Avira Antivir beeinträchtigt unter bestimmten Umständen die Suche unter Windows, indem die Indexierung von Fileinhalten gestört wird. Beobachtet wurde die Störung zuerst unter Windows 7 32Bit mit Office 2010 und Avira Antivir Premium. Bestätigt unter Windows 7 64 Bit und Antivir Professional.

Entdeckt wurde das Problem erstmals bei der Untersuchung eines andern Indexierungsproblems, das nach der Installation von Adobe Reader 10 auftritt (hier dokumentiert). Generell für den User sichtbar wird die Problematik, indem etwa bei installiertem Office nicht mehr alle DOC und DOCX Files in einer Suche aufgelistet werden, obwohl das Suchstichwort im Text enthalten und die Option der Inhaltsindexierung aktiv ist.

Es tritt also nicht ein Vollausfall der Suche ein. Weil der Index kumulativ wächst, werden früher indexierte Files korrekt angezeigt. Richtig massiv werden die Lüken erst, wenn die Indexierung neu gestartet wird. Weiterhin vollständig gefunden werden Files, bei denen der Suchbegriff im Filenamen, Pfade oder Attributen vorkommt – und auch Objekte in Mailbox werden korrekt behandelt.

Der Verdacht ist aus zwei Gründen auf Antivir gefallen. Einmal haben schon andere User von ähnlichen Indexierungsproblemen mit McAfee berichtet. Generell ist AV immer eine gute Hypothese. Neben Malware greift nichts so tief ins System ein und klinkt sich in jeden Filezugriff ein. Zweitens zeigte sich eine Ungleichbehandlung von identischen Dokumenten in der Mailbox (zB als Attachment) und im Filesystem. Die Mailbox Inhalte wurden völlig korrekt indexiert. Es kann kaum eine fundamentale Störung des Indexierungsmechanismus vorliegen; auch die für Word Dokumente nötigen iFilter scheinen korrekt zu arbeiten.

Minitests

In einem kleinen Test 1 (W7 32 Bit) wird zuerst ein nicht gefundenes Dokument identifiziert, die Suche mit dem entsprechenden Stichwort aktiviert - kein Ergebnis. Dann wird Antivir in der Konsole disabled (AntiVir Guard). Dann wird das Dokument geöffnet, ein paar Leerschläge zugefügt und wieder gespeichert, um die Aktualisierung des Indexes anzustossen. Siehe da: Ohne weiteres Zutun erscheint nun das gesuchte Dokument im offenen Suchfenster.

Auf einem andern System (W7 64 Bit mit Avira Antivir Professional, MyDocuments auf Laufwerk D: verschoben) wird ein weiterer Test mit einem seit Monaten ohne Rebuild gewachsenen Index auf den Folder MyDocuments gefahren. Normale Suche zu häufigem Stichwort nach dem Muster mit expliziter Spezifikation im Suchfeld „content:Stichwort fileextension:=.docx“ ergibt 4 Items. Dann Avira disablen, Index neu aufbauen, Erneuerungsfeld auf der Suche anklicken: Sofort werden 78 Items gelistet. Nun den Virenschutz wieder einschalten, den Index wieder neu aufbauen, Erneuerungsfeld auf dem unveränderten Suchfenster mit den 78 Items anklicken – schwupp fast alles weg: gefunden wird nur noch 1 Dokument – dasjenige in dem soeben der Text dieses Beitrags verfasst wurde.

 Workaround?

Falls sich das Ganze als allgemeiner Bug bestätigt, liegt wahrscheinlich ein Implementierungsproblem von Antivir vor. Es könnte aber auch ein Bug von Windows sein, der nur in dieser Konstellation relevant wird. Leider gibt es keinen eleganten Workaround. Zumutbar ist weder ein jeweiliges Wegschalten des Virenschutzes beim Kopieren oder Speichern von Dokumenten noch ein periodischer Neuaufbau des Idexes bei ausgeschaltetem Virenschutz. Wir hoffen, dass das Problem bald identifiziert und behoben werden kann.

ANMERKUNG: Wer Tests mit Neuaufbau von Indexes auf einem produktiven Rechner fahren möchte, kann den Mailclient schliessen – die Tausenden von Mails werden dann vorerst nicht indexiert und der Test geht viel schneller vor sich.

ERGÄNZUNG 24.2.11: Testsetup

Um die gefundene Hypothese zu testen, muss die Frage geklärt werden: Indexiert der Windows Indexin Service bei laufendem wie weggeschalteten Antivir identisch? Ein ideales Testsetup müsste folgendermassen aussehen:

1. Eine W7 Maschine mit Office 2010 aufsetzen, MyDocuments auf Partition D: verschieben, eine Dokumentemenge von einigen Tausend Dokumenten hineinkopieren.
2. Die automatische einsetzten Indexierung abwarten (beobachtbar mit “Indexing Options”), dann ein paar Suchafragen mit teilweise häufigen Begriffen starten, Zahl der gefundenen Dokumente notieren.
3. Avira Antivir installieren, aktualisieren. Dann unter “Indexing Options /Advanced / Rebuild” den Index neu aufbauen. Dann die identischen Suchabfragen laufen lassen und sehen, ob mit dem unter Avira Antivir erzeugten Index das gleiche gefunden wird.

Ob das Verschieben von MyDocuments auf Partition D: relevant ist, bleibt völlig offen. Der oben erwähnte zweite Test kommt dem Idealszenario nur bedingt nach, weil er auf einer Produktionsmaschine mit weiteren Programmen und historisch gewachsenen Settings abgewickelt wurde.

ERGÄNZUNG 25.2.11: Test unter Labor-Bedingungen bestätigt Störung

Ein Test auf einer blanken Virtuellen Maschine (Windows 7 SP1 32 Bit) bestätigt die Hypothese, das Avira die Indexierung und damit die Suche massiv stört. Spalte 2 zeigt die Anzahl Suchergebnisse, die auf dem Index der blanken Maschine beruhen, Spalte 3 Suchergebnisse, die auf dem bei laufendem Avira Antivir Professional mit „Rebuild“ neu aufgebauten Index beruhen. Mit einem bestimmten Suchausdruck gefundene Anzahl Dokumente:

 Auf die Testmaschine wurde einzig das Office 2010 Filter Pack 32 Bit installiert, um realistische Bedingungen für die Inhalts-Indexierung von Word-Dokumenten zu schaffen. Total wurde mit rund 3000 RealWorld Dokumenten gearbeitet, darunter auch PDFs, die in diesem Setting inhaltlich nicht indexiert werden können.

Wer auf einer Windows 7 32Bit Maschine Adobe Reader 10 installiert, erlebt eine böse Überraschung. Im Gegensatz zu Reader 9 sind nun PDF-Dokumente nicht mehr mit der Windows Search Funktion durchsuchbar. Ein eleganter Ausweg ist momentan nicht in Sicht.

Aus Sicherheitsgründen ist ein Reader Update auf Version 10 dringend erwünscht.  Warum Adobe nun keine Lösung für das Durchsuchen von Dokumenten anbietet, bleibt nebulös.

Filter nötig

Windows 7 kommt mit einer gegenüber XP massiv verbesserten Indiexier- und Suchfunktion daher. Eine Indexierung ist für schnelle Suche unabdingbar und findet üblicherweise im Hintergrund statt. Genau wie bei den Servern ist auch bei Windows 7 Indexierung modular implementiert. Auf den Basismechanismu setzen sogenannte iFilter auf. Diese Filter enthalten Mechanismen, die für das Entziffern bestimmter Codierungen nötig sind. An Bord hat Windows plus Office eine Reihe von Filtern etwa für normalen Text, für HTML oder Office Dokumente.

Drittanbieter mit proprietären Codierungen sind eingeladen, den Kunden iFilter anzubieten, damit die entsprechenden Objekte unter Windows durchsucht werden können. Bestimmte PDF sind in Ausnahmefällen mit dem Windows Textfilter durchsuchbar, nämlich dann, wenn sie Klartext enthalten. Das ist normalerweise nur bei gescannten Dokumenten der Fall. Da fügt manchmal eine OCR-Komponente den Text als Klartext mit  ins Dokument ein. Normale PDF Files sind aber proprietär codiert und erfordern einen iFilter, um auf Ebene Windows durchsuchbar zu sein.

In Rohform können die codierten PDF schon auch ohne iFilter indexiert werden, wenn das Durchsuchen des Inhalts eingestellt wird (auf „Index Properties an File Contents“). Nun können diese PDFs in Suchen erscheinen, wenn nur ein einzelner Buchstabe eingegeben wird. Aber bereits bei Eingabe eines weit verbreiteten Artikels wie “the” oder “das” bringt kein einziges normales PDF-Dokument als Suchergebnis.

Noch beim Adobe Reader 9 hat Adobe auf 32Bit Systemen einen iFilter mitgeliefert und im Hintergrund gleich installiert. Mit Version zehn liefert Adobe keinen Filter mit, ohne dem User den Funktionsverlust bei Suchen klar zu machen. Einzig in einem FAQ findet sich ein wenig klärender Beleg: „The iFilter shell extension has a limitation with Microsoft Desktop Search and is not installed with Reader X“.

Adobe Ausweg nur für 64Bit Windows

Für 64Bit Systeme kann auf den entsprechenden Filter zurückgegriffen werden, den Adobe in Version 9 anbietet. Eine Installation auf zwei Testystemen verlief reibungslos. Der Installer setzt auch gleich die Option des Filetyps PDF auf das Indexieren auch von Content („Index Properties and File Contents“). Nach dem erforderlichen Neuaufbau des Indexes zeigt die Windows 7 Suche perfekt auch die Ergebnisse nach Stichworten aus dem Innern on PDF Dokumenten an (Indexing Options / Advanced / Rebuild). Der Indexierservice schafft pro Stunde einige zehntausend Dokumente und Mails, sofern er ungestört werkeln kann. Bei Userinteraktion schaltet er auf ressourcenschonenden Minimalbetrieb, da kann sich der Neuaufbau des Indexes über Stunden hinziehen. Am besten vor der Mittagspause starten.

Für 32Bit System bietet Adobe weder eine Lösung noch eine Erklärung an. Das wirkt einigermassen befremdlich angesichts des Bedeutung, welche das Suchen nicht nur im Internet, sondern auch im eigenen Dokumentenbestand hat. Eine Testinstallation des veralteten iFilter Version 6 von Adobe hat das Problem nicht gelöst – andere haben die gleiche Erfahrung gemacht. Microsoft zeigt in einem W7 Artikel zwar auf diese alte Version 6 von Adobe. Wie das auf W7 zum Laufen gebracht werden kann, ist offen. Adobe selbst nennt in der entsprechenden Doku weder Vista noch W7 als untersützte OS. Eine allfällige Lösung bietet die Firma PDFlib mit PDFlib TET PDF IFilter auf die in einem Geschwindigkeitstest von einem MSDN Blog verwiesen wird. Eine Komponente von kaum einschätzbarer Qualität ins Betriebssystem einzupflanzen, ist aber nicht jedermanns Sache.

Es ist der Münchner Firma hoch aber anzurechnen, dass sie eine kostenlose Lösung anbietet, die funktioniert. Beim Test auf einem virtuellen Windows 7 32 Bit zeigt die Suche nach Installation des  PDFlib TET PDF IFilter umgehend indexierte PDFs an, auch wenn kein PDF-Viewer installiert ist. In der geeigneten Preview wird auch gleich Text aus dem Inhalt angezeigt, welchen der iFilter ja ohnehin dekodieren muss, um ihn dem Indexing Service von Windows darzubieten:

Wenn nun Adobe Reader 10 installiert wird, lässt er immerhin den installierten iFilter der Konkurrenz unbehelligt. Adobe legt voerst den Indexing Service lahm, sodass das unbeschwerte Suchen und Anschauen erst nach einem Neulogin (oder Reboot) möglich ist. Natürlich muss immer der Aufbau des Indexes abgewartet werden.

ANHANG: Technische Details zu Index, Suche, iFilters

Out oft the Box (und nach Installation von Office) läuft Indexieren und Suchen in einer robusten Default Konfiguration.

Unter Windows 7 können mit „Indexing Options“ verschiedene Einstellungen vogenommen werden: welche Folderst sollen indexitert werden; nur Attribute oder auch Inhalt; Neuaufbau des Indexes.

Ein Blick auf Windows 7 64 Bit nach erfolgreicher Installation von iFilter Version 9:

1) Wie werden PDF Files bei der Indexierung gehandhabt?
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.pdf\PersistentHandler
darin der default
{F6594A6D-D57F-4EFD-B2C3-DCD9779E382E}

2) Jetzt suchen wir nach ID F6594A6D-D57F-4EFD-B2C3-DCD9779E382E und finden
HKEY_CLASSES_ROOT\CLSID\{F6594A6D-D57F-4EFD-B2C3-DCD9779E382E}
darin registriert als Persistent Addin
\PersistentAddinsRegistered\{89BCB740-6119-101A-BCB7-00DD010655AF}
mit dem Wert default
{E8978DA6-047F-4E3D-9C78-CDBE46041603}

3) HKEY_CLASSES_ROOT\CLSID\{E8978DA6-047F-4E3D-9C78-CDBE46041603}\InprocServer32
darin der default, zeigt auf die iFilter DLL:
C:\Program Files\Adobe\Adobe PDF iFilter 9 for 64-bit platforms\bin\PDFFilter.dll

Wenn unter Punkt 1) der Persistent Handler auf {5e941d80-bf96-11cd-b579-08002b30bfeb}
zeigt, ist das der default Handler für .txt und andere Klartextfiles. PDF Dateien werden dann nur nach Klartextteilen indexiert: gescannte PDFs mit OCR Klartexteinschüben werden erschlossen, normale PDF nicht.

ANHANG Links

• Kurze Beschreibung zu iFiltern auf Servern von Adobe.
• MS Übersicht über Windows Search in W7 und Server 2008
• MS Übersicht Indexing Process
• Technisches Konzept der iFilter
• Microsoft Blog zu Filters
• Filterregistrierung Doku und älterer Artikel

Seit Monaten wird in der Fachcommunity eine neue Möglichkeit diskutiert, Schadsoftware auf einem modernen Betriebssystem zu platzieren: JIT Spraying. Beispielsweise kann mit dem Just In Time Compiler von Flash aus einem entsprechenden ActiveScript heraus Malware in den Speicher eingebracht werden. Ob sich „das Blatt wieder zu Gunsten der Angreifer“ wendet, wie heise.de voraussagt?

Auf aktuellen Windows Systemen scheitern konventionelle Versuche, etwa mit Buffer Overflows Malware zu starten. Das wird durch Markierung von Speicher als „nicht ausführbar“ (Data Execution Prevention DEP) und die zufällige Platzierung von Modulen (Address Space Layout Randomisation ASLR) bewirkt.

Auf der Suche nach Speicherplatz, der beschrieben und ausgeführt werden kann, fällt der Blick auf Scriptinterpreter wie Active Script. Um die Ausführungsgeschwindigkeit zu beschleunigen, werden Scripts on the run erst kompiliert und dann ausgeführt. Mit geeigneter Manipulation des Scriptcodes können so auch spezielle Muster erzeugt werden: Malwarestücke.

Teilautonom

Das Risiko entsteht nicht darum, weil DEP ausgetrickst wird, denn DEP funktioniert auf der Basiseben des Systems und seiner Prozesse konsistent. Das Problem entsteht, weil hier auf dem System relativ entkoppelte Teilsysteme – eigentlich Codefabriken – existieren. Es ist keine Lücke, sondern eine Funktion dieser Codefabriken, Lauffähigen Code zu erzeugen. Verschiedene Aspekte sind problematisch:

• Es gelangt unsignierter Programmcode auf das System, zB Scripts von einer Website.
• Die Scripts werden in reproduzierbarer Weise in direkt lauffähigen Code gewandelt.
• Der Compiler ist vom Betriebssystem entkoppelt, die entsprechenden Mechanismen greifen nicht.

Es grundsätzlich problematisch, lauffähigen Code auf einem System zuzulassen. Gegenüber dem Herunterladen und Laufenlassen beliebiger *.exe Files hat sich in den letzten Jahren eine angemessen kritische Haltung auch bei vielen Usern verbreitet. Gegenüber Scripts hat sich eine gewisse Sorglosigkeit gehalten, auch im professionellen Umfeld. Einerseits vertraut man auf die Zuverlässigkeit von Interpretern in einer Browser-Sandbox. Andererseits wird gar nicht kritisch diskutiert, weil die serverseitige Entwicklung zu immer mehr Scripts hin ging. Der Webserver versendet Objekte und Scripts – die Page wird dann durch den Browser beim User zusammengebaut. Viel sicherer wäre natürlich, dem User nur Objekte darzubieten.

Die massive Verbreitung von Scripts hat nun die Browser-Programmierer unter Druck gesetzt, aus Performancegründen zu kompilieren. Google war mit Chrome und beeindruckenden Performance-Vorteilen Vorreiter dieser Entwicklung.

Riskioabschätzung

Das Teilproblem, Malwarescripts zu erzeugen, die kompiliert lauffähige Malwareelemente ergeben, darf als gelöst angesehen werden. Auf einem aktuellen Windows-System müssen aber eine Reihe von weiteren Hürden überwunden werden, bis eine Kompromittierung des User-Kontexts gelingt. Härtung des Compilers: Die Browserproduzenten dürften einzelne Härtungsmechanismen einbauen, wenn das Problem praktisch relevant werden sollte. Sandboxing: Ein Malwarefragment im Browserkontext kann nur selektiv auf Funktionen des Systems zugreifen. Integrity Level: Ein Malwarefragment im Browserkontext kann keine höher eingestuften Prozesse ansprechen oder kreieren.

Leider schweigen sich die vorliegenden Publikationen darüber aus, wie das Potential in Bezug auf ein aktuelles System und in der realen Welt zu bewerten ist. Vorläufig ist noch nichts über lebensfähige Implementierungen im realen Ökosystem bekannt. Auf ein halbes Jahr hinaus betrachtet dürfte die praktische Relevanz äusserst bescheiden sein. Das mittelfristige Potential ist vorhanden, das Ausmass bleibt offen und hängt auch von den Gegenmassnahmen der Compilerbauer ab.

Für Maschinen mit Top Security Maschinen muss diskutiert werden, ob nicht ein absolutes Whitelisting angesagt ist, das auch Scripts umfasst. Unter 64 Bit Windows können die Nebenfolgen in der 64Bit Instanz von Internet Explorer schon mal getestet werden: Flash gibt da schon gar nicht, Java Script und Active Script kann im Browser weggeschaltet werde.

Seit Vista logt Windows die Boot und Shutdown Zeiten, sodass eine History gebildet werden kann. Hier sehen wir die Zeiten in ms von 500 Boot-Vorgängen von einem PCs, der ohne Neuinstallation von Vista auf Windows 7 upgedatet wurde. Das letzte Viertel des Diagramms zeigt die Zeit unter Windows 7.

Bemerkenswert ist, dass bereits Vista ziemlich fix gebootet hat. Die Ausschläge nach oben sind durch Updates bedingt, die während des Bootens vollendet worden sind. Verzögert wird das Booten auch durch den Virenscanner oder das Synchronisieren von Roaming Profiles. Das Diagramm zeigt aber durchaus typisch die Faustregel, das Windows 7 auf einer neueren Box in 30-45 Sekunden bootet, sofern das Betriebssystem nicht behindert wird. Hinzu kommen 10-15 Sekunden, welche das BIOS braucht, um den PC startfähig zu initialisieren und dem Betriebssystem die Kontrolle zu übergeben.

Wichtiger als die Bootzeit ist aber das WakeUp aus dem Schlafzustand mit rund zwei Sekunden und die Shutdown Zeit. Wer ans Meeting oder auf den Zug eilen muss, weiss es zu schätzen, das nach 10 bis 15 Sekunden die Maschine ausgeschaltet ist.

(Die Bootzeiten sind im Eventlog einsehbar: Applications and Services Logs / Microsoft / Windows / Dianostics Performance – auf des Objekt “Operational” klicken).

Mit der Anbindung eines Computers ans HiSpeed Internet geht ein massiver Angriffsdruck einher. Die Widerstandfähigkeit eines PCs muss optimiert werden. Wir wollen uns einen kurzen Überblick verschaffen, welche Elemente die Qualität und Sicherheit eines Hosts prägen. Ein Schichtenmodell schafft Übersichtlichkeit, um Handlungsspielräume zu identifizieren und einzelner Technologien zu verorten.

Im Zentrum steht ein einzelnes System mit seiner Software in einer konkreten Konfiguration. Hinzu kommen zwei angrenzende Schichten – die Produktion des Betriebssystems und das Userverhalten.

Spezifikation und Qualitätssicherung bei der Entwicklung und Publikation des Betriebssystems. In diesem Prozess werden entstehen nicht nur die Security-Features eines Betriebssystems. In Scheinwerferlicht ist in den letzten Jahren auch die Codequalität gerückt. Die Zahl der Bugs und Verletzlichkeiten soll beim Release des Betriebssystems möglichst gering sein. Microsoft und Adobe haben in den letzen Jahren entsprechende Prozesse aufgesetzt.

Betriebssystem Architektur und Sicherheits-Basismechanismen. Zum architekturalen Design gehört die Aufteilung der Komponenten für Usermode und Kernelmode, Authentisierungsmechanismen und vor allem ein konsistentes Modell von Objektsicherheit.

Sekundäre Schutzmechanismen des Betriebssystems. Darunter fassen wir Mechanismen, die ein Ausnützen von Schwächen und Verletzlichkeiten verhindern oder die Auswirkungen limitieren. Dazu gehören Mechanismen wie DEP (Data Execution Prevention) oder ASLR (Address space layout randomization).

Tertiäre Schutzmechanismen des Betriebssystems bieten dem User Warnungen und Wahlmöglichkeiten etwa beim Einbringen von lauffähigem Code auf das System. Zu dieser Gruppe zählt auch UAC (User Account Control) welche das Arbeiten und Standarduser respektive Adminrechten moderiert.

Konfiguration des Betriebssystems. Der Hersteller liefert das Betriebssystem mit einer bestimmten Defaulteinstellung aus. User respektive Admins können aber tausende von Parametern einstellen respektive über Policies einer Gruppe von Systemen aufprägen. Die konkrete Konfiguration eines Systems beeinflusst ganz wesentlich das Risikopotential eines Systems.

Applikationsqualität insbesondere bei Programmen mit Internetkontakt wie Webbrowser ist eine wichtige Determinante von Hostqualität.

Virenschutz. Es gilt ähnliches wie für die sekundärensch Schutzmechanismen – in einer Welt perfekter Systeme wäre er überflüssig.

System Firewall. Schirmt das System vor unerwünschten Aushorchung und Kontakten ab.

Userverhalten. Je grösser der Möglichkeitenraum eines Systems ist, welcher durch die Konfiguration vorgegeben wird, umso stärker hängt die Sicherheit des Systems vom Verhalten des Users ab. Gleiches gilt für die verschiedenen Ebenen von Schutzmechanismen: In dem Masse, wie diese fehlen, veraltet oder disfunktional sind, wächst das Risiko bei jeder Aktion des Users.

Host-Security als Schichtenmodell:

Microsoft und viele Anbieter von Hard- und Software haben diesmal deutlich mehr Energie aufgewendet, um das Migrieren oder Neuausetzen von Windows 7 zu unterstützen. Rumpler und Probleme können jedoch immer auftauchen. Hier einige interessante Erfahrungen und Hinweise, welche eine grösser Zahl von ETH-Umgebungen betreffen können:

Katalogisierungsclient noch nicht für W7 20.11.09

Für Katalogisierungsarbeitspläzte zB in Departementsbibliotheken relevant: Der Aleph500-Client Version 18 ist von der Firma Ex Libris vorläufig nicht für Windows 7 freigegeben. Das ist erst für den Verlauf von 2010 in Aussicht gestellt.

chkdsk - immer wieder beim Booten 17.11.09

Immer wieder beim Booten von Windows 7 wird chkdsk abgearbeitet. Grund dafür ist eine Inkonsistenz im Dateisystem, die offenbar unter bestimmten Umständen von Avira Antivir verursacht wird und zu einem Error 55 NTFS im Systemlog führt. Avira hat im November 09 die Arbeit an diesem Problem aufgenommen. STATUS am 30.11. 09: Avira hat die Problematik HIER publiziert und stellt  Abhilfe in Aussicht.   (History mit Details HIER). FINAL 7.12.09: Avira gibt HIER bekannt, dass das Problem gelöst ist.

NVIDIA Service löst Service Controller Error 7016 aus 17.11.09

Auf manchen Maschinen erscheint bei den System Events häufig der Error “The NVIDIA Display Driver Service service has reported an invalid current state 32”. Errors sind unschön, auch wenn hier keine funktionalen Beeinträchtigungen registriert werden können. Vermutliche Ursache: Fehlerhafter Service von NVIDIA. Background HIER.

W7 Setup stockt auf einem Laptop 17.11.09

Das Setup stockt, weil zB auf einem lenovo X60 keine geeignete Partition gefunden wird. Offenbar wollten die Designer des W7 Setup verhindern, dass mit einem Mausklick insbesondere die Recovery-Partition von Laptops einfach gelöscht werden kann. Abhilfe bringt ein manuelles Löschen der Partitions auf dem Laptop. Etwa nach dem Booten mit W7 DVD. Mit der Option Repair fortfahren, auf den Command Prompt gehen und den Befehl diskpart verwenden (list, select, clean).

AKTUELL 16.11.09 Avira anerkennt im Rahmen eines Supportvorgangs, dass Avira Antivir in die Problematik verwickelt ist und stellt Abhilfe in Aussicht. Auf dem Avira-Forum wurde das Problem schon im August erörtert und von Avira in Abrede gestellt: “This issue is not linked with AntiVir at all.” Oder am 11. Seotenber: ”A lot of users seems to have this issue without installing AntiVir so I think it is a Windows issue.” 

NACHTRAG 29.10.09: Feedback stützt die Hypothese, dass Avira involviert ist. In mehreren Fällen ist das Problem verschwunden, nachdem Avira desinstalliert oder die Avira Antivir-Services disabled worden sind  (siehe User Feedback unten). Das heisst nicht unbedingt, dass Antivir die Ursache ist. Es ist aber das Zusammenspiel von W7 mit Antivir und vielleicht einer dritten Instanz wie einem Treiber oder Service wie dem NVIDIA Service. Der Fehler tritt normalerweise nicht einfach nach dem Booten und einigen Minuten Testlauf auf, sondern eher nach 30 – 90 Minuten aktivem Betrieb. Avira kann vorderhand das Problem nicht nachvollziehen.

Auf einem Windows 7 Pioniersystem taucht folgendes Problem auf: Immer mal wieder wird beim Booten chkdsk abgearbeitet, um Inkonsistenzen auf der Disk zu bereinigen. Die unmittelbare Ursache wird im Eventlog sichtbar: Error 55 NTFS. Gleiches passiert (selten) auf einem Pionier Laptop.

Das Problem ist interessant, weil sich die allgemeine Frage stellt: Welche Systemelemente kommen hier überhaupt in Frage, um tief im System Inkonsistenzen zu erzeugen? Hier Hypothesen:

Betriebssystem
Treiber
Hardware (Memory, Chipset, Harddiskfirmware, Platine…)
Energiespar-Implementierung
Cachemechanismus
Hardware Monitoring Tools
Virenschutz

Die meisten Punkte sind für den erfahrenen Admin offensichtlich. Warum aber der Virenschutz, nachdem der doch bei Windows 7 nicht mehr einfach mit handgestrickten Mechanismen in den Kernel heineingreifen soll? Hypothese ist hier, dass bei allen I/O Vorgängen und insbesondere bei aktiver Heuristik der Virenschutz ständig zugreift. Das eröffnet auch ohne schweren Designfehler das Potential, dass in einer unglücklichen Konstellation sich Virenschutz und eine andere Komponente miteinander verhaken können.

Nun wurden der Reihe nach verschiedene Mechanismen und Services disabled, die den obigen Kriterien entsprechen oder im Vorfeld des Errors mit eigenen Aktivitäten erschienen: Seagate Tool für Harddisk-Check installieren und die Disk checken; Windows Write Cache des Laufwerks wegschalten; Energiesparsettings auf lange Zeiten gesetzt; Error Reporting Service abgeschaltet; Defender desaktiviert; Nvidia Treiber aktualisiert. Das alles hat nichts gebracht.

Was nun aber etwas gebracht hat, ist die Desinstallation von Antivir. Fürs erste bleibt der Error 55 weg. Das heisst nun nicht, dass Avira Antivir unter Windows 7 generell nicht zuverlässig läuft. Im Vordergrund steht eher die Hypothese, das Antivir im Zusammenspiel etwa mit einem bestimmten Treiber die Anomalie erzeugt. Die Angelegenheit ist bei Avira deponiert.

Noch ein kurzer Hinweis zu Tools: Als Admin kann mit chkntfs c: der Status eines Laufwerks angesehen werden. dirty heisst, dass beim nächsten Booten chkdsk laufen wird. Bei Windows 7 lässt sich mit der rechten Maustaste auf dem Error Event im Eventviewer direkt eine Popup-Meldung konfigurieren.

USER FEEDBACK:

T bestätigt: “ich habe seit gut einem Monat Win7 Enterprise 64bit im produktiven Betrieb mit Bitlocker/TPM Verschlüsselung und Avira Enterprise … Ich hatte auch schon ein paar Mal diese Disk-Check beim Booten und der Blich in den Event Viewer bestätigt den Error 55 NTFS “The file system structure on the disk is corrupt and unusable. Please run the chkdsk utility on the volume C:.” wie Du es im Blog beschrieben hast. Alle Checks verliefen bisher glatt und ohne für mich erkennbare weitere Folgen. Ich arbeite auf einem Lenovo X301.”

D bestätigt: “Ich hatte bis vor zwei Wochen auf meinem Windows7 zuhause AVIRA am Laufen. Tatsächlich habe ich immer mal wieder chkdsk beim Neustarten gesehen. War mir aber nicht bewusst, dass das AVIRA sein könnte. Jetzt allerdings wo du es erwähnst, fällt mir auf, dass ich, seit ich auf den MS Virenscanner umgestiegen bin, die checkdisks nicht mehr gesehen habe.”

U bestätigt obigen Befund von einem Heim-PC mit Avira Premium.

V bestätigt für einen Tablet PC mit Win7 und Avira.

N kann nicht bestätigen: “Ich habe schon ca. 20 Win7 Systeme aufgesetzt (auf komplet verschiedener Hardware) und auf allen die neuste Version von Avira installiert und hatte dieses Problem noch nie.”

C hat mit andern AV kein Problem gesehen: “Wir haben Windows 7 auch 64-bit mit NOD32 V4 im Betrieb, ohne Probleme (bis anhin jedenfalls )”.

In vielen Fällen dürfte eine Windows 7 Installation ohne grosses Drum und Dran über die Bühne gehen. Wie c’t in der Nummer 18 berichtet, ist die Treiberaustattung von Anfang an ziemlich gut. Es ist häufig möglich, in einer Stunde Windows 7 und ein Office-Paket zu installieren, ohne relevante Schwierigkeiten anzutreffen. Ein paar Punkte können aber schon vor Installationsstart gecheckt werden, um Probleme zu vermeiden.

• Kompatiblitätsabklärungen nötig? (zB mit Windows 7 Upgrade Advisor)
• 32 oder 64Bit?
• Sprache (nach der Installation von Entrprise englisch werden einige Dutzend Language Packs als optional in Windows Update angeboten)
• Alle Userdaten gesichert?
• Liste aller relevanten Anwendungen und die entsprechenden Installationsmedien bereit? TIP: es geht viel schneller, grosse Applikationen von einer externen USB-Harddisk zu installieren als von der lokalen Disk (die muss dann nicht ständig lesen und schreiben gleichzeitig).
• Produktekeys bereit?
• BIOS update: Allenfalls zu prüfen, wenn eine etwas ältere Maschine für zwei, drei Jahre aufgesetzt wird
• Booten von DVD im BIOS der Maschine vorbereiten
• Bootbare Windows 7 DVD erstellen
• Internet Anschluss vorhanden für Treiberdownload während der Installation?
• Bei Vista: Neuinstallation oder Upgrade? (Aufgepasst: Upgrade nicht über Sprachgrenze möglich)

Nachher

• Patchen. Update von Windows Update auf Microsoft Update umstellen.
• Im Update-Tool auch die verfügbaren nicht kritischen Updates checken: hier können sich insbesondere bei Laptops vom Hersteller gelieferte neuere Treiber und Tools finden.
• Virenschutz und Firewall checken

Microsoft hat das Vista Servicepack 2 publiziert. Es steht zum Download bereit und soll im JulI via Windows Update angeboten werden. SP2 enthält die aufgelaufenen Patches und versetzt ein System in einen konsistenten Patchzustand. Eine Installation ist darum zu empfehlen.

Funktional bringt SP2 nur geringe Änderungen, die in einzelnen Fällen zu Probleme mit älteren Applikationen führen können. So sollte Avira Antivir vor der Installation des SP2 auf Version 9 upgedatet werden (dazu die neue Version von Avira runterladen und installieren). Version 8 führt nach Installation des SP zu einer Fehlermeldung.

Vor einem breiten Deployment von SP2 lohnt sich also ein Blick in die Kompatiblitätsliste und eine Versuchsinstallation auf einer repräsentativen Versuchsmaschine.

INFO ZU VISTA SP2:

Besprechung
in c’t 2009/12 Seite 44 – da auch der Hinweis auf den Befehl compcln.exe, welcher ersetzte Dateien löscht.

Download:
http://technet.microsoft.com/en-us/windows/dd262148.aspx

Beschreibung:
http://technet.microsoft.com/en-us/library/dd335036(WS.10).aspx

Kompatibilität von Applikationen:
http://support.microsoft.com/kb/969707