c't-Notfall-Windows 2022
Unser Bausatz für das Notfall-Windows erstellt ein vom USB-Stick bootfähiges, transportables Windows. Die aktuelle Fassung kann Windows 11 als Basis nutzen.
- Peter Siering
Der Bausatz für das Notfall-Windows erfordert einen Windows-PC nebst Internetzugang. Er erstellt ein vom USB-Stick bootfähiges, transportables Windows mit allerhand nützlichen Werkzeugen, um Windows-PCs auf Schädlinge zu überprüfen, Daten zu retten und Passwörter zurückzusetzen.
Für c't 2/2022 haben wir das Notfall-Windows erneut überarbeitet. Es kann jetzt aufbauend auf Windows 11 erstellt werden. Sie können den Bausatz direkt hier herunterladen (md5 der am 23.2.22 aktualisierten Fassung: 097be094dbbd3b29abc6831b3b87dbaf die md5 der Ursprungsfassung: cdb7367284b7e84a8d84ec0f2491e0f9). Wie Sie den Bausatz und das erzeugte Notfallsystem anwenden, erklären Artikel aus c't 2/2022:
c't-Abonnenten mit Zugriff auf digitale Inhalte können die Artikel hier lesen:
- c't-Notfall-Windows 2022, Bausatz für ein vom USB-Stick laufendes Notfallsystem, c't 2/2022, S. 12
- Noteingang, Schritt für Schritt: Probleme lösen mit dem c’t-Notfall-Windows, c't 2/2022, S. 16
- Schnell weg!, Schädlinge suchen mit dem c’t-Notfall-Windows, c't 2/2022, S. 20
- Was ist kaputt?, So nutzen Sie das c’t-Notfall-Windows für die Hardware-Diagnose, c't 2/2022, S. 24
Ältere, vertiefende Artikel zeigen weitere Anwendungsfälle auf:
- Copy & Save, Windows-Installationen als Klon übertragen oder als Image sichern, c't 22/2019, S. 20
- Die Zeit zurückdrehen, Datenrettung mit dem c't-Notfall-Windows, c't 22/2019, S. 24
- Treibsatz per Gießkanne, Treiber im c’t-Notfall-Windows 2021 ergänzen, c't 4/2021, S. 162
Sollten Sie weder in den Artikeln noch hier die nötige Hilfestellung finden, schauen Sie doch im Forum vorbei. Gern können Sie uns auch per E-Mail Fragen stellen. Richten Sie diese bitte an ctnotwin22@ct.de und fügen Sie bei Bauproblemen gleich ein Log im HTML-Format an.
Nötige Downloads
Sie benötigen den Bausatz selbst:
- Bausatz c't-Notfall-Windows 2022 (Zip-Archiv), md5 ab 23.2.: 097be094dbbd3b29abc6831b3b87dbaf (md5 der ersten Fassung: cdb7367284b7e84a8d84ec0f2491e0f9)
und zusätzlich entweder eine der beiden Window-10-Eval-Versionen:
- Windows 10, 2004, x64 (64 Bit), md5: 219edcda684fa6de532482780064bd99
- Windows 10, 2004, x86 (32 Bit), md5: c5d36b6c5663e010f62c684da2e8f883
oder eine ebensolche auf Basis von Windows 11 (hier gibt es nur eine 64-Bit-Version):
- Windows 11, x64 (64 Bit), md5: dd37592e976c1a369f055c5ffce25dce
Vom Einsatz anderer Versionen von Windows 10 oder 11 raten wir grundsätzlich ab. Nicht alle enthalten die für das Verarbeiten des Bausatzes notwendige .wim-Datei, sondern ein nicht geeignetes .esd-Format – ein Konvertieren ist zwar möglich, aber arbeitsintensiv.
Um die md5-Summen der Zip-Datei und ISOs zu überprüfen, genügt der in Windows 10 verfügbare Befehl certutil in einer Eingabeaufforderung (der Name der ISO-Datei muss dabei angepasst werden):
certutil -hashfile windows.iso MD5
Bausatz-Aktualisierung und Updates
Mit dem Veröffentlichen von Updates, die automatisch in den Bauprozess einfließen und meist nur wenige MByte groß sind, aktualisieren wir sporadisch den Bausatz. Hier finden Sie jeweils eine kurze Erklärung der Änderungen:
Update 1, 3.1.22: Autoruns durch ältere Version (13.100) ersetzt, weil die aktuellen Versionen bei Benutzung der Funktion "Offline Analyse" die untersuchte Windows-Installation nachhaltig beschädigen können; viele Details dazu liefert eine Diskussion im Projektforum. Einige Dateien mit CRLF-Umbrüchen versehen, die nur LF enthielten.
Update 2, 3.1.22: zweite Autoruns-Version, die im Startmenü unter Sysinternals auftauchte, entfernt (das war noch die neue Fassung, die u.U. den zuvor beschriebenen Fehler produziert (14.07).
Update 3, 4.1.22: Bauverzeichnisse, deren Name Leerzeichen enthielt, führten zum angeblich vom Benutzer abgebrochenen Bauprozess.
Update 4, 25.1.22: Aktuellere Version von StartIsBack++ sollte Stabilität der Explorer-Fenster deutlich verbessern. Registrierung der 32-Bit-VC-Runtime in der Registry repariert. SetMaxResolution-Script aufgenommen, sodass auf einigen Rechnern automatisch eine höhere/passendere Auflösung gewählt wird.
Am 23.2.22 haben wir ein neues Zip-Archiv mit allen Updates veröffentlicht. Das Archiv enthält zusätzlich Dateien, die das Bauen in einer Windows eigenen Sandbox erleichtern. Eine Verteilung dieser Dateien über ein Update ergab weng Sinn, weil dazu der Bausatz ja zunächst außerhalb der Sandbox laufen müsste.
Vermeintliche Viren-Funde
Dauerthema bei Bausätzen für ein Windows-PE-basiertes Notfallsystem sind Fehlalarme von Antivirus-Software beim Entpacken der Zip-Archive, beim Bauen oder auch im Betrieb, wenn ein Scanner das laufende System untersucht. Wir prüfen die Bausätze des Notfall-Windows deshalb vor Veröffentlichung und haben die Ergebnisse und Methoden erstmals 2017 in einem eigenen Artikel zusammengefasst.
Der aktuellen Ausgabe des c't-Notfall-Windows sind wir ebenfalls wieder zu Leibe gerückt und dabei auf die in der folgenden Tabelle genannten Programme gestoßen, die den einen oder anderen Virenscanner auf den Plan rufen. Die Tabelle dokumentiert nur Dateien, die mehr als zwei Scanner haben Alarm schlagen lassen. Nach bestem Wissen und Gewissen handelt es sich dabei um Fehlalarme, die meist durch heuristische Verfahren ausgelöst werden – wirkliche Malware verwendet ähnliche Verfahren oder Techniken.
Programmname | Funktionsbeschreibung |
binmay.exe | sucht und ersetzt auch in Binärdateien |
drvinstpatch.exe | modifiziert Verhalten von Windows PE bei Treiberinstallation |
extractsection.exe | hilft beim Bearbeiten von WIM-Dateien |
fixscreen.exe |
korrigiert Bildschirmauflösung |
fusion.dll | Teil von ImgBurn, das als Adware gilt |
gwt.exe | lädt selektiv Dateien aus dem ADK/WAIK herunter |
hiveunload.exe | blendet beim Bauen zeitweise geladene Registry-Strukturen wieder aus |
hostnetdrv.exe | kommt nur beim Einbinden von Netzwerktreibern aus dem Host (Bausystem) zum Einsatz; im Bausatz deaktiviert |
keyfinder.exe | liest Installationsschlüssel aus |
letterwap.exe | ändert Laufwerksbuchstabenzuordnung im Notfallsystem |
nircmd.exe | kann lautlos allerhand Dinge: Registry bearbeiten, Lautstärke regeln, Verknüpfungen erstellen; von NirSoft, den BlueScreenView-Machern |
ntpwedit.exe | ändert Kennwörter einer Windows-Installation |
pecmd.exe | steuert beim Starten des Notfallsystem startende Programme, skriptartige Funktionsweise |
pintutil.exe | legt in Startmenü & Co. Verweise auf Programme an |
regcpe.exe |
konvertiert Registry-Dateien; Werkzeug für Experten, die selbst Anpassungen vornehmen wollen; wird beim Bauen nicht verwendet, nur interaktiv |
setupimgburn.exe |
Installer von ImgBurn, der als Adware gilt – wird vom Bausatz verzerlegt, aber nicht aufgerufen |
setwg.exe | setzt den Workgroup-Namen |
usb7ice.exe | assistiert beim Bespielen von USB-Sticks (kommt in Vorkonfiguration nicht zum Einsatz) |
Hilfestellungen bei Antiviren-Alarm
Wie Antivirus-Software auf den aktuellen Bausatz reagiert, scheint von der Tagesform des jeweiligen Programms abzuhängen. Microsofts eigener Defender torpediert in der aktuellen Fassung jeden Versuch, weil er ein zentrales Download-Werkzeug in Quarantäne schickt. Die Plausibilitätsprüfung erkennt das üblicherweise und bricht den Bauvorgang ab.
Mit einer Ausnahmeregel für das von Ihnen verwendete Bauverzeichnis (im Beispiel c:\ctnot) können Sie dieses Eingreifen unterbinden.
Wenn unsere Plausibilitätsprüfung zugeschlagen hat oder eine Antivirus-Software andere Dateien aus dem Verkehr gezogen hat, ist die Bausubstanz in der Regel beschädigt. Löschen Sie dann unbedingt das Bauverzeichnis und entpacken Sie das Zip-Archiv erneut.
Probleme beim Bespielen eines USB-Sticks
Wenn in einer Windows-Installation der "Überwachte Ordnerzugriff" eingeschaltet ist, misslingt das Beschreiben von USB-Sticks mit Rufus. Es gibt Fehlermeldungen, dass der Zugriff auf das Gerät verweigert würde. In den Windows-Sicherheitseinstellungen besteht die Möglichkeit, einzelne Programme von der Überwachung auszunehmen. Die Option heißt "App durch überwachten Ordnerzugriff zulassen". Wenn Sie unserer Empfehlung für die Benennung des Bauordners gefolgt sind, müsste dort c:\ctnot\Projects\Tools\rufus-3.17p.exe eingetragen werden.
Build-Logs als Beispiel
Die folgenden Logs im HTML-Format sind beim Bauen mit den unterschiedlichen, empfohlenen Windows-Versionen auf einem PC mit Windows 11 als Betriebssystem. Als Referenz sind auch Logs enthalten, die beim Beschreiben eines USB-Sticks entstehen (CreateISO) und das Systemlog, das PEBakery optional sichert; ferner haben wir Logs ergänzt, die die Schritte der Treiberintegration aus dem laufenden System zeigen (siehe Artikel "Treibsatz per Gießkanne").
Haben Sie bitte etwas Geduld beim Rendern im Browser die Dateien sind einige MByte groß:
Build-Log x86/32-Bit-Version (Windows 10 2004 unter Windows 11 gebaut)
Log beim Erstellen eines USB-Sticks (gebaut mit x86-Windows 10 2004 unter Windows 11)
Build-Log x64/64-Bit-Version (Windows 10 2004 unter Windows 10 gebaut)
Build-Log x64/64-Bit-Version (Windows 11 unter Windows 10 gebaut)
Wenn Sie uns Build-Logs schicken wollen: Das Log-Fenster öffnet sich nach einem Baulauf automatisch, lässt sich aber auch später noch über den Log-Knopf in der Kopfzeile des PEBakery-Fensters öffnen. Über Drop-Down-Felder können Sie gezielt einen Baulauf auswählen. PEBakery sichert die Daten über Programmläufe hinweg.
Noch ein Hinweis zum Speichern: Der Log-Export gelingt nicht in jedes Verzeichnis. Auf den Desktop gelingt er ebenso wie in das Bauverzeichnis. In Dokumente hingegen will die Exportfunktion nicht speichern.
Videos zum Bauvorgang
Bewegte Bilder sagen mehr als tausend Worte: Wir haben die typischen Handgriffe eines Bauvorgangs mit einem Screencast-Programm aufgezeichnet und mit Untertiteln versorgt; geringe Abweichungen zum Verhalten sind möglich, weil die Videos noch mit einer älteren Version des Bausatzes entstanden sind:
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(ps)