Scanner findet Viren

Beim Ausprobieren habe ich einen Virenscanner das Notfallsystem selbst untersuchen lassen und der hat Viren gefunden. Was ist da los?

Viele Werkzeuge im Notfall-Windows leben in der Grauzone zwischen nützlich und gefährlich. Die Nirsoft-Programme zum Auslesen von Passwörtern beispielsweise sind nützlich, um auf einem nicht mehr startenden System dort hinterlegte Zugänge zu E-Mail-Konten auszulesen, wenn die nur (noch) dort gespeichert sind.

Für ein produktiv genutztes System hingegen stellt ein solches Programm eine mögliche Gefahr dar, besonders wenn nicht der Benutzer selbst es dorthin verbracht hat. Ein Eindringling könnte es mitgebracht haben, um Daten auszuspähen. Sicherheitssoftware stuft solche Programme dann als „Possible unwanted application“ (PUA) ein, zu Deutsch also „möglicherweise unerwünschte Software“.

Wir untersuchen sowohl den Bausatz als auch das Ergebnis jedes Jahr sorgfältig daraufhin, ob Schädlinge enthalten sind. Auf der Projektseite dokumentieren wir alle Dateien, die aus unserer Sicht als im Kontext des für Notfalleinsätze gedachten Systems als „falsch-positiv“ eingeschätzt werden, siehe ct.de/ye8a.

Keine Tastatur, kein Touchpad, kein Netz

Nach dem Starten des Notfallsystems kann ich einen All-in-One-PC nicht bedienen, weder Tastatur noch Touchpad reagieren. Was kann ich tun?

Sehr wahrscheinlich nutzt Ihr PC für diese Peripherie spezielle Treiber, die in Windows selbst nicht enthalten sind. Typisch ist das auch für moderne Surface-Geräte von Microsoft. Sie haben zwei Möglichkeiten: Entweder Sie integrieren passende Treiber ins Notfallsystem (siehe „Integration von Treibern beim Bauen“) oder Sie behelfen sich mit separat an den PC angeschlossener USB-Tastatur und -Maus.

Je gängiger solche USB-Geräte sind, desto größer ist die Chance, dass das Notfall-Windows sie ohne weitere Treiber benutzen kann. Das gilt auch für USB-Netzwerkadapter und USB-Hubs, um all die Geräte gleichzeitig überhaupt an Kompaktgeräte mit nur wenigen USB-Ports anschließen zu können. Beachten Sie aber: Das Booten eines USB-Sticks an einem Hub gelingt nicht mit jedem PC und an jedem USB-Port.

PhoenixPE-Komponenten deaktiviert

Ich habe ein wenig im Bausatz gestöbert und entdeckt, dass ihr im c’t-Notfall-Windows viele PhoenixPE-Komponenten gar nicht aktiviert habt. Warum?

Die meisten PE-Projekte, so auch PhoenixPE, wollen sich breit aufstellen und bieten deshalb eine möglichst große Ausstattung an. Wir trimmen unser Notfallsystem eher auf die typischen Einsatzszenarien und eine möglichst langzeitstabile Mischung, die wir für rund ein Jahr bau- und benutzbar halten.

Wir haben Anfang November angefangen, dabei nahezu alle Optionen in PhoenixPE aktiviert und konnten das System bauen. Wir haben aber nicht alle Programme auf Lauffähigkeit getestet, sondern nur jene, die aus unserer Sicht eine gute Mischung für das Notfallsystem ergeben.

Aufgrund von Softwareupdates kann es inzwischen aber durchaus sein, dass sich weniger Programme aus der PhoenixPE-Auswahl aktuell noch erfolgreich bauen lassen. Die meisten Programme lädt der Bausatz herunter und sobald sich Versionsnummern ändern, kann der Download scheitern (leider stellt mancher Programmautor nur die jeweils aktuelle Fassung bereit).

PhoenixPE-Apps aktivieren

Nachdem ich einige zusätzliche Apps aktiviert habe, die nicht im c’t-Notfall-Windows-Bausatz aktiv waren, aber von PhoenixPE angeboten werden, tauchen die nicht im Startmenü auf. Mache ich etwas falsch?

Nein, das liegt an Änderungen, die wir gegenüber dem Original vorgenommen haben: Das Startmenü und die im Startmenü angepinnten Programme gelangen dort statisch hin, passend zu der von uns getroffenen Softwareauswahl und dafür erdachten Aufteilung in Kategorien wie Datenrettung, Dateimanager und so weiter.

Wenn Sie zusätzliche Programme aus dem Gesamtumfang von PhoenixPE aktivieren, wird der Bausatz diese in jeweils eigenen Ordnern ablegen, dort wo alle Programme landen: im laufenden Notfallsystem unter Y:\Programs, X:\Programme sowie X:\Programme (x86). Dort können Sie diese direkt starten.

PhoenixPE-Apps nicht im Menü

Ich hätte gern, dass aktivierte PhoenixPE-Apps auch im Startmenü erscheinen. Was muss ich dazu tun?

Wenn Sie Programme dauerhaft ins Startmenü einbinden wollen, können Sie von Hand Einträge in der Datei erzeugen, die die Startmenüstruktur- und -Einträge des c’t-Notfall-Windows beschreibt. Sie finden diese in C:\ctnot\Custom\pecmd_links.ini. Die Datei wird beim Bauen verarbeitet.

Um dauerhaft an das Startmenü angepinnte Einträge für ein Programm zu erzeugen, brauchen Sie das Programm nircmdc.exe. Es erzeugt Verknüpfungen (.LNK-Dateien), die Sie dann im Ordner C:\ctnot\Custom\StartPin_x64 abwerfen. Einen Verweis auf die .LNK-Datei tragen Sie dann in C:\ctnot\Custom\pecmd_pins.ini ein. Beim Start trägt PECMD das Programm dann ins Menü ein.

Alternativ können Sie vor dem Bauen Optionen für das Skript setzen, das das Startmenü für uns anpasst: Sie finden das Skript in PEBakery links im Konfigurationsbaum unter „PhoenixPE\Finalize\Post-Process (c’t )“. Auf der mit dem Zahnradsymbol erreichbaren Seite für die erweiterten Einstellungen („Advanced Options“) kennt es die Option „PhoenixPE-Menü einblenden“. Wenn die gesetzt ist, taucht im Startmenü ein Eintrag „zzz_PhoenixPE“ auf, der das Original-Menü öffnet.

USB-Stick funktioniert nicht mehr

Ich habe das System erfolgreich gebaut, auf einen USB-Stick gespielt und ausprobiert. Nachdem der Stick einige Zeit in der Schublade lag, startet er jetzt nicht mehr. Verschleißt das System auf dem Stick?

Das System verschleißt nicht, aber Sticks leider. Viele Probleme beim Kopieren des Notfallsystems auf Sticks oder beim Start später ergeben sich durch unzuverlässige Hardware. Wir haben gute Erfahrungen mit Sticks gängiger Markenanbieter von Flash-Medien gemacht. Probieren Sie es im Zweifelsfall mit einem anderen Stick aus. Beim Wechsel auf einen anderen PC kommen auch allerlei andere Probleme infrage – mehr dazu in unserer FAQ zum Booten von USB-Laufwerken (siehe ct.de/ye8a).

Integration von Treibern beim Bauen

Nach dem Starten fehlen Treiber, wie kann ich solche dauerhaft ergänzen?

Wenn Sie das Notfallsystem erfolgreich gebaut haben, auf Ihrem PC aber offensichtlich Treiber fehlen, wie das auf dem Surface Laptop oder Surface Pro 9 der Fall ist, können Sie weitere Treiber einbauen lassen. Das ist am einfachsten auf dem betroffenen Gerät selbst, wenn es bereits einen erfolgreichen Baulauf in Standardeinstellung absolviert hat.

Öffnen Sie im PEBakery-Fenster auf der linken Seite den Baum mit den einzelnen Skripten unter „Drivers“. Klicken Sie auf „Driver Integration“. In der rechten Fensterhälfte erscheinen dann die Optionen. Mit einem Klick auf den Knopf „Export Host Drivers“ exportiert PEBakery alle auf dem Host vorhandenen Treiber in das weiter unten in den Eingabefeldern genannte Verzeichnis. Dorthin können Sie auch Dateien kopieren, die Sie auf einem anderen System exportiert haben.

Zusätzlich gibt der Bausatz aus, wie umfangreich die ergänzten Treiber ausfallen; auf einem Surface Pro 9 sind das über 1 GByte – das vergrößert die WIM-Datei und damit den vom Notfallsystem „verbratenen“ Hauptspeicher. Wenn Sie das gelbe Ordnersymbol hinter dem Eingabefeld für die x64-Treiber anklicken, sehen Sie Dateien, die beim Export aufgelaufen sind. Sie können dort gefahrlos Verzeichnisse für einzelne Treiber löschen, die nicht in das Notfallsystem sollen.

Der oberste, skriptspezifische Knopf „Run Script“ (direkt unterhalb des PEBakery-About-Knopfes) baut die ausgewählten Treiber in den Arbeitsbereich für das Notfallsystem ein. Wenn Sie anschließend analog von Hand die Skripte „Capture Wim“ unter „Finalize“ und „Create ISO“ unter „Media Creation“ ausführen, übernimmt der Bausatz die Treiber in das fertige ISO.

Danach wechseln Sie auf die Eingangsseite zurück (Klick auf „PhoenixPE“ im Baum links) und können dort den USB-Stick mit dem ergänzten Notfallsystem bespielen. Die Größe der ISO-Datei und der Platzbedarf auf dem Stick wachsen entsprechend mit der Menge der auf diese Weise integrierten Treiber.

Kaputtes Menü zur Auflösungsumschaltung

Im Menü, über das man die Bildschirmauflösung umschaltet, und im angezeigten Bestätigungsdialog erscheinen Hieroglyphen. Lässt sich das reparieren?

Zurzeit scheint es keine Korrektur zu geben, die diese kaputten Ausgaben gerade zieht. Das für die Ausgaben zuständige Programm PECMD hat offenbar in allen verfügbaren Versionen Probleme an dieser Stelle. Ein entsprechender Fehler in PhoenixPE ist auf den GitHub-Seiten des Projekts in Ticket #8 dokumentiert und weiterhin offen.

Notfallsystem stürzt ab

Wenn ich während der Virensuche Browser-Tabs öffne, bleibt meine Test-VM mit dem Notfall-Windows einfach irgendwann stehen. Ist da noch ein Bug drin?

Vermutlich haben Sie der VM nicht allzu viel RAM spendiert. Das Notfallsystem benötigt für die RAM-Disk, in der das System liegt, allein ein GByte Hauptspeicher. So groß ist die WIM-Datei, aus dem es startet. Bei der Integration zusätzlicher Treiber kann sie sogar noch stark anwachsen.

Das heißt, in VMs oder auf Systemen mit nur 4 GByte RAM sollten Sie das Notfallsystem eher mit spitzen Fingern bedienen: Nur ein Programm starten und nutzen und nicht nebenher YouTube-Videos schauen. Zum Zeitvertreib und für eventuell nötige Recherchen empfiehlt sich ein zweites Gerät, etwa ein Notebook oder Smartphone.

Wenn Sie es darauf anlegen, schaffen Sie es auch, mit mehr Hauptspeicher ausgerüstete PCs im Notfall-Windows in einen Absturz zu treiben. Anders als in einer regulären Installation von Windows steht unter Windows PE kein Auslagerungsspeicher zur Verfügung, der den Adressraumhunger von Browserprozessen stillen könnte.

Spracheinstellung blockiert ersten Klick

Beim ersten Start des Notfallsystems erscheint rechts unten über der Taskbar eine Art Menü zur Sprachauswahl. Ein Klick darauf oder an eine andere Stelle auf dem Desktop lässt den Dialog verschwinden. Was ist das?

Das ist ein Artefakt, dessen Ursache wir bisher nicht ergründen konnten. Es tritt nur auf, wenn Sie auf Basis von Windows 11 Version 22H2 das Notfallsystem bauen. Negative Auswirkungen auf die Funktionsweise sind uns keine bekannt – vom zusätzlichen Klick abgesehen.

GWT.EXE fehlt

Beim Starten des Bauprozesses erscheint die Meldung, dass die Datei GWT.EXE fehlt. Ich finde sie auch nicht in C:\ctnot. Ist der Bausatz unvollständig?

Nein, diese Datei ist im bereitgestellten Zip-Archiv enthalten, wird aber häufig von Sicherheitssoftware schon beim Auspacken als gefährlich erkannt und in Quarantäne verbannt. Sie sollten die Protokolle Ihrer Sicherheitssoftware ansehen, dort werden Sie mit großer Wahrscheinlichkeit Hinweise auf solche Aktivitäten finden. Die Datei ist wichtig, ohne gelingt das Bauen nicht. Sorgen Sie bitte dafür, dass sich die Sicherheitssoftware nicht einmischt. (ps@ct.de)

Projekt und weitere Artikel: ct.de/ye8a