Die ISO bzw. Stick wurde aktualisiere? Ansonsten beinhaltet die den alten Bootloader mit CA 2011. Wenn CA 2011 bei Dir schon gesperrt ist, wird die nicht booten. Microsoft hat da seine ISOs noch nicht aktualisiert.

Die setup.exe wird ersetzt, da mit ein Inplace Upgrade auf nicht kompatibler Hardware durchgeführt werden kann. Der setzt in der Registy diesen Schlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\HwReqChk
Und schreibt dann dort die Variablen rein, damit diese ...

rufus-4.14 gerade getestet. UEFI-Stick mit GPT und CA2023 für Neuinstallation versucht zu erstellen.

Die Autounattend.xml befindet sich in der Boot.wim . Ein $OEM$ wird hier nirgends angelegt.

Was mir aber noch aufgefallen ist, die bootx64.efi ist keine Originaldatei und völlig falsch signiert ...

Bei mir aktiviert sich die Geräteverschlüsselung nur bei Neuinstallation, außer ich unterbinde das mit einer Antwortdatei (die ich natürlich immer vergesse). Im laufenden Betrieb oder bei Inplace Upgrade hatte ich das noch nicht. Und ohne Microsoft Konto wird diese so oder so bei der Home nicht ...

Ah, siehst, da habe ich ja gar nicht nachgeschaut. Gut, dann haben Sie das wohl wieder entfernt, um nicht noch mehr Panik und Verwirrung zu verursachen.

In der anderen VM kam jetzt das Update auf die 1.449.430.0. Die 1.449.424.0 habe ich hier ausgelassen. Hier kam die Meldung bislang nicht. Der Schuztverlauf ist leer.

Ich habe da nur was auf X gefunden: https://x.com/disintegr8te/status/2050880704402080219

Without Confirmation Defender signature 1.449.424.0 looks to detect two DigiCert public root CAs as Trojan:Win32/Cerdigent.A!dha — thumbprints
DDFB16CD4931C973A2037D3FC83A4D7D775D05E4 (DigiCert Trusted Root ...

Lustig. Oder vielleicht auch nicht. Habe ich gerade jetzt auch so nebenbei in Windows 10 bekommen. Habe aber weder was installiert oder irgendwas Besonderes gemacht. Nur Edge im Forum offen. Sonst nichts. Sehr seltsam.

Screenshot 2026-05-03 125059.png

Was könnte das sein? Bin ich auch gerade ...

Möglich. Hatte auch mal SecureBootRecovery.efi Tool getestet, aber habe da nicht darauf geachtet, ob das irgendetwas in der ESP hinterlässt. Könnte aber schon sein. Aktuell habe ich da jedenfalls diese Dateien nicht.

Klingt, asl wäre da irgendwelche Richtlinien aktiviert. Müsste man aber jetzt wissen, welche bzw. welche Einstelligen verwaltet werden. Für eine Hime wirklich ungewöhnlich.

Netzwerk komplett zurücksetzen geht auch über die Einstellungen:

Einstellungen/Netzwerk und Internet/Erweiterte ...

Bei mir gibt es die Dateien nicht (25H2, 26H1, jeweils Retail, April Update). Nur "EFI" und "System Volume Information", Keine Ahnung, warum da bei Dir die Dateien existieren oder wer die da reinkopiert hat. Eventuell irgendein Tool oder so, Wüsste aber nicht welches.

Wenn ich bei mir aus dem UEFI die DBX wieder entferne (0 Einträge) und das April Update ausführe und das Update noch einmal anstoße, dann habe ich nur 278 Einträge im UEFI). Wenn allerdings schon 431 Einträge im UEFI sind, stelle ich keine Änderung fest. Die neue kleine DBXUpdate.bin wird aber auf ...

Mal Frage am Rande: Gibt es mittlerweile irgendwo eine plausible Erklärung, warum Microsoft aus der DBXUpdate.bin 154 Einträge entfernt hat? Das leuchtet mir im Moment nicht so wirklich ein.

Der steht auf "Pause". Wird kein Update installieren und das System bootet noch mit dem CA 2011. Da hilft nur abwarten. Aber wenigstens wird dadurch auch der Widerruf des CA 2011 nicht ausgeführt.

Die Einträge in der Registry sind eventuell etwas ausführlicher:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecureBoot\Servicing

Aber da dürfte jetzt auch nur drinstehen, dass es auf "Pause" steht. Aber eventuell steht da der Grund, warum das so ist. Aus irgendeinem Grund hat die ...