c't-Notfall-Windows 2021

c't-Notfall-Windows 2021

Praxis & Tipps | Projekt

Unser Bausatz für das Notfall-Windows erstellt binnen Minuten ein vom USB-Stick bootfähiges, transportables Windows zur Schädlingsbekämpfung und Datenrettung.

Der Bausatz für das Notfall-Windows erfordert einen Windows-PC nebst Internetzugang. Er erstellt ein vom USB-Stick bootfähiges, transportables Windows mit allerhand nützlichen Werkzeugen, um Windows-PCs auf Schädlinge zu überprüfen, Daten zu retten und Passwörter zurückzusetzen.

Für c't 26/2020 haben wir das Notfall-Windows erneut überarbeitet. Es kann jetzt als Basis auch die letzte reguläre Windows-10-Version (20H2) verwenden. Sie können den Bausatz direkt hier herunterladen (md5 der aktualisierten Fassung: 9d60406b652ad325321662058256bafe, die der Ursprungsversion: 16645adfd8266c7dede52eeacd756cb7). Wie Sie den Bausatz und das erzeugte Notfallsystem anwenden, erklären Artikel aus c't 26/2020:

c't-Abonnenten mit Zugriff auf digitale Inhalte können die Artikel hier lesen:

Ältere, vertiefende Artikel zeigen weitere Anwendungsfälle auf:

heise+-Abonnenten können die Artikel hier vollständig lesen:

Weitere Tipps zum Umgang mit dem Notfall-System und Hinweise zu den enthaltenen Werkzeugen finden Sie in überarbeiter Fassung als PDF auf dem Desktop des gestarteten Notfallsystems – sie stammen von den in den Vorjahren veröffentlichten Artikeln ab (die hier in der unberarbeiteten Fassung verlinkt sind):

Sollten Sie weder in den Artikeln noch hier die nötige Hilfestellung finden, schauen Sie doch im Forum vorbei. Gern können Sie uns auch per E-Mail Fragen stellen. Richten Sie diese bitte an notwin21@ct.de und fügen Sie bei Bauproblemen gleich ein Log im HTML-Format an.

Mit dem Veröffentlichen von Updates, die automatisch in den Bauprozess einfließen und meist nur wenige MByte groß sind, aktualisieren wir sporadisch den Bausatz. Hier finden Sie jeweils eine kurze Erklärung der Änderungen:

Update 1, 6.12.20: korrigiertes Fehler-Reporting, Warnung bei aktiven überwachten Ordnern, die das Schreiben von USB-Sticks mit Rufus verhindern

Update 2, 11.12.20: Erkennung von überwachten Ordnern auf alten Windows-Versionen ohne passendes Cmdlet deaktiviert, Opera experimentell hinzugefügt, Basic-Build-Option raus, Num-Lock ausgeschaltet lassen

Update 3, 14.12.20: wegen Kopierproblemen Freecommander durch Multicommander ersetzt, sichere Auswahl des Verzeichnis mit Windows-Installationsdateien (wg. eines PEBakery-Bugs)

Update 4, 18.5.21: Probleme beim Einbau von SumatraPDF behoben (Veröffentlichung als Update, das beim Bauen eingebunden wird und als neues ZIP-Archiv mit neuer md5 9d60406b652ad325321662058256bafe)

Update 5, 19.5.21: Klarere Warnmeldung, wenn Versionen der verarbeiteten .WIM-Dateien nicht passen, was vereinzelt zu Problemen mit Windows 10 20H2 geführt hat (schwarzer Schirm nach Start des Notfallsystems) – deswegen auch die geänderte Empfehlung für die etwas älteren Eval-ISOs.

Update 6, 27.8.21: die letzte Aktualisierung von Autoruns aus der Sysinternals-Suite enthält weniger Dateien im ZIP-Archiv. Das überarbeitete Bauskript für dieses Werkzeug kopiert die entfallenen Dateien jetzt nicht mehr und läuft so erfolgreich durch.

Update 7, 10.11.21: Versionsnummer von MultiCommander angepasst; Download schlug fehl.

Empfohlen seit 19.5.2021:

Ursprüngliche Empfehlung:

Ältere Releases:

Unter Windows 10 können Sie die md5-Summen der ISOs und auch die des ZIP-Archivsdes Bausatzes mit dem eingebauten Befehl certutil in einer Eingabeaufforderung überprüfen (der Name der ISO-Datei muss dabei angepasst werden):

certutil -hashfile windows.iso MD5

Dauerthema bei Bausätzen für ein Windows-PE-basiertes Notfallsystem sind Fehlalarme von Antivirus-Software beim Entpacken der Zip-Archive, beim Bauen oder auch im Betrieb, wenn ein Scanner das laufende System untersucht. Wir prüfen die Bausätze des Notfall-Windows deshalb vor Veröffentlichung und haben die Ergebnisse und Methoden erstmals 2017 in einem eigenen Artikel zusammengefasst.

Der aktuellen Ausgabe des c't-Notfall-Windows sind wir ebenfalls wieder zu Leibe gerückt und dabei auf die in der folgenden Tabelle genannten Programme gestoßen, die den einen oder anderen VIrenscanner auf den Plan rufen. Die Tabelle dokumentiert nur Dateien, die mehr als zwei Scanner Alarm schlagen lassen. Nach bestem Wissen und Gewissen handelt es sich dabei um Fehlalarme, die meist durch heuristische Verfahren ausgelöst werden – wirkliche Malware verwendet ähnliche Verfahren oder Techniken.

Programmname Funktionsbeschreibung
aria2c.exe wird mehrfach für das Herunterladen von Programmen benutzt (wie wget oder curl)
binmay.exe sucht und ersetzt auch in Binärdateien
drvinstpatch.exe modifiziert Verhalten von Windows PE bei Treiberinstallation
extractsection.exe hilft beim Bearbeiten von WIM-Dateien
fixscreen.exe korrigiert Bildschirmauflösung
fusion.dll Teil von ImgBurn, das als Adware gilt
gwt.exe lädt selektiv Dateien aus dem ADK/WAIK herunter
hiveunload.exe blendet beim Bauen zeitweise geladene Registry-Strukturen wieder aus
hostnetdrv.exe kommt nur beim Einbinden von Netzwerktreibern aus dem Host (Bausystem) zum Einsatz; im Bausatz deaktiviert
keyfinder.exe liest Installationsschlüssel aus
letterswap.exe ändert Laufwerksbuchstabenzuordnung im Notfallsystem
nircmd.exe kann lautlos allerhand Dinge: Registry bearbeiten, Lautstärke regeln, Verknüpfungen erstellen; von NirSoft, den BlueScreenView-Machern
ntpwedit.exe ändert Kennwörter einer Windows-Installation
pecmd.exe steuert beim Start des Notfallsystems startende Programm, skriptartige Funktionsweise
penetwork.exe übernimmt die Steuerungen der Netzwerkfunktionen in Windows PE
pintutil.exe legt in Startmenü & Co. Verweise auf Programme an
regcpe.exe konvertiert Registry-Dateien; Werkzeug für Experten, die selbst Anpassungen vornehmen wollen; wird beim Bauen nicht verwendet, nur interaktiv
setupimgburn.exe Installer von ImgBurn, der als Adware gilt – wird vom Bausatz verzerlegt, aber nicht aufgerufen
setwg.exe setzt den Workgroup-Namen
sharpcompress.dll Bibliothek zum Dekomprimieren, die Teil von PEBakery ist
unstoppablecopier.exe kratzt Dateien von Platten mit Lesefehlern
usb7ice.exe assistiert beim Bespielen von USB-Sticks (kommt in Vorkonfiguration nicht zum Einsatz)
wiminfo.exe liefert Informationen über WIM-Dateien
Warnung bei aktiver AV-Software
Wenn der Bausatz feststellt, dass eine Sicherheitssoftware im Bauverzeichnis aktiv ist, empfiehlt er den Abbruch.

Wie Antivirus-Software auf den aktuellen Bausatz reagiert, scheint von der Tagesform des jeweiligen Programms abzuhängen. Microsofts eigener Defender torpediert in der aktuellen Fassung jeden Versuch, weil er ein zentrales Download-Werkzeug in Quarantäne schickt. Die Plausibilitätsprüfung erkennt das üblicherweise und bricht den Bauvorgang ab.

Mit einer Ausnahmeregel für das von Ihnen verwendete Bauverzeichnis (im Beispiel c:\ctnot) können Sie dieses Eingreifen unterbinden.

Defender Ausname setzen
Eine Ausnahme für das zum Bauen verwendete Verzeichnis lässt den Defender stillhalten.

Wenn unsere Plausiblitätsprüfung zugeschlagen hat oder eine Antivirus-Software andere Dateien aus dem Verkehr gezogen hat, ist die Bausubstanz in der Regel beschädigt. Löschen Sie dann unbedingt das Bauverzeichnis und entpacken Sie das Zip-Archiv erneut.

Ausnahme für überwachten Ordnerzugriff
Bei aktivem "Überwachten Ordnerzugriff" braucht es eine Ausnahmeregel, damit Rufus das Notfallsystem auf einen USB-Stick schreiben kann.

Wenn in einer Windows-Installation der "Überwachte Ordnerzugriff" eingeschaltet ist, misslingt das Beschreiben von USB-Sticks mit Rufus. Es gibt Fehlermeldungen, dass der Zugriff auf das Gerät verweigert würde. In den Windows-Sicherheitseinstellungen besteht die Möglichkeit, einzelne Programme von der Überwachung auszunehmen. Die Option heißt "App durch überwachten Ordnerzugriff zulassen". Wenn Sie unserer Empfehlung für die Benennung des Bauordners gefolgt sind, müsste dort c:\ctnot\Projects\Tools\rufus-3.12p.exe eingetragen werden.

Verzeichnisauswahl
Wählen Sie das Verzeichnis mit den Windows-Installationsdateien (2) unbedingt unterhalb von "Dieser PC" (1) aus. Wenn Sie hingegen das Laufwerk weiter unten (3) auswählen, kommt diese Auswahl aufgrund eines Bugs nicht in PEBakery an.

Die von uns eingesetzte PEBakery-Version hat Schwierigkeiten beim Festlegen des Verzeichnis mit den Windows-Installationsdateien. Es erscheint dann der Hinweis "install.wim image was not found ...", obwohl das ausgewählte Laufwerk existiert und die Datei im Ordner sources vorhanden ist.

Der Fehler tritt auf, je nachdem, auf welche Weise man in den Windows-Standarddialogen das Laufwerk mit den Dateien auswählt.

Fehlermeldung bei misslungener Auswahl
Wenn die Auswahl des Verzeichnis mit den Windows-Installationsdateien nicht geklappt hat oder Sie den Vorgang abbrechen, erscheint diese Meldung. Der Bauvorgang misslingt dann.

Seit Update 3 überprüft der Bausatz, ob die Auswahl geklappt hat. Ist das nicht der Fall gibt er einen entsprechenden Warnhinweis aus.

Die folgenden Logs im HTML-Format sind mit der ersten veröffentlichten Fassung entstanden. Sie verwenden als Basis beide Windows 10 (20H2).Die Gesamtlaufzeit des Bauens liegt über 10 Minuten. Das lag daran, dass einige Downloads länger als üblich dauerten. Als Referenz sind auch die Logs der 32-Bit-Version beigefügt, die beim Beschreiben eines USB-Sticks entstehen (CreateISO) und das Systemlog, das PEBakery optional sichert.

Bitte etwas Geduld beim Rendern im Browser die Dateien sind einige MByte groß:

Buildlog, 64-Bit, Windows 20H2

Buildlog, 32-Bit, Windows 10 20H2

Log CreateISO, 32-Bit, Windows 20H2

Systemlog, 32-Bit, Windows 20H2

Die von PEBakery angelegten Protokolle (Logs) helfen bei einer eventuellen Fehlersuche. Zum Exportieren klicken Sie zunächst im „Log Viewer“ auf „Export“ (1). Wählen Sie im Dialog „Export Logs“ als Format „HTML“ (2). Nach dem Betätigen von „Export“ (3) erfragt das Programm einen Pfad zum Speichern des Protokolls und öffnet es anschließend in einem Browserfenster.
Die von PEBakery angelegten Protokolle (Logs) helfen bei einer eventuellen Fehlersuche. Zum Exportieren klicken Sie zunächst im „Log Viewer“ auf „Export“ (1). Wählen Sie im Dialog „Export Logs“ als Format „HTML“ (2). Nach dem Betätigen von „Export“ (3) erfragt das Programm einen Pfad zum Speichern des Protokolls und öffnet es anschließend in einem Browserfenster.

Wenn Sie uns Build-Logs schicken wollen: Das Log-Fenster öffnet sich nach einem Baulauf automatisch, lässt sich aber auch später noch über den Log-Knopf in der Kopfzeile des PEBakery-Fensters öffnen. Über Drop-Downfelder können Sie gezielt einen Baulauf auswählen. PEBakery sichert die Daten über Programmläufe hinweg.

Noch ein Hinweis zum Speichern: Der Log-Export gelingt nicht in jedes Verzeichnis. Auf den Desktop gelingt er ebenso wie in das Bauverzeichnis. In Dokumente hingegen will die Exportfunktion nicht speichern.

Bewegte Bilder sagen mehr als tausend Worte: Wir haben die typischen Handgriffe eines Bauvorgangs mit einem Screencast-Programm aufgezeichnet und mit Untertiteln versorgt; geringe Abweichungen zum Verhalten sind möglich, weil die Videos noch mit der vorletzten Version entstanden sind:

Bauvorgang – Vorbereiten und starten
Bauvorgang – Abschließen und Protokoll sichern
Bauvorgang – USB-Stick bespielen

Kommentare

Kommentare lesen (342 Beiträge)