Windows 10 Startprobleme analysieren

Auch unter Windows 10 kann der Systemstart im Bluescreen hängen bleiben. Folgende typische Fehlermeldungen deuten auf bestimmte Ursachen hin:

DRIVER_IRQL_NOT_LES_OR_EQUAL

Ursache ist ein Treiber oder eine Anwendung. Hilfe: Deinstallation der letzten Treiber- oder Anwendungsinstallation.

BAD_POOL_CALLER

Fehlerhafte Anwendung. Hilfe: siehe oben.

BAD_SYSTEM_CONFIG_INFO

Speicherproblem. Hilfe: Falsche Speicherkonfiguration im BIOS

FAT/NTFS_FILE_SYSTEM

Datenträgerproblem. Hilfe: Laufwerk überprüfen im Datei-Manager, Laufwerk markieren, rechte Maus, Eigenschaften/Tools/Prüfen oder in einer administrativen Eingabeaufforderung einen Checkdisk durchführen: chkdsk /f

INACCESSIBLE_BOOT_DEVICE

Das Startlaufwerk wird nicht gefunden. Hilfe: Ev. steckt ein nicht bootfähiger USB-Stick im Rechner. Oder: Falsche Festplatte ist als Boot-Laufwerk ausgewählt oder das Startlaufwerk ist beschädigt.

OUT_OF_MEMORY

Defektes Speichermodul. Hilfe: Systemsteuerung, Verwaltung, Arbeitsspeicher des Computers analysieren oder Windows-Speicherdiagnose

PAGE_FAULT_IN_NON_PAGED_AREA

siehe OUT_OF_MEMORY

PCI_BUS_DRIVER_INTERNAL

Problem am PCI-Bus. Hilfe: Zuletzt verwendete Hardware deinstallieren

THREAD_STUCK_IN_DEVICE_DRIVER

Problem mit der Grafikkarte: Hilfe: Rechnerstart im abgesicherten Modus

UNABLE_TO_LOAD_DEVICE_DRIVER

Treiberproblem. Hilfe: Neuinstallation des zuletzt installierten Treiber

UNEXPECTED_KERNEL_MODE_TRAP

Hardwarefehler z.B. durch Überhitzung von Systemkomponenten oder defektem Prozessor

Bei einigen nicht schwerwiegenden Problemen hilft ein vollständiger Neustart des Rechners: Hochstelltaste drücken und gleichzeitig auf „Neu starten“ klicken.

Manchmal hilft auch die Aktivierung der Startprotokollierung: Windows+R, „msconfig“ eingeben, Register „Start“, Startprotokollierung aktivieren. Das Protokoll finden sie unter %SystemRoot%\ntbtlog.txt. Besonders kritisch sind Einträge im Log, die auf Startdateien außerhalb des Windows-Startverz. %SystemRoot%\System32 hinweisen.

Weiterhin kann die Zuverlässigkeitsüberwachung innerhalb Windows 10 auf Systemfehler hinweisen. Windows+R, „perfmon /rel“ eingeben. Danach auf die kritischen Ereignisse klicken (roter Kreis). Es werden im unteren Teil des Fensters detailliertere Fehlerbeschreibungen angezeigt.

Auch der Task-Manager kann Hinweise auf Probleme beim Rechnerstart liefern. Systembremsen fallen durch hohe Werte in der Spalte CPU auf. Oder weiter rechts in der Tabelle ist ein hoher Stromverbrauch eines Tasks erkennbar. Im Register „Autostart“ sind langwierige Startprozesse erkennbar.

Schließlich kann der Einsatz von Zusatztools hilfreich sein, z.B. Autoruns, Malwarebytes, Malicious Software Removal Tool, Decrapifier, Processor Diagnostic Tool, etc.

Mit Process Explorer nach Schadsoftware suchen

Bei der Suche nach Schadprogrammen kann der Process Explorer von sysinternals wertvolle Hilfe leisten. Zum Start des Process Explorers im Datei-Manager den folgenden UNC-Pfad eingeben:

\\live.sysinternals.com\tools

Rechte Maus auf die Datei procexp64.exe (bei einem 64-bit System) und „als Administrator ausführen“ wählen. Bei Systemen mit ARM-CPU befindet sich im Unterverz. ARM64 die passende Datei.

Zunächst sollte die Spalte „Verified Signer“ angezeigt werden. Gehen sie dazu auf „View/ Select Colums“ und wählen die Spalte „Verified Signer“ aus. Nun muss noch die Option „Options/ Verify Image Signatures“ aktiviert werden.

Ein kritischer Blick lohnt sich auf diejenigen Einträge, die im Feld „Company Name“ einen bekannten SW-Hersteller beinhalten, aber der dazugehörige Eintrag in der Spalte „Verified Signer“ nicht dazu passend ist, oder der Eintrag leer ist.

Der Process Explorer hat eine Schnittstelle zu VirusTotal.com. Um den Virenscanner zu nutzen, muss zunächst die Funktion „Options/ VirusTotal.com/ Check VirusTotal.com“ aktiviert werden und dem Service-Hinweisfenster zugestimmt werden. Nun erscheint in der Process-Übersicht eine zusätzliche Spalte „Virus Total“. Abhängig einer zwischengeschalteten Firewall oder eines Proxyservers kann eine Übertragung der zu prüfenden Dateien oder des Hashwertes der Datei auch verhindert werden.

Best case ist ein Eintrag in Form von „0/76“. Der Eintrag bedeutet dass bei 76 Virenscannern kein Virus entdeckt wurde. Wenn als erste Zahl eine niedrige Zahl erscheint ist das im Regelfall ein Hinweis auf False Positive. Ein Mausklick auf einen Eintrag in der Spalte „Virus Total“ liefert detaillierte Informationen zum Ergebnis des Virenchecks.

Erscheint in der Spalte „Virus Total“ der Eintrag „Unknown“ kann mit einem Rechtsklick und Auswahl „Check Virus Total“ die Datei an Virus Total zum Virenscan versendet werden.

Im worst case (Virenfund) sollte der betroffene Prozess mit dem Befehl „suspend“ (rechte Maus auf den Prozess und „Suspend“ wählen) zunächst beendet werden.Wenn sie den betroffenen Prozess markieren und mit der rechten Maus auf Eigenschaften (Properties) gehen, können sie im Register „Image“ im Eintrag „Autostart Location“ herausfinden, wie der Prozess startet. In einem zweiten Schritt können sie nun versuchen ggfs. den betroffenen Registry-Key zu löschen oder mit dem sysinternal Tool „autoruns“ den Starteintrag zu entfernen.

Alternativ ist auch die Auswahl „Kill Process“ hilfreich, jedoch können so beendete Prozesse häufig wieder neu starten. Um den Neustart zu verhindern ist es meist hilfreich im Prozessbaum benachbarte Prozesse ebenfalls zu analysieren und ggfs. zu beenden bzw. das Startverhalten der Nebenprozesse zu betrachten und ebenfalls zu beenden.

Windows 10 Lizenzschlüssel und Aktivierung

Eine valide Windows 10 Installation muss lizenziert und aktiviert werden.

Produktschlüssel

Bei der Neuinstallation oder beim ersten Systemstart von Windows 10 wird ein Lizenzschlüssel (Produktschlüssel oder Product Key) benötigt. Es handelt sich um eine fünf mal fünfstellige Buchstaben- und Ziffernkombination, die man unter anderem beim Kauf einer Windows 10 DVD erhält. Bei den für Privatkunden empfehlenswerten System-Builder-Lizenzen steckt der Produktschlüssel in der Packung. Das Gleiche gilt für Voll- und Upgrade-Lizenzen. Firmenkunden und Visual-Studio-Abonnenten (ehemals MSDN-Abo) finden die Produktschlüssel in den jeweiligen Download-Portalen. Die Validierung des Produktschlüssels findet offline statt (benötigt also keinen Internetzugang). Um sicherzustellen, dass der Produktschlüssel nur einmalig verwendet wird, muss eine Aktivierung stattfinden.

Der Produktschlüssel einer Windows 10 Installation läßt sich z.B. mit dem Tool License Crawler auslesen.

Aktivierung

Spätestens 30 Tage nach Eingabe des Produktschlüssels muss Windows 10 über die Systemsteuerung „aktiviert“ werden in Form einer Online-Registrierung bei Microsoft.

Windows 10 läßt sich z.B. per Telefonanruf bei Microsoft aktivieren. Die Aktivierung kann auch manuell über „Einstellungen / Update und Sicherheit/ Aktivierung“ initiiert werden oder man wartet darauf bis Windows 10 die Aktivierung per Pop-up-Fenster im Infobereich anbietet.

Die Aktivierung eines Rechners kann über „Einstellungen, Update und Sicherheit, Aktivierung“ überprüft werden.

Digitale Lizenz

Eine digitale Lizenz wird erstellt wenn ein laufendes, aktiviertes Windows mit einem Microsoft-Konto verknüpft wird. Windows 10 schlägt dieses Vorgehen bei der Einrichtung von Windows 10 und der Eingabe eines Produktschlüssel standardmäßig vor. Eine Aktivierung ist dann nicht mehr nötig, da den Microsoft Servern schon bekannt ist, dass ein valider Produktschlüssel vorhanden ist.

Eine digitale Lizenz wird automatisch erstellt, wenn ein Upgrade von Windows 7/8 auf Windows 10 vorgenommen wird und eine Anmeldung mit einem Microsoft-Konto nicht stattfindet. Bei der Erstellung einer digitalen Lizenz wird ein von der verbauten Hardware abhängiger „Fingerabdruck“ des Rechners erstellt und auf Microsoft Servern gespeichert. Die digitale Lizenz wird zur Aktivierung benutzt.

Umstieg auf Windows 10

Besitzer einer Windows 7/8 Lizenz können kostenlos auf Windows 10 umsteigen. Bei der Neuinstallation von Windows 10 kann der Produktschlüssel der Windows 7/8 Umgebung bei Anforderung des Windows 10 Lizenzschlüssels eingegeben werden. Je nach Installationsvariante findet das Setup-Programm entweder die alte Win 7/8 Installation und prüft, ob sie zum Upgrade berechtigt ist, oder man muss den alten Produktschlüssel manuell eintippen, oder das Setup-Programm findet den Produktschlüssel im BIOS. Zudem wird ein Hash über die eingebaute Hardware gebildet. Hash und Schlüssel landen während der Aktivierung auf Microsoft Servern. Der Server prüft die Gültigkeit des eingegebenen Schlüssels. Ist das erfolgreich, speichert er den Hardware-Hash als  digitale Lizenz. Windows 10 ist danach standardmäßig aktiviert.

Durch den Umstieg auf Windows 10 wird die ursprüngliche Windows Lizenz nicht  ungültig. Die neue Windows 10 Lizenz ist keine vollwertige Lizenz, sondern nur die Berechtigung, statt der alten Windows Version die neue zu nutzen. Zum Betrieb von Windows 10 ist sowohl die zugrundeliegende Lizenz der alten Version als auch die Upgrade-Berechtigung erforderlich. Die alte Lizenz ist nicht weiterverkaufbar oder auf einem anderen PC einsetzbar, solange die Gratis-Lizenz von Windows 10 genutzt wird.

Desinfec’t 2018 (****)

Das Desinfec’t Projekt wird seit über 15 Jahren von der c’t publiziert. Einmal jährlich aktualisiert die Zeitschrift Ihre Antivirenumgebung Desinfec´t. Das aktuelle Live-System liegt der c’t-Ausgabe 12/18 bei. Desinfec’t 2018 basiert auf Ubuntu 16.0.4 LTS. Als Kernel kommt 4.13.x mit aktuellem HWE zum Einsatz. Somit ist Desinfec’t beim Kernel gleichauf mit Ubuntu 17.10. Ubuntu ist bekannt für seine gute Hardware-Unterstützung. Weitere  Informationen befinden sich auf der c’t Projektseite oder im Desinfec´t-Forum bei heise.de.

Die Live-DVD bietet wie üblich vier Open Source Virenscanner zur Auswahl an:

  • Avira AntiVir
  • Eset
  • F-Secure
  • Sophos

Im Bootmenü Easy-Scan kommt nur der Virenscanner von Avira zum Einsatz. Gescannt werden Rechner mit BIOS und UEFI Boot-Modus.

Es ist u.a. aus Performancen-Gründen sinnvoll einen bootfähigen USB-Stick zu erstellen. Zur Erstellung eines USB-Sticks mit mind. 16 GByte Speicher steht auf der DVD die Windows-Anwendung „Desinfect2USB_64_Bit“ zur Verfügung (eine entspr. Anwendung gibt es auch für ein 32-bit Windows). Der USB-Stick kann sowohl unter Windows als auch aus dem Live-System heraus erstellt werden. Der Einsatz eines USB-Sticks ist auch deshalb sinnvoll, da hier z.B. für Scans mehrerer Rechner die Virensignaturdateien dauerhaft abgelegt werden können. Der USB-Stick sollte nicht als Wechseldatenträger erkannt werden, sonst gibt es Schwierigkeiten bei der Erstellung des Live-Systems.

Nach dem Booten der Live-Umgebung (nicht Easy-Scan) kann mit dem Icon „Viren-Scan starten“ eine Auswahl der oben genannten vier Virenscanner aktiviert werden. Die Windows-Laufwerke werden jetzt in der 2018 Version automatisch ausgewählt (im Zweifel Icon „Alle Windows-Laufwerke nur lesbar einbinden“ drücken). Es ist möglich nur einzelne Ordner für den Scan auszuwählen. Wenn die Live-Umgebung mit dem Internet verbunden ist, werden die Aktualisierungen der Virensignaturen automatisch durchgeführt. Bei Virenfund-Meldungen können verdächtige Dateien auf VirusTotal hochgeladen werden. Falls die Hinweise (zusätzliche Firefox-Links) auf Schad-SW deuten, kann per „Umbenennen“ die Datei mit der Endung .VIRUS ergänzt werden. Zuvor kommt eine Abfrage, ob auf das jeweilige Windows-Laufwerk geschrieben werden darf.

Neben dem Firefox Browser befinden sich folgende weitere Expertentools auf der DVD:

  • Kaspersky Registry Editor (Autostarteinträge in der Registry überprüfen)
  • Kaspersky Windows Unlocker (Deaktivierung einer Zugriffssperre auf Windows)
  • Partitionen oder Platten klonen mit ddrescue
  • Platten löschen mit dc3dd
  • Windows-Passwort zurücksetzen (oder Terminal: sudo chntpw /pfad/zur/datei.sam, danach Anmeldung ohne Passwort möglich)
  • Verlorene Dateien suchen mit photorec
  • Teamviewer zur Fernwartung

Weitere c’t Artikel beschreiben Notfallmaßnahmen, die mit dem Live-System durchgeführt werden können:

c’t 2018 Heft 13: Datenzugriff auf eine Windows-Umgebung (mit Desinfec’t Explorer), vergessenes Windows-Kennwort zurücksetzen (mit chntpw), Profilverzeichnisse bereinigen, bootfähige Installationssticks für Windows erstellen (mit woeusb)

c’t 2018 Heft 14: Fragen und Antworten zu Desinfec’t (veraltete Signaturen, Kopieren von Dateien im Netz, weitere Hilfe, etc.)

c’t 2018 Heft 15: Fotos und Dateien retten (mit smartctl, ddrescue, ntfsclone, kpartx, photorec und foremost)

(****) Klare Empfehlung für Virenscan per Live-DVD: Vierfacher Virenscan bei nahezu perfekter Hardware-Unterstützung mit WLAN-Integration

c’t-Notfall-Windows 2015 (****)

ctnotfallwindowsNeben dem Desinfec’t Projekt aktualisiert die Zeitschrift c’t auch jährlich Ihre c’t-Notfall-Windows Umgebung. Die Notfallumgebung 2015 liegt der c’t-Ausgabe 2015 Heft 26 bei. Die Notfallumgebung auf DVD oder USB-Stick wird mit dem WinBuilder Tool erstellt und basiert auf der von Microsoft kostenlos zur Verfügung gestellten LTSB-Evaluierungssoftware von Windows 10 (Long Term Servicing Branch, nur Sicherheitsupdates ohne neue Funktionen, ohne Edge Browser). Die WinBuilder Umgebung wird auf der Heft DVD zur Verfügung gestellt, so dass mit dem Win10-Download und wenigen Klicks eine ISO-Datei erstellt werden kann. Der WinBuilder unterstützt das Erstellen einer DVD oder besser eines schreibbaren USB-Sticks.

Besonders gelungen ist die schon vorbereitete Integration von vielfältigen Notfall-Tools, die in unterschiedlichen kritischen Situationen hilfreich sein können. Folgende Rettungstools stehen mit der Notfallumgebung zur Verfügung:

Virenscanner:

Zum Einsatz kommen auf der Notfallumgebung der Avira PC Cleaner, das Emsisoft Emergency Kit, der Eset Online Scanner und das Tool Antimalware.

Datenrettungssoftware:

Auf der erstellten DVD/USB-Stick befinden sich die Datenrettungstools Testdisk, Recuva und Photorec. Zuvor kann per Drive Snapshot ein Image der fehlerbehafteten Festplatte erstellt werden. Bei defekten Festplatten helfen HDD Raw Copy und Unstoppable Copier.

Hardware-Informationen:

Über die Hardware informiert CPU-Z und GPU-Z. Mit Prime95 kann ein Stresstest simuliert werden. HDTune informiert über die Festplattenparameter und prüft im Reiter „Error Scan“ auf fehlerhafte Sektoren. Das Tool kann auch S.M.A.R.T Informationen auslesen.

Autostartanalyse:

Schlechte Startzeiten von Windows-Betriebssystemen basieren häufig auf zusätzlichen automatisch startenden SW-Produkten. Eine Übersicht bietet das Freeware-Tool Autoruns von Sysinternals, welches auch die Autostarts eines Offlinesystems analysieren kann.

Windows-Kennwortrücksetzung

Im c’t Artikel ist auch beschrieben wie ein Windows-Kennwort mit Austausch der Datei utilman.exe zurück gesetzt bzw. ein neues Kennwort vergeben werden kann.

Startprobleme beheben:

Bootprobleme können durch Neuinstallation eines Bootloaders im Offlinesystem behoben werden. Defekte Systemdateien lassen sich auf einem Offlinesystem mir den System File Check (sfc) beheben.

Windows-Updates deinstallieren

Der c’t Artikel beschreibt das Deinstallieren von fehlerhaften Windows-Updates per dism-Befehl.

Die Notfallumgebung kann noch mit beliebig weiteren portablen Windows-Tools ergänzt werden, so dass auf Basis dieser Notfallumgebung eine umfangreiche Sammlung von Notfalltools ermöglicht wird, die sich meist benutzerfreundlich in einer modernen Windows-Umgebung bedienen lassen.