[English]Benutzer, die Windows 7 SP1 neu installieren, bekommen eventuell den Boot-Fehler 0xc0000428 ausgeworfen. Ursache kann ein fehlender Bitlocker-Patch sein. Hier einige Informationen zum Problem und warum das ggf. auftritt.
Anzeige
Der Fehlercode 0xc0000428
Der Fehler 0xc0000428 steht für STATUS_INVALID_IMAGE_HASH – der Hash des Abbilds ist ungültig. Der zugehörige Fehlertext lautet:
"Windows cannot verify the digital signature for this file. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source."
In Deutsch: Bei der Signaturprüfung der Boot-Dateien ist ein Fehler aufgetreten. Das System weigert sich zu starten, weil die Hard- oder Software verändert wurde (es könnte ja sein, dass etwas beschädigt oder durch Malware überschrieben wurde.
Geht man auf die Suche nach dem Fehlercode, wird man beispielsweise in der NeoSmart Knowledge-Base fündig. Die dort genannten Ursachen wie veralteter Boot-Manager (BootMgr), falsche Version der Boot-Disk etc. sind seit Jahren bekannt. Im aktuellen Szenario trifft diese Ursache aber nicht zu.
Problem: Neuinstallation von Windows 7 SP1
Kommen wir zum gegenständlichen Problem, um welches es in diesem Blog-Beitrag geht. So mancher Nutzer wird auch in den kommenden Monaten Systeme mit Windows 7 SP1 neu installieren. Problem stellen dabei Installationsmedien dar, die mittels DISM angepasst und um den SHA-2-Support erweitert wurden.
Hintergrund: Windows 7 SP1-Installationsabbild mit SHA-2-Support
Microsoft hat ja ab August 2019 die Signierung von Update-Paketen auf SHA-2-only umgestellt. Die duale Signierung mit SHA-1 und SHA-2 ist ausgelaufen. Ich hatte über dieses Thema mehrfach hier im Blog berichtet (siehe Links am Artikelende).
Anzeige
Ohne SHA-2-Support, der über Updates nachzurüsten ist, kann Windows 7 SP1 keine neuen Updates, die ab August 2019 freigegeben wurden, installieren. Ich hatte im Blog-Beitrag Windows Updates KB4512506/KB4512486 verursachen Error 0x80092004 darauf hingewiesen, dass unter Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1 und Windows Server 2008 Service Pack 2 die nachfolgend genannten SHA-2-Updates installiert sein müssen.
- Update KB4474419 (SHA-2 code signing support update for Windows Server 2008 R2 and Windows 7: March 12, 2019) rüstet die Unterstützung für die SHA-2-Signaturauswertung für die genannten Betriebssysteme nach.
- Zudem war im März 2019 das Servicing Stack Update KB4490628 veröffentlicht worden. Dieses behebt ein Problem im Servicing Stack, was auftritt, sobald Pakete nur noch mit SHA-2 signiert sind.
Möchte man nun Windows 7 SP1 (oder eine der anderen genannten Server-Varianten) neu installieren, empfiehlt sich die Verwendung eines angepassten Installationsabbilds. Die beiden oben genannten Updates lassen sich mittels dism in das Installationsabbild integrieren.
Windows 7 Neuinstallation: Die Ursache für Fehler 0xc0000428
Benutzer, die Windows 7 SP1 (oder die Server-Varianten) über ein angepasstes Installationsabbild mit SHA-2-Support neu installieren, können nun in den Boot-Fehler 0xc0000428 laufen. Ich hatte es bereits vor einigen Stunden bei Woody Leonhard gesehen, der auch in folgendem Tweet auf eine Falle hinweist.
Installing Win7 from a backup? If you're installing a customized image (e.g., from DISM), burning an image directly, or installing an up-to-date image that throws 0xc0000428, you need to install a BitLocker patch. Whether you use BitLocker or not. Gotcha. https://t.co/o8Zt6sah2e
— Woody Leonhard (@AskWoody) August 19, 2019
Auch in diesem Kommentar hier im Blog wird auf das Problem, dort aber bei Windows Server 2008 R2, hingewiesen. Es gibt ein Problem mit der SHA-2-Umstellung. Daher hat Microsoft zum 17. August 2019 den Support-Beitrag 2019 SHA-2 Code Signing Support requirement for Windows and WSUS um drei Einträge ergänzt:
- I am using setup to perform a clean installation of Windows 7 SP1 or Windows Server 2008 R2 SP1. I'm using an image that has been customized with updates (for example, using dism.exe). How do I update to SHA-2 support?
- I am installing an image of Windows 7 SP1 or Windows Server 2008 R2 SP1 directly to the disk without running setup. How do I make this scenario work?
- I have installed an image of Windows 7 SP1 or Windows Server 2008 R2 SP1, which includes the SHA-2 support, directly to the disk without running setup and now the system does not boot and I receive error 0xc0000428 (STATUS_INVALID_IMAGE_HASH). How do I make this scenario work?
Der erste Beitrag befasst sich mit der Frage, wie bei Boot-Record der SHA-2-Support nachzurüsten ist. Der zweite Punkt geht auf die Frage ein, was bei einer Neuinstallation an Updates nachinstalliert und angepasst werden muss. Und im dritten Punkt geht es um das Problem, dass der Boot-Vorgang nach der Neuinstallation mit dem Fehler 0xc0000428 endet.
Grund für diesen Fehler ist der fehlende Bitlocker-Patch KB3133977 (BitLocker can't encrypt drives because of service crashes in svchost.exe process in Windows 7 or Windows Server 2008 R2). Dieses Update wurde am 24. April 2017 freigegeben und adressiert ein Problem, dass mit Bitlocker verschlüsselte Dateien nicht entschlüsselt werden können und der Dienst svchost.exe abstürzt. Dieser Bitlocker-Patch KB3133977 muss in das Boot-Abbild integriert werden, bevor weitere Updates installiert werden. Hier die auszuführenden Schritte:
- Starten Sie das Betriebssystem mit einem Wiederherstellungsmedium.
- Bevor Sie zusätzliche Updates installieren, installieren Sie KB3133977 mit Deployment Image Servicing and Management (DISM) für Windows 7 SP1 und Windows Server 2008 R2 SP1.
- Starten Sie das Wiederherstellungsmedium neu. Dieser Neustart ist erforderlich.
- Führen Sie an der Eingabeaufforderung bcdboot.exe aus. Dadurch werden die Boot-Dateien aus dem Windows-Verzeichnis kopiert und die Boot-Umgebung eingerichtet.
Weitere Informationen finden Sie unter BCDBoot Befehlszeilenoptionen. Im Anschluss starten Sie das Betriebssystem neu.
Ähnliche Artikel
SHA-2-Patch für Windows 7 kommt wohl im März 2019
Knipst der Wechsel zu SHA-2 "das Web" aus?
Windows 7: Ab April 2019 wird ein 'SHA-2-Update' benötigt
Windows 7: Updates rüsten SHA-2-Support nach
Bekommen Windows 7-Nutzer ein SHA-2-Update Problem?
Windows Updates KB4512506/KB4512486 verursachen Error 0x80092004
Windows Server 2008 R2 und ein WSUS SHA-2-Problem
Windows 7: Symantec/Norton blockt Updates mit SHA-2-Signatur
Microsofts Ratschlag für Windows-Nutzer mit SHA-2-Problemen
Anzeige
was habe ich..?!..
wem es wirklich ernst ist dem rate ich sich das gefasel von FAAS (service as a firmware) ggf. ein zweites oder drittes mal anzuschauen, vielleicht steht da z.b. schon ne ganze weile "novo" statt "lenovo".. könnte (wird) hilfreich sein!
rechtzeitig entsprechende hardware beiseite legen (gelegt haben), wifi in ebengleichem maße wie multiresistente keime meiden (best before 0119)! jetzt noch schnell ein image ziehen, mit aktueller hardware, ist auch vertane zeit.
einen "rückweg" hat das "forum" (neusprech) nämlich nicht vorgesehen.
ja ihr seht richtig!! ein teil der kommis dürfte inzwischen auch der absicht der streuung entspringen.. jemand der keinen blassen hat wird hier weder lesen noch schreiben! ;-)
Wir haben am Montag auch massive Probleme mit einiger unserer Windows 7 PCs gehabt!!
Die Windows 7 PC konnten nicht mehr hochfahren und es wurde eine Systemreperatur versucht welche mit Fehler abbrach.
Grund " MissingOsLoader"
Nach langem hin und her haben wir bemerkt, dass bei uns alle Windows 7-Systeme welche mit UEFI-Bios installiert waren, betroffen sind. Die Windows 7-Systeme die noch mit "old-school-BIOS" installiert wurden, hatten keine Probleme mit dem August-Patchday!
Nach weiterem Suchen nach einer Lösung für die Startproblem konnten wir folgende Lösung erarbeiten:
-Von Windows 7 CD booten
– Eingabeaufforderung starten und nachfolgende Befehle eingeben
-diskpart
-sel disk 0
-list vol
-sel vol 2 (hier immer das Volume names BOOT, ganz wichtig!)
-assign letter =k:
-exit
-K:
– cd EFI\Microsoft\Boot
-bootrec /FixBoot
-ren BCD BCD.old
-bcdboot c:\Windows /l de-de (/l ist "Slash L" –> /L)
-c:
-cd Windows\System32
-bcdedit.exe -set {default} nointegritychecks 1
Dann neustarten und die Pcs starten wieder!!!
Letzterer Befehl (-bcdedit.exe -set {default} nointegritychecks 1) war notwendig, weil sonst beim Booten ein Fehler auftrat (winload.efi ….) der die Digitale Signatur anzweifelte und man somit auch nicht weiterkommt…
Hat denn sonst niemand Probleme in Verbindung mit Win 7 + UEFI-Bios und dem August 2019 Patchday?
Ursache glaub ich war das KB4474419, allerdings reichte es nicht dieses Update vorm Neustart zu deinstallieren, man musste wenn die 08-2019 Updates installiert wurden, alle "08-2019-Updates" deinstallieren vorm Reboot, ansonsten kam er nicht mehr hoch…
das "problem" ist der anlauf des von ms und intel angekündigten uefi-standards in ~2020.
hab ebenfalls div., wirklich schwierige boot-probleme bei mehreren win10 systemen u.A. mit den von dir genannten befehlen in kombi mit firmwareupdates und start des reparatur-mediums entweder im uefi oder legacy modus (das ist wichtig ^^) behoben.
wir werden noch mehr davon sehen.
gruß!
und maximale erfolge! :-)
"Die Windows 7-Systeme[,] die noch mit "old-school-BIOS" installiert wurden, hatten keine Probleme mit dem August-Patchday!"
Scheint so … Nebenbei: UEFI ist seit Jahren ausdiskutiert … für einen heimischen Nutzer mehr Schaden als Nutzen, ein einziges Sicherheitsproblem, die Liste ist lang! Ich habe im Lauf der Jahre mehrere NB's erworben, die jeweils erste Aktion: W10 herunterwerfen -> OS-SSD auf W7 vorbereiten -> UEFI raus -> BIOS rein …
Hatte bei meinen Asus Crosshair Hero VI Motherboard auch nur ärger mit dem UEFI Modus.
Das fängt schon mit älteren Erweiterungskarten an die dann nicht mehr bootfähig sind. Auch die Radeon HD 7770 aus dem Jahr 2012 war nicht UEFI Boot fähig. Da es meine Ersatzgrafikkarte ist habe ich den UEFI Boot deaktiviert.
Auf dem PC läuft momentan Windows 7 Pro x64 im Legacy Modus. Das UEFI verhält sich somit wie ein Bios.
Die Empfehlung im Handbuch besagt das man den CSM Modus aktivieren soll um eine Bessere Kompatibilität zu älteren Erweiterungskarten sicher zu stellen.
Der August Patchday wurde ohne Probleme installiert.
ich empfehle die englishe oder optimalerweise taiwanesische variante des "handbuchs". dann wird mitunter klarer (triple-korn) was nie zuvor halbwegs klar war..
nunja.. der übergang in den oneworldonemicrosoft zustand im "S" mode verläuft bis jetzt… die hoffnung ist zum glück längst sehr tot – gradezu interessant und vielversprechend.
wenn die technischen possibilities den bedarf an so typen wie meine wenigkeit letzlich nullen ist mein privates endziel nicht mehr weit
was für ein dilemma :-)
Hallo ,
ich komme bis K:
nach cd EFI\Microsoft\Boot
kommt dann
The System cannot find the path specified.
Irgendeine Idee?