Unicode-Dateien nicht trivial. Hierfür bringt der c’t Helper das Kommandozeilenwerkzeug Strings mit. Die Anweisung strings datei.exe > dateistrings.txt schreibt alle lesbaren Zeichenfolgen in eine Textdatei, die Sie anschließend mit einem Texteditor oder in der Schnellansicht des SpeedCommander betrachten können.

Dabei ist eine genaue Identifikation zur ersten Bestandsaufnahme nicht zwingend nötig: Tritt das Problem nach der Deaktivierung eines Autostarts beim nächsten Neustart nicht mehr auf, hat man zumindest schon mal die Ursache am Wickel. Entfernen Sie das davorstehende Häkchen, um einen Autostart zu deaktivieren. Solange die Microsoft-Einträge ausgeblendet sind, können Sie dabei nichts verkehrt machen: Windows benötigt nichts von dem zwingend, was dann noch angezeigt wird.

Der Betrieb des Rechners kann dabei allerdings durchaus eingeschränkt werden – etwa wenn Sie ein unsigniertes Programm deaktivieren, das die Sondertasten des kränkelnden Notebooks steuert. Deshalb sollte man Autostarts nur deaktivieren, statt sie mutig zu löschen: Erweist sich ein Eintrag als doch nicht so überflüssig, lässt er sich durch Setzen des Häkchens und einen Neustart schnell wieder reaktivieren.

Bei einigen Konfigurationen kommt es vor, dass sich deaktivierte Autostarts magisch regenerieren. Dann steht unter dem manuell deaktivierten Eintrag gleich ein neuer desselben Typs, der wiederum aktiv ist.

Hier muss keine Malware im Spiel sein. QuickTime etwa richtet einen Updater und ein Icon im Infobereich der Taskleiste ein. Egal, ob man diese Prozesse deaktiviert oder löscht: Beim nächsten Aufruf einer QuickTime-Datei sind sie zurück. Hier hilft nur das QuickTime-Kontrollfeld der Systemsteuerung.

Ob man auch den Updater abschaltet, ist Geschmackssache. Bei Java ist es angesichts des jüngsten Sicherheitsdebakels geradezu sträflicher Leichtsinn, den Update Scheduler zu deaktivieren – lieber fünf Sekunden länger booten als fünf Stunden lang einen Erpressungstrojaner von der Platte kratzen.

Einige Autostarts dienen als Steigbügel, die andere Programme in den Speicher hieven. Die nach dem Systemstart im Speicher befindlichen Prozesse stimmen daher nur in Ausnahmen mit der von Autoruns zusammengetragenen Liste überein. Auch werden einige Autostart-Prozesse nur beim Systemstart kurz aktiv – etwa die Updater diverser Programme.

Einen eleganten Überblick über alle laufenden Prozesse verschafft der Process Explorer. Die Grundfunktion entsprechen denen des Task-Managers von Windows, nur geht der Process Explorer viel mehr in die Tiefe geht. Zu den praktischen Zusatzfunktionen gehört ein Fadenkreuz in der Symbolleiste. Draufklicken, Mauszeiger mit gedrückter Maustaste über ein anderes Fenster ziehen und dort loslassen: Schon zeigt der Process Explorer den zugehörigen Prozess. Kann man eine Datei nicht löschen, führt „Find/Find Handle or DLL“ (Strg+F) schnell zur Anwendung, die gerade den Daumen darauf hat. „Search Online“ im Kontexmenü eines Eintrags startet eine Web-Suche (Strg+M).

Für tiefere Eingriffe lohnt es sich, die Anzeige des Process Explorer zu erweitern. Wählen Sie hierfür „View/Select Columns …“ und setzen Sie zunächst Haken bei „Image Path“ und „Verified Signer“. Aktivieren Sie dann unter Options „Verify Image Signatures“, um die Herstellerangabe auf Gültigkeit überprüfen zu lassen. Das garantiert zwar nicht, dass die Software tatsächlich tut, was sie soll, identifiziert aber zumindest den Verantwortlichen.

Eine Signatur allein stellt keine Unbedenklichkeitsbescheinigung dar – in jüngster Vergangenheit gab es mehrere Fälle von geklauten Zertifikaten. Komplett unsignierte Prozesse sind aber in jedem Fall verdächtig. Das kommt leider in den besten Familien vor, sogar direkt bei Microsoft. ... (ghi)

Den vollständigen Artikel finden Sie in c't 21/2012.