c’t-Notfall-Windows 2021 (****)

Neben dem Desinfec’t Projekt aktualisiert die Zeitschrift c’t auch jährlich Ihre c’t-Notfall-Windows Umgebung. Die Windows-PE basierte Notfallumgebung 2021 liegt der c’t-Ausgabe 2020 Heft 26 bei. Windows PE (WinPE – Preinstallation Environment) ist ein kleines Betriebssystem, das zum Installieren, Bereitstellen und Reparieren von Windows 10 verwendet werden kann. Die Notfallumgebung wird mit dem WinBuilder Tool auf DVD oder USB-Stick (Präferenz) erstellt. Das grundlegende Notfallsystem hat ChrisR als Win10XPE entwickelt. Eine Community im Forum theoven.org hat das Notfallsystem um viele nützliche Plug-ins ergänzt. Die WinBuilder Umgebung wird von c’t als Download zur Verfügung gestellt, so dass mit einem geeigneten Win10-ISO Download und wenigen Klicks eine ISO-Datei erstellt werden kann.

Mit einem auf Basis c’t Notfall-Windows 2021 erstellten USB Stick können folgende Problemstellungen gelöst werden.

Virenschnelltest:

Das Programm „Autoruns“ von Sysinternals zeigt nicht nur alle automatisch beim Hochfahren von Windows mitstartenden Programme an, sondern kann diese jeweils auf über 70 Virenscannern gleichzeitig auf Viren prüfen lassen.

Detailliert auf Viren testen:

Zum Einsatz kommen auf der Notfallumgebung 2021 das Kaspersky Virus Removal Tool, der Defender Offline, der Trend Micro HouseCall und der Eset Online Scanner.

Windows-Kennwörter zurücksetzen:

Das Windows-Tool NTPWEdit kann Windows-Konten entsperren und einem lokalen Konto ein neues Kennwort vergeben. Das Programm „Windows Login Unlocker“ kann Windows-Konten aufsperren, die mit einem Microsoft-Konto verknüpft sind.

Windows Bootloader reparieren und Startprobleme beheben:

Mit der Datenträgerverwaltung der Notfallumgebung und bcdboot kann der Bootloader restauriert werden. Das funktioniert sowohl bei MBR- als auch bei einem GPT-Partitionsschema. Bootprobleme können durch Neuinstallation eines Bootloaders im Offlinesystem behoben werden. Defekte Systemdateien lassen sich auf einem Offlinesystem mit dem Tool System File Check (sfc) beheben.

In der c’t 2/21 ist im Artikel „Multi-Werkzeugkasten – 32 und 64 bit Windows installieren und reparieren mit nur einem einzigen Stick“ beschrieben, wie sich der c’t Notfall-Bootstick noch um weitere Reparaturfunktionen bei Startproblemen ergänzen läßt, z.B. um eine 32 und 64 bit Windows RE Umgebung (Windows Recovery Environment). Mit dem erweiterten USB-Stick können auch Windows-basierte Installationssätze hinzugefügt werden.

Windows-Updates deinstallieren:

Da die Notfallumgebung auf Basis Windows PE (Preinstallation Environment) erstellt wurde, kann mit der Notfall-Umgebung problematische Windows-Updates deinstallieren werden.

Windows 10 analysieren:

Autoruns zeigt alle Startprogramme beim Booten einer Windows-Umgebung und kann Probleme bei langem Startverhalten beheben, Bluescreenview hilft bei der Analyse von Bluescreens und Windirstat macht die Festplattenbelegung transparent. Zusätzlich stehen die Werkzeuge der Sysinternals Suite zur Verfügung.

Hardware prüfen:

Der Hauptspeicher des Systems kann per Speicherdiagnose überprüft werden. Mit H2testw kann die Integrität von Datenträgern überprüft werden. Mit dem Tool HDSentinel kann eine Festplattenanalyse durchgeführt werden.

Hardware-Informationen auslesen:

Über die Hardware informiert CPU-Z, GPU-Z und SSD-Z. Mit Prime95 kann ein Stresstest simuliert werden. HDTune informiert über die Festplattenparameter und prüft im Reiter „Error Scan“ auf fehlerhafte Sektoren. Das Tool kann auch S.M.A.R.T Informationen auslesen. Speccy liefert Informationen über die gesamte Hardware eines Systems.

Daten retten:

Auf der erstellten DVD/USB-Stick befinden sich die Datenrettungstools Testdisk, Recuva und Photorec. Zuvor kann per Drive Snapshot ein Image der fehlerbehafteten Festplatte erstellt werden. Bei defekten Festplatten helfen HDD Raw Copy und Unstoppable Copier. Weiterhin stehen Tools wie FastCopy, ImgBurn und Keyfinder zur Verfügung.

c’t-Notfall-Windows 2015 (****)

ctnotfallwindowsNeben dem Desinfec’t Projekt aktualisiert die Zeitschrift c’t auch jährlich Ihre c’t-Notfall-Windows Umgebung. Die Notfallumgebung 2015 liegt der c’t-Ausgabe 2015 Heft 26 bei. Die Notfallumgebung auf DVD oder USB-Stick wird mit dem WinBuilder Tool erstellt und basiert auf der von Microsoft kostenlos zur Verfügung gestellten LTSB-Evaluierungssoftware von Windows 10 (Long Term Servicing Branch, nur Sicherheitsupdates ohne neue Funktionen, ohne Edge Browser). Die WinBuilder Umgebung wird auf der Heft DVD zur Verfügung gestellt, so dass mit dem Win10-Download und wenigen Klicks eine ISO-Datei erstellt werden kann. Der WinBuilder unterstützt das Erstellen einer DVD oder besser eines schreibbaren USB-Sticks.

Besonders gelungen ist die schon vorbereitete Integration von vielfältigen Notfall-Tools, die in unterschiedlichen kritischen Situationen hilfreich sein können. Folgende Rettungstools stehen mit der Notfallumgebung zur Verfügung:

Virenscanner:

Zum Einsatz kommen auf der Notfallumgebung der Avira PC Cleaner, das Emsisoft Emergency Kit, der Eset Online Scanner und das Tool Antimalware.

Datenrettungssoftware:

Auf der erstellten DVD/USB-Stick befinden sich die Datenrettungstools Testdisk, Recuva und Photorec. Zuvor kann per Drive Snapshot ein Image der fehlerbehafteten Festplatte erstellt werden. Bei defekten Festplatten helfen HDD Raw Copy und Unstoppable Copier.

Hardware-Informationen:

Über die Hardware informiert CPU-Z und GPU-Z. Mit Prime95 kann ein Stresstest simuliert werden. HDTune informiert über die Festplattenparameter und prüft im Reiter „Error Scan“ auf fehlerhafte Sektoren. Das Tool kann auch S.M.A.R.T Informationen auslesen.

Autostartanalyse:

Schlechte Startzeiten von Windows-Betriebssystemen basieren häufig auf zusätzlichen automatisch startenden SW-Produkten. Eine Übersicht bietet das Freeware-Tool Autoruns von Sysinternals, welches auch die Autostarts eines Offlinesystems analysieren kann.

Windows-Kennwortrücksetzung

Im c’t Artikel ist auch beschrieben wie ein Windows-Kennwort mit Austausch der Datei utilman.exe zurück gesetzt bzw. ein neues Kennwort vergeben werden kann.

Startprobleme beheben:

Bootprobleme können durch Neuinstallation eines Bootloaders im Offlinesystem behoben werden. Defekte Systemdateien lassen sich auf einem Offlinesystem mir den System File Check (sfc) beheben.

Windows-Updates deinstallieren

Der c’t Artikel beschreibt das Deinstallieren von fehlerhaften Windows-Updates per dism-Befehl.

Die Notfallumgebung kann noch mit beliebig weiteren portablen Windows-Tools ergänzt werden, so dass auf Basis dieser Notfallumgebung eine umfangreiche Sammlung von Notfalltools ermöglicht wird, die sich meist benutzerfreundlich in einer modernen Windows-Umgebung bedienen lassen.

Desinfec’t 2013 (****)

desinfectDesinfec’t 2013 liegt der c’t-Ausgabe 10/13 bei, die seit dem 22. April 2013 im Handel erhältlich ist. Auf der Desinfec’t DVD kommt die Ubuntu Version 12.04.02 Long Term Support als Betriebssystem zum Einsatz. Ubuntu ist bekannt für seine gute Hardware-Unterstützung. Die c’t Redaktion hat u. a. mit der Version 2013 einen Teamviewer-Client auf die Live-DVD integriert. Weitere  Informationen befinden sich auf der c’t Projektseite oder im Desinfec’t-Forum bei heise.de.

Die Live-DVD bietet vier Virenscanner zur Auswahl:

  • Avira AntiVir (als Standard)
  • BitDefender AntiVirus (als Standard)
  • Kaspersky Anti-Virus
  • ClamAV

Mit der Version 2013 ist es quasi per Mausklick möglich, nicht nur die Virensignaturen auf einem USB-Stick zu kopieren, sondern das gesamte Rettungssystem mit aktualisierten Signaturdateien auf einem USB-Stick abzulegen. Zur Erstellung eines USB-Sticks mit mind. 4 GB steht auf der Live-DVD das Tool „Bootfähigen USB-Stick mit desinfec’t erzeugen“ zur Verfügung. Der Einsatz des USB-Sticks ist die schnellste Methode für den Virenscan.

Nach dem Start der gebooteten Live-DVD erscheint die Ubuntu Arbeitsfläche. Ein Willkommen-Fenster prüft, ob eine ETH-Verbindung vorhanden ist. Falls kein ETH-Netzwerkkabel im Rechner steckt, wird oben rechts auf das WLAN-Icon verwiesen. Das WLAN-Icon zeigt automatisch alle verfügbaren Funknetze auf. Nach Auswahl der SSID-Bezeichnung und Eingabe des WLAN-Kennwortes kann die Internet-Verbindung gestartet werden. Erkennt Desinfec’t ein ETH-Kabel am Rechner, wird die Netzwerkverbindung sofort aktiviert.

Der bevorzugte Weg ist die Erstellung eines bootfähigen USB-Sticks, welcher sehr einfach über das Icon „Bootfähigen USB-Stick … “ zu erzeugen ist. Achtung: Ein auf dem Rechner eingesteckter Stick (mind. 4 GB) wird nach Erkennung und einer Sicherheitsabfrage komplett neu partitioniert und überschrieben. Die Virensignaturen werden in einer eigenen speziellen Partition abgelegt, welche auch von der Live-DVD erkannt bzw. verwendet werden kann.

Nach dem Booten des USB-Sticks kann die Virenanalyse mit aktualisierten Virensignaturen entweder per Desinfec’t-Icon oder per „Virenscan starten“ durchgeführt werden. Das Einbinden der Festplatte(n) und Partitionen des zu untersuchenden Rechners wird automatisiert zunächst im read-only-Modus vorgenommen. Der Scan lässt sich auf Unterverzeichnisse eingrenzen. Voreingestellt sind die beiden Virenscanner Avira und Bitdefender (Kaspersky hat wohl öfters Probleme mit gepackten Dateien, ClamAV neigt zu Fehlalarmen).

Nach Abschluss der Virenscans werden entspr. Log-Files angezeigt und  ein gesammelter Bericht als HTML-Datei erstellt. Zur Analyse der potentiellen Schädlinge stehen per Bookmark-Leiste (Virustotal.com, Sandbox-Systeme, etc.) weitere Informationsquellen zur Verfügung.

Wird nun tatsächlich ein Schädling identifiziert, empfiehlt sich das Umbenennen der virulenten Datei, indem Desinfec’t den Dateinamen um „VIRUS“ ergänzt. Soll beim nächsten Scan der Virus nicht mehr erkannt werden, bietet Desinfec’t die Option den Virus mit dem Standardkennwort „desinfect“ zu verschlüsseln (bei Fehlalarm: $ sudo decrypt.sh virus.exe.CRYPT).

Neben dem Firefox Browser 19.0.2 befinden sich folgende weitere Expertentools auf der DVD:

  • Kaspersky Registry Editor
  • Kaspersky Windows Unlocker
  • Partitionen oder Platten klonen mit ddrescue
  • Platten löschen mit dc3dd
  • Windows-Passwort zurücksetzen (oder Terminal: sudo chntpw /pfad/zur/datei.sam)
  • Verlorene Dateien suchen mit Photorec
  • Teamviewer zur Fernwartung

(****) Klare Empfehlung für Virenscan per Live-DVD: Vierfacher Virenscan bei nahezu perfekter Hardware-Unterstützung mit WLAN-Integration.

c’t Notfall-Windows 2011

ctDie bisher vorgestellten Live-CDs basierten entweder auf einer Windows PE Umgebung mit umfangreicher Toolsammlung oder auf einem Linux-basierten Virenscannerprodukt. In der ct 2011 Heft 17 wird nun eine Kombination aus beiden Umgebungen möglich. Im ersten Winbuilder-Projekt (CC7PE2011) wird eine Windows PE 3.0 basierte iso-Datei erzeugt, die in einem zweiten Multiboot-Projekt (CCMultiboot2011) mit anderen Live-CDs integriert wird. Das Ergebnis der Mulitboot-Umgebung (Grub4DOS 0.4.5b) kann auf einem USB-Stick abgelegt werden, der sowohl eine Windows PE 3.0 Umgebung mit zahlreichen Windows-Tools als auch mehrere Virenscanner-Live-CDs beinhaltet.

Als Datenquelle für das erste Windows PE Projekt kann wie bei den zuvor vorgestellten Winbuilder-Installationen die Setup- bzw. Installations-DVD von Windows 7 (Starter, Home Premium, Prof., etc.) verwendet werden. Alternativ kann eine 90-Tage Testversion von Windows7 bei Microsoft heruntergeladen werden. Auf dem Begleitdatenträger der ct 2011 Heft 17 befindet sich eine vorbereitete Winbuilder-Umgebung, die in das Verzeichnis „c:\ctNotPE2011“ zu entpacken ist. Wenn Sie den Winbuilder gestartet haben geben Sie zuerst als Datenquelle die Windows7-Setup-DVD an (analog den zuvor hier im Blog besprochenen Winbuilder-Installationen). Wenn Sie zunächst keine virtuelle Umgebung erstellen wollen, entfernen Sie unter „VirtualTest/Best Emulation“ das Häkchen. Damit ist das erste Projekt fertig für die Erstellung, die Sie oben rechts mit der Play-Taste starten können. Als Ergebnis bekommen Sie im Unterordner „Projekte/iso“ eine bootbare iso-Datei generiert, die auf eine CD gebrannt werden kann (alternativ über „CC7PE2011\Finalize\Create ISO/CD“ und „Burn current ISO“).

Richtig gut wird die Notfall-Umgebung durch Kombination mit weiteren Live-CDs. Eine solche Multiboot-Umgebung kann mit dem zweiten Projekt „CCMultiboot2011“ erstellt werden. Die Live-CDs von Parted Magic 6.2, Memtest 86+, AVG Rescue CD, Avira AntiVir Rescue System, Kaspersky Rescue Disk 10, Panda SafeCD und der zuvor erstellten Windows PE-Umgebung sind im ct-Paket schon integriert. Kostenlos ergänzen können Sie die Live-CD-Pakete von Bitdefender Rescue CD, Dr. Web, F-Secure Rescue CD, Microsoft System Sweeper und die Windows XP Recovery Console. Die erforderlichen Downloads können über den Projektbaum der Winbuilder-Umgebung vorgenommen werden. Automatisch integriert ist das iso-File des ersten CC7PE2011-Projektes, falls es zuvor mit dem Play-Button erstellt wurde. Im Zweig „Finalize“ der Baumstruktur des Multiboot-Projektes kann schließlich das Ausgabemedium gewählt werden. Mit Auswahl „Create USB drive from target folder“ wird die Multiboot-Umgebung auf einem USB-Stick erstellt, der bootfähig generiert wird.

In die Multiboot-Umgebung kann auch die Hiren’s CD 13.2 integriert werden. Dazu ist in der Multiboot-Struktur unterhalb von „%files%\hiren“ das heruntergeladene zip-File zu entpacken. Hiren’s CD 14.0 funktioniert hier nicht, da ein anderer Bootloader zum Einsatz kommt. Schließlich ist auch die Knoppix-CD in die Multiboot-Umgebung integrierbar. Dazu sind nur die beiden Ordner „boot“ und „KNOPPIX“ von der Knoppix-Boot-CD in die entspr. Dateistruktur nach „%files%\knoppix\“ zu kopieren.

Im Gegensatz zu den zuvor vorgestellten Winbuilder-Paketen funktioniert bei diesem ct-Paket (CC7PE2011) keine WLAN-Unterstützung in der Notfall-Umgebung, selbst wenn man versucht den passenden WLAN-Treiber nachzuinstallieren.

Für den Einsatz der Windows XP Recovery Console in der Multiboot-Umgebung ist das Häkchen bei Catch22fix nicht zu setzen, da sonst ein Fehler beim Build auftritt. Die erforderlichen Dateien für die Recovery Console werden automatisch mit dem Build (Play-Taste) heruntergeladen.

Auf meinem Core i3 Notebook habe ich weiterhin einige Probleme mit den Live-CDs: Bei der Kaspersky CD wird die Maus nicht erkannt, die Avira CD, Dr. Web CD und F-Secure CD zeigen kein Bild, Parted Magic 6.2 und AVG bieten keine WLAN-Unterstützung zum Update der Virensignaturen, etc.

c’t-Notfall-Windows 2010

Die Notfall-DVD mit Windows 2010 liegt der c’t-Ausgabe 06/10 bei, die seit dem 01. März 2010 im Handel verfügbar ist.  Die Live-CD (oder USB-Stick) wird mit dem WinBuilder-Tool und dem Rettungssystem aus Systemdateien von Windows 7 zusammengebaut. Die generierte Notfall-CD (mit Bootloader Grub4DOS) eignet sich zur Fehlerbehandlung von XP, Vista und Windows 7 Systemen. Als Quelldateien für Windows 7 kann die frei herunterladbare 90-Tage-Testversion von Windows 7 Enterprise verwendet werden. Auf Basis dieser Quelldateien kann nun mit dem Winbuilder eine Windows 7 PE (Preinstallation Environment) erstellt werden.

Die Notfall-Windows-DVD lässt sich mit anderen Rettungsmedien kombinieren und so zu einem universellen, kompakten Begleiter für alle Lebenslagen ausbauen. Zu den unterstützten Nothelfern gehören unter anderem die Rescue-CDs populärer Virenscanner, das Live-Linux Knoppix, der Speichertester Memtest86 oder Parted Magic, ein ebenfalls auf Linux aufbauendes Mini-System mit speziellen Werkzeugen für die Festplattenpartitionierung

Weitere Informationen befinden sich auf der c’t Projektseite bei heise.de.

Die Live-CD beinhaltet folgende Toolsammlung:

  • Avira AntiVir Personal, G DATA AntiVirus 19.0.0.49
  • SpyBot Search & Destroy
  • Drive Snapshot, DeepBurner Free
  • FireFox 3.6
  • Partition Find and Mount 2.31, Restauration
  • PC Inspector File Recovery 4.0, Recuva 1.34.460
  • TestDisk 6.11.3, SoftPerfect File Recovery
  • Total Commander
  • Western Digital Data LifeGuard Diagnostic
  • WinSCP 4.1.6, Ultra VNC 1.0.5, Putty 0.60
  • Unknown Devices 1.4 Beta
  • RegAlyzer 1.6..2.16

Sobald das auf der Live-CD installierte PE-System gestartet ist, kann man die CD aus dem CD/DVD-Laufwerk entfernen. Das geladene Betriebssystem ist auf dem X:-Laufwerk als WIM-Image sichtbar. Im Reiter PE-Tools können nun Win7-Treiber von einer (Treiber-) Recovery-CD des Offline-Systems nachinstalliert werden. Die WinBuilder-Umgebung unterstützt nun auch WLAN-Treiber, die über den PE Netzwerkmanager gestartet werden können. Die Integration der WLAN-Treiber ist allerdings eher zufällig bzw. nicht stabil. Weitere spezifische Treiber des zu untersuchenden PCs können nachinstalliert werden (nur dann wenn kein Reboot erforderlich ist). Alternativ können auch spezielle Treiber in die WinBuilder-PE-Umgebung eingebunden werden.

Die Aktualisierung des GDATA-Virenscanner geht über „Viren-Update“, setzt aber eine ETH-Internetverbindung voraus. Eine Offline-Ablage der Virensignaturen ist hier nicht möglich.

Der Avira-Virenscanner konnte bei mir gar nicht gestartet werden.

Spybot Search & Destroy kann aus dem Internet aktualisiert werden und bekämpft Trojaner und Werbebanner.

Mit einem Internetzugang wäre aber auch der Einsatz eines Online Virenscanners wie der von ESET denkbar.