Veracrypt, UEFI, Windows 10 und der Bootloop Veracrypt, UEFI, Windows 10 und der Bootloop

Veracrypt ist ein Programm zum Verschlüsseln von Festplatten. Es legt bei der Installation einen Booteintrag „VeraCrypt BootLoader (DcsBoot)“ im UEFI (früher BIOS) an. Dieser muss als Standard-Booteintrag markiert werden, damit Veracrypt die Festplatte für den Bootvorgang entschlüsseln kann.

Die Fehlermeldung lautet: „Automatic Repair
Automatic Repair couldn't repair your PC
Press "Advanced options" to try other options to repair your PC or "Shut down" to turn off your PC.
Log file: C:\WINDOWS\System32\Logfiles\Srt\SrtTrail.txt

UEFI-Passwort schützt Veracrypt vor Windows

Ist Veracrypt korrekt eingerichtet, versucht Windows immer wieder die UEFI Einträge zu „reparieren“ ohne den Anwender zu fragen. Dies geschieht spätestens bei größeren Updates.
Richtet man ein UEFI-Administrator-Passwort ein, so kann das Betriebssystem nicht mehr die UEFI Einträge oder ihre Reihenfolge ändern. 1234 als Passwort ist hier vollkommen ausreichend. Verwendet man Veracrypt und Windows 10 ist es Pflicht ein UEFI-Admin-Kennwort zu setzen.

Wenn Windows mit Veracrypt nicht mehr bootet.

Bootet Windows mit Veracrypt nicht, liegt dies oft an fehlerhaften UEFI-Boot-Einträgen. Diese können durch Windows-Reperaturversuche verursacht worden sein. Eine weitere Ursache können BIOS-Updates/UEFI-Updates sein, die zu einer BIOS-Amnesie in Sachen UEFI-Einträge führen.

UEFI-Booteintrag von Hand erstellen

In dem UEFI von manchen Herstellern wie z.B. Dell kann man diese von Hand erstellen. Der Original-Eintrag von Veracrypt lautet: „VeraCrypt BootLoader (DcsBoot)“ und zeigt auf die Datei „\EFI\VERACRYPT\DCSBOOT.EFI“.
Bei Dell findet man die Einstellung unter: Settings → General → Boot Sequence → Boot List Option, wenn man UEFI anklickt.

Mit EFI-Shell von Hand booten

Andere Hersteller wie MSI unterstützen das neue Anlegen von UEFI-Einträgen nicht. Es gibt dafür Zugriff auf eine UEFI-Konsole. Über diese kann man per Kommandozeile von Hand den Veracrypt-Bootloader laden, womit Windows jeweils einmal hochfährt. In die UEFI-Konsole von MSI kommt man über den „Advanded“ Modus. Dann „Settings“ → „Speicher & Verlassen“ → „UEFI: Built-in EFI-Shell“. Der Syntax erinnert an eine DOS-Kommandozeile. Man bekommt zu Beginn alle Laufwerke angezeigt. Das Laufwerk wechselt man indem man den Namen und dann einen Doppelpunkt eingibt. Also:

Shell> hd12a65535a2:

Es folgt die Bestätigung:

hd12a65535a2:\>

Mit

cd EFI\VeraCrypt

wechselt man in das Verzeichnis des Veracrypt Bootloaders.
Mit

DcsBootefi

führt man ihn aus. Es folgt die Passwortabfrage von Veracrypt.

Veracrypt Booteintrag reparieren

Es gibt viele Windows Tools mit denen man UEFI-Einträge ändern kann.

  1. bcdedit: Ein Windowseigenes Tool. Man führt es über die Windows Kommandozeile (CMD) aus (Als Administrator ausführen)bcdedit /set {bootmgr} path \EFI\VERACRYPT\DCSBOOT.EFI
  2. BOOTICE

Bei mir führte jeglicher Versuch einer Änderung zu einem Bluescreen mit dem Stop Code: ATTEMPTED_EXECUTE_OF_NOEXECUTE_MEMORY
Kann man den Rechner noch booten, z.B. über die EFI-Shell ist die einfachste und sicherste Lösung ein funktionierendes System zu erhalten,

  1. die Festplatte einmal komplett von Veracrypt entschlüsseln zu lassen.
  2. Dann den Rechner ohne Veracrypt neu starten
  3. Die Systemfestplatte neu verschlüsseln. Dabei den freien Speicher von Veracrypt einmal überschreiben lassen.
  4. UEFI-Administrator Passwort setzen, damit Windows die Einträge nicht „reparieren“ kann.
  5. Sich vor BIOS/UEFI-Updates überlegen, wie man danach den Rechner wieder bootet.

Schnellere Lösungen, die nicht zu empfehlen sind:

Es gibt andere Lösungen, die empfehlen den Windows Bootmanager durch den Veracrypt Bootmanager zu ersetzen und ein Backup unter anderem Namen von Veracrypt laden zu lassen. Dies funktioniert genau so lange bis Windows seinen Bootmanager repariert. Anders als die UEFI-Einträge, lässt sich das Laufwerk mit BootManager und Bootloader nicht gegen Veränderungen schützen, so dass diese Lösung nur kurz zum Erfolg führt. Schlimmer noch: Wird das Systemlaufwerk entschlüsselt, fährt Windows nicht mehr hoch, weil der Veracrypt Bootmanager nicht korrekt deinstalliert wird.

, , , , , , , , , , Kommentare deaktiviert für Veracrypt, UEFI, Windows 10 und der Bootloop
Veracrypt, UEFI, Windows 10 und der Bootloop

Kommentare sind geschlossen.