Archive for Juli 2006

externe USB-Platte als dynamischen Datenträger einrichten und per Softwarespiegelung verwenden

28 Juli 2006

Wenn man unter Windows Server 2003 eine Softwarespiegelung (RAID 1) einrichten möchte ist dies kein Problem: http://support.microsoft.com/kb/323432/de. Wenn allerdings eine Festplatte auf die gespiegelt werden soll als externes USB-Laufwerk vorhanden ist, dann scheitert es daran, dass Wechseldatenträger nicht in dynamische Datenträger umgewandelt werden können. Dies ist aber für das Einrichten der Spiegelung Voraussetzung.
Siehe Absatz mit „Portable computers and removable media“:
http://technet2.microsoft.com/WindowsServer/en/library/354e5163-f388-4354-984c-ea4e4206694c1033.mspx

Was kann man in so einem Fall tun? Man kann die externe USB-Platte an den Server oder einen beliebigen XP Rechner an einen internen IDE oder SATA Port hängen und dann in einen dynamischen Datenträger konvertieren. Wird die Festplatte anschließend wieder über das externe USB-Laufwerk am Server angeschlossen, erscheint diese in der Datenträgerverwaltung als dynamischer Datenträger mit einem Ausrufezeichen und dem Status Fremd. Klickt man nun mit rechts auf den Eintrag, kann man die Festplatte importieren und schon ist sie dem System bekannt und kann zur Spiegelung herangezogen werden.

Diese Methode ist nirgendwo von Microsoft dokumentiert, sollte also mit Vorsicht angewendet werden. Auch sollte man nicht gerade darüber die System und Boot-Partitionen absichern. Ebenso wäre es sinnvoll die USB-Festplatte mit einer USV zu versorgen, falls die Stromversorgung nicht über USB direkt reicht.

Ausführlicher KnowledgeBase-Artikel zu dynamischen Datenträgern: http://support.microsoft.com/kb/816307/de

Falls es Probleme mit der Einrichtung einer Softwarespiegelung geben sollte, kann es an kaputten Sektoren liegen: http://support.microsoft.com/kb/325615/de

Noch mehr zum Thema Festplattenmanagement findet man unter: http://technet2.microsoft.com/WindowsServer/en/library/214076bf-c210-4980-a29d-4dd784da471f1033.mspx

Advertisements

Probleme PDF Dateien direkt aus dem Internet zu öffnen

26 Juli 2006

 Auf einem XP Rechner konnten keine PDF-Dokumente mehr auf einer Webseite angeklickt und direkt geöffnet werden. Statt dessen musste man immer den Link mit der rechten Maustaste anklicken und „Ziel speichern unter“ auswählen. Nach dem Download konnte man öffnen anklicken und die PDF-Datei wurde korrekt angezeigt.

Das Problem ließ sich auch nicht durch Neuinstallation und Updates des Adobe Acrobat Readers beheben. Es wurde immer nur die Meldung angezeigt das die Datei nicht geöffnet werden konnte. In diesem Fall überprüft man dann die Dateierweiterungszuordnungen, diese waren aber alle korrekt. Auch die MIME Zuordnungen im Internet Explorer wurden überprüft und sahen korrekt aus.

Jetzt hatte der Rechner den Windows Journal Viewer installiert. Im Internet gab es auch einige Links wo auf Probleme zwischen PDF und Journal Viewer hindeuteten:

http://www.wer-weiss-was.de/theme17/article1962232.html
http://www.planetpdf.com/forumarchive/111031.asp

Vielleicht war es eine fehlgeschlagene Installation, aber die hätte sich eigentlich so äußern müssen:
http://support.microsoft.com/kb/815036/de

Auf jeden Fall lief der Acrobat Reader nach der Deinstallation des Windows Journal Viewers wieder ohne Probleme.

Fritzfax Fehlernummer 34E4-Ungültiger Inhalt im Nachrichtenelement

26 Juli 2006

Wenn man beim Versand eines Fax über Fritzfax und Auswahl einer Adresse aus dem Adressbuch die Fehlermeldung #34E4 bekommt, kann dies am Nummernformat liegen. Die Fehlermeldung kommt sofort wenn Fritzfax versucht die Leitung aufzubauen.

Urpsrung des Problems war ein Import von Daten aus Outlook ins Fritzadressbuch. Dabei wurden die Daten in der Form „+49 xxxxxyyyyyyyy“ übernommen, wobei xxxxx die Vorwahl mit Null(!) und yyyyyyy die eigentliche Faxnummer war.

Das Problem in der Form wurde auf einem Win98 Rechner mit neuester CAPI und neuester Fritzsoftwareversion festgestellt. Ein XP-Rechner mit dem selben Softwareversionsstand meldete korrekt die Fehlernummer 349C-Nummer hat ungültiges Format.

Intelligent Message Filter (IMF) beim Exchange Server 2003

24 Juli 2006

Bei der Durchsicht der LOG-Dateien eines Exchange 2003 Server unter SBS 2003, fielen mir die etlichen NDR-Einträge auf. Diese wurden nie bekannt da der Postmaster nicht eingetragen war (so wirds gemacht: http://support.microsoft.com/kb/313832/en-us).

Um einen besseren Überblick zu bekommen muss man aber zuerst das Nachrichtentracking aktivieren. http://support.microsoft.com/kb/821910/en-us. Danach wurde offensichtlich, dass bald im 10 Skundentakt NDRs erstellt wurden.

Es gibt NDR(None-delivery Reports)-Spams (http://support.microsoft.com/kb/886208/en-us) wo Nachrichten erzeugt werden, die bewußt nicht zugestellt werden können um dafür dann per NDR an jemand gesandt werden. Dieser jemand denkt eine versandte Mail wäre nicht angekommen und öffnet diese und schwupps öffnet sich die Werbung oder der Virus.

Da der Exchange Server mit Service Pack 2 versorgt war, ging ich davon aus, dass der Intelligent Message Filter diese Kandidaten herausfiltert. Aber dem war leider nicht so. Nach Rücksprache mit Anwendern meinten diese der Junk-E-Mail Ordner würde immer schneller voll und auch viele SPAM-Nachrichten kämen immer öfter ins Postfach. Also war einiges nicht in Ordnung.

Also ging es darum mal nachzusehen, was der IMF eigentlich so macht. Dazu fand ich auf der Seite http://www.msxfaq.net/spam/imf.htm eine schöne umfassende Erklärung und unter http://www.gotdotnet.com/workspaces/workspace.aspx?id=e8728572-3a4e-425a-9b26-a3fda0d06fee gab es das passende Programm, den IM Archiv Manager, um den SCL-Status einzelner Nachrichten genauer zu betrachten.

Dazu mußte aber unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Exchange\ContentFilter das DWORD ArchiveSCL angelegt und auf 1 gesetzt werden. Damit zu den archivierten Nachrichten dann der ermittelter SCL-Wert angezeigt werden kann muss noch unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Exchange das DWORD ContentFilterState angelegt und auf 1 gesetzt werden. Am Schluss noch den SMTP-Dienst neu starten, damit die Änderungen berücksichtigt werden können.

Bei den eintreffenden Mails wurde schnell klar das es nur sehr wenige sind die im IMF ausgefiltert werden. Das Verhältnis zwischen NDR und IMF gefilterten Mails lag bei 6:1. Das lag ganz einfach daran, dass der IMF nicht aktuell war. Durch obige Keys und Aufruf von Microsoft Update wurde auch gleich ein wichtiges IMF Update angezeigt. Weitere Infos zum IMF Update gibts hier: http://msexchangeteam.com/archive/2006/04/12/425060.aspx

Nun wurden deutlich weniger NDRs erstellt und es kamen mehr Mails im IM Archiv Manager an. Aber es war noch nicht optimal. Also wurde am Ende noch der Schwellenwert vom Gateway heruntergesetzt, damit mehr E-Mails als SPAM erkannt werden, ebenso wurde der Wert zur Zuordnung im Junk-E-Mailordner verringert um die E-Mails die durchs Gateway durchgingen und doch Spam-Mails waren im Junk-Mail-Ordner des Benutzers landeten.

DVD ISO/UDF brennen unter Vista

22 Juli 2006

Nachdem nun der Build 5472 von Windows Vista Beta 2 als Juli CTP erschienen ist, wollte ich diese natürlich auch ausprobieren. ISO heruntergeladen und dann? Normalerweise brennen, aber das System lief bereits unter Vista Beta 2 mit Build 5384 und hatte noch kein Brennprogramm drauf.

Wie brenne ich jetzt die Datei auf DVD? Vista kann zwar DVDs brennen aber halt nur Daten CDs aber keine ISO-Dateien. Das ist scheinbar gar nicht so einfach.

Auf der Suche nach einem Programm das läuft, wurde ich dann bei Nero fündig. Anscheinend gibt es Probleme mit Nero 7, also habe ich die Version 6.6.1.4 verwendet und siehe da, es funktionierte.

Zu beachten ist nur beim ersten Aufruf erscheint eine Meldung, dass ImageDrive nicht gestartet werden kann. Das braucht man aber zum Brennen von ISO sowieso nicht, also einfach nochmal „Nero Burning Rom“ aufrufen und es läuft.

Probleme mit direktem Öffnen von PPT oder PPS-Dateien aus Outlook Express

20 Juli 2006

Eine komische Geschichte hat sich mal wieder auf einem Kundenrechner zugetragen. Per E-Mail zugesandte Dateianhänge konnten nicht geöffnet werden.

Nun gibt es dafür massig Gründe, warum diese nicht geöffnet werden können, allerdings waren in diesem Fall genügend Rechte vergeben, damit es klappen muss. Auch war der Power Point Viewer 2003 auf dem Rechner installiert. Man konnte auch die Dateianhänge auf der Festplatte speichern und dann ohne Probleme öffnen.

Sobald man aber versuchte den Anhang durch Doppelklick der Büroklammer direkt zu starten, kam immer folgende Fehlermeldung:

Für diesen Vorgang ist keine Anwendung der angegebenen Datei zugeordnet. Erstellen Sie eine Zuordnung, indem Sie unter „Systemsteuerung“ auf „Ordneroptionen“ klicken.

Als Fenstertitel wird noch der Pfad und die Datei genannt um welche es geht. Schaut man nun also in den Ordneroptionen nach dann gibt es da die korrekte Verknüpfung von PPS zum Powerpoint Viewer. Muss es ja geben, sonst würde ja das Speichern und dann öffnen gar nicht funktionieren können.

Nun war mal wieder guter Rat teuer. Der nächste Versuch bestand darin alle möglichen Sicherheitseinstellungen zu prüfen, aber nichts.

Zum Schluss hab ich aber dann noch folgenden Link gefunden, der im Prinzip das Problem beschreibt. Es muss ein spezielles OPEN Verb hinzugefügt werden, da dies scheinbar von Outlook Express zum Öffnen der Anwendung herangezogen wird.

http://windowsxp.mvps.org/ppsopen.htm

Dabei war es allerdings so, dass trotz des korrekten Eintragens, immer noch Fehler angezeigt wurden. Erst nach mehrmaligem Überprüfen und vor allem des setzens von %1 in Hochkomma lief es dann. Natürlich muss auch der Pfad entsprechend angepaßt werden.

Einen Knowledge Base Artikel hab ich auf die Schnelle nicht gefunden.

Speicherdiagnose in Windows Vista

14 Juli 2006

Seither konnte man z. B. mit MEMTEST86 (http://www.memtest.org/) eine ISO-CD erstellen, von der man einen Rechner booten konnte und dann den im Rechner installierten Speicher testen.

Seit einiger Zeit gab es bereits von Microsoft unter http://oca.microsoft.com/en/windiag.asp das „Windows Memory Diagnostic“ Programm.

In Vista ist dieses Programm nun von Haus aus integriert und muss nicht extra geladen oder installiert werden. Man ruft einfach in der Eingabeaufforderung mit Admin-Rechten mdsched.exe auf. Danach frägt ein Dialog wann man den Speichertest durchführen möchte.

Nach einem Neustart, bevor der Bootscreen mit dem durchlaufenden Balken erscheint, wird nun ein Textbildschirm mit dem Fortgang des Tests angezeigt. Man hat auch die Möglichkeit verschiedene Optionen und die Anzahl der Testläufe einzustellen.

Die Ergebnisse werden nach dem anschließenden Hochfahren des Rechners unter Computerverwaltung\System\Ereignisanzeige\Anwendungs- und Dienstprotokolle\Microsoft\Windows\MemoryDiagnostics-Result angezeigt.

In der Beta2 Build 5384 mit der hier der Test gemacht wurde, funktionierte das aber noch nicht so richtig.

Desktop anzeigen Icon fehlt oder wurde versehentlich gelöscht

14 Juli 2006

Es kommt hin und wieder vor, das man im Eifer des Gefechts das „Desktop anzeigen“ Symbol in der Schnellstartleiste löscht. Falls das einem passiert, kann man dies aber ganz einfach wiederherstellen.

Dazu geht man ins Verzeichnis „%userprofile%\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch“ und legt dort die Datei „Desktop anzeigen.SCF“ mit folgendem Inhalt an:

[Shell]
Command=2
IconFile=explorer.exe,3
[Taskbar]
Command=ToggleDesktop

Die Datei kann mit Notepad erstellt werden, aber beim Speichern drauf achten, dass man „Alle Dateien“ und nicht *.TXT-Dateien auswählt.

unendliche Sicherheitswarnungen von Norton Antivirus Worm Protection

13 Juli 2006

Hin und wieder kommt es vor, dass man unendlich viele Sicherheitshinweise vom Norton Antivirus Worm Protection oder Norton Antivirus Internet-Wurmschutz bekommt und jedesmal gefragt wird, ob man die Aktion zulassen möchte oder nicht. Man wählt jedesmal Zulassen aus, aber die Frage kommt immer wieder.

Beispiele zu diesem Thema gibt es massig im Internet. Z. B. bei Problemen mit Skype oder mit EMule. Die häufigste Antwort lautet entweder Internet Worm Protection abschalten oder gleich Norton in die Tonne treten.
http://forum.meinskype.de/ftopic1414.html
http://board.protecus.de/t15667.htm

Symantec steuert zu dem Thema folgenden Knowledge Base Eintrag hinzu (Step 6):
http://service1.symantec.com/SUPPORT/INTER/navintl.nsf/
de_docid/20060214162931905
 mehr gab es leider nicht sinnvolles zum Thema bei Symantec.

Im aktuellen Fall hat sich folgendes herausgestellt:
Auf einem Rechner war Norton Antivirus 2005 installiert sowie KEN von AVM. Als eine E-Mail mit einem Virus von Norton erkannt wurde. Scheinbar muss dies den Status von KEN beim Norton Antivirus verändert haben. Seither war es für KEN erlaubt aufs Internet zuzugreifen, doch nun kamen ständig Sicherheitsmeldungen, ob man den Zugriff für KENCAPI.EXE, KENMAIL.EXE, KENPROXY.EXE, KENDNS.EXE usw. zulassen möchte. Nun sollte man das pro Programm einmal zulassen und es sollte funktionieren.

Dem war aber nicht so, die Meldungen kamen unendlich oft wieder und das explizite Zulassen zeigte keine Wirkung. Auch das Löschen der Programme aus den Optionen und neu Zuweisen brachte nichts.

Die Lösung des Problems war erst möglich nachdem KEN beendet wurde und dann noch die komischerweise weiterlaufende KENTBSVR.EXE von Hand beendet wurde. Danach wieder die Dateien aus der Programmsteuerungsliste entfernt und einzeln neu zugewiesen mit jedesmal Zulassen. Erst das hat es gebracht. Ein weiteres Indiz dass es klappt oder nicht klappt findet man bei Norton bei den Protokollen, wo dann dransteht welches Programm blockiert wurde, obwohl man Zulassen ausgewählt hatte.

Anzumerken wäre noch, dass selbst ein Neustart zwischendrin nichts gebracht hatte, weil KEN als Service läuft und somit nach dem Neustart schon wieder aktiv war, bevor man überhaupt bei Norton in der Programmsteuerung etwas ändern konnte. D. h. Norton reagiert erst sauber wenn das betreffende Programm nicht läuft. Im Grunde wäre das einfachste, wenn Norton ein Feedback geben könnte ob der Vorgang geklappt hat oder nicht.

CERTMGRD.DLL telefoniert nach Hause zu axload.to – oder die Plage BHO im Internet Explorer

9 Juli 2006

Ich hatte gestern wieder mal einen Rechner in den Fingern der teilweise komische Dinge im Internet Explorer machte. Laut Aussagen des Benutzers reagiert er nicht immer so wie erwartet.

Der Rechner läuft unter Windows XP mit SP2 und ist mit AntiVir von Avira ausgestattet. Alle Welt schwärmt immer von Antivir, warum kann ich nicht nachvollziehen. Erst kürzlich hatte ich einen Rechner überprüft da ließ sich Antivir ganz einfach über einen 16bit Loader aushebeln. Ausgehend von dieser Erfahrung bin ich gleich von Hand an die Sache rangegangen.

Zuerst habe ich mit AUTORUNS (http://www.sysinternals.com/Utilities/Autoruns.html) von Sysinternals geschaut, was alles geladen wird. Dabei war bei den Browser Helper Objects (http://en.wikipedia.org/wiki/Browser_Helper_Object) im Internet Explorer eine GUID als Name eingetragen. Diese Guid sorgte dafür das beim Start des Internet Explorers die DLL CERTMGRD.DLL aus dem System32 Verzeichnis geladen wurde.

Wie immer habe ich dann zuerst die Dateieigenschaften der C:\WINDOWS\SYSTEM32\CERTMGRD.DLL Datei angeschaut. Es gab aber keinerlei Dateiinformationen wie Hersteller Dateiversion oder sowas, die Größe der Datei war 36769 Bytes. Um schnell zu prüfen worum es in der DLL gehen könnte, ladete ich die DLL ins NOTEPAD, um vielleicht ein paar interessante Strings zu sehen.

Dabei stachen mir gleich die Einträge UPX0, UPX1 und UPX2 ins Auge, d. h. die DLL war mit dem UPX-Packer gepackt (http://de.wikipedia.org/wiki/UPX). UPX gepackte Dateien sind dafür bekannt oft Malware zu enthalten, also schrillten die Alarmglocken.

In der Regel schaut man nun in Google nach was der Dateinamen so hergibt, aber leider war nichts über CERTMGRD.DLL zu finden. Also war weiter Handarbeit angesagt.

Um nun aber besser verstehen zu können, was effektiv passiert, muss man die DLL entpacken. Dies geht genialerweise supereinfach mit dem PE Explorer von heaventools (http://www.heaventools.com/). Der PE Explorer von heaventools enthält ein Plugin für UPX gepackte ausführbare Dateien. Also nun die CERTMGRD.DLL im PE Explorer geöffnet, diese wurde gleich als UPX gepackt erkannt und entpackt. Danach konnte man sich das Programm im PE Explorer Disassembler anschauen. Aus den angezeigten Strings war auch nicht ersichtlich was der Sinn und Zweck des Programms sein sollte.

Eine Suche bei Google nach „&os=%s&wpa=%s&ag=%s&um=%s“ oder „1hp=steudf/ar“ brachte leider auch kein Ergebnis.

Langsam machte ich mich mit dem Gedankten vertraut, das Programm mit dem Disassembler nachzuvollziehen, wobei Assembler nun nicht gerade meine Spezialdisziplin ist, um genauer zu sein ich damit seit Jahren nichts mehr am Hut habe. Man programmiert heutzutage ja in C#.

Komischerweise war da noch ein Eintrag Webprefix und irgendwie hab ich den gegoogelt wobei ich eigentlich irgendeinen API-Aufruf erwartet habe. Aber siehe da, es kam folgendes zu Tage: http://www.google.de/search?q=webprefix.

Das war nun ja eine ganz klare Sache! Die meisten Angaben aus der Beschreibung von Symantec trafen zu: http://www.symantec.com/avcenter/venc/data/adware.webprefix.html

Scheinbar gibt es auch ein paar Variationen: http://www.pestpatrol.com/spywarecenter/pest.aspx?id=453097743
http://www.pestpatrol.com/spywarecenter/pest.aspx?id=453098087
Wobei sich letztere Variante mit dem Registrierungseintrag einen Sinn ergeben könnte:

In der Registrierung stand unter Webprefix anstatt „02266 – ROUTE4FREE“ „21907 – translator“.  Vielleicht ist dies der Hinweis über welches Programm der Rechner infiziert wurde.

Die Firma die scheinbar die Daten sammelt ist hier zu finden: http://www.global-netcom.de/. Auch wurde Global Netkom schon in der ct‘ genannt: http://www.heise.de/newsticker/meldung/mail/44545.

Jetzt wollte ich nachprüfen, ob die Angaben noch zutreffen, dass eine Seite axload.to im Internet kontaktiert wird und von dort Daten nachgeladen werden. Also wurde ethereal (http://www.ethereal.com/) auf den Rechner installiert. Nach einem Neustart wurde als erstes Etherreal aufgerufen und das Packet Capture aktiviert. Nun öffnete ich den Internet Explorer und gab http://www.microsoft.com/ als Startseite ein. Danach hab ich noch die Paketanzahl die gecaptured wurde beobachtet und hab noch etwas gewartet, bis nichts mehr gecaptured wurde und hab dann den Internet Explorer geschlossen.

Tatsächlich fand sich nun in Ethereal die Kontaktaufnahme zur Seite axload.to dort wurde dann http://axload.to/update/version.htm?id=guid&wid=21907&re=4&os=WinXP,SP2&wpa=translator&
ag=Mozilla/4.0%20(compatible;…)&um=A
 aufgerufen. Als Antwort bekam man ein 49152Byte großes Paket zurück, welches scheinbar verschlüsselt ist.

Bei http://www.bitdefender.com/VIRUS-201500-en–Trojan.Downloader.6588.E.html ist nochmal der genaue Vorgang beschrieben. Wenn es stimmt dass die nachgeladenen Daten wieder ausführbarer Code ist, wovon man eigentlich fast ausgehen muss, dann gibt es unendlich Möglichkeiten den Rechner des Benutzers oder den Benutzer selber zu manipulieren.