heise PlusAbo
Anzeige

Patientenbesuche

„Du kennst dich doch mit Computern aus…“ Diesen Satz hat wohl jeder c't-Leser schon mal gehört, gefolgt von der unausweichlichen Frage: „Kannst du mir mal mit meinem PC helfen?“ Mit der richtigen Strategie und den passenden Werkzeugen geht man bei den meisten dieser Freundschaftsdienste als Sieger hervor – möglicherweise sogar, ohne dabei das Haus zu verlassen.

vorlesen Druckansicht
Lesezeit: 15 Min.
c't Magazin
Von
  • Gerald Himmelein
Inhaltsverzeichnis

Eine harte Wahrheit lautet, dass nicht jeder PC-Besitzer die Neigung oder Zeit besitzt, um sich in die Tiefen des Systems einzuarbeiten. Wenige unbedachte Mausklicks reichen jedoch, um einen einwandfrei funktionierenden Rechner zur lahmen KrĂĽcke zu machen.

Meist sind sich die Betroffenen keiner Schuld bewusst. „Ich hab’ gar nichts getan, aber plötzlich waren da diese ganzen Fenster!“ Auch beliebt: „Das klappte von einem Tag auf den anderen nicht mehr, ganz ohne Grund.“ Und dann die Bitte: „Kannst du dir bitte mal ansehen, was da los ist?“

Tatsache ist: Da kann alles Mögliche los sein. Schlecht programmierte Software überschreibt Systemdateien und verbiegt Registry-Werte. Aus einer Tauschbörse installierte Trojaner feiern hinter dem Rücken des Anwenders eine wilde Spam-Party. Oder Windows hat sich über eine manipulierte Webseite ein nervendes Werbeprogramm eingefangen; davor schützt mittlerweile auch kein Firefox mehr.

Viele Veteranen schwören auf das Prinzip der harten Liebe. Platte formatieren, Windows neu installieren, zum Schluss den Betroffenen noch mit einem vorwurfsvollen Blick strafen: „Mit Linux (Mac OS/AmigaOS) wär’ dir das nicht passiert.“ An guten Tagen sichern sie vorher noch die Dokumente des Anwenders.

Die wenigsten IT-Erfahrenen handeln aus Boshaftigkeit: Mit ihren eigenen Rechnern gehen sie schließlich genauso um. Wenn’s klemmt, fangen wir halt wieder bei null an: neues System, neues Glück. Vom Sicherheitsaspekt her ist das eh der einzig wahre Ansatz: Nur bei den Dateien von der Setup-CD kann man halbwegs sicher sein, dass sie koscher sind.

Wer etwas auf sein System hält, der entwickelt im Laufe der Zeit eigene Strategien zum Umgang mit dem GAU-Risiko. Betriebssystem, Anwendungen und Nutzerdaten lagern auf separaten Partitionen. Wichtige Daten werden routinemäßig auf externe Laufwerke gesichert, gern auch redundant. Regelmäßige Images der Systempartition sind Ehrensache. Jede Software-Installation ist eine wohl überlegte Aktion, die auf das Anlegen eines System-Wiederherstellungspunktes folgt. Möglicherweise suspekte Anwendungen werden zunächst in einer virtuellen Maschine ausprobiert.

Sollen diese vorbildlichen Anwender ein richtig verkorkstes Windows wieder geraderichten, fehlt ihnen schlicht die Erfahrung. Also greifen sie zu dem Mittel, das sich bei ihnen selbst bewährt hat.

Tatsächlich tut die rücksichtslose Alles-Neu-Strategie nur in Ausnahmefällen Not. Was für den Experten wie ein maroder Gammel-PC aussehen mag, ist für den Besitzer ein mitunter lieb gewonnener Kompagnon. Ein Veterinär schläfert ja auch nicht jedes Haustier ein und sagt dem Besitzer: „Schaffen Sie sich ein neues an.“

Bei jeder Windows-Konfiguration gibt es unzählige Punkte, an denen es haken kann. Im Folgenden finden Sie daher keine spezialisierte Tippsammlung, sondern vielmehr ein Rezept, nach dem man den meisten PCs erfolgreich zu Leibe rücken kann. Dieses wurde anhand diverser Fälle entwickelt und erprobt, die dieser Artikel weiter unten auszugsweise dokumentiert.

Wenn Du zum Windows gehst

Zunächst sollte man mit Fragen an den Hilfesuchenden ausloten, wie tief die Karre im Dreck steckt. Startet der PC noch durch? Tritt das Problem gleich beim Booten auf oder während der Arbeit? Vor oder nach dem Anmeldebildschirm? Verfügt der Rechner über eine Internet-Anbindung, vorzugsweise mit hoher Geschwindigkeit? Die Antworten auf diese Fragen geben vor, wie der Fall am besten anzugehen ist.

Oft reicht es aus, den hilfebedürftigen PC per Fernzugriff zu untersuchen. Windows XP und Vista liefern dafür zwar eine Remotedesktopverbindung mit. Diese muss jedoch zunächst einen Weg durch die Firewalls und Router-NATs auf beiden Seiten der Leitung finden. Dazu sind mitunter komplexe Konfigurationsschritte nötig, die technisch weniger versierte Anwender schnell überfordern.

Wir stellen daher eine Spezialversion des plattformübergreifenden Remote-Hilfewerkzeugs VNC zur Verfügung: „UltraVNC Single Click“ muss nur von einer Seite konfiguriert werden, und zwar vom technisch eh versierten Helfer. Der hilfsbedürftige Anwender muss nur auf eine EXE-Datei klicken – Details im Artikel in c't 5/08 ab Seite 124.

Selbst wenn die Fernbehandlung versagt, kann man sich auf dem Remote-Weg immerhin einen ersten Eindruck vom Zustand des maroden Systems verschaffen. So erscheint man gleich mit der richtigen AusrĂĽstung zum Ortstermin.

In einigen Situationen verbietet sich Fernwartung allerdings von selbst: wenn Windows etwa nicht mehr startet oder keine Netzwerkverbindung mehr aufbaut, wenn der Fehler vor der Anmeldung oder im Laufe des Windows-Starts auftritt. Auch beim Verdacht auf Hardwareprobleme oder Schwierigkeiten mit der Peripherie erweist sich ein direkter Zugriff auf den Rechner als unumgänglich.

Zum Gesundpäppeln kann man sich den Rechner entweder vorbeibringen lassen oder einen Hausbesuch abstatten. Beide Ansätze bergen potenzielle Nachteile. Fürs Vorbeibringen spricht, dass ein funktionierender Zweitrechner mit Internetzugang die Hilfsbemühungen enorm beschleunigt.

Auf diesem Weg kann man ohne weitere Umwege benötigte Dateien nachladen und bei offenen Fragen Suchmaschinen zurate ziehen. Bittet man den Patienten zu sich, entreißt man ihn jedoch seiner natürlichen Umgebung – dumm, wenn der Rechner die Fehlersymptome nur dort zeigt.

Gegen einen Hausbesuch spricht, dass einem oft erst vor Ort auffällt, dass das rettende Hilfswerkzeug gerade in genau der falschen Wohnung liegt. Wer einen mobilen PC besitzt, kann oft die Vorteile beider Ansätze kombinieren.

Selbst wer einen eigenen Laptop mitschleppt, sollte vor dem Noteinsatz zusätzliche Hilfsmittel vorbereiten. Folgende Minimalausstattung hat sich bewährt:

  • ein schreibgeschĂĽtzter USB-Stick mit ausgewählten Hilfsprogrammen
  • eine bootfähige Bart-PE-CD
  • eine aktuelle Knoppicillin-CD

Der USB-Stick enthält Werkzeuge zur Systemanalyse, zum Beseitigen von überflüssigem Ballast und zur Suche nach Spyware, Trojanern und Viren. Die Zusammenstellung dieses Sticks behandelt der Folgeartikel in c't 5/08 ab Seite 116.

Ein Bart PE erstellt man am besten nach eigenen Vorlieben mit dem PE Builder aus c't 26/07 [1]. Dieselbe CD enthält auch Knoppicillin 6 [2], aktuelle Signatur-Updates kann man über den bereits angeführten USB-Stick einspielen.

Je nach Problemlage benötigt man möglicherweise weitere Komponenten:

  • eine Windows-Installations-CD
  • eine Treiber-Diskette fĂĽr den SATA-Controller
  • eine CD mit aktuellen Windows-Updates
  • eine Boot-CD mit einem Imaging-Werkzeug

Egal, wer wen besucht: Erkundigen Sie sich vorher, welche Windows-Version der Hilfesuchende einsetzt. Sollte es zum Letzten kommen, nämlich zur Reparatur- oder Neuinstallation, benötigen Sie ein Setup-Medium für exakt die Version, die bisher installiert war. Sofern das betroffene Windows noch bootet, findet man man die Version am schnellsten mit dem Befehl „winver“ (Start/Ausführen…) heraus.

Wenn möglich, sollten Sie auch abklären, ob der Rechnerinhaber alle relevanten Treiber-CDs für seine Hardware greifbar hat. Bei XP-Installationen ist eine Diskette mit Treibern für den SATA-Controller des Mainboards besonders wichtig. Ohne einen solchen Treiber findet das XP-Setup sonst keine Festplatten.

Häufig stößt man bei Rettungsaktionen auf veraltete Windows-Installationen. Um keine Zeit mit dem Download von Service Packs und Hotfixes zu vergeuden, empfiehlt sich die Vorbereitung einer CD, die alle Updates auch ohne Online-Verbindung installieren kann. Das für diesen Zweck optimale c't-Offline-Update 4 wurde seit seiner Vorstellung in [3] auf die Revision 4.1 aktualisiert (Download siehe Soft-Link).

Vor tieferen Eingriffen ins Zielsystem sollte man nach Möglichkeit ein Image von der Startpartition machen, etwa mit der Spezialversion von Drive Snapshot aus c't 26/07 oder einem anderen Imaging-Werkzeug.

Wer peinliche Momente gern vermeidet, ĂĽberprĂĽft vor dem Einsatz als PC-Samariter, ob der Werkzeugkasten noch auf dem aktuellen Stand ist. FĂĽr den USB-Stick stellen wir dafĂĽr ein Hilfsprogramm bereit (siehe Folgeartikel); um die Offline-Update-CD mĂĽssen Sie sich separat kĂĽmmern.

Nach Rezept

Die meisten Hardwarefehler fallen durch eindeutige Symptome aus dem Rahmen. Unregelmäßige Abstürze ohne ein erkennbares Muster weisen auf defekte Komponenten hin. Friert der PC bei rechenaufwendigen Aufgaben und Spielen immer wieder ein, kämpft der Rechner meist mit Wärmeproblemen.

Die Notfall-CD von c't 26/07 hält zahlreiche Werkzeuge zum Hardware-Testen bereit [4], darunter den Speicherprüfer Memtest86+, den Prozessorstrapazierer CPUBurn und das Hitachi Drive Fitness Tool zur Festplattenüberprüfung.

Wenn die Hardware ohne Probleme funktioniert, liegt der Fehler wohl bei Windows oder an einer installierten Anwendung. Jetzt gilt es, die Ursache möglichst effizient einzukreisen und abzustellen.

Wer bei seinem eigenen PC die Ursache für einen Schluckauf sucht, für den spielt Zeit meistens eine untergeordnete Rolle. Die Gelegenheit ist ja derart günstig, im Verlauf der Analyse hier noch ein bisschen aufzuräumen, dort eine Eigenschaft umzustellen … Windows verführt geradezu dazu, mit der Konfiguration zu spielen.

Bei einem fremden Rechner will man hingegen zügig und ohne Blamage zum Punkt kommen, ein bisschen den Profi heraushängen lassen. Vielleicht hat der Unbeholfene ja eine lockende Belohnung in Aussicht gestellt, auf die man hinarbeitet: einen Kinobesuch etwa oder ein leckeres Abendessen.

Klar kann man mit einer Knoppicillin-Analyse anfangen oder gleich in Bart PE booten. Das sind schließlich auch gründliche, saubere Arbeitsmethoden. Gründlich bedeutet aber auch – langsam.

Bei der Notaufnahme im Krankenhaus lässt jeder behandelnde Arzt den Patienten die Krankengeschichte erzählen. Auf diesem Weg findet er am schnellsten zu einer Einschätzung der Lage. Aus demselben Grund sollte man sich auch den PC-Patienten zuerst mal in seiner natürlichen Umgebung ansehen, vom Bootvorgang an. Läuft der Rechner bereits, fährt man ihn erst herunter und dann wieder hoch.

Es hilft, das fremde System von Anfang an mit äußerst skeptischem Blick zu untersuchen: Hier könnte alles im Argen sein. Vielleicht sind nur irgendwelche Registry-Werte verbogen, möglicherweise hat aber auch ein Rootkit das System komplett unterwandert.

Erscheinen beim Start seltsame Fehlermeldungen? Verhält sich das System ungewöhnlich? Verstreichen Minuten, bis der Windows-Desktop endlich bedienbar ist? All diese Faktoren können Indizien dafür sein, was den PC plagt.

Für eine erste Bestandsaufnahme kommen die Analysewerkzeuge vom mitgebrachten USB-Stick zum Einsatz. Hier sollte man unbedingt einen Stick mit Schreibschutzschalter einsetzen, damit ein eventuell vorhandener Trojaner nicht auf das Wechselmedium überspringt – mehr dazu ab Seite 116.

Sozialarbeit

Soll der Betroffene während der Operation an seinem Rechner anwesend sein oder lieber so fern wie nur möglich? An dieser Frage scheiden sich nicht nur in der c't-Redaktion die Geister.

Manche Kollegen argumentieren mit dem Peinlichkeitsfaktor: „Wenn der mir bei meinen vergeblichen Versuchen zusieht, verliert er doch jedes Vertrauen.“ Das kommt ganz darauf an, wie man die Sache angeht. Wer dem Hilfesuchenden die Ausschlussdiagnostik als solche vorstellt, kann sich dessen Sympathien sicher sein. „Suchen wir doch erstmal nach Rootkits, die möglicherweise den Rechner unterwandert haben. Dann gucken wir nach Viren. Wenn alles sauber ist, geht’s ans Eingemachte.“

Wenn etwas nicht funktioniert, wie es soll: Ruhe bewahren. Wenn Sie einen Fehler machen: Vertuschungsversuche sind keine Lösung. Das soll freilich kein Freibrief für leichtfertige Fahrlässigkeit sein: Vor riskanten Operationen sollte man mindestens die Anwenderdaten in Sicherheit bringen.

Ist der Besitzer des Rechners anwesend oder zumindest in Rufweite, kann man in Zweifelsfällen sofort Rückfrage halten: „Ist dir eigentlich klar, dass dein Windows mit einem illegalen FCKGW-Schlüssel läuft?“ oder auch: „Speicherst du wichtige Daten im temp-Ordner?“

In der Analysephase sparen beiläufige Kommentare des Beisitzers oft Zeit, wenn sie nichts ahnend auf die richtige Fährte führen: „Das passiert erst, seitdem ich Software XY gelöscht habe.“ Wenn der gute Geist allzu nervig über die Schulter starrt, kann man versuchen, ihn anderweitig zu beschäftigen: „Hättest du bitte einen Tee für mich?“ Vertrösten funktioniert auch: „Da passiert jetzt erstmal ne Viertelstunde lang nix. Ich hole dich, wenn’s was Neues gibt.“

Oft bleibt einem jedoch keine Wahl: Wer sich mit den Worten „Ich wollte immer schon mal sehen, wie so was geht“ neben einen setzt, den wird man bis zum endgültigen Sieg über die Mistkiste nicht wieder los.

Jagdmethoden

Zunächst sollte man das System nach Rootkits und anderer Malware absuchen – eine reine Routinesache. Dabei hangelt man sich von Microsofts „Tool zum Entfernen bösartiger Software“ über Blacklight zum RootkitRevealer. Bei Abweichungen kommt Gmer als Schiedsrichter zum Einsatz. Die Reihenfolge ergibt sich daraus, dass jedes der genannten Programme länger braucht als sein Vorgänger.

Bei akutem Virenverdacht ersetzen die Schnüffler von Avast und McAfee zwar keinen gewissenhaften Scan, dafür laufen sie schnell und direkt vom Stick. Mitunter fördern sie Asbach-Viren zutage, die aktuelle Antivirus-Lösungen längst zu den Akten gelegt haben. Im nächsten Schritt geht es eventueller Ad- und Spyware an die Wäsche.

Dies ist der Zeitpunkt, zu dem man ein Image in Betracht ziehen sollte oder zumindest die Anwenderdaten in Sicherheit bringt. GroĂźzĂĽgige Helfer fĂĽhren fĂĽr eine solche Datensicherung einen zweiten, leeren USB-Stick mit sich.

Wenn möglich, sollte man vor dem Imaging das System von unnötigem Ballast befreien: Browser-Caches leeren, Temp-Verzeichnis aufräumen und bei Bedarf auch alte Speicher-Dumps wegfegen. Auch hierfür bietet die im Anschluss vorgestellte Werkzeugsammlung passende Utilities.

Kann man Malware-Befall weitgehend ausschließen, ist der nächste Schritt die eigentliche Analyse. AutoRuns, Process Monitor und Process Explorer erlauben tiefe Einblicke ins System. Mitunter stößt man dabei auf Ungereimtheiten, die einem der Besitzer des Rechners erklären kann: „Nee, der Virenscanner hat noch nie funktioniert.“

Zu Bart PE oder Knoppicillin sollte man erst greifen, wenn die Möglichkeiten innerhalb des laufenden Windows erschöpft sind. Knoppicillin kann immer noch zum Abschluss in epischer Länge über die Platte rödeln, während man nach beendeter Arbeit das zur Belohnung versprochene Abendessen genießt.

Waren Ihnen diese Ausführungen bis jetzt zu theoretisch? Die folgenden Abschnitte beschreiben beispielhafte Fälle mit real existierenden „Problemkisten“, die nach den beschriebenen Methoden entwurmt wurden.

Den vollständigen Artikel finden Sie in c't 5/2008.

[1] Markus Debus, Die Axt im Haus, c't-Notfall-Windows mit Virenscanner und vielen Rettungswerkzeugen, c't 26/07, S. 104

[2] Christiane RĂĽtten, Reinigungsdienst, Virenbeseitigung mit Knoppicillin 6, c't 26/07, S. 110

[3] Torsten Wittrock, Karsten Violka, Patch-Konserven, SelbstgeschnĂĽrte Service Packs fĂĽr Windows und Office, c't 22/07, S. 212

[4] Christian Hirsch, Thorsten Leemhuis, Die c't-Notfall-CD, Diagnose-Ausstattung fĂĽr zickende Computer, c't 26/07, S. 98

Soft-Link

"Windows flottmachen"
Artikel zum Thema "Windows flottmachen" finden Sie in der c't 05/2008:
Rezepte und Fallbeispiele S. 108
Hilfswerkzeuge zur PC-Diagnose S. 116
Fernsteuerung ĂĽbers Netzwerk S. 124

(ghi)

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten