Am Wochenende spielte mein Schwager auf seinem Asus Notebook das finale Service Pack 1 für Windows Vista ein – und meldete sich prompt, weil es schief gelaufen ist.

Nach dem Reboot kam ein BlueScreen (BSoD) und weder „Last Known Good“ noch „Safe Mode“ brachten das System wieder in Gang.

Nach einigen Hinweisen die ich durch googlen fand kam ich zu dem Schluß, daß es wohl der Treiber der wunderbare Cherry Multimedia Tastatur sein muss, der Probleme macht, doch wie können wir das Problem lösen?

Leider wurde das Notebook meines Schwagers nur mit einer Recovery CD ausgeliefert, d.h. wir hatten keine Möglichkeit eine Recovery Console zu booten. Zum Glück fand sich aber bei NeoSmart ein 120MB großes ISO welches rein die Recovery Console von Vista enthält.

Also runterladen, brennen starten. Ok, wir haben eine Recovery Console. Wir können nun eine CMD-Shell bekommen und was nun?

– Regedit starten
– über File -> Load Hive die Datei „C:\WINDOWS\system32\config\system“ laden
– den Schlüssel „mounted\SYSTEM\Select“ Current lesen (da steht z.B. der Wert 3)
– entspr. dem Wert dann im Schlüssel „mounted\SYSTEM\ControlSet003\Services“ nach dem Begriff „Cherry“ suchen und die Keys komplett löschen (vorher sicherheitshalber exportieren)
– danach Rebooten und voila das SP1 Setup läuft mit dem Step 3/3 weiter und kommt auch zum Finale

Die Tastatur funktioniert in Ihren Grundfunktionen auch ohne den Cherry Treiber. Mal sehen ob seitens Cherry ein Update erfolgt. Die problematische Version war Keyman V3.4.

Die Reparatur der Registry müsste auch sinngemäß mit einer BartPE oder mit ERD-Commander funktionieren.

Universal Extractor ist ein Programm, daß entsprechend seinem Namen folgendes tut: extrahieren von Dateien aus jeglicher Art von Archiven, ob es sich um ein einfaches zip-file, ein Installationsprogramm oder auch ein Windows Installer (.msi) Package handelt.

Das Projekt befindet sich in ständiger Entwicklung, hat aber bereits jetzt einen sehr guten Status erreicht.

Der Autor hat anscheinend alle möglichen Dekomprimierungsprogramme zusammengesammelt und ein kleines Auto-IT Script geschrieben um ein Interface dafür zur Verfügung zu stellen.

Die Software gibt es hier:

http://www.legroom.net/software/uniextract

Die Hackergruppe Cult of the Dead cow, kurz cDc hat ein neues Tool gebaut. Der „Goolag Scanner“ nutzt alle Features der Google Suchmaschine aus um Informationen über Websites und deren möglichen Sicherheitslöcher herauszufinden.

Der Ablauf ist in etwa so. Goolag stellt z.B. eine Suchanfrage in der Manier „intitle:index of / parent directory“ und schon kann man ermitteln, ob der entsprechende Webserver z.B. ein durchsuchbares Verzeichnis zur Verfügung stellt. Das war jetzt ein einfaches Beispiel eines sog. „Forks“. Das Tool kann viel viel mehr.

Alle Systemadministratoren sind angeraten, dieses Programm herunterzuladen und die eigene Webseite damit zu überprüfen – bevor es ein anderer tut.

Das Programm gibts hier zum Download:
Goolag.org

Irgendwann stößt jeder Administrator auf dieses Problem. Man würde gerne firmenweit die Energie-Optionen der Windows-Clients zentral verwalten. Group Policies würden sich anbieten, doch leider fehlt seitens Microsoft eine Implementierung.

Zufällig bin ich nun beim „googlen“  über die Seite http://www.energystar.gov/ gestoßen. Über einen weiterführenden Link landete ich dann bei http://www.terranovum.com dort wird ein entsprechendes Policy-Template inkl. Testsoftware und einem Installer zur Verfügung gestellt. Also heruntergeladen, probiert, geht!

Ich denke, daß Projekt ist ausgereift und sicherlich besser als irgendein GPO-Snippet, daß man aus irgendeinem Forum kopiert. Ich hoffe Ihr habt alle Freude daran.

Kürzlich bin ich über das nette Tool „copypwd“ gestolpert. Sofort kam mir die Idee, daß man damit möglicherweise ein dem unter Linux verfügbaren Programm „su“ ähnliches Tool bauen könnte.

Die Idee war, mit copypwd den Passwort-Hash des angemeldeten Benutzers (muss Administratorrechte haben) und den Passwort-Hash des Benutzers, der man gerne mittels „su“ werden möchte exportiert und dann den Passwort-Hash des angemeldeten Benutzers dem User „einpflanzt“, der man gerne werden möchte. – Das funktioniert relativ problemlos und konnte sehr schnell per Batch-Skripting realisiert werden.

Es stellte sich aber heraus, daß „copypwd“ nach Änderung des Passworts den Useraccount so veränderte, daß der User bei der nächsten Anmeldung sein Passwort ändern müsste. Deshalb habe ich dann noch ein kleines VB-Script geschrieben, welches dieses Attribut vom Useraccount wegnimmt.

Der Ablauf ist nun wie folgt:

Start von:
su.cmd [username] [programm to start for user „username“]

– su.cmd exportiert den Passwort-Hash vom User „username“ in ein Textfile
– su.cmd exportiert den Passwort-Hash vom angemeldeten User in ein Textfile
– su.cmd generiert ein Textfile im Format [username]:[hash vom angemeldeten User]
– su.cmd ermittelt die PID von lsass.exe und importiert dann den Passwort-Hash des angemeldeten Benutzers für „username“
– su.cmd startet copypwd-fix.vbs und entfernt „User must change password at next logon“ vom Useraccount „username“
– su.cmd startet das gewünschte Programm als User „username“
– su.cmd erzeugt die Datei copypwd.txt mit dem Original-Hash des Users „username“ und importiert diesen wieder
– su.cmd startet copypwd-fix.vbs und entfernt „User must change password at next logon“ vom Useraccount „username“

Somit ist es möglich als administrativer User unter Windows ein Programm mit dem Benutzeraccount eines anderen Users zu starten, ohne dessen Passwort zu kennen. Getestet habe ich das ganze bisher nur mit lokalen Benutzern.
Da copypwd auch im Sourcecode vorliegt, kann ein erfahrener Programmierer sicherlich ein schönes Programm bauen, welches die komplette Funktionalität von „su“ abbilden könnte.
Sicherlich fällt mir dazu dann auch ein nützliches Anwendungsbeispiel ein, für Ideen bin ich offen. Bin gespannt auf Eure Kommentare.
copypwd gibt es bei SystemTools.com
su.cmd und copypwd-fix.vbs sind an diesen Beitrag angehängt (su.zip)

Wie ich soeben noch herausfand haben sich schon einige Leute Gedanken zur sinnvollen Nutzung von copypwd gemacht, siehe hier auf dieser Seite windows-unattended.de.

NimbleX ist ein kleines schlankes Betriebssystem basierend auf Linux. Und damit es gleich losgeht, gibt es die benutzerdefinierte LiveCD online.

Man kann sich mit ein paar Klicks seine individuelle Live-CD zusammenklicken und downloaden.

Homepage
Eigene LiveCD

Ich bin heute über die Homepage von „Darkleo“ gestolpert. Dort gibt es viele brauchbare und vor allem kostenlose Tools – nicht nur für Admins, z.B.

DarkDesktop
bis zu 4 Virtuelle Desktops, like Linux

DarkShot2
Ein Screenshot-Tool mit über 1 Million Benutzer

Dir2Drive
Ordnern zu Laufwerken einbinden.

DARKSYSNATION
Systemmonitoring-Tool mit integriertem Webserver

DarkVisualRoute
Zeigt Visuell Internetrouten

DarkCryptX OpenPasswords
Mit OpenPasswords kann man fast jedes beliebige Passwort-Feld entschlüsseln.

DarkCryptX Enabler
Mit Enabler kann man fast jedes Element manipulieren.

DarkCryptX Lupe
Bildschirmlupe

Link: http://www.darkleo.com/

Heute bin ich auf ein weiteres gutes Programm zur Datenrettung gestoßen.

TestDisk wurde dafür konzipiert, verlorene oder versehentlich gelöschte Partitionen wiederherzustellen und nicht mehr bootfähige Festplatten wieder bootfähig zu machen.

Mehr dazu im Wiki von TestDisk. Dort gibt es auch eine deutsche Dokumentation.

Link:
TestDisk
TestDisk (deutsche Doku)

Ausgangslage
80GB Notebook Festplatte braucht ca. 20min um Windows XP zu booten und endet dann in einem Bluescreen. Während des Bootvorgangs sind seltsame Festplattengeräusche zu hören, wenn man mit dem Ohr ans Gerät geht. Eine neue Festplatte wurde bereits angeschafft (120GB)

Auftrag
System soll möglichst 1:1 wiederhergestellt werden, da wichtige Daten auf der Festplatte sind.

Durchführung

1. Platte in bestmöglichen Ausgangszustand bringen
   Festplatte mit Spinrite in Option 2 überprüft (Dauer 4 Tage). 2 defekte Sektoren konnten wiederhergestellt werden, aber es sind immer noch extrem viele sog. „unrecoverable“ Fehler auf der Festplatte vorhanden. S.M.A.R.T. hat schon die maximale Anzahl von Sektoren mittels Remapping umkonfiguriert. – Wir sind am Limit und haben nicht mehr viel Zeit. Ggf. sollte dieser Schritt übersprungen werden, da dabei die Festplatte endgültig den Geist aufgeben könnte!
2. Versuch die Festplatte mit Acronis TrueImage zu sichern
   Dieser Versuch schlug fehl, da Acronis mit defekten Festplatten nicht umgehen kann und sofort den Kopiervorgang stoppt.
3. Versuch Daten mit ddrescue zu kopieren
   Die alte und die neue Festplatte sollten elektrisch und datentechnisch an ein funktionsfähiges System angeschlossen werden. Man kann jedoch auch über Netzwerk etc. wegsichern, je nachdem was einem besser liegt.Booten mit Linux-Live-Cd (am besten sollte ddrescue schon enthalten sein).
   Ich habe das Ganze mit einer Kubuntu Live-CD gemacht und habe ddrescue nach Modifikation der sources.list
   (Universal Repos freischalten) live nachinstalliert.Beide Festplatten (alt und neu) sind am System angeschlossen.

   Die Eingabe von fdisk -l zeigt beide Festplatten im System an.
   Wichtig, die Geräte müssen als Device existieren. Von einer Festplatte, die nicht unter /dev/xxx gelistet ist kann man nichts mehr runterkopieren.

   Nun starten wir den Kopiervorgang mit ddrescue. Wichtig dabei ist, unbedingt ein Logfile anzugeben (welches natürlich idealerweise an einem externen Speicherort abgelegt werden sollte, weil über dieses Logfile jederzeit eine Abbruch/Pausieren des Kopiervorgangs möglich ist und eine Fortsetzung an genau der gestoppten Stelle möglich ist, z.B. notwendig, wenn man die defekte Festplatte immer mal wieder ausbauen und über Nacht in den Kühlschrank stellen muss.

   Hier die Hilfe von ddrescue

   GNU ddrescue – Data recovery tool.
   Copies data from one file or block device to another,trying hard to rescue data in case of read errors.

   Usage: ./ddrescue [options] infile outfile [logfile]
   Options:
   -h, –help display this help and exit
   -V, –version output version information and exit
   -b, –block-size= hardware block size of input device [512]
   -B, –binary-prefixes show binary multipliers in numbers [default SI]
   -c, –cluster-size= hardware blocks to copy at a time [128]
   -C, –complete-only do not read new data beyond logfile limits
   -d, –direct use direct disc access for input file
   -e, –max-errors= maximum number of error areas allowed
   -i, –input-position=

   starting position in input file [0]
   -n, –no-split do not try to split error areas
   -o, –output-position=
   starting position in output file [ipos]
   -q, –quiet quiet operation
   -r, –max-retries= exit after given retries (-1=infinity) [0]
   -s, –max-size= maximum size of data to be copied
   -t, –truncate truncate output file
   -v, –verbose verbose operation
   Numbers may be followed by a multiplier: b = blocks, k = kB = 10^3 = 1000,Ki = KiB = 2^10 = 1024,
   M = 10^6, Mi = 2^20, G = 10^9, Gi = 2^30, etc…Einige neuere Funktionen wie -d stehen erst in neueren Versionen von ddrescue zur Verfügung, wenn nötig eben halt selbst kompilieren.

   Ich habe bewusst -r0 gewählt, da ich ewige Leseversuche vermeiden wollte, damit die defekte Platte weitestgehendst geschont wird. Mit -d kann man den Kernel umgehen und direkt vom Gerät lesen, was u.U. auch bessere Ergebnisse bringt.

   Der Befehl könnte also ungefähr so aussehen:

   ddrescue -r0 -v -d -n /dev/sda /dev/sdb /mnt/usbstick/ddrescue.log

   /dev/sda = Quelle
   /dev/sdb = Ziel (in meinem Fall die neue Disk, könnte aber auch eine Datei sein z.B. target.img)
   /mnt/usbstick/ddrescue.log = Logfile auf externem USB-Stick

   Man kann nun jederzeit mit Ctrl+C den Kopiervorgang abbrechen und mit obigem Befehl wieder fortsetzen.

   Im Nachhinein muss ich sagen ist es besser als Ziel für den Kopiervorgang ein File auf einer anderen Festplatte anzugeben (nicht die neue Platte), damit man auf jedenfall eine Sicherungskopie der maximal lesbaren Daten als Datei hat. !!! Achtung, bitte beachten, die Festplatte auf die man in ein File sichert muss entsprechend große Dateien abkönnen! Da der Kopiervorgang sehr lange dauert kann man ggf. auch zur Laufzeit die Zieldatei komprimieren um Platz zu sparen.

   Nach ca. 72 Stunden war dann der Kopiervorgang abgeschlossen.

   Natürlich habe ich die neue Festplatte nicht sofort ins Notebook eingebaut und gestartet, sondern von der Kopie ein Acronis Image abgezogen.

Dann die Festplatte ins Notebook eingebaut und gebootet – Voila XP startet superschnell und ohne Probleme.

Anschließend ein

chkdsk /f C:

gefolgt von einem Reboot und nach ca. 20 Minuten chkdsk hatte ich ein lauffähiges System.

Ca. 12MB Daten konnten nicht gerettet werden, welche Dateien das auch immer waren.

Ich habe vom System dann die wichtigen Daten kopiert und trotzdem neu installiert, da nicht festgestellt werden konnte, welche Daten am System fehlten.

Ich hoffe diese Anleitung hilft irgendjemandem weiter, der sich ggf. in der gleichen Situation befindet.

Wichtigste Erkenntnis:
Es gibt immer eine Lösung und man muss viel Zeit haben!

Ich hatte heute ein Problem, daß bei einem Windows Server 2003 SP1 die geplanten Tasks nicht gestartet wurden.
Ich ging die Standardprozedur durch:

1. Unter welchem User läuft der Task, stimmt das Passwort? – OK
2. Stimmen die Einstellungen des Tasks (Zeitplan etc.)? – OK
3. Existiert das Skript/Programm, welches gestartet werden soll? – OK

Ich konnte mir lange nicht vorstellen, was das Problem ist, nach riesigen Analysen stellte ich dann folgendes fest:

Der Kunde hatte den USV-Dienst „UPS – UPSentry Service“ deaktiviert. Dadurch meinte Windows, der Rechner würde auf Akkubetrieb laufen.
Da bei den geplanten Tasks standardmässig die Haken gesetzt sind:

[x] Task nicht bei Akkubetrieb starten
[x] Task beenden, sobald der Akkubetrieb einsetzt

wurden die Tasks nie ausgeführt.

Temporär habe ich die Haken entfernt um die Tasks wieder zu aktivieren.
Eine Nachfrage, warum er den USV-Dienst deaktiviert hat ergab, daß dieser eine Memory-Leak hat. Demnächst wird die USV-Software aktualisiert und das Memory Leak beseitigt, dann kann wieder „Normalbetrieb“ hergestellt werden.