PCFreak Logo (c) Der PCFreak

Archive for the 'Microsoft' Category


Wenn dir dein Virenscanner nicht hilft – Hilf dir selbst! Kommentare deaktiviert für Wenn dir dein Virenscanner nicht hilft – Hilf dir selbst!

Folgene Email schlug heute im Posteingang auf. Normalerweise hätte ich sie sofort gelöscht, da ich

  • kein Kunde bei der Deutschen Bank bin,
  • die Deutsche Bank bestimmt nicht als brucebaldwin-at-shaw.ca verschickt,
  • und die Deutsche Bank bestimmt korrekt mit deutschen Umlauten umgehen kann.

 

Deutsche Bank Fake Email

Deutsche Bank Fake Email

Aber ich dachte mir, es kann nicht schaden, die angehängte Excel-Datei mal bei Virustotal hochzuladen, doch entgegen meiner Erwartung zeigten alle 53 Virenscanner kein Ergebnis, die Datei ist also anscheinend sauber oder sagen wir besser, sie enthält vmtl. keinen Schadcode, aber trotzdem wurde nun mein Interesse geweckt und ich analysierte weiter.

Zunächst benutzte ich das Tool OfficeMailScanner, es erkannte keine verdächtigen Inhalte in der angehängten Excel-Datei, danach öffnete ich das Excel-Dokument mit einem Texteditor und fand folgende Textpassagen:

  • http://schemas.microsoft.com/cdo/configuration/sendusing;mail.arnes.si
  • http://schemas.microsoft.com/cdo/configuration/smtpserver
  • http://schemas.microsoft.com/cdo/configuration/smtpserverport
  • http://schemas.microsoft.com/cdo/configuration/smtpauthenticate
  • http://schemas.microsoft.com/cdo/configuration/sendusername
  • http://schemas.microsoft.com/cdo/configuration/sendpassword

Ich konnte also davon ausgehen, dass in der Excel-Datei irgendetwas versuchen wird eine Email zu schicken.

Im Anschluss traute ich mich dann das Dokument in einer kontrollierten Umgebung und mit deaktivierten Makros in Excel zu öffnen und es war (wie erwartet) ein in Excel eingebettetes Formular.

Deutsche Bank Fake Formular in Excel

Deutsche Bank Fake Formular in Excel

Über die Entwicklertools wollte ich dann das eingebette VBA-Projekt einsehen, aber es war leider mit einem Passwort geschützt.
Dafür gibt es aber einen einfachen Trick: Man öffnet das Excel-Dokument mit einem Hex-Editor und ersetzt alle Strings „DPB“ nach „DPx“ und öffnet dann das VBA-Projekt. Es wird zwar eine Fehlermeldung angezeigt, aber das Passwort ist Geschichte!

So nun hier ein Auszug aus dem VBA-Projekt:

Auszug VBA-Projekt

Auszug VBA-Projekt

 

Es ist also nun klar, dass das Excel-Formular wie vermutet über einen SMTP-Server (mail.arnes.si) die Formulardaten an umeda-at-jdp-co.jp verschickt und als Absender eine DE-Email-Adresse verwendet.

Es scheint so, dass bei den Antivirus-Herstellern ein zu hoher Automatismus eingeführt wurde. Die manuelle Prüfung der Excel-Datei durch einen Menschen hätte ergeben, dass es sich hier um eine Phishing-Mail handelt und sie müsste meiner Meinung nach blockiert werden. Ich habe die Datei noch einmal manuell an unseren Virenscanner-Hersteller geschickt, mal sehen wie die Antwort aussehen wird.

Klar kann man argumentieren, dass in der Datei kein Schadcode enthalten ist, der auf dem Rechner etwas Böses tut, allerdings blockieren Virenscanner auch Phising URLs, warum dann nicht Phishing-Formulare in Excel-Dokumenten?

 

 

OpenVPN without administrative privileges (nonpriviledged user) on Windows using the great Sophos SSL VPN Client 1

OpenVPN or also sometimes called SSL-VPN is a very cool VPN technology. Problem is, that a lot of client software that is compatible with OpenVPN only works if the user that initiates the connection has administrative privileges. I did a lot of investigation and my early solutions were

  • SecurePoint OpenVPN Client (in my opinion not very stable)
  • Scheduled Tasks at logon of a user that executes OpenVPN with highest privileges (could lead to privilege escalation)
  • … and a lot of other custom stuff I tried

All of the above solutions were not usable, instable or unsecure and could not be used in a corporate environment. Glad I found the

  • Sophos SSL VPN Client

This client is perfect! It has the following features:

  • compatible with OpenVPN
  • multilanguage support (Chinese, Danish, German, English, Spanish, Finnish, French, Italien, Japanese, Dutch, Norwegian, Polish, Portuguese, Russian, Swedish, Turkish)
  • when installed works without admin privileges (it uses a service)

So any of you that is searching for a working OpenVPN client for nonpriviledged users, this is your solution!

Now the question, where can you get the client? The client is bundled within the „Sophos UTM“ Firewall product and can usually only be used if you have an installation of the firewall running somewhere. Since there is also a free version of the firewall available for download, this is not a big problem:

  1. Download the latest ISO from ftp://ftp.astaro.com/UTM/v9/software_appliance/iso/
  2. Open the downloaded ISO with 7Zip
  3. Inside 7Zip navigate to …\latest_asg_XX_software.iso\install\rpm\client-openvpn-9.25-18.g09bbfdc.rb1.noarch.rpm\client-openvpn-9.25-18.g09bbfdc.rb1.noarch.cpio\.\var\confd\res\openvpn\ *Bild
  4. Extract „ssl-vpn-client-installer.exe“ and install it on your windows machine
  5. Copy your OpenVPN configuration file (*.ovpn) to „C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config\<subfolder>\“ and establish a connection by right clicking the tray icon TrayIcon.

*The name of the *.cpio file may vary depending on your version of the ISO file

For me this is currently the best OpenVPN client. As far as I could see, there is no information within the „Sophos SSL VPN Client“ licenses, that prohibits the usage of the client.

Windows 8.1 Upgrade – alte Dateien loswerden Kommentare deaktiviert für Windows 8.1 Upgrade – alte Dateien loswerden

Aktualisiert man seine Windows 8 Installation auf Windows 8.1, bleiben nach dem Upgrade ca. 2Gbyte Daten des alten Systems übrig,z.B. der Ordner C:\Windows.old. Diese kann man jedoch sehr einfach mit Bordmitteln entfernen. Dazu startet man einfach „cleanmgr.exe“ als Administrator. ! Wichtig ! – Unbedingt als Administrator starten !!

 

Bild

Nach dem Start scannt das Programm das System und bietet dann eine Bereinigungsoption, u.A. auch für die „alten“ Windows-Dateien an. Läßt man dann die Bereinigung durchführen sind die Reste des „alten“ Betriebssystems (Windows 8) entfernt und man kann sich über ca. 2GByte mehr freien Festplattenspeicher freuen. Der Ordner C:\Windows.old sollte nun auch verschwunden sein.

Windows 8 und Office 2013 – Skydrive Integration deaktivieren 2

Die native Installation sowie auch das Update von Windows 8 auf Windows 8.1 fordern bei der ersten Einrichtung sehr penetrant die Aktivierung eines Microsoft Accounts. Gibt man dort irgendeine E-Mail-Adresse mit einem absolut ungültigen Passwort an, wird plötzlich die Option sichtbar, „Weitermachen ohne Microsoft Konto“ und schon hat man sich komplett um die SkyDrive Integration gedrückt.
Vorteil: Weder im Explorer, noch in den Libraries ist SkyDrive vorhanden.

Bild

Bild

 

Wer hier seinen MS-Account angegeben hat, muss die SkyDrive-Integration leider manuell loswerden. Dazu gibt es mehrere Möglichkeiten.

via Group Policy
Local Computer Policy\Computer Configuration\Administrative Templates\Windows Components\SkyDrive
(enable all 3 settings)
Bild

oder per Registry

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Skydrive]
„DisableLibrariesDefaultSaveToSkyDrive“=dword:00000001
„DisableMeteredNetworkFileSync“=dword:00000000
„DisableFileSync“=dword:00000001

Benutzer von Office 2013 haben auch standardmäßig die SkyDrive Integration aktiv. Auch hier gibt es Möglichkeiten, diese zu entfernen, bzw. im „Speichern“-Dialog auszublenden. Einfach eine der Office Anwendungen öffnen (z.B. Excel) und dann auf Start/Optionen klicken. Dort unter dem Menüpunkt „Speichern“ folgende Einstellungen machen:
Bild

Nun ist SkyDrive komplett aus dem „Speichern“-Dialog entfernt.

ScreenCloud – Screenshot sharing easy Kommentare deaktiviert für ScreenCloud – Screenshot sharing easy

ScreenCloud ist ein ScreenShot Utility für

  • Linux
  • Windows
  • Mac OS X

Mittlerweile ist ScreenCloud auch OpenSource und ist bei GitHub verfügbar.

Man kann damit wie gewohnt entweder den ganze Bildschirm, ein Fenster oder eine Auswahl als ScreenShot abspeichern. Als Speicherort kann man entweder die ScreenCloud benutzen (man erhält dann auch einen öffentlichen Link zum Shot) oder auf die eigenen Server hochladen. Dazu stehen mehrere Upload-Möglichkeiten bereit:

Image

 

Man kann den Speicherort über die Option „File“ zum Beispiel in den „Photos“-Ordner der Dropbox legen. Das Programm ist gut gemacht und mir gefallen die Upload Features sehr gut.

Entpackt man das Programm aus dem MSI (Windows), kann es direkt ohne Installation gestartet werden, somit ist die Nutzung als Portable-App problemlos möglich. Obwohl die Windows Version auf der Homepage für Windows XP/Windows 7 gekennzeichnet ist, läuft sie auch problemlos unter Windows 8.

Outlook Web Access (OWA 2010) Spalten anzeigen Kommentare deaktiviert für Outlook Web Access (OWA 2010) Spalten anzeigen

In der Standardansicht von Outlook Webaccess (OWA 2010) fehlen die Spalten, z.B. „Von“, „An“ usw. Es gibt zwar die von Microsoft nicht unterstützte Möglichkeit Änderungen durchzuführen, doch mit einem kleinen Trick bekommt man die Spaltenansicht zurück. Man muss lediglich die „Einstellungen für Blinde und Personen mit eingeschränktem Sehvermögen“ aktivieren, dann bekommt eine ähnliche Ansicht wie in den Vorgängerversionen von Outlook Web Access bereitgestellt.

Image

Hier ein Ausschnitt der erreichten Ansicht.

Image

ShowHotCorner for Server 2012 and Windows 8 Kommentare deaktiviert für ShowHotCorner for Server 2012 and Windows 8

2013-05-10 09h59 17
At work I recently started to use Server 2012 as a service platform. I am in general not a friend of the new Microsoft Metro UI but I had to deal with it. One problem I immediately run across was how to access the „Run Dialog“ to quickly startup programs.

As I found out, you have to point your mouse to the bottom left corner, the so called „Hot Corner“, then right-click on it to get some of the useful administrative tools like the run dialog or an administrative CMD prompt. No big deal and easy to remember. Btw. If you are directly working on the machine Win + X brings up this menu immediately but Win+X does not work in a Remote Desktop Session.

The only problem I had using the hot corner was that I use a Remote Desktop Manager to access all the machines I maintain and I do not work in full screen all the time. When trying to access the „Hot Corner“ I always moved the mouse out of the Remote Desktop Window and after about 10x doing so I thought about a solution.

At the beginning it tried it with AutoHotKey and attempted to emulate Win+X but it seems, Microsoft interrupts somehow the usage of the Windows key on the newer operating systems.
Then I created a small executable with my favourite scripting language AutoIT that does automatically move the mouse to the bottom left corner, activates the „Hot Corner“ and right-clicks for me. I gave it a wonderful icon that fits very nice into the new Server 2012 UI, pinned it to the taskbar and moved it left most.

Now I can just click on this button and immediately the Win+X menu appears. As an administrator it helps me a lot to do my daily work faster.

Feel free to download this tool called „ShowHotCorner“. It comes with the source code and also pre-compiled x86/x64 versions.

Watch the video below to see the installation process and the tool in action.

Online lernen – Links April 2013 Kommentare deaktiviert für Online lernen – Links April 2013

Khan Academy – Learn almost anything for free

Coursera – Take the world’s best courses, online, for free

Udacity – Learn. Think. Do.

Professor Messer – CompTIA A+ Training – Linux – Microsoft and more

Tipps und Tricks mit der Windows 8 Setup DVD Kommentare deaktiviert für Tipps und Tricks mit der Windows 8 Setup DVD

windows8commandprompt

 

Mit der Windows 8 Setup DVD lassen sich einige lustige Sachen anstellen…

Wenn man die DVD anbootet und auf dem ersten Bildschirm die Tastenkombination

SHIFT + F10

drückt, erhält man eine Eingabeaufforderung.

Wenn dieser Rechner am Netzwerk teilnehmen soll, so ist dies i.d.R. realisierbar, sofern der entspr. Treiber auf der Windows 8 DVD enthalten ist.

Meine Tests habe ich in einer VM (Virtualbox mit E1000 Netzwerkkarte) durchgeführt.

Mit folgendem Befehl kann man den Netzwerk-Stack hochfahren:

wpeutil InitializeNetwork

Mit obigem Befehl wird die Netzwerkkomponenten inkl. Treiber gestartet und ein zufälliger Computername vergeben. Der Rechner kann danach z.B. auch Netzlaufwerke verbinden!

Mit folgendem Befehl kann man TCP/IP, NetBIOS und Microsoft Client für Windows PE installieren. (wird vmtl. auch durch vorherigen Befehl schon erledigt.)

netcfg -winpe

Mit folgendem Befehl kann man die Windows Firewall ein- bzw. ausschalten

wpeutil EnableFirewall

wpeutil DisableFirewall
Mit folgendem Befehl kann man das System Restore Tool aufrufen und evtl. vorhandene Restorepunkte einer unter C:\Windows befindlichen Windows Installation wiederherstellen. (Sollte auch mit anderen Windows Versionen die mit ihrem entspr. WinPE angebootet wurden möglich sein)

rstrui /offline:C:\WINDOWS

Mit folgendem Befehl kann ein System-Image-Backup des Computers wiederhergestellt werden (GUI), desweiteren können über „Advanced“ Gerätetreiber nachinstalliert werden! Vor allem das Feature zum Nachinstallieren von Treibern kann sehr nützlich sein, wenn einem noch Storage, Netzwerk oder andere Treiber fehlen um voll auf das System zuzugreifen. Man benötigt lediglich eine INF-Datei (*.inf).

bmrui.exe

Mit folgendem Befehl kann man den Zustand der Festplatten anzeigen und eine Überprüfung beim nächsten Boot auslösen.

chkntfs.exe

Mit folgendem Befehl kann man Pakete in Windows Images (*.wim) anzeigen, installeren, deinstallieren, konfiguriren und aktualisieren.

dism.exe

Mit folgendem Befehl kann man einen Treiber laden und installeren (*.inf)

drvload.exe

Mit folgendem Befehl kann man sog. „Filter driver“ laden und entladen

fltmc.exe

Mit folgendem Befehl kann man die Bitlocker Verschlüsselung konfigurieren.

manage-bde.exe

Mit folgendem Befehl kann man einen „Volume Mount Point“ erstellen, löschen oder anzeigen.

mountvol.exe

Mit folgendem Befehl können sog. „Multicast Router“ abgefragt werden um deren Schnittstellen und Nachbarn zu erfahren.

mrinfo.exe

Mit folgendem Befehl kann eine „System repair disc“ erzeugt werden (CD/DVD-Brenner muss vorhanden sein)

recdisc.exe

Mit folgendem Befehl lässt sich eine einzelne beschädigte Datei Sektor für Sektor von Platte lesen (soweit noch möglich).

recover.exe

Mit folgendem Befehl lassen sich sog. „CIM Provider“ beim System registrieren.

Register-CimProvider.exe

Mit folgenem Befehl lässt u.U. ein beschädigtes Bitlocker-versclüsseltes Laufwerk reparieren.

repair-bde.exe

Mit folgendem Befehl kann man alle Versionen einer Datei auf einem ganzen Laufwerk durch eine einzelne neue Kopie ersetzen, sehr gut geeignet, wenn sich z.B. eine Datei „phone.cli“ ca. 1000x auf der Festplatte befindet. Es reicht aus folgenden Befehl abzusetzen umd alle vorhanden Versionen auf C:\ mit der Version von D:\phone.cli zu ersetzen.

replace d:\phone.cli C: /s

Mit folgendem Befehl kann man das Betriebssystem, Laufwerke, Dateien, Ordner und Programme sichern und wiederherstellen.

wbadmin.exe

Mit folgendem Befehl kann man eine komplette Betriebssysteminstallation von Festplatte (inkl. aller installierten Programme und Konfigurationseinstellungen) als Installations-Image abspeichern. Vorher sollte für das entsprechende Laufwerk ein „Sysprep“ durchgeführt worden sein.

wdscapture.exe

Ich habe hier nur die für mich sinnvollen Befehle aufgelistet, es gibt noch weit mehr…

Install Windows Server 2008 R2 to a different drive letter than C: 2

This blog entry will show how to do a native install of Windows Server 2008 R2 to a different driveletter with a minimum effort. You only need a thumbdrive, a text-editor and a Windows Server 2008 R2 DVD (it should also work with Windows 7).

On your thumbdrive (USB-Stick) create a file named „AutoUnattended.xml“ with the following content:

<!–?xml version=“1.0″ encoding=“utf-8″?–>
<unattend xmlns=“urn:schemas-microsoft-com:unattend“>
<settings pass=“windowsPE“>
<component name=“Microsoft-Windows-Setup“ processorarchitecture=“amd64″ publickeytoken=“31bf3856ad364e35″ language=“neutral“ versionscope=“nonSxS“ xmlns:wcm=“http://schemas.microsoft.com/WMIConfig/2002/State“ xmlns:xsi=“http://www.w3.org/2001/XMLSchema-instance“>
<diskconfiguration>
<willshowui>OnError</willshowui>
<disk wcm:action=“add“>
<createpartitions>
<createpartition wcm:action=“add“>
<order>1</order>
<size>500</size>
<type>Primary</type>
</createpartition>
<createpartition wcm:action=“add“>
<extend>true</extend>
<order>2</order>
<type>Primary</type>
</createpartition>
</createpartitions>
<modifypartitions>
<modifypartition wcm:action=“add“>
<active>true</active>
<format>NTFS</format>
<label>System Reserved</label>
<order>1</order>
<partitionid>1</partitionid>
</modifypartition>
<modifypartition wcm:action=“add“>
<format>NTFS</format>
<label>SYSTEM</label>
<letter>M</letter>
<order>2</order>
<partitionid>2</partitionid>
</modifypartition>
</modifypartitions>
<diskid>0</diskid>
<willwipedisk>true</willwipedisk>
</disk>
</diskconfiguration>
<imageinstall>
<osimage>
<installto>
<diskid>0</diskid>
<partitionid>2</partitionid>
</installto>
<willshowui>OnError</willshowui>
</osimage>
</imageinstall>
<userdata>
<accepteula>true</accepteula>
</userdata>
</component>
</settings>
</unattend>

You can download the file here
Make sure, you change the line

  <letter>M</letter>

to your needs, where M is the drive letter you want to assign to the system partition. Save the file and attach the thumbdrive to the target computer.

Insert the Windows Server 2008 R2 DVD in the target computer and boot into setup.

At the first screen press Shift + F10 to open a command prompt

Determine which drive letter your thumbdrive has using diskpart.

Copy the file AutoUnattended.xml from your thumbdrive to RamDisk and start a second instance of setup.exe that will use our AutoUnattended.xml file.

.\setup.exe /unattend:X:\Sources\AutoUnattended.xml

A new instance of setup.exe will start using our custom installation file.

Continue with the setup as usual.

After setup is complete you can see the result. Windows is installed on drive M: . My thumbdrive uses the next available driveletter which is C: and the DVD is on the next free one which is D:.
Mission accomplished – Congratulations!

Why are we doing this? – Well, if you setup a Remote Desktop Services presenting Seamless RemoteApps it is very convenient for your users to have their local drived mapped with the same driveletters. If the operating system is on M: the local drives you bring into the Remote Desktop session start enumerating at C: . I know that there is a better way doing this with the „Windows Automated Installation Kit (AIK)“ but I didn’t want to install that big software and mess arround with .wim images.

If you find this entry useful, feel free to write a comment.

Nächste Seite »