Tips en trucs voor de c’t rescue-stick
Ons rescue-systeem kan je helpen bij een breed scala aan pc-problemen. In dit artikel leggen we uit hoe je daar snel succes mee kunt hebben.
Ons rescue-systeem onderscheidt zich van andere reddingssystemen voornamelijk door het feit dat het op Windows gebaseerd is en daarom voor Windows-gebruikers bijzonder vertrouwd aanvoelt. Toch zijn er verschillen en bijzondere kenmerken ten opzichte van een normale Windows-installatie. Dat begint bij het opstarten, want in sommige gevallen is het niet voldoende om de usb-stick in je pc te steken en op de aan-uitknop van de behuizing te drukken. Daarnaast bevat dit artikel tips om snel je weg te vinden in het rescue-systeem en om zo snel mogelijk een eerste beoordeling te krijgen of een pc met malware geïnfecteerd is. Als je bij vrienden en familie op een reddingsmissie gaat, moet je uit voorzorg ook nog een paar andere dingen meenemen.
BOOTEN!
Maar eerst het belangrijkste: het opstarten van usbstick. Dat klinkt tegenwoordig misschien als een triviaal iets, maar dat is helaas niet altijd het geval. Als de pc niet vanzelf opstart vanaf de stick, probeer dan eerst het BIOS Boot Select (BBS) menu te openen. Dat doe je in de meeste gevallen met een van de toetsen Esc, F2, F8, F10, F12 of Del. Soms verschijnt er direct na het inschakelen een hint voor de juiste toets. Als een groot fabrikantenlogo de BIOS-meldingen bedekt, kun je dat vaak verwijderen met Esc of bij de BIOS-set-up. Indien nodig schakel je de energiebesparende opties van de monitor tijdelijk uit, want sommige worden te laat wakker om de bootopties te kunnen weergeven.
Afhankelijk van de pc zal de usb-stick één of twee keer in het opstartmenu verschijnen. Dat komt omdat een pc zowel klassiek (legacy BIOS) als via UEFI kan opstarten, en als de pc beide biedt, heb je de keuze. Dat lijkt misschien verwarrend, maar het maakt niet uit want dat speelt verder geen rol: kies gewoon een van de twee. Dat start altijd dezelfde rescue-Windows, de verschillen zijn beperkt tot de bootloader, daar merk
je niets van. Als je pc beide methoden biedt, hoewel hij er maar één goed kan uitvoeren, kan het booten van de usb-stick mislukken als de andere wordt geselecteerd. In dat geval hoef je alleen maar het andere item in het opstartmenu te selecteren bij je volgende poging.
Als er geen bootmenu verschijnt, ga dan naar de BIOS-set-up en wijzig de boot-instellingen voor usb-boot, usb-legacy-support en de volgorde van de boot-apparaten. Probeer een andere usb-poort als de stick nog steeds niet beschikbaar is om te selecteren. Sommige pc’s activeren aanvankelijk slechts enkele poorten. Probeer een langzame (zwarte) USB 2-poort in plaats van een blauwe USB 3-poort. Als dat ook niet helpt, zet de rescue-Windows dan op een andere usb-stick. Sticks leveren in het algemeen minder problemen op om mee op te starten dan usb-schijven en -ssd’s omdat er minder hardwarecomponenten hoeven samen te werken.
BOOTMENU NIET OP TE ROEPEN
Als de Windows-installatie op het interne opslagmedium op zich nog wel opstart, kan het gebeuren dat de pc überhaupt niet reageert op toetsaanslagen om het bootmenu of de BIOS-set-up op te roepen. Dat komt door hoe Windows 8.1 en 10 reageren als je op de knop Afsluiten klikt. Windows stopt met alle toepassingen, maar zet zichzelf alleen maar in de slaapstand. Dat versnelt een volgende systeemstart. Microsoft heeft die procedure de Fast Startup Mode genoemd.
Dat leidt hier tot het volgende probleem: Windows vertelt de hardware dat het alleen slaapt, en als de hardware de BIOS-functie Fastboot ondersteunt, wordt die gebruikt de volgende keer dat de pc wordt ingeschakeld. De pc wekt Windows dan meteen weer, en om dat zo snel mogelijk te doen, wordt het relatief tijdrovende proces van het herkennen van de usbapparaten dan overgeslagen. Een nieuw ingeplugde stick wordt dan net als een usb-toetsenbord pas na het wakker worden van Windows door de drivers herkend.
Er is een eenvoudige remedie voor het eenmalig opstarten vanaf de stick, waarbij de BIOS-set-up niet opnieuw geconfigureerd hoeft te worden. Om de Windows-installatie op de interne datadrager af te sluiten, klik je niet op Afsluiten maar op Herstarten. Want dan sluit Windows wel volledig af. Hoewel het dan ook meteen weer opstart, weet de hardware daar niets van en activeert daarom de snelle opstartfunctie ook niet. Daarom wordt voor het opstarten van Windows eerst gezocht naar usb-apparaten. Als je op de toetsen voor de BIOS-set-up of het bootmenu drukt op het moment dat de pc is afgesloten en op het punt staat te herstarten, zullen ze werken en kun je de rescue-Windows uiteindelijk opstarten.
Er is ook een directe weg om dat te bereiken, en wel vanuit Windows zelf. Ga bij de Instellingen naar ‘Bijwerken en beveiliging’ en klik op het tabblad Systeemherstel onder de ‘Geavanceerde opstartopties’ op ‘Nu opnieuw opstarten’. Als het scherm met ‘Kies een optie’ verschijnt, klik je op ‘Een apparaat gebruiken’ en selecteer je de usb-stick. Daarna start het systeem dan meteen vanaf die stick op zonder dat je daar tijdens het booten nog voor op een toets hoeft te drukken.
EERSTE STAPPEN
Na opstarten van de stick moet je eerst zorgen voor een netwerkverbinding. Klik in het systeemvak met rechts op PE Network Manager en ‘Show Main Gui’. Daar kun je netwerkinstellingen mee aanpassen. Als er een netwerkkabel aangesloten is, zal PE Network Manager automatisch verbinding proberen te maken. Je kunt er echter ook voor kiezen om een draadloze verbinding in te stellen als de pc waarop je bezig bent dat ondersteunt.
Als je Verkenner opent zul je een aantal extra stationsletters zien. B: wordt gebruikt als RAM-disk, X: als systeemschijf en Y: als bootmedium. Met een programma als HWinfo krijg je een overzicht van de beschikbare hardware. Als een apparaat niet goed werkt omdat er geen driver voor geïnstalleerd is, kun je dat via het Apparaatbeheer wel doen, maar zal die de volgende keer weer verdwenen zijn.
In het rescue-systeem zit een speciale complete versie van Drive Snapshot, die geldig is tot 31 januari 2022. Wil of kun je niet rechtstreeks op het systeem werken, dan kun je er met AnyDesk ook remote toegang toe krijgen.
VIRUSSEN ZOEKEN
In het rescue-systeem zijn snelkoppelingen opgenomen voor de virusscanners van Eset, Kaspersky en Trend Micro, en de offline-versie van Defender van Microsoft.
Van Eset is de online scanner beschikbaar waarmee je een verdacht bestand gratis kunt laten testen. Van Kaspersky en Trend Micro moeten de programma’s de eerste keer nog geïnstalleerd of geüpdatet worden. Daarna kun je het hele systeem scannen op virussen. Een grondige virusscan duurt echter relatief lang, aangezien dat uren kan duren, afhankelijk van de hardware, de scanner en de hoeveelheid te controleren gegevens.
Maar je kunt een soort van virus-sneltest doen. Die is lang niet zo grondig, maar maakt in veel gevallen
wel duidelijk of het vermoeden van een virusaanval gerechtvaardigd is. Dat werkt met een truc. In het startmenu staat onder ‘All programs / analyse’ het programma Autoruns van Sysinternals. Autoruns toont niet alleen alle programma’s die automatisch worden gestart bij het opstarten van Windows, maar kan die ook laten controleren door meer dan 70 virusscanners tegelijk.
Hoewel er op die manier geen zeer gespecialiseerde en op maat gemaakte malware kan worden gedetecteerd, is het voldoende om standaard virussen te detecteren. Als er niets verdachts te zien is, wil dat nog niet zeggen dat er ook zeker geen malware op het systeem aanwezig is. Maar als er alarmbellen afgaan, weet je dat een grondige virusscan echt de moeite waard is.
Autoruns begint onmiddellijk met het controleren van alle autoruns – maar dan voor het huidige draaiende systeem, oftewel je rescue-Windows. Je kunt die check annuleren met de escapetoets. Selecteer ‘Options / Scan Options’ en zet een vinkje voor ‘Check VirusTotal.com’. Die online dienst van Google doet de viruscontrole.
Autoruns zal standaard niet de geïdentificeerde uitvoerbare bestanden uploaden, maar alleen een checksum (hash). Daardoor is de controle razendsnel. Alleen als je ook het vakje ‘Submit Unknown Images’ aanvinkt, zal Autoruns ook de bestanden uploaden waarvan de hashwaarde bij VirusTotal.com nog onbekend is.
Als je op Rescan klikt, verschijnt er een dialoogvenster waarin je eerst nog akkoord moet gaan met de VirusTotal-licentievoorwaarden, die ook in de browser worden geopend. Vervolgens controleert Autoruns je rescue-systeem opnieuw. Klik dan in het menu op ‘File / Analyse Offline System’. Het bovenste veld bevat het pad naar de Windows-map van de installatie op het interne opslagmedium (meestal C:\Windows), het onderste veld bevat het pad van het gebruikersprofiel (C:\Users\< Accountnaam>). Met behulp van de drie punten naast de velden, kun je de betreffende map selecteren. Klik vervolgens op OK om Autoruns nogmaals uit te voeren.
Als je alleen geïnteresseerd bent in eventuele malware, kun je al het andere verbergen met ‘Options / Hide VirusTotal Clean Entries’. De kolom VirusTotal bevat dan altijd zoiets als ‘0/76’, waarbij het nummer na de schuine streep varieert – niet elke scanner controleert alles. De 0 vooraan is hierbij beslissend, want dat betekent dat geen enkele scanner iets te klagen heeft. Indien er echter een hoger nummer voor de schuine streep staat, heeft ten minste één scanner alarm geslagen. Zolang dat er maar één of twee zijn, is dat vaak vals alarm.
Voor meer informatie klik je op het testresultaat. Daarmee open je de VirusTotal-website in een browser met een gedetailleerd rapport. Soms staan er pictogrammen bij die laten zien hoe andere gebruikers het resultaat hebben beoordeeld. Een andere aanwijzing is of de alarmen alleen afkomstig zijn van minder bekende scanners of ook van de bekende scannernamen.
Soms is het echter geen vals alarm: het is heel goed mogelijk dat een virusscanner een bijzonder verse plaag detecteert vóór alle andere. Bij twijfel is het dan tijd voor een grondige zoektocht – daar heb je nu een concrete reden voor. Voorzichtigheid is geboden als een programma wordt geclassificeerd als een mogelijk ongewenste toepassing (PUP). Dat zijn vaak programma’s die Windows wachtwoorden resetten, vensters verbergen, andere systemen via het netwerk testen of op afstand bedienen. Als je zoiets vindt op een pc van de vrienden of familieleden die je bent komen helpen, moet je proberen te achterhalen of de gebruiker zich bewust is van het bestaan ervan en waarom hij die software geïnstalleerd heeft.
In het rescue-systeem zijn dergelijke programma’s echter essentieel. Het is dan ook volkomen normaal dat scanners daarin iets vinden om over te klagen. Voor alle genoemde programma’s gaan we er naar eer en geweten van uit dat dit valse alarmen zijn.
EEN ANDERE SNELTEST
De rescue-Windows biedt een andere sneltest voor virussen, namelijk voor individuele bestanden. Ook daar is een internetverbinding voor nodig. Het programma dat hiervoor gebruikt wordt is Sigcheck, dat ook afkomstig is van Sysinternals. Net zoals met Autorun kun je daar VirusTotal.com mee bevragen. Het controleert de signatures van de bestanden, of het gebruikte certificaat is afgegeven door een certificeringsinstantie die Windows vertrouwt. Dat hoeft niet rechtstreeks te gebeuren, maar kan via een keten van verschillende andere vertrouwde certificaten: certificaatautoriteit A vertrouwt certificaatautoriteit B, die op zijn beurt certificaatautoriteit C vertrouwt, enzovoort.
Een producent bewaart een signature in het bestand als bewijs dat het echt van hem afkomstig is en dat hij er achter staat. Zo’n signature zegt niets over een foutvrije werking van het programma, maar dan weet je wel met wie je contact moet opnemen in geval van problemen. Ontwikkelaars van programma’s met geldige handtekeningen proberen hun programma’s meestal zo foutloos en onschadelijk mogelijk te maken om hun imago niet te beschadigen. Een signature is alleen aan het betreffende bestand gekoppeld, dus wordt ongeldig als er ook maar één bit verandert. Dus als Sigcheck meldt dat een bestand door Microsoft ondertekend is, kun je er vrij zeker van zijn dat dit het geval is – maar helaas gebeurt het in individuele gevallen dat de handtekening vervalst of gestolen is.
Om het gebruik van Sigcheck in een rescuesysteem zo eenvoudig mogelijk te houden, hebben we het item ‘sigcheck.bat’ toegevoegd aan het ‘Send to’-menu van het contextmenu van alle bestanden. Wanneer je dit selecteert, wordt het bestand overgebracht naar Sigcheck. De uitvoer van de controle verschijnt in enkele seconden. Die is allesbehalve fraai, want hij verschijnt in een Opdrachtprompt. Twee regels zijn daarbij doorslaggevend.
De eerste regel begint met Verified en wordt gevolgd door Signed of Unsigned. Bij grote bedrijven als Microsoft en Google moet het bestand in ieder geval altijd ondertekend zijn, zelfs als uitzonderingen de regel bevestigen. In sommige gevallen is een handtekening aanwezig, maar wordt die niet als betrouwbaar beschouwd. De regel met ‘VT-detectie’ staat verder onderaan en toont het resultaat van de totale viruscontrole. De link in de regel eronder leidt naar de resultatenpagina, die je in detail kunt bekijken.
Wat de interpretatie van de resultaten betreft: in principe geldt hetzelfde als voor Autoruns. Als het bestand is ondertekend door een bekende provider en geen enkele virusscanner iets te klagen heeft, is het waarschijnlijk onschadelijk – alhoewel, om dat nog maar eens te benadrukken, er geen garantie is dat dit ook echt het geval is. Als de signature daarentegen ontbreekt of rariteiten vertoont, moet je voorzichtig zijn. In geval van twijfel, verwijder je het bestand.
WERKEN MET HET RESCUE-SYSTEEM
Een paar tips voor het geval je niet met je eigen pc aan de slag gaat om problemen te verhelpen, maar iemand anders je vraagt voor reddingsmissie op zijn of haar pc. Dan moet je niet alleen de usb-stick met de rescue-Windows meenemen, maar ook een extra usbschijf met genoeg vrije ruimte waarop je eventueel bestanden kunt redden of een image van de betreffende installatie kunt opslaan.
Bij apparaten zoals laptops en mini-pc’s zitten de usb-poorten soms zo dicht bij elkaar dat de stick de enige andere vrije usb-poort bedekt. Dan kun je de extra schijf niet aansluiten, maar een verlengkabel tussen de stick en de poort lost dat probleem op. Als er slechts één usb-poort beschikbaar is, is een usb-hub handig.
Gebruik indien mogelijk een hub met een eigen stroomvoorziening, dat voorkomt problemen zoals onderbroken datatransfers, overbelasting van de usbpoort en dergelijke. Let er echter wel op dat een extra kabel of hub problemen kan veroorzaken bij het opstarten, omdat dan weer meer componenten moeten samenwerken. Daarom kan het voorkomen dat je geen extra usb-stick kunt aansluiten en je op een andere manier een back-up van de te redden bestanden moet maken (netwerk, cloud, lege dvd ...).
Als je gewend bent om met de muis te werken in plaats van met een touchpad of iets dergelijks, moet je een muis meenemen. Een smartphone is ook handig om te zien of het uitvallen van de internetverbinding wellicht het probleem blijkt te zijn. Als je dan nog ruimte in je rugzak hebt, is het aan te raden om een werkende Windows-laptop mee te nemen. Daarmee kun je de instellingen van de defecte Windows ter plaatse vergelijken, bijvoorbeeld bij registersleutels.
Vaak is het handiger om niet op pad te gaan, maar het kapotte apparaat bij je thuis te laten bezorgen. Op je eigen bureau met je vertrouwde pc-omgeving en je archief aan c’t-nummers is het makkelijker om een systeem te onderzoeken en testen. Bovendien heb je dan meer rust, kijkt er niemand mee en kun je de problemen met een helder hoofd vaak veel sneller oplossen.