Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

c't-Notfall-Windows 2022

Unser Bausatz für das Notfall-Windows erstellt ein vom USB-Stick bootfähiges, transportables Windows. Die aktuelle Fassung kann Windows 11 als Basis nutzen.

In Pocket speichern vorlesen Druckansicht 467 Kommentare lesen
c't-Notfall-Windows 2021
Lesezeit: 8 Min.
c't Magazin
Von
  • Peter Siering
Inhaltsverzeichnis
Mehr Infos

Wichtiger Hinweis: In c't 2/2023 haben wir als c't-Notfall-Windows 2023 eine neue Fassung des Bausatzes veröffentlicht. Bitte benutzen Sie diesen.

Der Bausatz für das Notfall-Windows erfordert einen Windows-PC nebst Internetzugang. Er erstellt ein vom USB-Stick bootfähiges, transportables Windows mit allerhand nützlichen Werkzeugen, um Windows-PCs auf Schädlinge zu überprüfen, Daten zu retten und Passwörter zurückzusetzen.

Für c't 2/2022 haben wir das Notfall-Windows erneut überarbeitet. Es kann jetzt aufbauend auf Windows 11 erstellt werden. Sie können den Bausatz direkt hier herunterladen (md5 der am 23.2.22 aktualisierten Fassung: 097be094dbbd3b29abc6831b3b87dbaf die md5 der Ursprungsfassung: cdb7367284b7e84a8d84ec0f2491e0f9). Wie Sie den Bausatz und das erzeugte Notfallsystem anwenden, erklären Artikel aus c't 2/2022:

c't-Abonnenten mit Zugriff auf digitale Inhalte können die Artikel hier lesen:

Ältere, vertiefende Artikel zeigen weitere Anwendungsfälle auf:

Sollten Sie weder in den Artikeln noch hier die nötige Hilfestellung finden, schauen Sie doch im Forum vorbei. Gern können Sie uns auch per E-Mail Fragen stellen. Richten Sie diese bitte an ctnotwin22@ct.de und fügen Sie bei Bauproblemen gleich ein Log im HTML-Format an.

Sie benötigen den Bausatz selbst:

und zusätzlich entweder eine der beiden Window-10-Eval-Versionen:

oder eine ebensolche auf Basis von Windows 11 (hier gibt es nur eine 64-Bit-Version):

Vom Einsatz anderer Versionen von Windows 10 oder 11 raten wir grundsätzlich ab. Nicht alle enthalten die für das Verarbeiten des Bausatzes notwendige .wim-Datei, sondern ein nicht geeignetes .esd-Format – ein Konvertieren ist zwar möglich, aber arbeitsintensiv.

Um die md5-Summen der Zip-Datei und ISOs zu überprüfen, genügt der in Windows 10 verfügbare Befehl certutil in einer Eingabeaufforderung (der Name der ISO-Datei muss dabei angepasst werden):

certutil -hashfile windows.iso MD5

Bausatz-Aktualisierung und Updates

Mit dem Veröffentlichen von Updates, die automatisch in den Bauprozess einfließen und meist nur wenige MByte groß sind, aktualisieren wir sporadisch den Bausatz. Hier finden Sie jeweils eine kurze Erklärung der Änderungen:

Update 1, 3.1.22: Autoruns durch ältere Version (13.100) ersetzt, weil die aktuellen Versionen bei Benutzung der Funktion "Offline Analyse" die untersuchte Windows-Installation nachhaltig beschädigen können; viele Details dazu liefert eine Diskussion im Projektforum. Einige Dateien mit CRLF-Umbrüchen versehen, die nur LF enthielten.

Update 2, 3.1.22: zweite Autoruns-Version, die im Startmenü unter Sysinternals auftauchte, entfernt (das war noch die neue Fassung, die u.U. den zuvor beschriebenen Fehler produziert (14.07).

Update 3, 4.1.22: Bauverzeichnisse, deren Name Leerzeichen enthielt, führten zum angeblich vom Benutzer abgebrochenen Bauprozess.

Update 4, 25.1.22: Aktuellere Version von StartIsBack++ sollte Stabilität der Explorer-Fenster deutlich verbessern. Registrierung der 32-Bit-VC-Runtime in der Registry repariert. SetMaxResolution-Script aufgenommen, sodass auf einigen Rechnern automatisch eine höhere/passendere Auflösung gewählt wird.

Am 23.2.22 haben wir ein neues Zip-Archiv mit allen Updates veröffentlicht. Das Archiv enthält zusätzlich Dateien, die das Bauen in einer Windows eigenen Sandbox erleichtern. Eine Verteilung dieser Dateien über ein Update ergab weng Sinn, weil dazu der Bausatz ja zunächst außerhalb der Sandbox laufen müsste.

Vermeintliche Viren-Funde

Dauerthema bei Bausätzen für ein Windows-PE-basiertes Notfallsystem sind Fehlalarme von Antivirus-Software beim Entpacken der Zip-Archive, beim Bauen oder auch im Betrieb, wenn ein Scanner das laufende System untersucht. Wir prüfen die Bausätze des Notfall-Windows deshalb vor Veröffentlichung und haben die Ergebnisse und Methoden erstmals 2017 in einem eigenen Artikel zusammengefasst.

Der aktuellen Ausgabe des c't-Notfall-Windows sind wir ebenfalls wieder zu Leibe gerückt und dabei auf die in der folgenden Tabelle genannten Programme gestoßen, die den einen oder anderen Virenscanner auf den Plan rufen. Die Tabelle dokumentiert nur Dateien, die mehr als zwei Scanner haben Alarm schlagen lassen. Nach bestem Wissen und Gewissen handelt es sich dabei um Fehlalarme, die meist durch heuristische Verfahren ausgelöst werden – wirkliche Malware verwendet ähnliche Verfahren oder Techniken.

Programmname Funktionsbeschreibung
binmay.exe sucht und ersetzt auch in Binärdateien
drvinstpatch.exe modifiziert Verhalten von Windows PE bei Treiberinstallation
extractsection.exe hilft beim Bearbeiten von WIM-Dateien
fixscreen.exe korrigiert Bildschirmauflösung
fusion.dll Teil von ImgBurn, das als Adware gilt
gwt.exe lädt selektiv Dateien aus dem ADK/WAIK herunter
hiveunload.exe blendet beim Bauen zeitweise geladene Registry-Strukturen wieder aus
hostnetdrv.exe kommt nur beim Einbinden von Netzwerktreibern aus dem Host (Bausystem) zum Einsatz; im Bausatz deaktiviert
keyfinder.exe liest Installationsschlüssel aus
letterwap.exe ändert Laufwerksbuchstabenzuordnung im Notfallsystem
nircmd.exe kann lautlos allerhand Dinge: Registry bearbeiten, Lautstärke regeln, Verknüpfungen erstellen; von NirSoft, den BlueScreenView-Machern
ntpwedit.exe ändert Kennwörter einer Windows-Installation
pecmd.exe steuert beim Starten des Notfallsystem startende Programme, skriptartige Funktionsweise
pintutil.exe legt in Startmenü & Co. Verweise auf Programme an
regcpe.exe konvertiert Registry-Dateien; Werkzeug für Experten, die selbst Anpassungen vornehmen wollen; wird beim Bauen nicht verwendet, nur interaktiv
setupimgburn.exe Installer von ImgBurn, der als Adware gilt – wird vom Bausatz verzerlegt, aber nicht aufgerufen
setwg.exe setzt den Workgroup-Namen
usb7ice.exe assistiert beim Bespielen von USB-Sticks (kommt in Vorkonfiguration nicht zum Einsatz)

Hilfestellungen bei Antiviren-Alarm

Wenn der Bausatz feststellt, dass eine Sicherheitssoftware im Bauverzeichnis aktiv ist, empfiehlt er den Abbruch.

Wie Antivirus-Software auf den aktuellen Bausatz reagiert, scheint von der Tagesform des jeweiligen Programms abzuhängen. Microsofts eigener Defender torpediert in der aktuellen Fassung jeden Versuch, weil er ein zentrales Download-Werkzeug in Quarantäne schickt. Die Plausibilitätsprüfung erkennt das üblicherweise und bricht den Bauvorgang ab.

Mit einer Ausnahmeregel für das von Ihnen verwendete Bauverzeichnis (im Beispiel c:\ctnot) können Sie dieses Eingreifen unterbinden.

Eine Ausnahme für das zum Bauen verwendete Verzeichnis lässt den Defender stillhalten.

Wenn unsere Plausibilitätsprüfung zugeschlagen hat oder eine Antivirus-Software andere Dateien aus dem Verkehr gezogen hat, ist die Bausubstanz in der Regel beschädigt. Löschen Sie dann unbedingt das Bauverzeichnis und entpacken Sie das Zip-Archiv erneut. 

Probleme beim Bespielen eines USB-Sticks

Bei aktivem "Überwachten Ordnerzugriff" braucht es eine Ausnahmeregel, damit Rufus das Notfallsystem auf einen USB-Stick schreiben kann.

Wenn in einer Windows-Installation der "Überwachte Ordnerzugriff" eingeschaltet ist, misslingt das Beschreiben von USB-Sticks mit Rufus. Es gibt Fehlermeldungen, dass der Zugriff auf das Gerät verweigert würde. In den Windows-Sicherheitseinstellungen besteht die Möglichkeit, einzelne Programme von der Überwachung auszunehmen. Die Option heißt "App durch überwachten Ordnerzugriff zulassen". Wenn Sie unserer Empfehlung für die Benennung des Bauordners gefolgt sind, müsste dort c:\ctnot\Projects\Tools\rufus-3.17p.exe eingetragen werden.

Build-Logs als Beispiel

Die folgenden Logs im HTML-Format sind beim Bauen mit den unterschiedlichen, empfohlenen Windows-Versionen auf einem PC mit Windows 11 als Betriebssystem. Als Referenz sind auch Logs enthalten, die beim Beschreiben eines USB-Sticks entstehen (CreateISO) und das Systemlog, das PEBakery optional sichert; ferner haben wir Logs ergänzt, die die Schritte der Treiberintegration aus dem laufenden System zeigen (siehe Artikel "Treibsatz per Gießkanne").

Haben Sie bitte etwas Geduld beim Rendern im Browser die Dateien sind einige MByte groß:

Build-Log x86/32-Bit-Version (Windows 10 2004 unter Windows 11 gebaut)

Log beim Erstellen eines USB-Sticks (gebaut mit x86-Windows 10 2004 unter Windows 11)

Build-Log x64/64-Bit-Version (Windows 10 2004 unter Windows 10 gebaut)

Build-Log x64/64-Bit-Version (Windows 11 unter Windows 10 gebaut)

Die von PEBakery angelegten Protokolle (Logs) helfen bei einer eventuellen Fehlersuche. Zum Exportieren klicken Sie zunächst im „Log Viewer“ auf „Export“ (1). Wählen Sie im Dialog „Export Logs“ als Format „HTML“ (2). Nach dem Betätigen von „Export“ (3) erfragt das Programm einen Pfad zum Speichern des Protokolls und öffnet es anschließend in einem Browserfenster.

Wenn Sie uns Build-Logs schicken wollen: Das Log-Fenster öffnet sich nach einem Baulauf automatisch, lässt sich aber auch später noch über den Log-Knopf in der Kopfzeile des PEBakery-Fensters öffnen. Über Drop-Down-Felder können Sie gezielt einen Baulauf auswählen. PEBakery sichert die Daten über Programmläufe hinweg.

Noch ein Hinweis zum Speichern: Der Log-Export gelingt nicht in jedes Verzeichnis. Auf den Desktop gelingt er ebenso wie in das Bauverzeichnis. In Dokumente hingegen will die Exportfunktion nicht speichern.

Videos zum Bauvorgang

Bewegte Bilder sagen mehr als tausend Worte: Wir haben die typischen Handgriffe eines Bauvorgangs mit einem Screencast-Programm aufgezeichnet und mit Untertiteln versorgt; geringe Abweichungen zum Verhalten sind möglich, weil die Videos noch mit einer älteren Version des Bausatzes entstanden sind:

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(ps)

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten