Update von der Vorversion

Ich habe bereits die 2024er-Version des Notfallsystems gebaut. Besteht eine Möglichkeit, den Stick auf die neue Version zu aktualisieren?

Leider nicht, es bleibt nur, den neuen Bausatz herunterzuladen und den Bauprozess erneut laufen zu lassen. Eventuell können Sie sich den Download der Windows-Eval-ISO-Datei sparen, wenn Sie schon im letzten Jahr dafür Windows 11 Version 23H2 verwendet haben. Auch die vor über einem Jahr vom Bausatz heruntergeladenen Dateien nützen bedauerlicherweise nichts, da die Versionen weitgehend veraltet sind.

Bezugsquelle

Woher bekomme ich den Bausatz?

Wir stellen den Bausatz über die Projektseite (ct.de/yvrx) zum kostenlosen Download bereit. Dort veröffentlichen wir auch passende Download-Links für zusätzlich nötige Software (alles ebenfalls kostenlos erhältlich), weitergehende Hinweise, eine Liste der bislang bereitgestellten Updates und ein Forum zur Diskussion von Bauproblemen. Dort geben wir auch immer mal wieder Hinweise zu aktuellen Entwicklungen. Die Artikel zur Bedienung des Bausatzes finden Sie nur hinter der Paywall bei heise+, im c’t-Archiv als Plus-Abonnent und im begleitenden Heft (c’t 2/2025), das Sie jederzeit nachbestellen können.

Supportdauer

Wie lange lässt sich das Notfallsystem verwenden?

Das System selbst hat keine technische Beschränkung, was seine Lebensdauer angeht. Mit einer Ausnahme: Das enthaltene Programm Drive Snapshot kann für ein Jahr Images anfertigen. Danach spielt es sie nur noch zurück. Dennoch ist die Haltbarkeit faktisch beschränkt: Die in das System integrierten Virenscanner und deren Signaturen altern. Einen Zeitraum, wie lange diese Programme (Signatur-)Updates erhalten, geben die Hersteller für diese Produkte nicht. Das heißt unterm Strich: Ein mehrere Jahre alter Stick dürfte wertlos sein, nach mehreren Monaten müssen Sie zumindest damit rechnen, dass einzelne Werkzeuge nicht mehr korrekt funktionieren könnten. Für grobe technische Probleme, etwa geänderte Downloads oder nicht mehr laufende Programme stellen wir für rund ein Jahr Updates bereit – üblicherweise jeweils bis zum Erscheinen der nächsten Version des Bausatzes.

Download-Größen/Timeout

Mich hat die schiere Größe der Downloads beim Bauen überrascht. Eine Datei liefert an meinem lahmen Internetanschluss daheim stets ein Timeout. Kann man die Zeit nicht hochsetzen?

Das betraf in der 2025er-Version eine Datei, die wir für spezielle Treiber von einem Intel-Server heruntergeladen haben. Der rund 700 MByte große Download war während der Tests an verschiedenen Anschlüssen nicht auffällig. Wir haben zwischenzeitlich eine bessere Lösung gefunden, die dieselben Treiber mit einem viel kleineren Download zu fassen bekommt. Eine Korrektur des Timeouts von zehn Minuten pro Download wäre möglich, scheint aber nicht mehr nötig – es hat in den letzten Jahren immer genügt.

Update-Check scheitert

Der Bausatz startet, meldet dann aber, dass der Update-Check scheitert. Was kann ich tun?

Begeben Sie sich auf die Suche nach Software auf dem PC oder Diensten im Netzwerk, die sich in den Download-Prozess einmischen. Der erste Download, den der Bausatz vornimmt, prüft, ob Updates vorliegen. Dabei wird eine kleine Datei von den Servern des Verlags geladen. Wenn schon dieser Trivial-Download fehlschlägt, mischt sich in aller Regel Software ein, die Downloads sicher machen soll. In diesem Jahr sind dabei Extrafunktionen in Norton 360 und Avast bei anderen Lesern aufgefallen.

Skripte aus PhoenixPE

Ich vermisse Skripte aus PhoenixPE, die früher im Notfall-Windows enthalten waren, etwa AdditionalFiles. Warum fehlen die in der 2025er-Ausgabe?

Die fehlen nicht, wir haben sie nur wie viele andere Skripte „versteckt“, im Fall von AdditionalFiles wohl etwas übereifrig. Das als Basis genutzte PhoenixPE bringt Skripte zum Einbinden von deutlich mehr Programmen mit, als im c ’t-Notfall-Windows aktiviert sind. Das aus gutem Grund: Wir versuchen eine übersichtliche Mischung zusammenzustellen, die alle wesentlichen Aufgaben abdeckt, testen diese intensiv und supporten sie für das Jahr der Veröffentlichung.

Die nicht aktivierten Skripte verschieben wir in das Unterverzeichnis Project\DisabledApps. Sie können einzelne Skripte dort herausholen und in die passenden Unterverzeichnisse unter Project\PhoenixPE verschieben. Wenn Sie PEBakery dann erneut starten, arbeitet der Bausatz auch diese Skripte ab. Im Forum (siehe ct.de/yvrx) finden Sie Hinweise anderer Leser, die das für einzelne Programme getan haben.

Manchmal kann es auch nötig sein, ein einzelnes Skript aus dem GitHub-Repository von PhoenixPE herunterzuladen – wenn es daran Anpassungen gegeben hat. Beachten Sie auch, dass einzelne „aussortierte“ Skripte Software integrieren, für die auf dem Bau-PC passende Lizenzen vorhanden sein müssen.

Hintergründe zur Integration und wie Sie im c’t-Notfall-Windows den Gesamtumfang von PhoenixPE sichtbar machen, liefert ein älterer Artikel [1].

Access Denied bei ISO-Zugriff

Ich bin der Anleitung gefolgt, erhalte beim Auswählen der als Laufwerk bereitgestellten ISO-Datei aber einen Fehler und PEBakery beendet sich. In den Logs steht etwas von verweigertem Zugriff. Was kann ich tun?

Mehrere Leser haben unabhängig voneinander berichtet, dass das auf PCs passiert, die mit einer Home-Edition von Windows laufen und mit einem Konto genutzt werden, das erst nachträglich mit Administratorrechten versehen worden ist. Legen Sie im Zweifel versuchsweise ein neues lokales Konto mit Administratorrechten an und verwenden Sie dieses Konto zum Bauen des Notfallsystems.

Defekte Downloads

Der Bauprozess stockt bei mir immer bei einem Programm, egal, wie oft ich ihn neu starte. Ein Download-Problem scheint nicht vorzuliegen. Was kann ich tun?

Es kommt selten vor, dass beim Download eines Programms oder eines Archivs unbemerkt bleibt, dass die Datei beschädigt auf dem Datenträger gelandet ist. Man erkennt das in den Logs dann daran, dass das Verarbeiten oder schon das Entpacken der Datei scheitert. In einem solchen Fall löschen Sie versuchsweise die Datei. Sie finden alle Downloads unterhalb von Workbench\PhoenixPE\Programs jeweils in einem Ordner mit dem Programmnamen. Wenn das Löschen nicht hilft, kontaktieren Sie uns per Mail unter ctnotwin25@ct.de – gern mit einer Log-Datei im Anhang.

md5 stimmt nicht

Ich habe die ISO-Datei mit der Windows-Eval-Version heruntergeladen, aber trotz mehrerer Versuche stimmt nie die md5-Summe mit der überein, die c’t auf der Projektseite veröffentlicht hat. Gibt es eine alternative Download-Adresse?

Wir können keine alternative Adresse empfehlen. Die von uns auf der Projektseite genannten Links führen letztlich auf die offiziellen Microsoft-Server. Die arbeiten äußerst zuverlässig. Wir haben bei unzähligen Downloads nicht eine kaputte Datei erhalten. Genau das deutet aber die falsche md5-Summe an. Laden Sie die Datei versuchsweise auf einem anderen PC oder an einem anderen Internetanschluss herunter. Löschen Sie Downloads mit falschen md5-Summen, mit denen wird das Bauen sehr wahrscheinlich ohnehin fehlschlagen.

PowerShell nicht im Suchpfad

Der Bausatz meldet, dass er die PowerShell nicht aufrufen kann. Ich weiß nicht, was ich tun soll.

Es gibt einige Aufgaben, die der Bausatz nur mithilfe der PowerShell erledigen kann. Die ist üblicherweise Teil einer jeden modernen Windows-Installation. Sie ist ohne Eingabe des Speicherorts aufrufbar, weil der Ordnername im systemweiten Suchpfad angegeben ist. Vereinzelt kommt es vor, dass das nicht der Fall ist. Tragen Sie den Pfad dort nach und schon sollte der Bausatz nicht mehr meckern.

Windows-ISO als Laufwerk

Mir gelingt es nicht, die ISO-Datei mit der Eval-Version von Windows als Laufwerk einzubinden. Was mache ich falsch?

Das kommt darauf an, wo es scheitert. Aus anderen Leseranfragen sind uns mehrere Möglichkeiten bekannt, was schiefgehen kann: Oft ist durch die Installation weiterer Software zur Bearbeitung von ISO-Dateien die schlichte Funktion zum Einbinden per Doppelklick auf andere Programme umgelenkt. Dann hilft es, wenn Sie mit einem Rechtsklick auf die ISO-Datei das Kontextmenü aufrufen und dort „Bereitstellen“ auswählen.

Verweigert Windows das Einbinden per Doppelklick, könnte Smart App Control interveniert haben. Wenn diese neue Sicherheitsfunktion aktiv ist, müssen Sie ebenfalls über einen Rechtsklick und die Funktion „Eigenschaften“ im Kontextmenü die Datei zunächst für unbedenklich erklären. Dazu setzen Sie auf der Seite „Allgemein“ ganz unten die Option „Zulassen“. Wenn es auch daran nicht liegt, hilft vielleicht noch die PowerShell, dort können Sie mit dem Befehl Mount-DiskImage -imagepath "c:\mein.iso" | Get-Volume eine ISO-Datei als Laufwerk einbinden.

Windows 11 als Basis

Sie empfehlen Windows 11 als Basis für das Notfallsystem. Ich dachte, diese Windows-Version läuft nicht mehr auf jeder Hardware?

Die technischen Einschränkungen setzt bei einer Neuinstallation das Windows-Setup-Programm durch. Das kommt aber beim Notfallsystem überhaupt nicht zum Einsatz. Das wie bei einem Setup-Stick auch hier als Basis dienende Windows PE weiß von den Einschränkungen nichts. Erst Windows 11 Version 24H2 läuft nur noch auf Prozessoren, die den POPCNT-Befehl kennen und SSE-4.2-Erweiterungen mitbringen. Das als Basis zur Zeit von uns empfohlene Windows 11 23H2 kennt auch diese Einschränkung bisher nicht. Insofern: keine Sorge.

Lokalisierung stoppt DISM

Bei mir ist der Bausatz immer ausgestiegen, wenn er die Skripte zur Lokalisierung bearbeitet hat. Ich habe mir geholfen, indem ich die Optionen passend zur gewünschten Sprache gesetzt habe. Habe ich etwas übersehen?

Leider bringen gewachsene Spracheinstellungen einer Windows-Installation die Automatik in den Skripten durcheinander. Das kann durch Hinzufügen und Löschen von Sprachpaketen passieren oder beim Einsatz spezieller Werkzeuge zur Tastaturanpassung. Die Skripte füttern dann einen dism -Aufruf mit Parametern, die das Programm nicht interpretieren kann. In einem solchen Fall hilft genau das, was Sie getan haben. Die Skripte fangen einige Merkwürdigkeiten ab, soweit wir darin eine Systematik erkennen konnten – leider gelang das bisher nicht für alle Fälle.

Sinnfrage

Mir ist schleierhaft, wofür man heute überhaupt ein solches Notfallsystem brauchen könnte. Windows läuft doch ziemlich rund, hat eine eigene Wiederherstellungskonsole und man kann ja auch das Windows-PE eines per MCT erstellten Sticks nehmen.

Zunächst gilt für jedes Notfallsystem: Haben ist besser als brauchen. Uns motiviert alljährlich, dass wir mit dem fertigen USB-Stick PCs unabhängig von der vorhandenen Windows-Installation booten können. Das muss ja nicht unbedingt gleich ein Notfall sein, etwa Virenverdacht oder versehentlich gelöschte Dateien. Es ist zum Beispiel nützlich, um eine SSD durch eine größere zu ersetzen. Ein laufendes Windows kann sich komplikationslos eher nicht kopieren. Mit dem Notfallsystem ist das ein Klacks.

Und: Die Ausstattung mit Programmen geht weit über das hinaus, was die Wiederherstellungskonsole und die Setup-Umgebung von Windows bereitstellen. Der Komfort ist auch deutlich größer, weil die üblichen Programme wie Explorer, Browser und so weiter im Notfall-Windows stecken. Obendrein braucht man nicht immer wieder aufs Neue Programme aus dem Netz herunterzuladen, etwa um Passwörter zu bergen, sondern hat alles beisammen.

Letztlich wäre vielleicht ein anderer Name für das System angebracht, etwa Wartungs-Windows – aber irgendwie verfängt der Begriff Notfall eher. Wenn Sie eine kreative Idee für einen besser passenden Namen haben, freuen wir uns über Anregungen.

Daten dauerhaft speichern

Ich habe mit dem Notfallsystem die Windows-Installations-Keys ausgelesen und dann Windows neu eingerichtet. Als ich die Schlüssel brauchte, habe ich sie auf meinem USB-Stick nicht wiedergefunden. Wo speichern die Programme solche Daten?

Sie müssen sich als Nutzer aktiv darum kümmern, dass im Notfallsystem erzeugte Daten, etwas des c’t-Keyfinders, oder dort geborgene Dateien auf dem USB-Stick landen. Der ist als Laufwerk Y: eingebunden. Im laufenden Notfallsystem auf dem Desktop, im Downloads- oder Dokumente-Ordner abgelegte Dateien liegen nur auf der RAM-Disk und sind verloren, sobald Sie den PC neu booten. Das gilt auch für Signatur-Updates, die zum Beispiel Virenscanner im laufenden System herunterladen.

Stopcode IRQL NOT LESS OR EQUAL

Das Bauen hat wunderbar geklappt, aber beim Booten meines erzeugten Sticks kommt die Meldung „stopcode IRQL NOT LESS OR EQUAL“. Was kann ich tun?

Leider wenig: Offenbar gibt es ein Problem mit einer bestimmten Kombination aus Netzwerkkarte und sonstiger Hardware. Einige Mainboards mit integrierter Netzwerkkarte mit Realtek 8111E-Chip scheinen beim Start diesen Fehler auszulösen. Oft genügt es, das Netzwerkkabel zu ziehen – beim späteren Einstecken führt das allerdings in den Fehler, also zu einem Absturz des Notfallsystems.

Die Ursache konnten wir bisher nicht ermitteln. Es gibt durchaus Systeme mit dem Chip, auf denen das Notfallsystem einwandfrei läuft. So bleibt auch hier nur unsere generelle Empfehlung: Für eine Komponente, wenn sie in einer bestimmten Umgebung nicht funktioniert, schlicht einen Ersatzspieler zu finden. Im Fall der Netzwerkkarte hilft ein USB-Ethernet-Adapter aus der Misere.

Altes Autoruns

Mir ist aufgefallen, dass eine veraltete Version von Sysinternals Autoruns im Notfallsystem steckt. Warum ist die nicht aktualisiert worden?

Das ist Absicht: Alle neueren Versionen beschädigen, wenn man sie aus dem Notfallsystem heraus benutzt, die Registry des untersuchten PCs – das gilt jedenfalls für den gängigsten Nutzungsfall, die Offline-Analyse. Dabei bindet Autoruns die Registry des Windows auf Laufwerk C: in die Registry des Notfallsystems ein. Beim Beenden entlädt es diese nicht sauber und dadurch nehmen diese Dateien Schaden – oft lässt sich der nur noch durch das Einspielen eines hoffentlich vorhandenen Backups zumindest dieser Dateien kurieren. Bei der älteren Autoruns-Version tritt das nicht auf.

Netzwerkkonfiguration

Ich kriege das Notfallsystem nicht ins WLAN. Die üblichen Konfigurationsmittel versagen oder werfen Fehlermeldungen. Was mache ich falsch?

Folgen Sie unseren Schritt-für-Schritt-Anleitungen zur Bedienung des Notfallsystems. Die nennen die wesentlichen Handgriffe. Die Bedienung des Systems weicht hier stark von den üblichen Methoden ab. Beim Einrichten von WLAN-Verbindungen brauchen Sie zudem etwas Geduld nach der Eingabe der Zugangsschlüssel, bis eine Verbindung aufgebaut wird.

Unsicherer Bootloader

Mir ist aufgefallen, dass das Notfallsystem einen unsicheren Bootloader mitbringt. Das wird unter anderem dann sichtbar, wenn man den Stick mit einer neueren Version von Rufus beschreibt, als im Bausatz enthalten ist. Sollte der Loader nicht aktueller sein?

Theoretisch ja, aber praktisch gewinnt das Notfallsystem dadurch nichts. Deswegen haben wir uns entschieden, in das System den Loader einzubauen, der aus der als Basis benutzten Eval-Version von Windows 11 in Version 23H2 stammt – dieser Loader ist nach allen bisher bekannten Kriterien unsicher. Microsoft hat aber bis heute die ISO-Dateien nicht aktualisiert.

Nun zur Praxis: Für Secure Boot konfigurierte PCs akzeptieren heute diesen Loader, ohne zu meckern. Das angedrohte Sperren unsicherer Loader hat Microsoft bis heute nicht umgesetzt. Auch das Zertifikat, mit dem diese Loader signiert sind, sehen PCs als gültig an – es gibt nur wenige Ausnahmen: PCs, die durch einen von Microsoft dokumentierten Registry-Eingriff manuell dazu genötigt wurden, das alte Zertifikat zu verwerfen.

Das heißt, damit das Notfallsystem auf möglichst vielen PCs heute benutzbar ist, stellt der alte Loader eine sichere Wahl dar. Sollten vermehrt PCs nur noch neue Loader starten, werden wir Updates bereitstellen. Das wird dann aber bedeuten, dass man beim Erstellen eines Sticks entscheiden muss, ob das Notfallsystem an alten oder neuen PCs startet. Beides gleichzeitig wird aller Voraussicht nach nicht zu haben sein! (ps@ct.de)

Projektseite mit Downloads, Forum und Artikelverweisen: ct.de/yvrx