c’t-Notfall-Windows 2015 (****)

ctnotfallwindowsNeben dem Desinfec’t Projekt aktualisiert die Zeitschrift c’t auch jährlich Ihre c’t-Notfall-Windows Umgebung. Die Notfallumgebung 2015 liegt der c’t-Ausgabe 2015 Heft 26 bei. Die Notfallumgebung auf DVD oder USB-Stick wird mit dem WinBuilder Tool erstellt und basiert auf der von Microsoft kostenlos zur Verfügung gestellten LTSB-Evaluierungssoftware von Windows 10 (Long Term Servicing Branch, nur Sicherheitsupdates ohne neue Funktionen, ohne Edge Browser). Die WinBuilder Umgebung wird auf der Heft DVD zur Verfügung gestellt, so dass mit dem Win10-Download und wenigen Klicks eine ISO-Datei erstellt werden kann. Der WinBuilder unterstützt das Erstellen einer DVD oder besser eines schreibbaren USB-Sticks.

Besonders gelungen ist die schon vorbereitete Integration von vielfältigen Notfall-Tools, die in unterschiedlichen kritischen Situationen hilfreich sein können. Folgende Rettungstools stehen mit der Notfallumgebung zur Verfügung:

Virenscanner:

Zum Einsatz kommen auf der Notfallumgebung der Avira PC Cleaner, das Emsisoft Emergency Kit, der Eset Online Scanner und das Tool Antimalware.

Datenrettungssoftware:

Auf der erstellten DVD/USB-Stick befinden sich die Datenrettungstools Testdisk, Recuva und Photorec. Zuvor kann per Drive Snapshot ein Image der fehlerbehafteten Festplatte erstellt werden. Bei defekten Festplatten helfen HDD Raw Copy und Unstoppable Copier.

Hardware-Informationen:

Über die Hardware informiert CPU-Z und GPU-Z. Mit Prime95 kann ein Stresstest simuliert werden. HDTune informiert über die Festplattenparameter und prüft im Reiter „Error Scan“ auf fehlerhafte Sektoren. Das Tool kann auch S.M.A.R.T Informationen auslesen.

Autostartanalyse:

Schlechte Startzeiten von Windows-Betriebssystemen basieren häufig auf zusätzlichen automatisch startenden SW-Produkten. Eine Übersicht bietet das Freeware-Tool Autoruns von Sysinternals, welches auch die Autostarts eines Offlinesystems analysieren kann.

Windows-Kennwortrücksetzung

Im c’t Artikel ist auch beschrieben wie ein Windows-Kennwort mit Austausch der Datei utilman.exe zurück gesetzt bzw. ein neues Kennwort vergeben werden kann.

Startprobleme beheben:

Bootprobleme können durch Neuinstallation eines Bootloaders im Offlinesystem behoben werden. Defekte Systemdateien lassen sich auf einem Offlinesystem mir den System File Check (sfc) beheben.

Windows-Updates deinstallieren

Der c’t Artikel beschreibt das Deinstallieren von fehlerhaften Windows-Updates per dism-Befehl.

Die Notfallumgebung kann noch mit beliebig weiteren portablen Windows-Tools ergänzt werden, so dass auf Basis dieser Notfallumgebung eine umfangreiche Sammlung von Notfalltools ermöglicht wird, die sich meist benutzerfreundlich in einer modernen Windows-Umgebung bedienen lassen.

Desinfec’t 2013 (****)

desinfectDesinfec’t 2013 liegt der c’t-Ausgabe 10/13 bei, die seit dem 22. April 2013 im Handel erhältlich ist. Auf der Desinfec’t DVD kommt die Ubuntu Version 12.04.02 Long Term Support als Betriebssystem zum Einsatz. Ubuntu ist bekannt für seine gute Hardware-Unterstützung. Die c’t Redaktion hat u. a. mit der Version 2013 einen Teamviewer-Client auf die Live-DVD integriert. Weitere  Informationen befinden sich auf der c’t Projektseite oder im Desinfec’t-Forum bei heise.de.

Die Live-DVD bietet vier Virenscanner zur Auswahl:

  • Avira AntiVir (als Standard)
  • BitDefender AntiVirus (als Standard)
  • Kaspersky Anti-Virus
  • ClamAV

Mit der Version 2013 ist es quasi per Mausklick möglich, nicht nur die Virensignaturen auf einem USB-Stick zu kopieren, sondern das gesamte Rettungssystem mit aktualisierten Signaturdateien auf einem USB-Stick abzulegen. Zur Erstellung eines USB-Sticks mit mind. 4 GB steht auf der Live-DVD das Tool „Bootfähigen USB-Stick mit desinfec’t erzeugen“ zur Verfügung. Der Einsatz des USB-Sticks ist die schnellste Methode für den Virenscan.

Nach dem Start der gebooteten Live-DVD erscheint die Ubuntu Arbeitsfläche. Ein Willkommen-Fenster prüft, ob eine ETH-Verbindung vorhanden ist. Falls kein ETH-Netzwerkkabel im Rechner steckt, wird oben rechts auf das WLAN-Icon verwiesen. Das WLAN-Icon zeigt automatisch alle verfügbaren Funknetze auf. Nach Auswahl der SSID-Bezeichnung und Eingabe des WLAN-Kennwortes kann die Internet-Verbindung gestartet werden. Erkennt Desinfec’t ein ETH-Kabel am Rechner, wird die Netzwerkverbindung sofort aktiviert.

Der bevorzugte Weg ist die Erstellung eines bootfähigen USB-Sticks, welcher sehr einfach über das Icon „Bootfähigen USB-Stick … “ zu erzeugen ist. Achtung: Ein auf dem Rechner eingesteckter Stick (mind. 4 GB) wird nach Erkennung und einer Sicherheitsabfrage komplett neu partitioniert und überschrieben. Die Virensignaturen werden in einer eigenen speziellen Partition abgelegt, welche auch von der Live-DVD erkannt bzw. verwendet werden kann.

Nach dem Booten des USB-Sticks kann die Virenanalyse mit aktualisierten Virensignaturen entweder per Desinfec’t-Icon oder per „Virenscan starten“ durchgeführt werden. Das Einbinden der Festplatte(n) und Partitionen des zu untersuchenden Rechners wird automatisiert zunächst im read-only-Modus vorgenommen. Der Scan lässt sich auf Unterverzeichnisse eingrenzen. Voreingestellt sind die beiden Virenscanner Avira und Bitdefender (Kaspersky hat wohl öfters Probleme mit gepackten Dateien, ClamAV neigt zu Fehlalarmen).

Nach Abschluss der Virenscans werden entspr. Log-Files angezeigt und  ein gesammelter Bericht als HTML-Datei erstellt. Zur Analyse der potentiellen Schädlinge stehen per Bookmark-Leiste (Virustotal.com, Sandbox-Systeme, etc.) weitere Informationsquellen zur Verfügung.

Wird nun tatsächlich ein Schädling identifiziert, empfiehlt sich das Umbenennen der virulenten Datei, indem Desinfec’t den Dateinamen um „VIRUS“ ergänzt. Soll beim nächsten Scan der Virus nicht mehr erkannt werden, bietet Desinfec’t die Option den Virus mit dem Standardkennwort „desinfect“ zu verschlüsseln (bei Fehlalarm: $ sudo decrypt.sh virus.exe.CRYPT).

Neben dem Firefox Browser 19.0.2 befinden sich folgende weitere Expertentools auf der DVD:

  • Kaspersky Registry Editor
  • Kaspersky Windows Unlocker
  • Partitionen oder Platten klonen mit ddrescue
  • Platten löschen mit dc3dd
  • Windows-Passwort zurücksetzen (oder Terminal: sudo chntpw /pfad/zur/datei.sam)
  • Verlorene Dateien suchen mit Photorec
  • Teamviewer zur Fernwartung

(****) Klare Empfehlung für Virenscan per Live-DVD: Vierfacher Virenscan bei nahezu perfekter Hardware-Unterstützung mit WLAN-Integration.

c’t Notfall-Windows 2011

ctDie bisher vorgestellten Live-CDs basierten entweder auf einer Windows PE Umgebung mit umfangreicher Toolsammlung oder auf einem Linux-basierten Virenscannerprodukt. In der ct 2011 Heft 17 wird nun eine Kombination aus beiden Umgebungen möglich. Im ersten Winbuilder-Projekt (CC7PE2011) wird eine Windows PE 3.0 basierte iso-Datei erzeugt, die in einem zweiten Multiboot-Projekt (CCMultiboot2011) mit anderen Live-CDs integriert wird. Das Ergebnis der Mulitboot-Umgebung (Grub4DOS 0.4.5b) kann auf einem USB-Stick abgelegt werden, der sowohl eine Windows PE 3.0 Umgebung mit zahlreichen Windows-Tools als auch mehrere Virenscanner-Live-CDs beinhaltet.

Als Datenquelle für das erste Windows PE Projekt kann wie bei den zuvor vorgestellten Winbuilder-Installationen die Setup- bzw. Installations-DVD von Windows 7 (Starter, Home Premium, Prof., etc.) verwendet werden. Alternativ kann eine 90-Tage Testversion von Windows7 bei Microsoft heruntergeladen werden. Auf dem Begleitdatenträger der ct 2011 Heft 17 befindet sich eine vorbereitete Winbuilder-Umgebung, die in das Verzeichnis „c:\ctNotPE2011“ zu entpacken ist. Wenn Sie den Winbuilder gestartet haben geben Sie zuerst als Datenquelle die Windows7-Setup-DVD an (analog den zuvor hier im Blog besprochenen Winbuilder-Installationen). Wenn Sie zunächst keine virtuelle Umgebung erstellen wollen, entfernen Sie unter „VirtualTest/Best Emulation“ das Häkchen. Damit ist das erste Projekt fertig für die Erstellung, die Sie oben rechts mit der Play-Taste starten können. Als Ergebnis bekommen Sie im Unterordner „Projekte/iso“ eine bootbare iso-Datei generiert, die auf eine CD gebrannt werden kann (alternativ über „CC7PE2011\Finalize\Create ISO/CD“ und „Burn current ISO“).

Richtig gut wird die Notfall-Umgebung durch Kombination mit weiteren Live-CDs. Eine solche Multiboot-Umgebung kann mit dem zweiten Projekt „CCMultiboot2011“ erstellt werden. Die Live-CDs von Parted Magic 6.2, Memtest 86+, AVG Rescue CD, Avira AntiVir Rescue System, Kaspersky Rescue Disk 10, Panda SafeCD und der zuvor erstellten Windows PE-Umgebung sind im ct-Paket schon integriert. Kostenlos ergänzen können Sie die Live-CD-Pakete von Bitdefender Rescue CD, Dr. Web, F-Secure Rescue CD, Microsoft System Sweeper und die Windows XP Recovery Console. Die erforderlichen Downloads können über den Projektbaum der Winbuilder-Umgebung vorgenommen werden. Automatisch integriert ist das iso-File des ersten CC7PE2011-Projektes, falls es zuvor mit dem Play-Button erstellt wurde. Im Zweig „Finalize“ der Baumstruktur des Multiboot-Projektes kann schließlich das Ausgabemedium gewählt werden. Mit Auswahl „Create USB drive from target folder“ wird die Multiboot-Umgebung auf einem USB-Stick erstellt, der bootfähig generiert wird.

In die Multiboot-Umgebung kann auch die Hiren’s CD 13.2 integriert werden. Dazu ist in der Multiboot-Struktur unterhalb von „%files%\hiren“ das heruntergeladene zip-File zu entpacken. Hiren’s CD 14.0 funktioniert hier nicht, da ein anderer Bootloader zum Einsatz kommt. Schließlich ist auch die Knoppix-CD in die Multiboot-Umgebung integrierbar. Dazu sind nur die beiden Ordner „boot“ und „KNOPPIX“ von der Knoppix-Boot-CD in die entspr. Dateistruktur nach „%files%\knoppix\“ zu kopieren.

Im Gegensatz zu den zuvor vorgestellten Winbuilder-Paketen funktioniert bei diesem ct-Paket (CC7PE2011) keine WLAN-Unterstützung in der Notfall-Umgebung, selbst wenn man versucht den passenden WLAN-Treiber nachzuinstallieren.

Für den Einsatz der Windows XP Recovery Console in der Multiboot-Umgebung ist das Häkchen bei Catch22fix nicht zu setzen, da sonst ein Fehler beim Build auftritt. Die erforderlichen Dateien für die Recovery Console werden automatisch mit dem Build (Play-Taste) heruntergeladen.

Auf meinem Core i3 Notebook habe ich weiterhin einige Probleme mit den Live-CDs: Bei der Kaspersky CD wird die Maus nicht erkannt, die Avira CD, Dr. Web CD und F-Secure CD zeigen kein Bild, Parted Magic 6.2 und AVG bieten keine WLAN-Unterstützung zum Update der Virensignaturen, etc.

c’t-Notfall-Windows 2010

Die Notfall-DVD mit Windows 2010 liegt der c’t-Ausgabe 06/10 bei, die seit dem 01. März 2010 im Handel verfügbar ist.  Die Live-CD (oder USB-Stick) wird mit dem WinBuilder-Tool und dem Rettungssystem aus Systemdateien von Windows 7 zusammengebaut. Die generierte Notfall-CD (mit Bootloader Grub4DOS) eignet sich zur Fehlerbehandlung von XP, Vista und Windows 7 Systemen. Als Quelldateien für Windows 7 kann die frei herunterladbare 90-Tage-Testversion von Windows 7 Enterprise verwendet werden. Auf Basis dieser Quelldateien kann nun mit dem Winbuilder eine Windows 7 PE (Preinstallation Environment) erstellt werden.

Die Notfall-Windows-DVD lässt sich mit anderen Rettungsmedien kombinieren und so zu einem universellen, kompakten Begleiter für alle Lebenslagen ausbauen. Zu den unterstützten Nothelfern gehören unter anderem die Rescue-CDs populärer Virenscanner, das Live-Linux Knoppix, der Speichertester Memtest86 oder Parted Magic, ein ebenfalls auf Linux aufbauendes Mini-System mit speziellen Werkzeugen für die Festplattenpartitionierung

Weitere Informationen befinden sich auf der c’t Projektseite bei heise.de.

Die Live-CD beinhaltet folgende Toolsammlung:

  • Avira AntiVir Personal, G DATA AntiVirus 19.0.0.49
  • SpyBot Search & Destroy
  • Drive Snapshot, DeepBurner Free
  • FireFox 3.6
  • Partition Find and Mount 2.31, Restauration
  • PC Inspector File Recovery 4.0, Recuva 1.34.460
  • TestDisk 6.11.3, SoftPerfect File Recovery
  • Total Commander
  • Western Digital Data LifeGuard Diagnostic
  • WinSCP 4.1.6, Ultra VNC 1.0.5, Putty 0.60
  • Unknown Devices 1.4 Beta
  • RegAlyzer 1.6..2.16

Sobald das auf der Live-CD installierte PE-System gestartet ist, kann man die CD aus dem CD/DVD-Laufwerk entfernen. Das geladene Betriebssystem ist auf dem X:-Laufwerk als WIM-Image sichtbar. Im Reiter PE-Tools können nun Win7-Treiber von einer (Treiber-) Recovery-CD des Offline-Systems nachinstalliert werden. Die WinBuilder-Umgebung unterstützt nun auch WLAN-Treiber, die über den PE Netzwerkmanager gestartet werden können. Die Integration der WLAN-Treiber ist allerdings eher zufällig bzw. nicht stabil. Weitere spezifische Treiber des zu untersuchenden PCs können nachinstalliert werden (nur dann wenn kein Reboot erforderlich ist). Alternativ können auch spezielle Treiber in die WinBuilder-PE-Umgebung eingebunden werden.

Die Aktualisierung des GDATA-Virenscanner geht über „Viren-Update“, setzt aber eine ETH-Internetverbindung voraus. Eine Offline-Ablage der Virensignaturen ist hier nicht möglich.

Der Avira-Virenscanner konnte bei mir gar nicht gestartet werden.

Spybot Search & Destroy kann aus dem Internet aktualisiert werden und bekämpft Trojaner und Werbebanner.

Mit einem Internetzugang wäre aber auch der Einsatz eines Online Virenscanners wie der von ESET denkbar.

c’t-Notfall-Windows 2009

Die Notfall-CD mit Windows 2009 liegt der c’t-Ausgabe 26/08 bei, die seit dem 08. Dezember 2008 im Handel verfügbar ist.  Die Live-CD (oder USB-Stick) wird mit dem WinBuilder-Tool und dem Rettungssystem aus Systemdateien von Windows Vista oder Windows Server 2008 zusammengebaut. Die generierte Notfall-CD (mit Bootloader Grub4DOS 0.4.4) eignet sich zur Fehlerbehandlung von XP, Vista und Windows 7 Systemen. Als Quelldateien für Windows Server 2008 kann die 2 GB große Testversion aus dem Internet verwendet werden. Auf Basis dieser Quelldateien kann nun mit dem Winbuilder (Nightman-Version) eine Windows PE (Preinstallation Environment) V 2.1 (=Vista mit SP1) erstellt werden. Der WinBuilder liegt der Heft-CD als Zip-File ctnotw09.zip bei.

Weitere Informationen befinden sich auf der c’t Projektseite bei heise.de.

Die Live-CD beinhaltet folgende Toolsammlung:

  • Avira AntiVir Personal 8.1.0.331, G DATA AntiVirus 2009 Spezialversion
  • SpyBot Search & Destroy 1.6.0
  • Drive Snapshot 1.39 Spezialversion
  • DeepBurner Free 1.9.0.228
  • MbrFix 1.0.9, MBRwizard 2.0b
  • Partition Find and Mount 2.31, Restauration 2.5.14
  • PC Inspector File Recovery 4.0, Recuva 1.20.361
  • TestDisk 6.10, SoftPerfect File Recovery 1.2
  • Total Commander 7.04a
  • Western Digital Data LifeGuard Diagnostic 1.09b
  • WinSCP 4.1.6, Ultra VNC 1.0.5, Putty 0.60
  • Unknown Devices 1.4.20, HxD 1.7.6.4

Sobald das auf der Live-CD installierte PE-System gestartet ist, kann man die CD aus dem CD/DVD-Laufwerk entfernen. Das geladene Betriebssystem ist auf dem X:-Laufwerk als WIM-Image sichtbar. Im Reiter PE-Tools können nun XP- oder Vista-Treiber nachinstalliert werden. Da die WinBuilder-Umgebung noch keine WLAN-Treiber unterstützt, kann über die Treiberintegration der PE-Tools die spezifischen Treiber des zu untersuchenden PCs nachinstalliert werden (nur dann wenn kein Reboot erforderlich ist). Alternativ können auch spezielle Treiber in die WinBuilder-PE-Umgebung eingebunden werden.

Die Aktualisierung des GDATA-Virenscanner geht über „Viren-Update“, setzt aber eine Internetverbindung voraus. Eine Offline-Ablage der Virensignaturen ist hier nicht möglich.

Die Aktualisierung des Avira-Virenscanner ist über die Funktion Update/Manuelles Update möglich. Über den Soft-Link (Avira AntiVir Personal 8, iVDF-Update mit 4 Dateien) kann eine aktuelle Virensignatur auf einen angeschlossenen USB-Stick heruntergeladen werden und dann manuell eingebunden werden. Allerdings bricht die Importprozedur wegen einer fehlenden Lizenz ab. Die Quarantäne Funktion entspricht hier der Löschfunktion, das das Quarantäne-Verz. auf dem X:-LW (nur im Hauptspeicher) abgelegt ist.

Spybot Search & Destroy kann aus dem Internet aktualisiert werden und bekämpft Trojaner und Werbebanner.