Archive for November 2012

Rechner geht einfach nach Anzeige von “Starting Windows” aus

27 November 2012

Ein cooler Fall mit simpler Lösung. Ein Rechner hatte direkt nach dem Einschalten irgendeine BIOS-Fehlermeldung mit Richtung CPU Error stehen. Die Idee war, Prozessorlüfter macht Probleme oder einfach zu viel Dreck im Rechner. So genau lässt es sich nicht mehr nachvollziehen, weil per Telefon und beiläufig beredet.

Der Rechner wurde vom Kunden sauber gemacht und überprüft, optisch war alles in Ordnung. Allerdings ließ er sich maximal in den abgesicherten Modus unter Windows 7 starten. Ein erzwungener Normalstart von Windows war nicht möglich. Da hochwertige Hardware von Intel, Asus usw. verbaut war, lag wie so oft die Vermutung an kaputter Festplatte. Also CHKDSK per Fernwartung in einfacher Form probiert und half nichts. In verschärfter Form auch nicht, aber der Rechner lief dabei ohne Probleme den ganzen Tag und widmete sich Stunde um Stunde um die Überprüfung der Festplatte, eine Seagate Momentus XT 500GB.

Nachdem der Rechner also nicht lief, die Festplatte offensichtlich in Ordnung war, wurde versucht von einer Windows 7 Installations-CD zu booten. Doch jetzt kommts: Auch beim Start von der Installations-CD dasselbe Bild wie davor. Zuerst steht “Starting Windows” die Windows Startanimation mit den vier Kugeln, wo zum pulsierenden Fenster werden, beginnt, läuft und pulsiert. Zum gefühlten Zeitpunkt wo der Anmeldebildschirm erscheinen sollte: AUS. Der Rechner hatte sich einfach abgeschaltet.

OK, Profis werden nun einwenden, dann sag halt einfach dem System, dass es bei Systemfehlern den Bluescreen darstellen soll. Aber das hatte das System auch nicht interessiert. Es ging immer einfach aus, bzw. je nach BIOS-Einstellung in den LastState, also im Zweifel hat es, nach kurzem innehalten, wieder von vorne angefangen zu booten. Die neueste BIOS-Version war schon drauf und auch ein zurücksetzen der BIOS-Einstellungen auf Default-Werte brachte nichts.

Schock, gibt es denn sowas, ein Gerät welches nicht von der Installations-CD booten kann?

In diesem Thread http://answers.microsoft.com/en-us/windows/forum/windows_7-system/windows-7-wont-boot-past-starting-windows-screen/0e7bd971-9646-4384-96b7-0e10535662be berichteten Leute über teilweise ähnliche Probleme, da war die Rede von kaputten oder leeren BIOS-Batterien. Im aktuellen Fall eher unwahrscheinlich, denn der Rechner ist gerade mal zwei Jahre alt. OK bevor man nun alle Dinge einzeln durchprobiert, könnte man vielleicht noch ein CMOS-Reset probieren. Unglaublich, das wars!! Danach startete er, wie wenn nichts gewesen wäre.

[Update]
Leider hat es sich im Nachhinein herausgestellt, dass obige Lösung nur eine vordergründige Lösung war. Erst als zusätzlich noch das Netzteil durch ein neues Netzteil ersetzt wurde lief der Rechner vollends ohne Probleme. Davor kam es je nach Auslastung wieder zu den Reboots.

Advertisements

Windows 8 DLNA bzw. Play To Probleme analysieren

15 November 2012

Wie in einem vorhergehenden Artikel schon beschrieben, ist Windows 8 mit Geräten, auf die mittels des Geräte-Charms gestreamt werden soll ziemlich wählerisch. https://newyear2006.wordpress.com/2012/09/19/dlna-probleme-unter-windows-8-weil-nicht-fr-windows-zertifizert/

Geräte mit denen es im Prinzip immer klappt sind XBox 360, Windows 7 und natürlich Windows 8. Wer nun näheres herausfinden möchte, benötigt dazu die passenden Tools. Zum Glück gibt es ein Open Source Project welches einen mit den passenden Tools versorgt, um Probleme nachvollziehen zu können. Von der Seite http://opentools.homeip.net/dev-tools-for-upnp wählt man den MSI-Installer und bekommt eine Handvoll Programme installiert. Mit diesen kann man prima Probleme analysieren und herumspielen.

Eine genauere Beschreibung warum nun ein Gerät als Microsoft Zertifiziert auftaucht und warum nicht, beschreibt ein späterer Artikel.

Corel Paint Shop Pro macht Probleme

12 November 2012

Beim Starten von Corel Paint Shop Pro IX kam es auf ein Mal zu einem “Buffer overflow”. Danach beendete sich PSP immer. Der Grund war nicht klar. Der Rechner als solches war in Ordnung und zeigte keine Auffälligkeiten. Beim Programmstart lädt PSP jede Menge Plugins aber es gibt scheinbar keine Methode die Plugins beim Programmstart zu umgehen.

Lediglich beim Drücken der SHIFT-Taste erscheint eine Meldung, dass verschiedene Einstellungen zurückgesetzt werden. Aber dies brachte im konkreten Fall auch nichts. Bei der Suche fiel dann das Verzeichnis C:\USERS\<Benutzer>\AppData\LOCAL\Corel ins Auge.

Dort gibt es eine Image.DB. Laut diesem Artikel kann man diese löschen: http://corel.force.com/index/articles/en_US/Master_Article/762111-Paint-Shop-Pro-Photo-freezes-on-Updating-cache-settings?retURL=%2Findex%2Farticles%2Fen_US%2FMaster_Article%2F762111-Paint-Shop-Pro-Photo-freezes-on-Updating-cache-settings&popup=false&lang=en_US&articleId=kA060000000Kzhg

Siehe da, danach funktionierte das Programm wieder.

Kryptische Gerätenamen in der Windows Ereignisanzeige auflösen und dem passenden Gerät bzw. Laufwerksbuchstaben zuordnen

10 November 2012

Häufiger kommt es vor, dass man bei Problemen in der Windows Ereignisanzeige einen Eintrag findet wie z. B.:

Bei einem Auslagerungsvorgang wurde ein Fehler festgestellt. Betroffen ist Gerät \Device\Harddisk3\DR3.

Diese perfekten, genauen Angaben! Einfach wunderbar. Wenn man nun aber mehrere Laufwerke an einem Rechner, physikalisch und virtuell hat, dann wird die Sache schnell kompliziert.

Leider gibt es nicht eine einfache Lösung mit Bordmitteln. Powershell mit WMI gibt leider zu wenig Infos her. Man benötigt ein Programm Namens WinObj von Sysinternals: http://technet.microsoft.com/en-us/sysinternals/bb896657

Damit sucht man unter dem Ordner GLOBAL?? in der Spalte SymLink den obigen Eintrag für \Device\Harddisk3\DR3 und findet in meinem Fall unter der Spalte Name den Eintrag PhysicalDrive3.

Mit Physicaldrive3 geht die Suche nun mittels Powershell weiter.

gwmi win32_diskdrive

listet alle physikalischen Laufwerke auf und

gwmi win32_diskdrive | where deviceid -eq "\\.\PHYSICALDRIVE3"

findet den gesuchten Eintrag. In meinem Fall kam dann

Partitions : 1
DeviceID   : \\.\PHYSICALDRIVE3
Model      : QNAP iSCSI Storage SCSI Disk Device
Size       : 1408743705600
Caption    : QNAP iSCSI Storage SCSI Disk Device

zu Tage. Damit wusste ich endlich, dass das Problem von einem QNAP NAS herrührte. Aber es gab mehrere QNAP NASse. Also welches wars?

Mittels

gwmi win32_diskdrivetodiskpartition | where Antecedent -match "DRIVE3"

wurde weitergefahndet, welches dieses Ergebnis brachte:

__GENUS          : 2
__CLASS          : Win32_DiskDriveToDiskPartition
__SUPERCLASS     : CIM_MediaPresent
__DYNASTY        : CIM_Dependency
__RELPATH        : Win32_DiskDriveToDiskPartition.Antecedent="\\\\VERONIKA7\\root\\cimv2:Win32_Dis
                   \\\\\.\\\\PHYSICALDRIVE3\"",Dependent="\\\\VERONIKA7\\root\\cimv2:Win32_DiskPar
                   k #3, Partition #0\""
__PROPERTY_COUNT : 2
__DERIVATION     : {CIM_MediaPresent, CIM_Dependency}
__SERVER         : VERONIKA7
__NAMESPACE      : root\cimv2
__PATH           : \\VERONIKA7\root\cimv2:Win32_DiskDriveToDiskPartition.Antecedent="\\\\VERONIKA7
                   iskDrive.DeviceID=\"\\\\\\\\.\\\\PHYSICALDRIVE3\"",Dependent="\\\\VERONIKA7\\ro
                   artition.DeviceID=\"Disk #3, Partition #0\""
Antecedent       : \\VERONIKA7\root\cimv2:Win32_DiskDrive.DeviceID="\\\\.\\PHYSICALDRIVE3"
Dependent        : \\VERONIKA7\root\cimv2:Win32_DiskPartition.DeviceID="Disk #3, Partition #0"
PSComputerName   : VERONIKA7

Nun nimmt man obiges Ergebnis und speichert es für eine weitere Abfrage

$dp = gwmi win32_diskdrivetodiskpartition | where Antecedent -match "DRIVE3"
gwmi win32_logicaldisktopartition | where Antecedent -eq $dp.Dependent | select Dependent

Mittels dieser letzten Abfrage erhält man dann

\\VERONIKA7\root\cimv2:Win32_LogicalDisk.DeviceID="S:"

Somit hat man endlich den NT Gerätenamen aus dem Eventlogeintrag in einen sinnvollen Namen zugeordnet. Übrigens war hier Laufwerk S: ein Sicherungslaufwerk, welches nur noch 200MB Platz hatte. Aber das ist eine andere Geschichte.

Hier was zu NT Gerätenamen: http://msdn.microsoft.com/en-us/library/windows/hardware/ff557722(v=vs.85).aspx und hier eine etwas bessere Beschreibung: http://support.microsoft.com/kb/235128

Dann gäbe es noch das DOSDEV.EXE welches ich früher schon mal unter https://newyear2006.wordpress.com/2006/11/25/ermitteln-des-zugehorigen-laufwerksbuchstaben-zu-geratenamen/#comment-21354 beschrieben habe. Bin mir aber nicht sicher ob dies unter 64Bit noch läuft.

In Microsoft Security Essentials MSE Version 4.1 ist ein heftiger Bug enthalten der viele Virenjäger schocken wird, alle jemals gefundenen Virenfunde werden mit aktuellem Datum und Uhrzeit angezeigt!

9 November 2012

Der MSE ist dafür bekannt unaufgeregt seinen Dienst im Hintergrund zu verrichten. Er mag nicht für alle Fälle der beste oder schnellste Virenscanner sein aber er funktioniert in der Regel recht gut. Seit Ende September steht die Version 4.1 bereit, welche über den üblichen Updatemechanismus verteilt wird. http://support.microsoft.com/kb/2754296/en-us und http://www.microsoft.com/en-us/download/details.aspx?id=5201.

Allerdings gibt es einen heftigen Bug in der Software. Sobald man unter Verlauf die unter Quarantäne gestellten Elemente anschauen möchte um einen Überblick zu bekommen, wann ein Virus auf dem System erkannt wurde, wird einem schnell der Angstschweiß auf die Stirn treiben. Denn alle Eintragungen werden immer mit dem aktuellen Datum und Uhrzeit angezeigt!! Wenn man eine Minute wartet und auf die Startseite und wieder auf den Verlauf zurückwechselt, steht wieder die aktuelle Zeit dran. Traurig.

Auf einem MSE mit Version 4.0.xx ist alles ok. Aber das beschriebe Problem zeigt sich bei Version 4.1.522.0 unter Windows 7 x64 mit SP1. Wie kann die Version festgestellt werden? Oben rechts bei Hilfe gibt es einen Pfeil nach unten wo man “About Security Essentials” anklicken kann. Wie kann man die Sache selber testen? Ganz einfach mittels EICAR-Testvirus: http://www.eicar.org/86-0-Intended-use.html.

Das Problem könnte mit der Änderung die unter Punkt 6 hier http://innovation.connect.microsoft.com/mseprerelease/Thread/View.aspx?ThreadId=8116 aufgeführt ist zusammenhängen.

Windows 8 benutzt die gleiche Technologie mittels Windows Defender ist aber von diesem Problem (noch) nicht betroffen. Die aktuelle Version dort ist auch noch 4.0.