neocid

Jan 182013
 

Letztlich schlug ein Upgrade von Exchange 2010 auf SP2 fehl. Die Client Access Role konnte nicht aktualisiert werden. Folgender Fehler erschien:

Error:
The following error was generated when "$error.Clear(); 
          Update-AutodiscoverVirtualDirectoryVersion -DomainController $RoleDomainController;
          $existingVDirs = get-AutodiscoverVirtualDirectory -Server $RoleFqdnOrName -DomainController $RoleDomainController;
          if ($existingVDirs -ne $null)
          {
            $existingVDirs | set-AutodiscoverVirtualDirectory -WSSecurityAuthentication:$true -DomainController $RoleDomainController;
          }
          else
          {
            new-AutodiscoverVirtualDirectory -WSSecurityAuthentication:$true -DomainController $RoleDomainController;
          }
        " was run: "The virtual directory 'Autodiscover' already exists under 'SERVER.DOMAIN.LOCAL/Default Web Site'.
Parameter name: VirtualDirectoryName".

The virtual directory 'Autodiscover' already exists under 'SERVER.DOMAIN.LOCAL/Default Web Site'.
Parameter name: VirtualDirectoryName
Click here for help... http://technet.microsoft.com/en-US/library/ms.exch.err.default(EXCHG.141).aspx?v=14.2.247.1&e=ms.exch.err.Ex88D115&l=0&cl=cp

Elapsed Time: 00:03:39

Dass bereits ein Autodiscover Verzeichnis existiert, überrascht ja nicht. Es ist ja ein Upgrade und keine Neuinstallation. Warum also der Fehler.

EMS gab jedenfalls keine Auskunft. Die Übersicht gab keinen Output:

[PS] C:\Windows\system32>Get-AutodiscoverVirtualDirectory

Exchange weiss also von keinem Autodiscover Verzeichnis. Unter IIS hingegen ist bei der Default Web Site die Application Autodiscover eingetragen. Vielleicht kann ich den Server via EMS dazu bringen, das Verzeichnis zu bereinigen/entfernen:

[PS] C:\Windows\system32>Remove-AutodiscoverVirtualDirectory

cmdlet Remove-AutodiscoverVirtualDirectory at command pipeline position 1
Supply values for the following parameters:
Identity: Autodiscover
The operation couldn't be performed because object 'SERVER.DOMAIN.LOCAL\Autodiscover' couldn't be found on 'SERVER.DOMAIN.LOCAL
'.
    + CategoryInfo          : NotSpecified: (0:Int32) [Remove-AutodiscoverVirtualDirectory], ManagementObjectNotFoundE
   xception
    + FullyQualifiedErrorId : 619472EC,Microsoft.Exchange.Management.SystemConfigurationTasks.RemoveAutodiscoverVirtua
   lDirectory

Wo nichts ist, kann auch nichts entfernt werden, logisch… Aber vielleicht kann es korrigiert werden durch:

[PS] C:\Windows\system32>New-AutodiscoverVirtualDirectory -WebsiteName "Default Web Site" -BasicAuthentication $true -Wi
ndowsAuthentication $true
The virtual directory 'Autodiscover' already exists under 'SERVER.DOMAIN.LOCAL/Default Web Site'.
Parameter name: VirtualDirectoryName
    + CategoryInfo          : InvalidArgument: (SERVER\Autodiscover (Default Web Site):ADObjectId) [New-AutodiscoverVirt
   ualDirectory], ArgumentException
    + FullyQualifiedErrorId : 773B2B43,Microsoft.Exchange.Management.SystemConfigurationTasks.NewAutodiscoverVirtualDi
   rectory

Ach hier haben wir den Fehler auch! Nun geht die Geduld zu Ende und die Application Autodiscover unter IIS Default Web Site wird kurzerhand gelöscht! Nun noch einmal per EMS neu eingerichtet:

[PS] C:\Windows\system32>New-AutodiscoverVirtualDirectory -WebsiteName "Default Web Site" -BasicAuthentication $true -Wi
ndowsAuthentication $true

Name                                    Server                                  InternalUrl
----                                    ------                                  -----------
Autodiscover (Default Web Site)         SERVER

Nach einem

iisreset
Attempting stop...
Internet services successfully stopped
Attempting start...
Internet services successfully restarted

Erkennt auch Exchange sein Autodiscover Verzeichnis wieder:

[PS] C:\Windows\system32>Get-AutodiscoverVirtualDirectory
Creating a new session for implicit remoting of "Get-AutodiscoverVirtualDirectory" command...

Name                                    Server                                  InternalUrl
----                                    ------                                  -----------
Autodiscover (Default Web Site)         SERVER

Und nun kann die Exchange 2010 SP2 Installation noch einmal gestartet werden  und alles klappt!

Aug 232012
 

Nachdem wir bei einem Kunden neue Server installiert und den Zugang mittels Citrix realisiert haben, mussten sich die Benutzer schon ärgern.

Beim Starten der Citrix Sitzung wurden Sie nach 30s Logon Vorgang bereits wieder rausgeworfen. Mehr als ein schwarzes Fenster konnten sie nicht sehen.

Wer Glück hatte, eine Sitzung komplett starten zu können, wunderte sich wahrscheinlich, warum beim nächsten Einloggen nur ein temporäres Profil geladen wurde. Oder sonst einfach Einstellungen weg waren. Oder sonst esoterische Effekte auftraten.

Der TS (Windows Server 2008 R2 Standard) zeigte mir unter C:\Users\benutzername, dass dort NTUSER.DAT noch vorhanden war. Klassischer Fall. TS neu starten, Profil löschen und noch einmal versuchen.

Nur scheint der Benutzer so weit korrupt zu sein, dass man ihn nicht mehr gebrauchen kann. Also Home und Profile Ordner zurücksetzen und jetzt erst Mal auf Fehlersuche gehen.

Das Eventlog zeigte

Log Name:      Application
Source:        Microsoft-Windows-User Profiles Service
Date:          23.08.2012 13:03:32
Event ID:      1530
Task Category: None
Level:         Warning
Keywords:
User:          SYSTEM
Computer:      TS.domain.local
Description:
Windows detected your registry file is still in use by other applications or services. The file will be unloaded now. The applications or services that hold your registry file may not function properly afterwards.

DETAIL -
1 user registry handles leaked from \Registry\User\SIDblahblah:
Process 1712 (\Device\HarddiskVolume2\Windows\System32\svchost.exe) has opened key \REGISTRY\USER\SIDblahblah\Software\Microsoft\Internet Explorer\LinksBar

Normalerweise sind diese Leaks nicht so tragisch. Aber hier scheint es sich um den Übeltäter zu handeln. Welcher Prozess also verursacht dieses Problem? Mehr durch Glück begann ich am richtigen Ort mit der Suche.

Ich verfrachtete den User in eine seperate OU und verlinkte eine GPO der alten OU nach der anderen auch hier. Schon nach zwei war es mir zu blöd und ich schaute mir die vielen GPOs an. Eine davon nannte sich “Favoriten”. Hm.. LinksBar? Favoriten?

Kaum hatte ich diese Favoriten GPO verlinkt, konnte der User jeweils nicht mehr ausloggen, ohne die NTUSER.DAT auf dem TS zu belassen. Da die GPO nicht als wichtig erachtet wurde, konnte ich sie deaktivieren und die User waren glücklich.

Der Grund, warum dieses Problem auftrat, kann ich nicht sagen. Es ist durchaus üblich, dass Standartlinks so eingetragen werden. Spezielles konnte ich jedenfalls nicht an dieser GPO finden:

User Configuration / Policies / Windows Settings / Internet Explorer Maintenance / URLs/Favorites and Links

6 Einträge in den Favoriten, ein Unterordner mit zusätzlichen 3 Links

So verzichte ich im Moment auf diese GPO. Hauptsache es kann gearbeitet werden.

 

Jul 262012
 

Eigentlich sollte man nie ganze 8-jährige Serverumgebungen auf Windows Server 2008 R2 migrieren, wenn nicht noch alle Drucker ausgewechselt werden. Aber man versucht es ja trotzdem. Funktionierende Hardware einfachso wegschmeissen ist ja auch nicht sinnvoll.

Da in der Umgebung nur HP Drucker zum Einsatz kommen, wurde auf dem Printserver der HP Universal Printing Driver (PS 5.4) installiert. Die funktionierte alle Drucker super, ausser für einen. Dieser HP LaserJet 4000 druckte mehrseitige Dokumente (mehrere Exemplare) jeweils unsortiert aus.3x Seite 1, 3x Seite 2 usw.

Normalerweise übergibt man den Sortierbefehl via Anwendersoftware (Word, Notepad++). Es gibt aber Software, die beim Druckdialog solche Sachen nicht abfragen. Dies sollte dann im Druckertreiber schon als Standard gesetzt sein.

Eine richtige Option gibt’s im Treiber nicht. Nur wenn man genau weiss wo und wie, lässt sich die Sortierung wieder aktivieren.

Navigiert zu Druckereigenschaften -> General -> Preferences -> Advanced -> Paper/Output. Dort den Copy Count erhöhen, damit die Collate Option nicht mehr ausgegraut ist. Diese Option dann anhaken und Apply klicken. Den Copy Count wieder auf 1 setzen und bestätigen.

Von nun an begreift der Treiber wieder, dass die Druckreihenfolge Seite 1,2,3,.. ist.

Jul 202012
 

Was haben wir Tränen gelacht. Merci K. Häni, M. Gertsch und alle anderen Oberländer:-)

1. Das Briefpapier

Ein Briefpapier
hat Ecken vier.
In der Mitte kann man es falten.
Man schickt es fort,
von Ort zu Ort.
Man kann es auch behalten.

2. Der Regenwurm

Ein Regenwurm,
ja der ischt krumm
und manchmal auch gerade.
Zertritt man ihn,
dann ist er hin
und das wär jammerschade.

3. Der Braunbär

Ein brauner Bär,
das ist nicht schwär,
hat braune mehr als weisse Haare.
Sonst wär es ja
ein weisser Bär
oder ein Brauner in ältern Jahren.

4. Die Nachtigall

Die Nachtigall
fliegt überall.
Doch meist, da fliegt sie nächtlich.
Sonst wär es ja
eine Tagigall.
Der Stumpfsinn wär beträchtlich.

5. Die Taube

Die Taube fliegt
um’s Haus herum
und um den Blitzableiter.
Es fliegt auch um
den Schornstein rum.
Manchmal fliegt sie auch weiter.

6. Das Krokodil

Das Krokodil.
Das schwimmt im Nil.
Es hat es gar nicht eilig.
Es frisst sogar
den Missionar.
Und der ist doch so heilig.

Jul 162012
 

Wie noch so häufig, habe ich mir vor Kurzem wieder eine DVD (Futurama Season 5) gekauft. So langsam wird der Platz in meinen Regalen knapp. Aber egal. Es gibt nichts schöneres als eine gute und ansehnliche DVD/BluRay Sammlung in einem schönen Regal.

Gemütlich DVD ausgepackt, in Player eingelegt und ich selber schon jetzt entspannt in Feierabendlaune. Und da kam er wieder. Der NERVTÖTER!

Abgesehen davon, dass ich diesen Dreck nicht skippen kann, hat dessen Inhalt überhaupt keinen Zusammenhang mit der Nachricht, die er verbreiten will…

You wouldn’t steal a car,
you wouldn’t steal a handbag,
you wouldn’t steal a television,
you wouldn’t steal a movie.

Downloading pirated films is stealing,
stealing is against the law,
PIRACY IT’S A CRIME

Folgende Punkte sollten Grund genug sein, solche Platzverschwendung auf DVDs und BluRays zu vermeiden:

 

  1. Kopieren ist in der Schweiz legal. Man kann die Kopie sogar nahen Verwandten und guten Freunden weitergeben.
  2. Downloading von Filmen und Musik ist in der Schweiz legal.
  3. Wenn jemandem eine Handtasche oder Auto geklaut wird, wurde der Person der materielle Besitz entwendet, wofür die Person einmal Geld bezahlt hat. Eine digitale Kopie eines Films ist nicht materiell.
  4. Wenn jemandem die Handtasche entrissen (Angst, Bedrohung) wird oder der Ladenbesitzer einen Fernseher vermisst (Lagergebühren umsonst bezahlt) ist das nicht dasselbe, wie wenn eine digitale Kopie gezogen wird. Die Serverinfrastruktur (Rapidshare, Megaupload [R.I.P.], usw.) bzw. die Nodes in einem P2P Netzwerk verursachen keine Unterhaltskosten bei den Verkäufern und nötigen auch keine alten Frauen…
  5. Dem Hersteller wird mit der digitalen Kopie kein materieller Schaden zugefügt. Digitale Kopien benötigen keine Hüllen, Prints usw.
  6. Es ist äusserst dämlich, davon auszugehen, dass jeder, der eine digitale Kopie zieht, das Original in physischer Form auch wirklich gekauft hätte.
  7. Zu guter Letzt: Wieso zum Henker sehe ich als bezahlender Kunde diesen Trailer? Ich hab ja bezahlt? Und nein! Ich bin den sog. Raubkopierern nicht böse und renne gleich zum FBI.

Was tun? Am Besten, ich nehme das Ganze mit Humor:

Quellen:
  • http://www.copyright.ch/download-internet/fallbeispiele-55.htm
  • http://www.youtube.com

 

Mai 042012
 

Hier ein Post in eigener Sache. Leider habe ich es mit den Windows 2008er Gruppenrichtlinien nicht geschafft, Hostname basierend ein Laufwerk zu mappen. Und zwar so, dass es auf Windows XP und Windows 7 funktioniert. Weiter sollen nur die Anfangsbuchstaben der Clients beachtet  werden. All die WMI oder Security Filter wollten partout nicht greifen.

So musste nun ganz klassisch ein VB Script in die GPO eingefügt werden.

Einen Haken hat das Ganze: Damit Netzlaufwerke unter Windows Vista und Windows 7 per GPO gemappt werden können, muss mit der GPO zusätzlich ein Registry Eintrag übergeben werden. Unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System muss ein neuer DWORD namens EnableLinkedConnections mit dem Wert 1 erstellt werden. (Quelle: http://support.microsoft.com/default.aspx?scid=kb;EN-US;937624)

' *******************************************************************
'
'  Beschreibung: Netzlaufwerk BG Scratch verbinden je nach Hostname
'
' *******************************************************************

Option Explicit

Dim wshNetwork
Dim varShell
Dim CompName
Dim objNetwork
Dim objFSO
Dim strDrive
Dim strSearchString
Dim strShareUNC

Set wshNetwork = WScript.CreateObject("WScript.Network")
Set varShell = WScript.CreateObject("WScript.Shell")
Set objFSO = CreateObject("Scripting.FileSystemObject") 

'Variabeln setzen
strDrive = "X:"
strSearchString = "WS"
strShareUNC = "\\server\share"

'Aktuellen Computernamen ermitteln
CompName = wshNetwork.Computername
CompName = UCase(CompName)

'Wenn Computername mit strSearchString beginnt, Prozedur durchführen
'Vorher überprüfen, ob strDrive noch vergeben ist und trennen
If (InStr(1,CompName,strSearchString ,1) = 1) then
	Set objNetwork = CreateObject("WScript.Network")
	If (objFSO.DriveExists(strDrive) = True) Then
		objNetwork.RemoveNetworkDrive strDrive, True, True
		WScript.sleep 1000
	End If
	objNetwork.MapNetworkDrive strDrive , strShareUNC
End If
Jan 032012
 

MySQL LogoAls ich letzthin für einen Kunden einen MySQL Server auf Windows 2008 R2 Server mit IIS 7.0 in Betrieb nehmen musste, wurde ich überrascht, worauf man alles achten muss, wenn man Änderungen an der Installation bzw eine Neuinstallation machen muss. Denn der Uninstaller scheint unbrauchbar zu sein.

(Anmerkung: DASS ich die Neuinstallation machen musste, ist Selbstverschulden.)

Für die Installation selber, habe ich mich an folgende Anleitung gehalten: http://www.trainsignal.com/blog/install-mysql-on-iis7 und mit der MySQL Version 5.5.19 (Community Server) gearbeitet http://dev.mysql.com/downloads/mirror.php?id=404970

Die Erkenntnisse sind folgende:

  • Vor der Installation UAC ausschalten (Neustart) und nach der Installation wieder einschalten (Neustart)
  • Vor der Installation (auch wenn der Installer dies erledigen sollte) in der Windows Firewall den Port 3306 (TCP) öffnen
  • Von der alten Installation darf in den alten MySQL Verzeichnissen nichts mehr vorhanden sein. (C:\Program Files\MySQL\*, C:\ProgramData\MySQL\* und C:\MySQLInnoDBData, oder je nachdem wie in der my.cfg definiert)
  • Ebenfalls müssen alle Registry Entries mit einem Bezug zu MySQL entfernt sein. Aber aufpassen. Nicht die Einträge für z.B.: das PHP Modul von MySQL löschen. Nur von der MySQL Installation) F3 ist dabei ein guter Freund.
  • Eventuell den MySQL Dienst mit folgendem Befehl (cmd) entfernen: sc delete MySQL

Denn sonst startet u.U. der MySQL Dienst nicht und/oder am Ende des Setups wird das root Passwort nicht wie gewünscht gesetzt.

Wenn der MySQL Dienst nicht startet, kann via cmd folgender Befehl ausgeführt werden: “C:\Program Files\MySQL\MySQL Server 5.5\bin\mysqld” –defaults-file=”C:\Program Files\MySQL\MySQL Server 5.5\my.ini” –console Er zeigt den Output beim Startversuch.

Wenn ein Fehler wie der Folgende ausgegeben wird, wurde das Setup wohl nicht ohne UAC gestartet (Berechtigungsproblem):

101116 10:45:14 [Note] Plugin ‘FEDERATED’ is disabled.
101116 10:45:14 InnoDB: Operating system error number 5 in a file operation.
InnoDB: The error means mysqld does not have the access rights to
InnoDB: the directory. It may also be you have created a subdirectory
InnoDB: of the same name as a data file.
InnoDB: File name C:\MySQLInnoDBData\ibdata1
InnoDB: File operation call: ‘open’.
InnoDB: Cannot continue operation.

Beim nächsten Fehler wurden wohl die alten Installationsdateien nicht gründlich entfernt:

111229 15:10:34 [Note] Plugin ‘FEDERATED’ is disabled.
111229 15:10:34 InnoDB: The InnoDB memory heap is disabled
111229 15:10:34 InnoDB: Mutexes and rw_locks use Windows interlocked functions
111229 15:10:34 InnoDB: Compressed tables use zlib 1.2.3
111229 15:10:34 InnoDB: Initializing buffer pool, size = 561.0M
111229 15:10:34 InnoDB: Completed initialization of buffer pool
InnoDB: Error: log file .\ib_logfile0 is of different size 0 56623104 bytes
InnoDB: than specified in the .cnf file 0 118489088 bytes!
111229 15:10:34 [ERROR] Plugin ‘InnoDB’ init function returned error.
111229 15:10:34 [ERROR] Plugin ‘InnoDB’ registration as a STORAGE ENGINE failed.
111229 15:10:34 [ERROR] Unknown/unsupported storage engine: INNODB
111229 15:10:34 [ERROR] Aborting
111229 15:10:34 [Note] C:\Program Files (x86)\MySQL\MySQL Server 5.5\bin\mysqld:
Shutdown complete

Auch wenn die Ausgabe behauptet, hier sei ein Bug, und mysqld.exe schmiert ab, sind wohl einfach alte Dateien übrig:

111229 16:55:10 [Note] Plugin ‘FEDERATED’ is disabled.
111229 16:55:10 InnoDB: The InnoDB memory heap is disabled
111229 16:55:10 InnoDB: Mutexes and rw_locks use Windows interlocked functions
111229 16:55:10 InnoDB: Compressed tables use zlib 1.2.3
111229 16:55:10 InnoDB: Initializing buffer pool, size = 561.0M
111229 16:55:10 InnoDB: Completed initialization of buffer pool
111229 16:55:10 InnoDB: highest supported file format is Barracuda.
InnoDB: The log sequence number in ibdata files does not match
InnoDB: the log sequence number in the ib_logfiles!
111229 16:55:10  InnoDB: Database was not shut down normally!
InnoDB: Starting crash recovery.
InnoDB: Reading tablespace information from the .ibd files…
InnoDB: Restoring possible half-written data pages from the doublewrite
InnoDB: buffer…
111229 16:55:10  InnoDB: Assertion failure in thread 4012 in file fsp0fsp.c line 2101
InnoDB: Failing assertion: inode
InnoDB: We intentionally generate a memory trap.
InnoDB: Submit a detailed bug report to http://bugs.mysql.com.
InnoDB: If you get repeated assertion failures or crashes, even
InnoDB: immediately after the mysqld startup, there may be
InnoDB: corruption in the InnoDB tablespace. Please refer to
InnoDB: http://dev.mysql.com/doc/refman/5.5/en/forcing-innodb-recovery.html
InnoDB: about forcing recovery.
111229 16:55:10 – mysqld got exception 0xc0000005 ;
This could be because you hit a bug. It is also possible that this binary
or one of the libraries it was linked against is corrupt, improperly built,
or misconfigured. This error can also be caused by malfunctioning hardware.
We will try our best to scrape up some info that will hopefully help diagnose
the problem, but since we have already crashed, something is definitely wrong
and this may fail.

key_buffer_size=303038464
read_buffer_size=65536
max_used_connections=0
max_threads=800
thread_count=0
connection_count=0
It is possible that mysqld could use up to
key_buffer_size + (read_buffer_size + sort_buffer_size)*max_threads = 560136 K
bytes of memory
Hope that’s ok; if not, decrease some variables in the equation.

Thread pointer: 0×0
Attempting backtrace. You can use the following information to find out
where mysqld died. If you see no messages after this, something went
terribly wrong…
000000013FFF96DC    mysqld.exe!my_osmaperr()
000000013FFF99C7    mysqld.exe!my_osmaperr()
000000013FFBD26E    mysqld.exe!my_osmaperr()
0000000140017DFC    mysqld.exe!my_osmaperr()
000000013FF9613A    mysqld.exe!my_osmaperr()
000000013FF8CE20    mysqld.exe!my_osmaperr()
000000013FD629A6    mysqld.exe!?ha_initialize_handlerton@@YAHPEAUst_plugin_int@@@Z()
000000013FD5C292    mysqld.exe!?plugin_lock_by_name@@YAPEAUst_plugin_int@@PEAVTHD@@PEBUst_mysql_lex_
string@@H@Z()
000000013FD60889    mysqld.exe!?plugin_init@@YAHPEAHPEAPEADH@Z()
000000013FD4BDC7    mysqld.exe!handle_shutdown()
000000013FD4C93A    mysqld.exe!?win_main@@YAHHPEAPEAD@Z()
000000013FD4CDB0    mysqld.exe!?mysql_service@@YAHPEAX@Z()
000000013FD4D0C3    mysqld.exe!?mysqld_main@@YAHHPEAPEAD@Z()
00000001400EEA77    mysqld.exe!my_mb_ctype_mb()
0000000076CD652D    kernel32.dll!BaseThreadInitThunk()
000000007701C521    ntdll.dll!RtlUserThreadStart()
The manual page at http://dev.mysql.com/doc/mysql/en/crashing.html contains
information that should help you find out what is causing the crash.

Wenn sonst alles funktionieren sollte, aber das root Passwort nicht gesetzt werden kann (oder man es sonstwie vergisst), kann man es bei gestopptem MySQL Dienst mit folgendem Befehl wieder setzen:

“C:\Program Files\MySQL\MySQL Server 5.5\bin\mysqld” –defaults-file=”C:\\Program Files\\MySQL\MySQL Server 5.5\\my.ini” –init-file=”C:\\Program Files\\MySQL\\MySQL Server 5.5\\bin\\resetpw.sql” –console

Dabei folgendes SQL Script verwenden:

UPDATE mysql.user SET Password=PASSWORD(‘neuespasswort’) WHERE User=’root’;
FLUSH PRIVILEGES;

Jetzt hoffe ich, dass Andere davon profitieren können. Feedbacks willkommen. Vielleicht habe ich ja den ultimativen Weg übersehen, wie es einfacher gegangen wäre.

Jun 252010
 

Virus / TrojanerIn den letzten wenigen Monaten, vielleicht sogar nur Wochen nahm die Verseuchung in meinem supporteten Umfeld ziemlich zu. So konnte ich zwangsläufig einige Praxiserfahrung im Suchen und Vernichten von Trojanern sammeln. Hier mein Vorgehen, welches sich bewährt hat und noch etwas Moralpredigt;-) Verbesserungsvorschläge sind immer willkommen.

Methode 1: Sauber und sicher

Und das ist jetzt kein Witz. Wer Zeit hat und/oder sicherheitsrelevante Daten und Anwendungen auf dem PC hat:

  • Die allernötigsten Daten sichern (am Besten von einem Linux Livesystem aus und dann kurz mitnem guten Scanner drüber)
  • Lowlevel Format der Harddisk (Nimmt auch Rootkits)
  • Neu aufsetzen (und zwar richtig!)

Methode 2: Versuchen wir es halt mal

Viele Leute sträuben sich gegen ein Neuaufsetzen des PCs. Na dann.

Einfachere Trojaner lassen dem Benutzer genug interaktion, damit Scannerprogramme und Tools noch installiert/ausgeführt werden können.

So wäre als Erstes ein Blick in die laufenden Prozesse gut (procexp.exe von http://live.sysinternals.com). Prozesse wie csrsc.exe, net.exe, 98nca9sx.exe (Zufallsnamen) sind nicht gesund. Am Besten den ganzen Process Tree entfernen.

Da diese Dinger mal gestartet werden müssen, mal mit autoruns.exe (ebenfalls http://live.sysinternals.com) schauen, welch suspekte Prozesse und dlls beim Start und Einloggen gestartet werden. Oben genannte Prozesse würden sich auch da finden. Suspekte Einträge: Löschen.

Wer nicht einfachso beurteilen kann, ob dieser oder jener Prozess bösartig ist oder nicht, kann sich dies auch untersuchen lassen. Dazu lässt man Hijackthis (http://www.trendsecure.com/portal/de/tools/security_tools/hijackthis) laufen und postet das generierte Log auf http://www.hijackthis.de.

Damit sich der Trojaner nicht wiederherstellt, muss die Systemwiederherstellung (Windows XP) deaktiviert werden.

Damit der Malwarescanner später nicht so viel Arbeit hat, kurz mit dem ccleaner (http://www.piriform.com/ccleaner) alle Temporären Daten (Internet/Windows) bereinigen und die Registry säubern.

Jetzt am Besten Malwarebyte’s Antimalware installieren (http://www.malwarebytes.org/mbam.php). Vor dem ersten vollständigen Scan, die bestehende Antivirensoftware deaktivieren. Keine Panik, sie scheint sowieso nichts gebracht zu haben. Jetzt Scannen. Dies kann 15-60min dauern. Je nachdem wie zugemüllt der PC ist (nicht doch besser gleich neu aufsetzen?;-)

Sobald alle Bedrohungen entfernt wurden, kann man sich an einen Neustart wagen. Ein weiterer Scan danach zeigt, ob alle Bedrohungen entfernt wurden.

Methode 3: Auf die Harte Tour!

Manche Viecher krallen sich so im System fest, dass nicht einmal mehr exe Files der Scanner geöffnet werden können. (Manche dumme Trojaner überlistet man durch umbenennen der exe;-)

Entweder man macht hier einen Scan mit einer Live CD (zB UltimateBootCD PE Edition. Selber googeln wie man eine solche macht:-P) oder man startet den PC im abgesicherten Modus mit Eingabeaufforderung. Aus dieser Shell konnte ich üblicherweise trotzdem alle Scanner installieren und ausführen.

Aber hei… findest du nicht, dass es schneller ginge, den PC neu aufzusetzen? Nein..? Naja, dann lass mal alles durchlaufe, das ich oben schon erwähnt habe.

Zusätzlich muss man unter Umständen die Registry manuell von den Explorer Kontexten befreien. Eine saubere Registry sollte so aussehen (Alle Angaben wie immer ohne Gewähr…)

** HKEY_CLASSES_ROOT/exefile/shell/open/command/ @="%1" %*"
** HKEY_CLASSES_ROOT/comfile/shell/open/command/ @="/"%1/" %*"
** HKEY_CLASSES_ROOT/batfile/shell/open/command/ @="/"%1/" %*"
** HKEY_CLASSES_ROOT/htafile/Shell/Open/Command/ @="/"%1/" %*"
** HKEY_CLASSES_ROOT/piffile/shell/open/command/ @="/"%1/" %*"
** HKEY_LOCAL_MACHINE/Software/CLASSES/batfile/shell/open/command/ @="/"%1/" %*"
** HKEY_LOCAL_MACHINE/Software/CLASSES/comfile/shell/open/command/ @="/"%1/" %*"
** HKEY_LOCAL_MACHINE/Software/CLASSES/exefile/shell/open/command/ @="/"%1/" %*"
** HKEY_LOCAL_MACHINE/Software/CLASSES/htafile/Shell/Open/Command/ @="/"%1/" %*"
** HKEY_LOCAL_MACHINE/Software/CLASSES/piffile/shell/open/command/ @="/"%1/" %*"

Wenn wir schon die Holzhammermethoden anwenden, können wir geradesogut mit dem Bluescreentool.. äh Rootkitremovaltool GMER (http://www.gmer.net/) einen Scan starten. Vorsicht damit. Einen Festplattentreiber zu “desinfizieren” kann unter Umständen ziemlich Arbeit nach sich ziehen… Alternativ RootkitRevealer (http://live.sysinternals.com/) benutzen.

Methode 4: Entfernen nach Anleitung

Manche Trojaner wie das “Security Center” bringt man weg, in dem man Google nach einer Anleitung befragt. So kann gezielt ein Trojaner entfernt werden. Keine langen Scans und Suchen nötig.

Nach der Käferjagd

Nachdem wir nun (ziemlich, fast) sicher sind, dass der PC wieder Käferfrei ist, sollte man noch zwei drei Punkte abarbeiten.

Die Systemwiederherstellung ist eine gute Sache. Deswegen wird vom sauberen System ein Wiederherstellungspunkt erstellt. Da wir aber dem “alten” System nicht trauen können, müssen die alten Punkte gelöscht werden (Start->Ausführen->cleanmgr. Bei den erweiterten Optionen die Systemwiederherstellung bereinigen)

Da meistens nicht ganz klar ist, woher der Trojaner kommt, sollte man die gesamte installierte Software aktualisieren (Sicherheitslücken schliessen) und die Windows Firewall einschalten.

Wenn USB Sticks in Verwendung waren, diese auf Bedrohungen scannen. ABER: beim Einstecken die Shift Taste gedrückt halten (=Autostartfunktion deaktivieren, im Falle dort ein sich selber installierender Trojaner haust).

Vorsehen ist besser als Nachsehen 1: System

Damit die ganze Seuche nicht noch einmal von vorne losgeht, sollte man seinen PC gut einrichten.

Bei Windows 7 und Vista weniger ein Problem: Arbeiten als Administrator. Bei Windows XP war es gang und gäbe, mit Administratorrechten zu arbeiten. Das ist gefährlich! Richtet euch einen Benutzer ein, welcher nur die nötigsten Rechte hat. Wenn ein Programm installiert werden soll, gibt es ja die “Ausführen als…” Funktion.

Kauft euch eine Security Software, welche den heutigen Ansprüchen gerecht wird. Virenschutz alleine reicht nicht mehr. Da muss schon was gegen Trojaner mit bei sein. Die Kaufversion von Malwarebyte’s Antimalware ist übrigens cool.

Schaltet die Sicherheitsfunktionen des Betriebssystems ein (Firewall usw.). Dafür hat man sie ja.

Am Besten läuft das System auf Partition 1 und die Daten des Benutzers liegen auf Partition 2. Von Partition 1 wird nach dem Aufsetzen ein Image erstellt, welches bei Bedarf einfach zurückgeladen werden kann (Acronis True Image Home ist super:  http://www.acronis.de/homecomputing/products/trueimage/). Die Daten auf Partition 2 natürlich regelmässig wegsichern.

Vorsehen ist besser als Nachsehen 2: Verhalten

Das grösste Problem eines PCs ist und bleibt der Benutzer (sorry, ist so. Der Computer rechnet mit allem, nur nicht mit seinem Besitzer.). Vor allem bei einem vernünftigen Verhalten und einer gesunden Paranoia wird das System sicher.

Surft nicht sinnlos im Netz herum und klickt jeden Button an, auf dem “Klick mich” steht. Vor allem bei Schweinskram und ähnlichen Seiten ist die Bedrohung gross.

Wenn man schon jedes Free- und Shareware Tool vom Internet herunterladen muss, sollte man schauen, woher es kommt. Quellen wie Chip.de, switch.ch, pctipp.ch sind einigermassen vertrauenswürdig. Aber hey.. Wer braucht schon 100 Tools. Fragt lieber jemanden, der Rat weiss.

Apropos herunterladen. Bittorrent, Kazaa und Limewire sind verlockende Programme zum saugen von “günstiger” Software. Aber wundert euch nicht, wenn bei Softwarekopien noch gleich ein blinder Passagier mitinstalliert wird.

Auch bei legaler Software kann sich unerwünschtes mitinstallieren. Meist nicht gefährlich, aber nervig. Beim installieren also immer “Benutzerdefiniert” wählen, damit man sieht, was da alles auf die Platte kommt.

Eine weite Verhaltensregel gilt beim lesen von Emails. Wenn im Posteingang ein Mail liegt, welches offensichtlich sinnbefreiten Inhalt ist, direkt löschen (Outlook: Shift+Delete für permanentes löschen). Auch Mails von eigentlich bekannten Absendern können eine Bedrohung sein, denn der Absender kann gefälscht sein. Also immer schauen, ob das Mail des Arbeitskollegen/Verwandten inhaltlich/sprachlich überhaupt Sinn macht, sonst löschen. Ach ja, wenn Mails Anhänge mit Endungen wie exe, scr, com usw haben: Löschen.

Der Vollständigkeit halber sei noch erwähnt, dass anständige Passwörter pflicht sind, nicht jeden an den PC lassen sollte, Programme und Betriebssystem aktualisieren muss, usw. etc. pp.

Viel zum Beachten. Was aber vor allem hilft ist gesunder Menschenverstand.

Mahlzeit.

Jun 252010
 

Da war es wieder. Das Grauen, das einen erfasst, wenn man mit einer Supporthotline spricht, bei welcher man schon zu Beginn das Gefühl hat, nie weiterzukommen.

Die Geschichte begann ganz harmlos. Ein Kunde kontaktierte uns, sie könne die importierten ESR Dateien der UBS (v11 Format/Dateiendung) nicht mehr mit Doppelklick öffnen. Sie habe da was verstellt. Und so war es. V11 Dateien wollte Windows ab sofort mit Crystal Reports öffnen, was nirgends hinführt. Dabei sollten die Zahlungsinfos in Paymaker dargestellt werden.

Der Herr Supporter in diesem Fall (ich) hatte keine Ahnung von Paymaker und versuchte diese Datei mal blind einer Paymaker exe zuzuordnen. Dies funktionierte natürlich nicht und eine Vergleichsinstallation war nirgends aufzutreiben. Alle exe Dateien auszuprobieren brachte irgendwie nichts. Schliesslich rief bei ihrer Bank an. Der Kontakt hatte zwar Paymaker, aber eine andere Konstellation. Gut, warum auch die Bank damit belästigen (weil der Support dort gratis ist, haha…). So wandte ich mich direkt an den Crealogix Support.

Die Absichten waren ehrenhaft. Gut vorbereitet (“Meine Frage benötigt bestimmt nicht mehr als die ersten drei Gratisminuten. Ich werde bestimmt nicht CHF 2.13 pro Minute bezahlen müssen”) wählte ich die nette 0900er Nummer. Ich habe nicht auf die Uhr geschaut, aber ich denke alle die Ansagen der Hotline dauerten bestimmt genau 3min… Jedenfalls dachte ich: Who cares. Meine Frage ist in 1min beantwortet (Dateiendungszuordnungen können unter Windows XP in 10s überprüft werden. Kompliziertere Konexte irgendwo in der Registry. Dauert vielleicht 1min).

Ich war ganz perplex, als ich meine Frage nicht einmal ganz gestellt habe und mir vorgeschlagen wurde, die Software neu zu installieren… Dabei wollte ich doch nur “Das muss ich zuerst abklären” .. aber das geht doch ganz einfach. Sie haben doch Paymaker vor sich “Ja, aber das muss ich zuerst abklären” … Sie müssen doch nur… das geht ganz schnell “Wie gesagt, ich muss das zuerst abklären” … Aber … “Können Sie mir Ihre eMailadresse mitteilen?”… Gesagt getan. Ich hoffte, dass sie WIRKLICH meine Frage abklärt.

Nach gefühlten zwei Jahren (in echt: Zwei Stunden) die Antwort per Mail:

Wie heute morgen telefonisch besprochen.

Ich konnte dies in der Zwischenzeit abklären, wie ich vermutet habe müssen Sie, bzw. Ihr Kunde PayMaker nochmals installieren.

Bei weiteren Fragen stehen wir Ihnen gerne zur Verfügung.

Freundliche Grüsse

Naja, mein Kunde wollte das Risiko nicht eingehen, dass mit der Neuinstallation irgendwelche Einstellungen verloren gehen. Sie macht jetzt zwei Klicks mehr innerhalb des Programms. Aus der beabsichtigten, schnellen 5min Lösung wurden etwa 2h Aufwand (inkl. Versuch, eine vergl. Installation hinzukriegen), der zu nichts führte.

Mrz 242010
 
Alte Tramgeleise unter der Neubrückstrasse

Alte Tramgeleise unter der Neubrückstrasse

Im Zuge des Projekts “Läbigi Länggass” zur Verkehrsberuhigung im Länggassquartier wurde die ganze Neubrückstrasse neu gestaltet.

Beim Aufreissen der Neubrückstrasse (Kreuzung Hochfeldstrasse Richtung Norden) wurden lange stählerne Objekte freigelegt, die schwer an Geleise erinnern. Dass Bern früher auch andere Tramstrecken hatte, wusste ich bis anhin gar nicht. Bernmobil wird mir eine Auskunft geben können, dachte ich. Aber leider ist bis heute noch keine Antwort gekommen. Aber Google ist gross und mächtig! Nach langem Recherchieren denke ich nun informiert zu sein.

Auf wapedia.mobi steht geschrieben: “Die vierte Linie, die Linie IV war die erste Radiallinie. Sie führte vom Bahnhof ins Brückfeld. Der Linienverkehr konnte am 27. Juni 1908 aufgenommen werden”. Die Strecke wurde mit elektrifizierten Trams (Ce 2/2 der zweiten Generation) befahren.

Bis um 1965 stellte die Stadt Bern den Verkehr auf einigen Tramlinien ein und setzte auf Trolleybusse. So musste auch die Strecke ins Brückfeld dran glauben. (Entwicklung Tramnetz).

Alte Tramgeleise unter Neubrückstrasse bei der Kreuzung Neubrückstrasse / Hochfeldstrasse

Alte Tramgeleise unter Neubrückstrasse bei der Kreuzung Neubrückstrasse / Hochfeldstrasse

Lustig, dass jetzt mit dem Bau von Tram Bern West die Trolleybusse wieder ersetzt werden und auf Trams gezählt wird.

Aber anscheinend hatten dazumal Thun und Biel ihren Trambetrieb eh schon eingestellt und Zürich hatte bereits gute Erfahrungen mit Trolleybussen gemacht. So begann vorläufig eine Ära des Busses.

So, nun habe ich meinen Teil zur Geschichtsdokumentation beigetragen. Ende.