c't-Notfall-Windows 2025

Inhaltsverzeichnis

Der Bausatz für das Notfall-Windows erfordert einen Windows-PC nebst Internetzugang. Er erstellt ein vom USB-Stick bootfähiges, transportables Windows mit allerhand nützlichen Werkzeugen, um Windows-PCs auf Schädlinge zu überprüfen, Daten zu retten und Passwörter zurückzusetzen.

Für c't 2/2025 haben wir das Notfall-Windows erneut überarbeitet. Es verwendet als Basis ein unter Open-Source-Lizenz auf GitHub entwickeltes Projekt: PhoenixPE. Die von uns vereinfachte und etwas abgewandelte Bauanleitung führt PEBakery aus; eine ebenfalls als Open-Source entwickelte Alternative zum altgedienten WinBuilder.

Die nötigen Downloads nebst MD5-Summen zum Überprüfen finden Sie auf dieser Seite weiter unten. Wie Sie den Bausatz und das erzeugte Notfallsystem anwenden, erklären Artikel aus c't 2/2025:

c't-Abonnenten mit Zugriff auf digitale Inhalte können die Artikel hier lesen (alle Artikel aus c't 2/2025):

Das eigene Notfallsystem bauen, Seite 12

Probleme lösen mit dem Notfall-Windows, Seite 18

Virensuche mit dem Notfall-Windows 2025, Seite 24

Unverzichtbare Hardware mit Treibern versorgen, Seite 28

Später erschienene Artikel:

FAQ: c't-Notfall-Windows 2025 (aus c't 6/2025, S. 162)

Windows sichern, reparieren und installieren mit nur einem USB-Laufwerk (aus c't 16/2025, S. 148)

Weitere, ältere Artikel:

FAQ: c’t-Notfall-Windows 2024 (aus c't 6/2024)

c’t-Notfall-Windows 2024: Tipps und Tricks zum Erweitern (aus c't 8/2024, S. 154) – die meisten Hinweise gelten auch für das Notfall-Windows 2025

Weitere Funktionen im c’t-Notfall-Windows 2024 freilegen, (aus c't 2/2024, S. 22)

Ältere, vertiefende Artikel zeigen weitere Anwendungsfälle auf:

Copy & Save, Windows-Installationen als Klon übertragen oder als Image sichern (aus c't 22/2019, S. 20)

Die Zeit zurückdrehen, Datenrettung mit dem c't-Notfall-Windows (aus c't 22/2019, S. 24), siehe dazu auch Schwerpunkt in c't 21/23 zum Datenretten

Was ist kaputt?, So nutzen Sie das c’t-Notfall-Windows für die Hardware-Diagnose (aus c't 2/2022, S. 24)

Sollten Sie weder in den Artikeln noch hier die nötige Hilfestellung finden, schauen Sie doch im Forum vorbei. Gern können Sie uns auch per E-Mail Fragen stellen. Richten Sie diese bitte an ctnotwin25@ct.de und fügen Sie bei Bauproblemen gleich ein komprimiertes Log bei, das Sie im Unterverzeichnis Logs in Ihrem Bauverzeichnis als Zip-komprimierte Datei finden.

Nötige Downloads

Sie benötigen den Bausatz selbst:

ctnotwin25.zip, md5: dfcea3b3baa489167592e45a5e46b6dc

und zusätzlich die Eval-Fassung von Windows 11, wir empfehlen ausschließlich diese:

Windows 11 Version 23H2, x64 (64 Bit), md5: 7c1f3439f6e3308ec33febaf3ab7cf0d

Gegebenenfalls (meist auf frisch eingerichteten PCs oder in VMs) sind auch die Visual C++ Laufzeitbibliotheken von Microsoft notwendig. Hier ist die aktuelle Fassung die passende. Die Architektur muss zu der des Bausystems passen.

PEBakeryLauncher.exe startet üblicherweise ein Browser-Fenster für den Download der .NET Desktop Runtime, wenn die auf dem Bau-PC nicht installiert ist. Es benötigt die 6er-Version, die sich über diesen Link herunterladen lässt – die gleichzeitige Installation mehrerer Versionen ist kein Problem.

Um die md5-Summen der Zip-Datei und ISOs zu überprüfen, genügt der in Windows verfügbare Befehl certutil in einer Eingabeaufforderung (der Name der Datei muss dabei angepasst werden):

certutil -hashfile windows.iso MD5

Neuerungen

Neben den üblichen Updates für die enthaltenen Programme bringt die neue Fassung des Notfallsystems unter anderem folgende Änderungen mit: Es enthält mit NVDA einen Screenreader für Blinde. Wir haben ein Hilfsskript ergänzt, das das Aktualisieren von Virensignaturen für einige Scanner erleichtert, indem es alle dafür nötigen Schritte selbständig ausführt. Ein ergänztes Skript hilft, im laufenden Notfallsystem Treiber nachzuladen, die auf der internen Platte des behandelten PCs liegen. Wir haben einige Leserwünsche umgesetzt und Programme ergänzt, so disk2vhd und KeePass.

Die aktuelle Fassung des Notfallsystems enthält unter der Haube einige Änderungen, die vor allem Nutzer betreffen dürften, die das System auf eigene Faust erweitern. Dreh und Angelpunkt beim Systemstart ist ein Skript, das in der Skriptsprache AutoIt verfassst worden ist. Es liegt nach dem Start in x:\windows\system32 und heißt schlicht PhoenixPE.au3. Beim Bauen des Systems wird es vom PEBuilder-Skript PreShell entpackt und im Verlauf des Bauvorgangs angepasst, um zum Beispiel die Links auf dem Desktop anzulegen und das Startmenü aufzubauen.

Wir passen das entstandene Startskript mit unseren Ergänzungen an. Unter anderem tauschen wir das Startmenü durch eine aufgeräumte und eingedeutsche Variante aus. Die Vorlage dafür befinden sich im von uns bereitgestellten Zip-Archiv im Ordner Custom in der Datei shortcuts.au3. Wenn Sie händisch eigene Einträge erzeugen wollen, müssen Sie diese Datei berarbeiten. (Die dafür bei früheren Versionen zuständige Dateien pecmd.ini/pecmd_links.ini sind überholt und spielen im aktuellen Bausatz keine Rolle mehr).

Vermeintliche Viren-Funde

Dauerthema bei Bausätzen für ein Windows-PE-basiertes Notfallsystem sind Fehlalarme von Antivirus-Software beim Entpacken der Zip-Archive, beim Bauen oder auch im Betrieb, wenn ein Scanner das laufende System untersucht. Wir prüfen die Bausätze des Notfall-Windows deshalb vor Veröffentlichung und haben die Ergebnisse und Methoden erstmals 2017 in einem eigenen Artikel zusammengefasst.

Der aktuellen Ausgabe des c't-Notfall-Windows sind wir ebenfalls wieder zu Leibe gerückt und dabei auf die in der folgenden Tabelle genannten Programme gestoßen, die den einen oder anderen Virenscanner auf den Plan rufen. Die Tabelle dokumentiert nur Dateien, die mehr als zwei Scanner haben Alarm schlagen lassen. Nach bestem Wissen und Gewissen handelt es sich dabei um Fehlalarme, die meist durch heuristische Verfahren ausgelöst werden – wirkliche Malware verwendet ähnliche Verfahren oder Techniken.

Programmname	Funktionsbeschreibung
AimRamdrive.exe	Hilfsskript zum Erstellen eines RAM-Drive per Arsenal Image Mounter; Fehlalarm, der typisch für AutoIt-Skripte ist
AutoIt3.exe	beliebte Skripting-Engine, die leider auch Malware-Autoren nutzen; liegt nur im Baubereich und wird nicht ins Notfallsystem eingebunden
BcastEnvChg.exe	sorgt beim Start dafür, dass sich Netzwerkkonfigurationsänderungen herumsprechen
binmay.exe	sucht und ersetzt auch in Binärdateien; in Standardeinstellungen nicht aufgerufen
drvinstpatch.exe	modifiziert Verhalten von Windows PE bei Treiberinstallation
DRW.exe	EaseUS Data Recovery Wizard, Programm zur Datenrettung, das einige Anbieter als "Potenziell unerwünschte Anwendung" einstufen
GetBinaryResource.exe	extrahiert aus Ressourcen einer EXE- enthaltene Binärdaten (nur benutzt, wenn ProcMon oder DebugView aktiviert werden)
GetStringResource.exe	extrahiert aus Ressourcen einer EXE enthaltene Texte (in einigen Skripten genutzt, um Sprachanpassungen vorzunehmen)
gwt.exe	lädt selektiv Dateien aus dem ADK/WAIK herunter
hiderun.exe	verbirgt Programmausgaben, macht den Startschirm schöner
hiveunload.exe	blendet beim Bauen zeitweise geladene Registry-Strukturen wieder aus
innounp.exe	entpackt Installationspakete, die mit Inno Setup gebaut worden sind
imageconvert.exe	hilft in PhoenixPE beim Konvertieren des Formats von Bilddateien
imdiskstart.exe	Hilfsskript zum Erstellen eines RAM-Drive mit ImDisk; Fehlalarm, der typisch für AutoIt-Skripte ist
jj.exe	komprimiert JSON; bisher nur in den Makros von PhoenixPE erwähnt
keyfinder.exe	liest Installationsschlüssel aus
letterswap.exe	ändert Laufwerksbuchstabenzuordnung im Notfallsystem
mailpv.exe	bringt Mail-Passwörter zum Vorschein
mpg123.exe	spielt Startton im Notfallsystem ab (wenn, wie standardmäßig vorgesehen, NVDA als Komponente aktiviert ist)
OpenShellSetup_4_4_191.exe	führt theoretisch die Installation von OpenShell aus; im Kontext des Bausatzes läuft die Installation selbst aber nie, sondern die Dateien werden aus der EXE-Datei gepflückt
OskTray.exe	zeigt ein Symbol im Tray-Bereich, um die Bildschirmtastatur zu aktivieren; Fehlalarm, der typisch für gepackte Binärdateien ist
pinutil.exe	legt in Startmenü & Co. Verweise auf Programme an
RegFind.exe	sucht und ersetzt Inhalte in der Registry während des Bauens
Uninstall.exe	Teil von 7zip und BusyBox; die BusyBox-Datei erzeugt diesen Fehlalarm, liegt nur im Baubereich und wird nicht ins Notfallsystem eingebunden
VolCtrl.exe	dient zur Einstellung der Lautstärke im Notfallsystem
vtoydump.exe	Hilfsprogramm für die Zusammenarbeit mit Ventoy

Build-Log als Beispiel

Das folgende Log im HTML-Format ist beim Bauen auf einem PC mit Windows 11 Version 24H2 als Betriebssystem entstanden. Als vom Bausatz verarbeitete Eval-Fassung haben wir das empfohlene Windows 11 in Version 23H2 verwendet.

Haben Sie bitte etwas Geduld beim Rendern im Browser die Datei ist einige MByte groß:
Erfolgreicher Baulauf auf Windows 11 24H2 mit 23H2-Eval-ISO als Basis

Updates

Die Liste ist in chronologischer Reihenfolge (älteste Update zuerst):

Am 7.2. mittags behebt Update 1 folgende Probleme

• Verhindert Baustopp beim Download von NVDA durch eine geändert URL (nvda.script).
• Ändert die Quelle für einige Intel-Treiber, sodass die Download-Timeouts selbst bei langsamen Internet-Anbindungen kein Problem mehr sein sollten (intelmeidriver.script).
• Macht den Bau robuster, wenn eine Preview-Version von Windows auf dem Bau-PC verwendet wird (firefox.script).

Am 17.3. nachmittags behebt Update 2 folgendes Problem

• Passt das Skript für ExtraDrivers so an, dass es die aktuelle Version der Dawicontrol-Treiber verarbeitet, ohne abzubrechen.

Am 30.3. frühabends korrigiert Update 3 folgendes Problem

• Modifiziert das Skript zum Einbau von Firefox so, dass das trotz aktueller Updates für Windows 11 Version 24H2 auf dem Baussystem durchläuft.

Am 11.4. morgens gleicht Update 4 folgendes Versäumnis aus

• Ersetzt UnattendAccount.xml durch korrekte Version.

Am 14.4. morgens ergänzt Update 5 eine durch Update 4 verloren gegangene Datei

• Liefert wieder befehle.txt

(ps)