heise PlusAbo

c't-Notfall-Windows 2026

Unser Bausatz erstellt ein vom USB-Stick bootfähiges, transportables Windows zur Schädlingsbekämpfung und Datenrettung. Diese Projektseite ergänzt die Artikel.

vorlesen Druckansicht 44 Kommentare lesen
c't-Notfall-Windows 2026

(Bild: Ulrike Weis/KI/heise medien)

Lesezeit: 11 Min.
c't Magazin
Von
Inhaltsverzeichnis
      Der Bausatz für das Notfall-Windows erfordert einen Windows-PC nebst Internetzugang. Er erstellt ein vom USB-Stick bootfähiges, transportables Windows mit allerhand nützlichen Werkzeugen, um Windows-PCs auf Schädlinge zu überprüfen, Daten zu retten und Passwörter zurückzusetzen.

FĂĽr c't 2/2026 haben wir das Notfall-Windows ein weiteres Mal ĂĽberarbeitet. Es verwendet als Basis ein unter Open-Source-Lizenz auf GitHub entwickeltes Projekt: PhoenixPE. Die von uns vereinfachte und etwas abgewandelte Bauanleitung fĂĽhrt PEBakery aus; eine ebenfalls als Open-Source entwickelte Alternative zum altgedienten WinBuilder.

Die nötigen Downloads nebst MD5-Summen zum Überprüfen finden Sie auf dieser Seite weiter unten. Wie Sie den Bausatz und das erzeugte Notfallsystem anwenden, erklären Artikel aus c't 2/2026:

c't-Abonnenten mit Zugriff auf digitale Inhalte/heise+ können die Artikel hier lesen (alle Artikel aus c't 2/2026):

c’t-Notfall-Windows 2026: Das eigene Notfallsystem bauen (oder via Select in c’t 2/2026, S. 54)

FAQ: Notfall-Windows und Secure Boot (oder via Select in c’t 2/2026, S. 60)

Probleme lösen mit dem c’t-Notfall-Windows 2026 (oder via Select in c’t 2/2026, S. 62)

Virensuche mit dem c’t-Notfall-Windows 2026 (oder via Select in c’t 2/2026, S. 70)

Treiber im c’t-Notfall-Windows 2026 nachinstallieren (oder via Select in c’t 2/2026, S. 74)

Video zum Bauprozess:

Das lezte YouTube-Video zum Bausatz bezieht sich noch auf die Version 2025.

Weitere, ältere Artikel:

FAQ: c't-Notfall-Windows 2025 (aus c't 6/2025, S. 162)

Windows sichern, reparieren und installieren mit nur einem USB-Laufwerk (aus c't 16/2025, S. 148)

FAQ: c’t-Notfall-Windows 2024 (aus c't 6/2024)

c’t-Notfall-Windows 2024: Tipps und Tricks zum Erweitern (aus c't 8/2024, S. 154) – einige Hinweise lassen sich auf das Notfall-Windows 2026 nicht mehr anwenden; ein neuer Artikel zum Thema ist in Vorbereitung.

Weitere Funktionen im c’t-Notfall-Windows 2024 freilegen, (aus c't 2/2024, S. 22)

Ältere, vertiefende Artikel zeigen weitere Anwendungsfälle auf:

Copy & Save, Windows-Installationen als Klon ĂĽbertragen oder als Image sichern (aus c't 22/2019, S. 20)

Die Zeit zurĂĽckdrehen, Datenrettung mit dem c't-Notfall-Windows (aus c't 22/2019, S. 24), siehe dazu auch Schwerpunkt in c't 21/23 zum Datenretten

Was ist kaputt?, So nutzen Sie das c’t-Notfall-Windows für die Hardware-Diagnose (aus c't 2/2022, S. 24)

Sollten Sie weder in den Artikeln noch hier die nötige Hilfestellung finden, schauen Sie doch im Forum vorbei. Gern können Sie uns auch per E-Mail Fragen stellen. Richten Sie diese bitte an ctnotwin26@ct.de und fügen Sie bei Bauproblemen gleich ein komprimiertes Log bei, das Sie im Unterverzeichnis Logs in Ihrem Bauverzeichnis als Zip-komprimierte Datei finden.

Sie benötigen den Bausatz selbst:

ctnotwin26.zip, md5:7ccbec3fb1927fa47e021fcdcb02ae60

und zusätzlich die Eval-Fassung von Windows 11, wir empfehlen ausschließlich diese:

Windows 11 Version 23H2, x64 (64 Bit), md5: 7c1f3439f6e3308ec33febaf3ab7cf0d

Um die md5-Summen der Zip-Datei und ISOs zu ĂĽberprĂĽfen, genĂĽgt der in Windows verfĂĽgbare Befehl certutil in einer Eingabeaufforderung (der Name der Datei muss dabei angepasst werden):

certutil -hashfile windows.iso MD5

Neben den üblichen Updates für die enthaltenen Programme bringt die neue Fassung des Notfallsystems unter anderem folgende Änderungen mit: Jetzt ist auch KeePass2 an Bord (und, weil dafür nötig, auch .NET). Wir haben auf Leseranregungen hin die Option aktiviert, um ein Mobiltelefon per Tethering als Netzwerkzugang für das Notfallsystem zu nutzen; in Tests hat das aber bisher nur mit wenigen Geräten funktioniert. Die Unterstützung für BTRFS-Dateisysteme sollte jetzt wieder funktionieren.

Wir haben einige Komponenten, die besonders häufig Fehlalarme von Sicherheitssoftware beim Bauen getriggert haben, in dieser Fassung durch Alternativen ersetzt. So kommt der Bausatz jetzt unter anderem ohne den Download-Helfer für Werkzeuge aus Microsofts ADK aus (das Programm gwt.exe).

Der Bausatz versucht außerdem, Download-Fehler für einzelne integrierte Programme komfortabler zu behandeln. Er bietet nunmehr an, solche Programme vom Bauprozess auszunehmen. In früheren Version blieb das Aufgabe des Nutzers. Jetzt passiert es auf Nachfrage automatisch. Falls Sie sich weiter selbst helfen müssen, finden Sie die nötigen Handgriffe unter „Skripte selbst bearbeiten“.

Das Notfallsystem enthält unter der Haube einige Änderungen gegenüber PhoenixPE, die vor allem Nutzer betreffen dürften, die das System auf eigene Faust erweitern. Dreh und Angelpunkt beim Systemstart ist ein Skript, das in der Skriptsprache AutoIt verfassst worden ist. Es liegt nach dem Start in x:\windows\system32 und heißt schlicht PhoenixPE.au3. Beim Bauen des Systems wird es vom PEBuilder-Skript PreShell entpackt und im Verlauf des Bauvorgangs angepasst, um zum Beispiel die Links auf dem Desktop anzulegen und das Startmenü aufzubauen.

Wir passen das entstandene Startskript mit unseren Ergänzungen an. Unter anderem tauschen wir das Startmenü durch eine aufgeräumte und eingedeutsche Variante aus. Die Vorlage dafür befinden sich im von uns bereitgestellten Zip-Archiv im Ordner Custom in der Datei shortcuts.au3. Wenn Sie händisch eigene Einträge erzeugen wollen, müssen Sie diese Datei berarbeiten. (Die dafür bei früheren Versionen zuständige Dateien pecmd.ini/pecmd_links.ini sind überholt und spielen im aktuellen Bausatz keine Rolle mehr).

Hinweise in letzter Minute

Im Artikel zur Benutzung des Bausatzes heißt es: „Die Benutzerkontensteuerung wird nachfragen, ob Sie dem von uns signierten Programm PEBakery Änderungen an Ihrem Gerät erlauben wollen. Es benötigt Admin-Rechte, stimmen Sie also der UAC-Nachfrage bitte zu.“. An anderer Stelle: „Die Benutzerkontensteuerung erbittet die Zustimmung, dass Sie das von uns signierte Programm PEBakery mit Administratorrechten starten. Erlauben Sie das bitte.“

So sollte es sein: Die Benutzerkontensteuerung zeigt an, dass der Herausgeber verifiziert ist, weil die EXE-Datei eine gĂĽltige Signatur hat.

Wie wir kurz vor Veröffentlichung des Bausatzes leider lernen mussten, stimmt diese Beschreibung nicht unbedingt. Bei einigen, aber nicht allen Test-PCs bemängelte die Benutzerkontensteuerung, dass der Herausgeber „Unbekannt“ sei. Wenn Sie auf einem betroffenen PCs die Signaturinformationen über die Dateieigenschaften im Explorer überprüfen, erkennt Windows die von uns signierten EXE-Dateien dennoch (und korrekt) als gültig. Es lassen sich keine Unterschiede zu den Ausgaben auf PCs erkennen, auf denen die UAC die EXE-Datei nicht also solche mit verifiziertem Herausgeber erkennt.

Auf manchen PCs schert sich die Benutzerkontensteuerung nicht um die Signaturen der EXE-Dateien und warnt.

Kurzum: Wenn Sie nach der oben genannten Meldung skeptisch sind, ob Sie eine von uns signierte Datei erhalten haben, können Sie die Herkunft über die Eigenschaften im Explorer überprüfen. Sie werden die gleichen Feststellungen machen wie wir sie hier notiert haben. Warum Windows auf manchen PCs sich anders verhält, konnten wir nicht ermitteln. Es trat auf Windows-11-Installationen mit Version 24H2 und 25H2 auf. Es handelte sich laut Windows-Update-Funktion um Systeme, die mit sämtlichen zum Testzeitpunkt (5.1.2026) verfügbaren Update versorgt waren.

Skripte selbst bearbeiten

Wenn Sie selbst Skripte bearbeiten wollen oder bei Dowload-Problemen von einzelnen Komponenten nicht auf die neue Automatik zurückgreifen wollen, die dann das deaktivieren des jeweiligen Skriptes anbietet, müssen Sie im Baum links in PEBakery das zuständige Skript lokalisieren. Sehr wahrscheinlich finden Sie es unter „Applications“ und können es mit einem Klick auf den Namen im rechten Fensterbereich öffnen. Dort finden Sie direkt unterhalb der grünen Kopfleiste von PEBakery einen Knopf, um das Skript allein auszuführen („Run Script“).

Den Erfolg erkennen Sie daran, dass der „Logs“-Knopf in der grünen PEBakery-Kopfleiste nicht orangefarben, sondern weiß ist. Was schiefläuft, verrät andernfalls ein Klick auf den orangefarbenen Knopf. Wählen Sie dann das Buildlog aus. Wird offensichtlich eine Datei heruntergeladen, aber nicht korrekt weiterverarbeitet, sollten Sie sich den Inhalt der Datei ansehen. Sie finden diese üblicherweise unter C:\ctnot\Workbench\PhoenixPE\Programs\<Name>.

Mitunter landen als Inhalt in der vermeintlichen Programm- oder Archivdatei erweiterte Fehlermeldungen des Webservers, der eigentlich das Programm beziehungsweise eine Installationsdatei dafür liefern sollte. Die Datei können Sie trotz der Endung zum Beispiel mit Notepad öffnen, indem Sie sie per Drag-and-drop in ein geöffnetes Notepad-Fenster fallen lassen. Wenn sie eine Fehlermeldung enthält, sollten Sie die jetzt lesen können.

Meist genügt es aber, eine solche „Programmleiche“ gleich durch Löschen zu entsorgen, dazu bieten die Skripte in der Regel einen Knopf mit einem Papierkorb an. Die verarbeitenden Skripte können sie nicht von der eigentlich erwarteten Datei unterscheiden. Sie versuchen sich trotzdem daran, sie zu verarbeiten, fallen dabei auf die Nase und der Bauvorgang bricht ab. Mit erneutem Start des Skripts sollte die korrekte Datei vom Server kommen und alles seinen geplanten Gang gehen.

Vermeintliche Viren-Funde

Dauerthema bei Bausätzen für ein Windows-PE-basiertes Notfallsystem sind Fehlalarme von Antivirus-Software beim Entpacken der Zip-Archive, beim Bauen oder auch im Betrieb, wenn ein Scanner das laufende System untersucht. Wir prüfen die Bausätze des Notfall-Windows deshalb vor Veröffentlichung und haben die Ergebnisse und Methoden erstmals 2017 in einem eigenen Artikel zusammengefasst.

Der aktuellen Ausgabe des c't-Notfall-Windows sind wir ebenfalls wieder zu Leibe gerückt und dabei auf die in der folgenden Tabelle genannten Programme gestoßen, die den einen oder anderen Virenscanner auf den Plan rufen. Die Tabelle dokumentiert nur Dateien, die mehr als zwei Scanner haben Alarm schlagen lassen. Nach bestem Wissen und Gewissen handelt es sich dabei um Fehlalarme, die meist durch heuristische Verfahren ausgelöst werden – wirkliche Malware verwendet ähnliche Verfahren oder Techniken.

Programmname Funktionsbeschreibung
AimRamdrive.exe Hilfsskript zum Erstellen eines RAM-Drive per Arsenal Image Mounter; Fehlalarm, der typisch fĂĽr AutoIt-Skripte ist
BcastEnvChg.exe sorgt beim Start dafür, dass sich Netzwerkkonfigurationsänderungen herumsprechen
ClassicExplorerSettings.exe Teil von Open-Shell, der nicht eingebaut nur entpackt wird
drvinstpatch.exe modifiziert Verhalten von Windows PE bei Treiberinstallation
DRW.exe EaseUS Data Recovery Wizard, Programm zur Datenrettung, das einige Anbieter als "Potenziell unerwĂĽnschte Anwendung" einstufen
GetBinaryResource.exe extrahiert aus Ressourcen einer EXE- enthaltene Binärdaten
GetStringResource.exe extrahiert aus Ressourcen einer EXE enthaltene Texte (in einigen Skripten genutzt, um Sprachanpassungen vorzunehmen)
imageconvert.exe hilft in PhoenixPE beim Konvertieren des Formats von Bilddateien
imdiskstart.exe Hilfsskript zum Erstellen eines RAM-Drive mit ImDisk; Fehlalarm, der typisch fĂĽr AutoIt-Skripte ist
jj.exe komprimiert JSON; bisher nur in den Makros von PhoenixPE erwähnt
keyfinder.exe liest InstallationsschlĂĽssel aus
letterswap.exe ändert Laufwerksbuchstabenzuordnung im Notfallsystem
mailpv.exe bringt Mail-Passwörter zum Vorschein
OskTray.exe zeigt ein Symbol im Tray-Bereich, um die Bildschirmtastatur zu aktivieren; Fehlalarm, der typisch für gepackte Binärdateien ist
pinutil.exe legt in StartmenĂĽ & Co. Verweise auf Programme an
StartMenu.exe zentrale Komponente, von Open-Shell (StartmenĂĽ-Ersatz fĂĽr Windows PE)
VolCtrl.exe dient zur Einstellung der Lautstärke im Notfallsystem
vtoydump.exe Hilfsprogramm fĂĽr die Zusammenarbeit mit Ventoy

Build-Log als Beispiel

Das folgende Log im HTML-Format ist beim Bauen auf einem PC mit Windows 11 Version 25H2 als Betriebssystem entstanden. Als vom Bausatz verarbeitete Eval-Fassung haben wir das empfohlene Windows 11 in Version 23H2 verwendet.

Haben Sie bitte etwas Geduld beim Rendern im Browser, die Datei ist rund 40 MByte groĂź:
Erfolgreicher Baulauf auf Windows 11 25H2 mit 23H2-Eval-ISO als Basis

Immer wieder regelmäßig veröffentlichte, einfache Versionsupdate einzelner Skripte führen wir hier nicht auf – die unterbrechen die Bauvorgang nicht.

Am 11.1. mittags behebt Update 1 folgende Probleme

  • Aussteigen des Bauprozesses bei „Networking“, genaue Abhängigkeit bisher unklar; setacl-Aufruf durch sprachunabhängige Variante ersetzt
  • angebotenes Deaktivieren von „Intel MEI Driver“ fĂĽhrte später zu Aussteigen des Bauprozesses bei „Post-Process (c't)“; wird jetzt umschifft

Am 11.1. zum frĂĽhen Abend bringt Update 2 folgende Verbesserungen

  • Timeout fĂĽr Download von „Intel MEI Driver“ verdreifacht; sollte nun auch fĂĽr 16-Mbit/s-AnschlĂĽsse genĂĽgen
  • anheben der Versionsnummer von HWiNFO; rein präventive MaĂźnahme als Puffer fĂĽr weitere Versionsupdates dort

(ps)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten