c’t-Notfall-Windows 2015 (****)

ctnotfallwindowsNeben dem Desinfec’t Projekt aktualisiert die Zeitschrift c’t auch jährlich Ihre c’t-Notfall-Windows Umgebung. Die Notfallumgebung 2015 liegt der c’t-Ausgabe 2015 Heft 26 bei. Die Notfallumgebung auf DVD oder USB-Stick wird mit dem WinBuilder Tool erstellt und basiert auf der von Microsoft kostenlos zur Verfügung gestellten LTSB-Evaluierungssoftware von Windows 10 (Long Term Servicing Branch, nur Sicherheitsupdates ohne neue Funktionen, ohne Edge Browser). Die WinBuilder Umgebung wird auf der Heft DVD zur Verfügung gestellt, so dass mit dem Win10-Download und wenigen Klicks eine ISO-Datei erstellt werden kann. Der WinBuilder unterstützt das Erstellen einer DVD oder besser eines schreibbaren USB-Sticks.

Besonders gelungen ist die schon vorbereitete Integration von vielfältigen Notfall-Tools, die in unterschiedlichen kritischen Situationen hilfreich sein können. Folgende Rettungstools stehen mit der Notfallumgebung zur Verfügung:

Virenscanner:

Zum Einsatz kommen auf der Notfallumgebung der Avira PC Cleaner, das Emsisoft Emergency Kit, der Eset Online Scanner und das Tool Antimalware.

Datenrettungssoftware:

Auf der erstellten DVD/USB-Stick befinden sich die Datenrettungstools Testdisk, Recuva und Photorec. Zuvor kann per Drive Snapshot ein Image der fehlerbehafteten Festplatte erstellt werden. Bei defekten Festplatten helfen HDD Raw Copy und Unstoppable Copier.

Hardware-Informationen:

Über die Hardware informiert CPU-Z und GPU-Z. Mit Prime95 kann ein Stresstest simuliert werden. HDTune informiert über die Festplattenparameter und prüft im Reiter „Error Scan“ auf fehlerhafte Sektoren. Das Tool kann auch S.M.A.R.T Informationen auslesen.

Autostartanalyse:

Schlechte Startzeiten von Windows-Betriebssystemen basieren häufig auf zusätzlichen automatisch startenden SW-Produkten. Eine Übersicht bietet das Freeware-Tool Autoruns von Sysinternals, welches auch die Autostarts eines Offlinesystems analysieren kann.

Windows-Kennwortrücksetzung

Im c’t Artikel ist auch beschrieben wie ein Windows-Kennwort mit Austausch der Datei utilman.exe zurück gesetzt bzw. ein neues Kennwort vergeben werden kann.

Startprobleme beheben:

Bootprobleme können durch Neuinstallation eines Bootloaders im Offlinesystem behoben werden. Defekte Systemdateien lassen sich auf einem Offlinesystem mir den System File Check (sfc) beheben.

Windows-Updates deinstallieren

Der c’t Artikel beschreibt das Deinstallieren von fehlerhaften Windows-Updates per dism-Befehl.

Die Notfallumgebung kann noch mit beliebig weiteren portablen Windows-Tools ergänzt werden, so dass auf Basis dieser Notfallumgebung eine umfangreiche Sammlung von Notfalltools ermöglicht wird, die sich meist benutzerfreundlich in einer modernen Windows-Umgebung bedienen lassen.

Desinfec’t 2014 (****)

desinfectEinmal jährlich aktualisiert die Zeitschrift c´t Ihre Antivirenumgebung Desinfec´t. Desinfec’t 2014 liegt der c’t-Ausgabe 12/14 bei, die seit dem 19. Mai 2014 im Handel erhältlich ist. Auf der Desinfec’t DVD kommt die Ubuntu Version 12.0.4.4 Long Term Support als Betriebssystem zum Einsatz. Ubuntu ist bekannt für seine gute Hardware-Unterstützung. Die c’t Redaktion hat u. a. mit der Version 2014 wieder einen Teamviewer-Client auf die Live-DVD integriert. Weitere  Informationen befinden sich auf der c’t Projektseite oder im Desinfec´t-Forum bei heise.de.

Die Live-DVD bietet wie üblich vier Open Source Virenscanner zur Auswahl:

  • Avira AntiVir
  • BitDefender AntiVirus
  • Kaspersky Anti-Virus
  • ClamAV (fällt durch häufige Fehlalarme auf)

Neu in der Version 2014 ist die Unterstützung vom BIOS und UEFI Boot-Modus. Erscheint beim Booten ein farbiger Bildschirm mit Logo, hat das BIOS seine Arbeit verrichtet. Bei UEFI-Unterstützung erscheint ein weißer Kasten mit testbasiertem Auswahlmenü.

Nach dem Start der gebooteten Live-DVD erscheint die Ubuntu Arbeitsfläche. Ein Willkommen-Fenster prüft, ob eine ETH-Verbindung vorhanden ist. Falls kein ETH-Netzwerkkabel im Rechner steckt, wird oben rechts auf das WLAN-Icon verwiesen. Das WLAN-Icon zeigt automatisch alle verfügbaren Funknetze auf. Nach Auswahl der SSID-Bezeichnung und Eingabe des WLAN-Kennwortes kann die Internet-Verbindung gestartet werden. Erkennt Desinfec’t ein ETH-Kabel am Rechner, wird die Netzwerkverbindung sofort aktiviert.

Es ist u.a. aus Performancen-Gründen sinnvoll nach dem Start der DVD gleich einen bootfähigen USB-Stick zu erstellen. Per Mausklick können nicht nur die Virensignaturen sondern auch das gesamte Rettungssystem auf einem USB-Stick abgelegt werden. Zur Erstellung eines USB-Sticks mit mind. 4 GByte Speicher steht auf der Live-DVD das Tool “Bootfähigen USB-Stick mit desinfec’t erzeugen” zur Verfügung. Der Einsatz des USB-Sticks ist auch in Verbindung mit der DVD sinnvoll, da die Virensignaturdateien standardmäßig auf einem erkannten USB-Stick abgelegt werden.

Nach dem Booten des USB-Sticks kann die Virenanalyse mit aktualisierten Virensignaturen entweder per Desinfec’t-Icon oder per “Virenscan starten” durchgeführt werden. Das Einbinden der Festplatte(n) und Partitionen des zu untersuchenden Rechners wird automatisiert zunächst im read-only-Modus vorgenommen. Standardmäßig werden alle angeschlossenen Laufwerke unter /media gescannt. Der Virenscan lässt sich auf Unterverzeichnisse eingrenzen. Archive und Mailboxen werden nicht gescannt, da sie im Regelfall keinen direkten Schaden anrichten können.

Nach Abschluss der Virenscans werden entspr. Log-Files angezeigt und ein gesammelter Bericht als HTML-Datei erstellt. Zur Analyse der potentiellen Schädlinge kann in der Version 2014 ein Upload zu einem Online-Scan-Dienst wie Virustotal.com durchgeführt werden. Die voreingestellte Favoritenleiste des Firefox bietet weitere Links zu Online-Scan-Diensten an.

Wird nun tatsächlich ein Schädling identifiziert, empfiehlt sich das Umbenennen der virulenten Datei, indem Desinfec’t den Dateinamen um “VIRUS” ergänzt. Zuvor wird von Desinfec´t der Schreibmodus auf das betroffene Laufwerk angeboten. Soll beim nächsten Scan der Virus nicht mehr erkannt werden, bietet Desinfec’t die Option den Virus mit dem Standardkennwort “desinfect” zu verschlüsseln (bei Fehlalarm: $ sudo decrypt.sh virus.exe.CRYPT).

Neben dem Firefox Browser befinden sich folgende weitere Expertentools auf der DVD:

  • Kaspersky Registry Editor (Autostarteinträge in der Registry überprüfen)
  • Kaspersky Windows Unlocker (Deaktivierung einer Zugriffssperre auf Windows)
  • Partitionen oder Platten klonen mit ddrescue
  • Platten löschen mit dc3dd
  • Windows-Passwort zurücksetzen (oder Terminal: sudo chntpw /pfad/zur/datei.sam, danach Anmeldung ohne Passwort möglich)
  • Verlorene Dateien suchen mit Photorec
  • Teamviewer zur Fernwartung

Neu in Version 2014 ist auch ein Info-Fenster am oberen rechten Rand des Bildschirms. Auf einen Blick ist im Info-Fenster erkennbar, welchen Stand die erkannten Virensignaturen haben und wie die Systemressourcen ausgelastet sind.

(****) Klare Empfehlung für Virenscan per Live-DVD: Vierfacher Virenscan bei nahezu perfekter Hardware-Unterstützung mit WLAN-Integration

Startoptionen für Windows 7

Falls der Windows 7 Systemstart nicht mehr korrekt funktioniert, bietet Windows 7 mehrere Startoptionen, die eine Reparatur der Win7-Produktivumgebung ermöglichen:

Abgesicherter Modus

Im Bootvorgang des Win7-Rechners kann die F8-Taste gedrückt werden. Der Bildschirm zeigt nun den Eintrag „Abgesicherter Modus“ an. Der Abgesicherte Modus startet mit der produktiven Windows 7 Umgebung, allerdings ohne Ausführung von Autostart-Einträgen und nur mit wenigen Standardtreibern. Im Gerätemanager können Treiberinstallationen neu durchgeführt werden. Es ist auch möglich das Win7-System auf einen früheren Wiederherstellungspunkt zurückzusetzen.

Windows Recovery Environment (WinRE)

Wiederum kann im Bootvorgang des Win7-Rechners die F8-Taste gedrückt werden. Unter erweitere Startoptionen kann der Eintrag „Computer reparieren“ ausgewählt werden. Nun erscheint folgendes Auswahlfenster:

SystemwiederherstellungsoptionWin7

 

 

 

 

 

 

 

 

Der Eintrag „Startreparatur“ ist hilfreich, wenn beim Rechnerstart kein Betriebssystem gefunden wird. Die Startreparatur versucht vom Zweitsystem aus in der Win7 Bootpartition eine neue Bootumgebung für das Produktivsystem zu erstellen. Falls der automatisierte Versuch scheitert, kann noch manuell über die Eingabeaufforderung (letzter Eintrag) versucht werden die Bootparameter neu zu setzen:

bootrec /fixmbr
bootrec /fixboot
bootrec /rebuildbcd

Der Eintrag „Systemwiederherstellung“ ermöglich das Zurücksetzen der Windows 7 Umgebung auf den Stand eines älteren Wiederherstellungspunktes. Diese Aktion wird aber im Gegensatz zum Abgesicherten Modus vom Zweitsystem in der separaten Win 7 Bootpartition durchgeführt.

Der Eintrag „Systemabbild-Wiederherstellung“ ermöglicht Ihnen das Restaurieren auf Basis eines Systemabbildes. Voraussetzung ist, dass das Systemabbild zuvor erstellt wurde (Systemsteuerung/ Sichern und Wiederherstellen / Systemabbild erstellen) und die Imagedatei auch vorliegt.

Der Eintrag „Eingabeaufforderung“ ermöglicht Ihnen z.B. eine Low-Level Datensicherung durchzuführen. Win7-Tools wie copy oder externe Dateimanager können in der Eingabeaufforderung gestartet werden (ebenso Undelete-Tools wie Recuva oder Photorec). Es ist auch denkbar einen Zweit-Virenscanner aus der Eingabeaufforderung zu starten.

Reparaturinstallation

Windows 7 bietet keine direkte Reparaturinstallation an (im Gegensatz zur Windows 8 Funktion „PC auffrischen“). Windows 7 ermöglicht allerdings mit dem Tool „sfc“ ein Prüfprogramm für die wichtigsten Systemdateien der Windows 7 Umgebung durchzuführen. In einer administrativen Eingabeaufforderung kann mit „sfc /scannow“ die Ressourcenvalidierung gestartet werden. Das Ergebnis der Prüfung wird in einer log-Datei (c:\windows\logs\cbs\cbs.log) festgehalten. Falls die Systemreparatur mit „sfc“ nicht erfolgreich ist, kann eine manuelle Inplace Reparaturinstallation mit einem Windows 7 Installationsmedium (mit identischem Service-Pack wie das Produktivsystem, Produkt-Key erforderlich, originale Win7-DVD oder Win7-OEM erforderlich, kein Win7 Systemreparaturdatenträger) durchgeführt werden. Dazu muss in der Produktionsumgebung das Win7 Setup-Programm vom Installationsdatenträger gestartet werden. Danach ist die Installationsart „Upgrade“ zu wählen. Benutzerdaten, Einstellungen und Programme bleiben auf dem Rechner erhalten. Updates müssen neu installiert werden.

Zweitmeinungsvirenscanner: Avira PC Cleaner und Safety Scanner (MS)

AviraLogoDer Avira PC Cleaner ist ein Malware-Scanner der quasi als zweite Meinung zu einem installierten Virenscanner eine Sicherheitsprüfung des Systems durchführen kann. Der PC Cleaner braucht weder eine Installation, Registrierung noch zusätzliche Treiber.

Nach dem Download (am Ende der Seite: „PC Cleaner“, grüner Download-Button) und Start des Scantools entpackt sich der Scanner nach „C:\Users\<Benutzername>\AppData\Local\Temp\cleaner\avwebloader.exe“ automatisch. Im Avira PC Cleaner Fenster kann der Button „System überprüfen“ gedrückt werden und das Tool sucht nun nach Schadsoftware auf dem Rechner. Die aktuelle Version des Tools wird immer aus dem Internet geladen. Der Benutzer kann zwischen einem normalen und einem langsameren vollständigen Scan wählen. Als Ergebnis des Scans werden gefundene Schädlinge angezeigt und die Schadsoftware kann per Knopfdruck entfernt werden.

Mit der Funktion „Auf USB-Gerät kopieren“ kann der Malware-Scanner in Form einer exe-Datei auf einen externen USB-Stick kopiert werden.

Microsoft bietet mit dem Tool Safety Scanner auch eine Ergänzung zu einem bereits installierten Virenscanner an. Das Tool sucht detailliert nach Spyware, Malware, Trojaner und Viren. Nach dem Download kann zwischen einer Schnellanalyse und einer vollständigen bzw. benutzerdef. Analyse gewählt werden. Ein Malwarefund wird berichtet und automatisch entfernt. Der Scanner ist immer bis zu 10 Tage nach dem Download gültig bzw. einsetzbar.

Datenträgerbereinigung unter Windows

In manchen Fällen fährt eine Windows 7,8,10 Umgebung gegen die Wand, weil auf der Windows-Partition kein Platz mehr für neue (temp.) Daten zur Verfügung steht. Geht der Plattenplatz zu Ende, ist meist Eile geboten. Im Regelfall ist es sinnvoller selbst Hand anzulegen, bevor Windows eigene Mechanismen aktiviert (Reduzierung der Auslagerungsdatei, Löschen von Wiederherstellungspunkten, etc.):

Bei geschäftlichen Rechnern können meist nicht mehr notwendige Benutzerprofile gelöscht werden. Mit administrativen Rechten kann in der Suchleiste „Benutzerprofile“ eingegeben werden und unnötige (historische) Benutzerprofile können ausgewählt und gelöscht werden.

Als nächstes hilft die Windows-eigene Datenträgerbereinigung weiter. Dazu wird in der Suchleiste „Datenträgerbereinigung“ eingegeben und die Windows-Partition (meist c:\) ausgewählt. Als Ergebnis erscheint eine Liste mit Löschvorschlägen. Falls Sie noch gründlicher aufräumen wollen, drücken Sie den Button „Systemdateien bereinigen“. Im Regelfall können die Löschvorschläge des Windows-Systems akzeptiert werden. In manchen Fällen wird der Inhalt des Ordners „C:\Benutzer\<Windows Kontoname>\ appdata\ local\temp\“ nicht gelöscht, was Sie manuell tun können. Ebenso können Sie auch den Inhalt von „C:\Windows\SoftwareDistribution“ löschen, da hier nur die Installationsdateien von Windows-Updates abgelegt sind. Zuvor müssen Sie die beiden Dienste „Windows Update“ und „Intelligenter Hintergrundübertragungsdienst“ stoppen und nach der Löschaktion wieder starten.

In einem nächsten Schritt kann versucht werden große Dateien zu identifizieren und ggfs. zu löschen. Markieren Sie dazu auf der linken Explorer-Seite die Windows-Partition und geben im Windows-Explorer oben rechts im Suchfeld „größe:>200m“ ein. Sie bekommen nun Dateien aufgelistet, die größer als 200 MB sind. In vielen Fällen tauchen hier iso-Dateien, heruntergeladene Dateien, etc. auf, die ggfs. nach genauer Prüfung gelöscht werden können.

Nach den unterschiedlichen Datenbereinigungen können Sie auch noch prüfen, ob ganze Programmpakete deinstalliert werden können. Die Deinstallationsroutinen finden Sie unter „Systemsteuerung / Programme und Funktionen“.

Unter Windows 8.1 und Windows 10 können Sie unter Verzicht des Schnellstarts und des Ruhezustandes die Datei c:\hiberfil.sys löschen. Dazu geben Sie in einer administrativen Eingabeaufforderung den Befehl „powercfg -h off“ ein. Aktivieren geht dann wieder mit „on“ statt „off“.

Zum Schluss noch ein Hinweis, wo Sie keine Dateien löschen sollten:
Unterhalb von c:\windows\installer (enthält zukünftige Updates) und
c:\windows\winsxs (enthält Dateien der prod. Windows-Umgebung).