zurück zum Artikel

c't-Notfall-Windows 2018

| Peter Siering

Unser Bausatz für ein Notfallsystem auf Windows-Basis ist 2017 etwas früher dran als bisher. Die aktualisierte Fassung minimiert Downloads und integriert neue Werkzeuge, die bei Trojanerbefall eines PCs helfen.

Mehr Infos

Wichtiger Hinweis: In c't 22/2018 haben wir einen neuen Bausatz veröffentlicht. Bitte benutzen Sie diesen. [1]

Details, wie Sie den Bausatz benutzen und wie Sie später mit den enthaltenen Werkzeugen arbeiten können, erklären die folgenden Artikel (die Links verweisen auf Leseproben):

Selbstmedikation, c't-Notfall-Windows 2018: Bausatz anwenden, c't 21/17, S. 76

Helfer unter der Lupe, Vom c't-Notfall-Windows getriggerte Viren-Alarme, c't 21/17, S. 80

Beipackzettel, Tipps und Tricks zum c't-Notfall-Windows 2018, c't 21/17, S. 82

Pille danach, Virensuche mit dem c't-Notfall-Windows, c't 21/17, S. 88

Den Bausatz für das c't-Notfall-Windows 2018 erhalten Sie auf der Heft-DVD von c't 21/17.

Zum Bauen ist wie gehabt der Download von Windows 10 LTSB (1607) nötig:

Update: Links haben sich im Juli 2018 geändert. Die md5-Summen sind unverändert:

x64-Ausgabe (64 Bit) [2]

x86-Ausgabe (32 Bit) [3]

Die alten Links, Download zur Zeit (11.7.2018) nicht mehr möglich:

x64-Ausgabe (64 Bit) [4], md5: 6c81bceae01424259bc548c21bca38c0

x86-Ausgabe (32 Bit) [5], md5: 07517491a3589a3af8dcec01ab7c5455

Unter Windows 7 hilft die folgende Software, die ISO-Datei mit der LTSB-Version als Laufwerk einzubinden. Neuere Windows-Versionen können das ohne zusätzliche Software.

WinCDEmu via Heise Softwareverzeichnis [6]

Beachten Sie bitte die Hinweise aus c't 21/17 ab Seite 76 zum Bauen und für den Einsatz des Notfallsystems. Das folgende Material ergänzt und vertieft die dortigen Hilfestellungen. Für Freunde des Bewegtbildes finden Sie auf der Projektseite des Vorgängers [7] auch Videos zur Bedienung. Die lassen sich auf die aktuelle Fassung übertragen.

Bilderstrecke zu den wesentlichen Bedienschritten zum Anwenden des Bausatzes.

Die Bedienung des Winbuilder zum Bauen des Notfallsystems benötigt nur wenige Handgriffe. Da mit dem Werkzeug allerlei Extrawürste zu realisieren sind, fallen die Handgriffe nicht gerade intuitiv aus. Die Bilderstrecke zeigt die entscheidenden Kniffe.

c't-Notfall-Windows 2018 (0 Bilder) [8]

[9]
Vermeintliche Schädlingsfunde im c't-Notfall-Windows 2018 [10]

Wir haben untersucht, welche vermeintlichen Schädlinge gänge Antivirus-Software im Notfallsystem und seinem Bausatz finden könnte, indem wir die Dateien bei Virustotal abgeladen haben. Die gegenüber dem gedruckten Heft mit Links angereicherte Tabelle fasst die Ergebnisse zusammen. Der begleitende Artikel in c't 21/17 erläutert die Beobachtungen. Die Links auf den Programmnamen führen auf die jeweiligen Reports bei Virustotal.

Programmname Pfad Archiv Rate Einschätzung Funktion
Im Baupaket
AU3361.exe [11] Projects/Tools/Win10PESE/x86 ctnotwi1 1/64 Gängige AutoIt-Skript-Engine Greift Winbuilder unter die Arme
AU3381.exe [12] Projects/Tools/Win10PESE/x86 ctnotwi1 2/64 Gängige AutoIt-Skript-Engine Greift Winbuilder unter die Arme
BuilderSE.exe [13] ctnotwi1 2/64 Unersetzbar Winbuilder-Spezialtool Führt Bauanleitung aus
ExpEnvVar_x86.exe [14] Projects/Tools/Win10PESE/x86 ctnotwi1 2/57 Unersetzbar Winbuilder-Spezialtool Fügt Variablen in Registry ein
hiderun_x64.exe [15] Projects/Tools/Win10PESE/x64 ctnotwi1 14/64 Unbedenklich, gängiges Werkzeug Verbirgt Kommandozeile
hiderun_x86.exe [16] Projects/Tools/Win10PESE/x86 ctnotwi1 2/65 Unbedenklich, gängiges Werkzeug Verbirgt Kommandozeile
HiveUnload.exe [17] Projects/Tools/Win10PESE ctnotwi1 3/57 Unersetzbar Winbuilder-Spezialtool Entladen von Registry-Hives/aufräumen
innounp.exe [18] Projects/Tools/Win10PESE ctnotwi1 1/64 Sourceforge-Projekt; Quellen erhältlich Unpacker für Inno-Installationspakete
InstallWimSYS.exe [19] Projects/Tools/Win10PESE ctnotwi1 1/57 Unersetzbar Winbuilder-Spezialtool Handling von u.a. wimmount-Treibern
PEChecksum.exe [20] Projects/Tools/Win10PESE ctnotwi1 1/64 Unbedenklich, gängiges Werkzeug Ändert EXE normalerweise unbenutzt
sCalculate.exe [21] Projects/Tools/Win10PESE ctnotwi1 1/56 Unersetzbar Winbuilder-Spezialtool Hilft beim Rechnen in Skripten
upx.exe [22] Projects/Tools/Win10PESE ctnotwi1 1/65 Unbedenklich, gängiges Werkzeug Entpacken gepackter EXE-Dateien
WimUtil.exe [23] Projects/Tools/Win10PESE/x86 ctnotwi1 6/64 Unersetzbar Winbuilder-Spezialtool Wrapper für dism, imagex & Co
WimUtil.exe [24] Projects/Tools/Win10PESE/x64 ctnotwi1 3/58 Unersetzbar Winbuilder-Spezialtool Wrapper für dism, imagex & Co
zPeIMG.exe [25] Projects/Tools/Win10PESE ctnotwi1 1/60 Unersetzbar Winbuilder-Spezialtool Hilft bei Treiberintegration
Nach Baulauf im temp-Verzeichnis
echofile.exe [26] Win10PESE (u.a.) cn18tmp1
 6/64 Unersetzbar Winbuilder-Spezialtool
 Ausgaben in Variablen wandeln

SumatraPDF.exe [27]
(nur x86) 		Win10PESE/TempEx...SumatraPDF cn18tmp2_x86 1/64 Vertrauenswürdig, vom Autor signiert PDF-Viewer
wiminfo.exe [28] Win10PESE\WimInfo cn18tmp2
 8/62 Unersetzbar Winbuilder-Spezialtool Infos aus WIM-Dateien lesen
Wind_x86.7z [29]
(nur x86) 		Win10PESE/TempExtractFolder/Wind cn18tmp2_x86 1/55 Unersetzbar Winbuilder-Spezialtool
 enthält wind.exe (s.u.)
Im 32-Bit-Notfallsystem
7zFM.exe [30] Programs/7-Zip cn18_32_1 1/51 Gängiger Betandteil, wohl OK 7Zip-Dateimanager
BlueScreenView.exe [31] Programs/bluescreenview cn18_32_2 2/65 Vertrauenswürdig, vom Autor signiert Analysiert Bluescreens
BOOTICEx86.exe [32] Programs/BootIce_Pauly cn18_32_2 2/64 Vetrauenswürdig, nicht signiert Bearbeitet u.a. Boot-Records
CntrtextMig.dll [33] sources/wimfiles/Windows/System32/migration cn18_32_7 1/62 Signierte Datei aus Windows Unbekannt
mmc.exe [34] sources/wimfiles/Windows/System32 cn18_32_7 1/65 Unsignierte Datei aus Windows Management Console
MountPEmedia.exe [35] sources/wimfiles/Windows/System32 cn18_32_7 6/64 Unersetzbar Winbuilder-Spezialtool Mount-Helfer im Notfallsystem
wbengine.exe [36] sources/wimfiles/Windows/System32 cn18_32_8 1/65 Unsignierte Datei aus Windows Unbekannt, vermutlich Backup
wdsr040c.dll [37] Programs/WinDirStat/App/WinDirStat cn18_32_5 3/48 Vertrauenswürdig, nicht signiert Teil von Windirstat
Wind.exe [38] sources/wimfiles/Windows/System32 cn18_32_8 5/62 Unersetzbar Winbuilder-Spezialtool Desktop-Handling in Windows PE
wininit.exe [39] sources/wimfiles/Windows/System32 cn18_32_8 1/63 Signierte Datei aus Windows Unbekannt
Im 64-Bit-Notfallsystem
CustomMarshalers.dll [40] Programs/assembly/GAC_32/CustomMarshalers/... cn18__10 1/65 Unsignierte Datei aus Windows Unbekannt
detpex.dlz [41] Programs/HDSentinel cn18__06 1/61 Unklar Archiv innerhalb von HDSentinel
HDSAction.exe [42] Programs/HDSentinel cn18__06 1/61 Vertrauenswürdig, vom Autor signiert Teil von HDSentinel
HxD.exe [43] Programs/HxD cn18__06 1/63 Vertrauenswürdig, nicht signiert Hex-Editor
PENetwork.exe [44] sources/wimfiles/Program Files cn18__06 1/61 Vertrauenswürdig, nicht signiert Netzwerk-Tools für Windows PE
RansomNoteCleaner.exe [45] Programs/RansomNoteCleaner cn18__06 1/63 Vertrauenswürdig, vom Autor signiert Crypto-Trojaner-Aufräumhilfe
rawcopy.exe [46] Programs/Rawcopy cn18__06 1/65 Vertrauenswürdig, nicht signiert Datenträger sektorweise kopieren
twinui.dll [47] sources/wimfiles/Windows/System32 cn18__03 1/65 Unsignierte Datei aus Windows Unbekannt
wordpad.exe [48] sources/wimfiles/Program Files/.../Accessories cn18__06 1/64 Unsignierte Datei aus Windows Editor
Protokolle erfolgreicher Bauläufe

Zum Vergleich stellen wir die Logs von Bauläufen zur Einsicht bereit, die den erfolgreichen Bau eines Notfallsystems dokumentieren.

Erfolgreicher Baulauf, LTSB 1607, x86, mit fiktiver Update-Warnung [49]

Erfolgreicher Baulauf, LTSB 1607, x64, mit fiktiver Update-Warnung [50]

Soweit keine verfügbar.

Fragen und Antworten

Wenn ich Dateien aus dem Bausatz bei virustotal hochlade, kommt der Dienst zu anderen Einschätzungen. Woran liegt das?

Ein solcher Scan ist immer ein Schnappschuss. Wenn man Virustotal dazu veranlasst, eine Datei erneut zu prüfen, kann das Ergebnis abweichen. (ps [52])

URL dieses Artikels:
https://www.heise.de/-3813147

Links in diesem Artikel:
[1] https://www.heise.de/hintergrund/c-t-Notfall-Windows-2019-4171098.html
[2] http://download.microsoft.com/download/C/2/2/C2231C4F-2D1B-4D23-B838-80CAA072F434/14393.0.160715-1616.RS1_RELEASE_CLIENTENTERPRISE_S_EVAL_X64FRE_DE-DE.ISO
[3] http://download.microsoft.com/download/C/2/2/C2231C4F-2D1B-4D23-B838-80CAA072F434/14393.0.160715-1616.RS1_RELEASE_CLIENTENTERPRISE_S_EVAL_X86FRE_DE-DE.ISO
[4] http://care.dlservice.microsoft.com/dl/download/C/2/2/C2231C4F-2D1B-4D23-B838-80CAA072F434/14393.0.160715-1616.RS1_RELEASE_CLIENTENTERPRISE_S_EVAL_X64FRE_DE-DE.ISO
[5] http://care.dlservice.microsoft.com/dl/download/C/2/2/C2231C4F-2D1B-4D23-B838-80CAA072F434/14393.0.160715-1616.RS1_RELEASE_CLIENTENTERPRISE_S_EVAL_X86FRE_DE-DE.ISO
[6] https://www.heise.de/download/product/wincdemu-70089
[7] https://www.heise.de/hintergrund/c-t-Notfall-Windows-2017-3467556.html
[8] https://www.heise.de/bilderstrecke/bilderstrecke_3826062.html?back=3813147;back=3813147
[9] https://www.heise.de/bilderstrecke/bilderstrecke_3826062.html?back=3813147;back=3813147
[10] 
[11] https://www.virustotal.com/#/file/be76e4e3109418b914a958deeeef9116df9c269d90a1e92e9656df70dcbecd9f
[12] https://www.virustotal.com/#/file/fb73a819b37523126c7708a1d06f3b8825fa60c926154ab2d511ba668f49dc4b
[13] https://www.virustotal.com/#/file/ba61754bcc218071e85cbedc90d877346b02cec9a24bd7da01a0f169e787e5c0
[14] https://www.virustotal.com/#/file/5f21f5dbc2ede277d1fcf5354e2301a1615efeba98edd2a483eed772ed7e290b
[15] https://www.virustotal.com/#/file/28bf19434e6a2fd5cec3632784576d42b3d67135eec47d72db0cda2800b27814
[16] https://www.virustotal.com/#/file/22e7528e56dffaa26cfe722994655686c90824b13eb51184abfe44d4e95d473f
[17] https://www.virustotal.com/#/file/09839a0a6e614519751230a6ebf3379557aa3e7cea94ef33f377e33b50a89c32
[18] https://www.virustotal.com/#/file/ea7d93bea199bf9022a60b35f9aea6c3a211de5158a10494674aae1ffdf82816
[19] https://www.virustotal.com/#/file/8d35b5c9fa24d47085f1b88c915df2a0aa81d50b9869f98dff580ee852d0f639
[20] https://www.virustotal.com/#/file/d271d90862f9f6e90b9570715da42897b524a8d45ef2d28549d01a7562f2fa2e
[21] https://www.virustotal.com/#/file/a3aeeeac219ce7088f29d73140ff01e9276b38f947bbadbb1ea8fb0809e4ebae
[22] https://www.virustotal.com/#/file/5499d0b184bc59029eb81c25bd90384c6a187d348928b54c7a9e57630e8cfb08
[23] https://www.virustotal.com/#/file/499a5f3999eb72f37eaf1d7558f77285616d3f835193487b06d62702609592a8
[24] https://www.virustotal.com/#/file/29481edc8d3cb304f86775d785e99345beb6722518a2ec3f823dbd5c4fec8b8d
[25] https://www.virustotal.com/#/file/f6475a3b2b8d7bfce0633623651ee68f0ab5b5f65d22710701815a808f14b56c
[26] https://www.virustotal.com/#/file/44255a729f04d947be1262d814c33d1b9128cb5567786a25e8774a851ae4837b
[27] https://www.virustotal.com/#/file/91808c30b4759fe95b5333ef19ed1657268eb4579850492133fa71c04a1deeb4/detection
[28] https://www.virustotal.com/#/file/a9defe82162f11abe1efe2cbdd0a19fa11b17652074f778d4783c8ed94c66560
[29] https://www.virustotal.com/#/file/061dcaca7b8ada02eff339eff7b47b3ded36a9f51c1388814064234c4a8ad6b6/detection
[30] https://www.virustotal.com/#/file/dd46a4193c15d57b9e05eaac9b6b0f2bab835384c7f59eb067553650e6fda065
[31] https://www.virustotal.com/#/file/f5f52ec9c38e7123507fe362ba0a0cd0e3ac17b820813ec3bf435fa3a8135ed0
[32] https://www.virustotal.com/#/file/9f52f13a61c12e4da0364e6feb4f0790841f9437a3c9b4c80f6772c485057540
[33] https://www.virustotal.com/#/file/fee3666316757e2aa3a2e2f98e85495b368dec4041d38dc0430cf3db6e43daf3
[34] https://www.virustotal.com/#/file/b90927bd9be685056e173cc1c0de07824b33611900d3575e24374edabc09313c
[35] https://www.virustotal.com/#/file/5486ab3f26aaa97c0f812a8216a90ffaf7576012f3f86d7daf257eea18f4fc87
[36] https://www.virustotal.com/#/file/610bbb0af28b5c93ebe34512ec35d45989c6f9eb33fd3bdcf0cd014174a1bfff
[37] https://www.virustotal.com/#/file/93e0fba624564dc677bfcfcc6d3bc3d5abc128660f3dab3ad082c6f856035228
[38] https://www.virustotal.com/#/file/9b53a628cf1021a2b5217773855c8369c8b7800b15dc5d9a87ad54b7ad6ad969
[39] https://www.virustotal.com/#/file/168373ddf10502a58052c8c506f344c74fe0f307f10c263997cf6bb12a80d6a3
[40] https://www.virustotal.com/#/file/2d942049c5c2bf2a6b7230bc7815b1759100e70125a9fc8c865fa87ef2fea9c5
[41] https://www.virustotal.com/#/file/e325f422527057f9dd9b712b70375b46ab560b14713bc6c9461295a0e0ba3c1d
[42] https://www.virustotal.com/#/file/a73d4691d7d19dd27b1d19d03a822cead7a608227f762e186483e67c8857b68b
[43] https://www.virustotal.com/#/file/7bf25a00c45ef8ff6f894dcbbaaee2862caad6b42eb2cf05eae7b8c0d9b02023
[44] https://www.virustotal.com/#/file/a1a1eac3d3187296a56eb44f2f10b1dd0c851d2e253033165f7a517f9eeb92e1
[45] https://www.virustotal.com/#/file/9dc9a64f62f456cbaae6cc1e735fa58b9c225ffe2c7d37c7d2c610932837e3a5
[46] https://www.virustotal.com/#/file/84892d170448619421c58b33233190d48fab66a69285c3eddce275760978cc82
[47] https://www.virustotal.com/#/file/e590ede5cc6030bb07ca59b540bca14e5bbc7055e16f16b0982a9266dc586ecc
[48] https://www.virustotal.com/#/file/3b5856f000e89c1c2e722b4a911d1b1a8e3ae3d86aaeaae784946bb2448a108e
[49] https://www.heise.de/downloads/18/2/2/6/6/2/6/0/x86_updwarn_log_20170910_194148.html
[50] https://www.heise.de/downloads/18/2/2/6/6/2/6/0/x64_updwarn_log_20170910_181938.html
[51] 
[52] mailto:ps@ct.de

Copyright © 2017 Heise Medien