Samoth

Die Frage ist auch abseits meines Threads zu verstehen Passt schon. Letztlich weiß man ja eh nie, ob man sich mit einer verseuchten Umgebung verbindet oder nicht. Na mal sehen, ob ich die Tage/Wochen noch ein paar verlässlichere Informationen bekomme.

Bei dem ganzen Thema lasse ich die Exploits in dieser(!) Betrachtung mal außen vor. Da steckt man nicht drin und muss zuschauen, dass die Software eben aktuell gehalten wird. Ne, dem Kunden unterstelle ich jetzt mal nichts. Geht um die generelle Möglichkeit mit Bordmitteln rüber zu uns zu springen und da Daten abzugreifen oder gar den Rechner in unserem Netz fernzusteuern. Ich höre aus den Behauptungen heraus, dass wir den Zugriff zum Kunden per Citrix nach Möglicheit abschaffen sollten, weil man sonst auf unsere Rechner zugreifen kann :-> Das klingt btw. interessant! Was meinst du damit? Und mal eine andere Frage an der Stelle: Bin ich einem Kunden der seine Citrix-Umgebung nicht aktuell hält hilflos ausgeliefert? Kann ich da meinerseits nichts tun außer die Verbindung völlig zu unterbinden oder dem Receiver/App per GPO Features wegzunehmen?

Schon alleine dafür gibts ein Danke. Danke! Ich schau mal, ob mir da noch mehr Informationen zur Verfügung gestellt werden können. Am Ende hab ich das bloß alles falsch verstanden

Haha - Danke der Nachfrage! An dem Punkt waren wir auch schon. Bisher habe ich nur Folgendes bekommen - aber da steht zumindest mal "Citrix" drin https://www.businessinsider.de/politik/deutschland/hacker-legen-uniklinik-duesseldorf-lahm-staatsanwaltschaft-ermittelt-wegen-todesfall-einer-patientin/ Naja und es gab noch die Aussage, dass Citrix mächtig wäre und man da sehr viel möglich machen könnte. Nur falls es noch nicht so rüberkam... Ich möchte an der Stelle auch mal sagen, dass ich das ganze auch skeptisch sehe und alles andere als überzeugt davon bin, dass man einfach mal so mit Citrix dieses Bedrohungsszenario aufbauen kann.

Moin zusammen, Ich müsste vll. mal eine Skizze machen und sie hier anhängen :-D Ich baue ja die Verbindung per Citrix Workspace App von meinem Firmen-Notebook bzw. Firmen-VM auf. Diese Maschinen sind in unserem Netz und haben erst mal nichts mit dem Kunden zu tun. Von einer dieser VMs springe ich dann über die Citrix-App rüber zum Kunden auf eine seiner VMs die für uns zum Arbeiten bereitgestellt wurde. Erst von dieser VM aus erreiche ich seine Systeme, usw. Die Behauptung war nun folgende: Wenn ich über die Citrix-App mit dem Kunden verbunden bin, könnte man von dort zurück auf mein Firmen-Notebook bzw. meine Firmen-VM zugreifen, um dort Daten abzugreifen. Wir haben auf unseren Systemen einen Remote-Desktop-Manager. Daraus wurde dann ein Bedrohungsszenario gemacht: Man könnte dann rückwärtig auf diesen RDM zugreifen und somit ja wieder auf andere Kundensysteme und -daten.

Hallo zusammen, gleich der Disclaimer: Ich habe absolut keine Idee von Citrix und den zu nutzenden Fachbegriffen. Aber ich habe da was aufgeschnappt und da es hier immer wieder Diskussionen zu Citrix gibt, hoffe ich hier eine Erklärung zu finden. Seht mir also nicht eindeutige Formulierungen nach Um es hoffentlich ein wenig besser verständlich zu machen, hier die Geschichte dazu: Wir supporten Kunden im Umfeld SAP. Dabei greifen wir bei einigen wenigen Kunden per Citrix Receiver (heißt ja nun anscheinend Workspace App) auf einen dort befindlichen Rechner zu über den wir dann wiederum auf weitere Systeme kommen. Ich selbst kann die Verbindung von meinem Notebook oder von meiner VM aus aufbauen. Nun wurde uns vor einigen Tagen gesagt, dass diese Art des Zugriffs hochgradig riskant ist, weil sich die Gegenseite (Kunde selbst, ein dort befindlicher Hacker, usw.) auf die Maschine verbinden könnte von welcher ich die Session geöffnet habe. Wie das nun im Detail funktionieren soll und ob ich etwas davon mitbekomme, hab ich noch nicht raushören können. Wenn sich diese Person nun also zu uns verbinden kann (sozusagen Fernsteuerung rückwärts), hätte sie ja Zugriff auf meinen Desktop, die Tools, usw. und somit auch sensible Daten. Na jedenfalls soll nun bei den Kunden die uns per Citrix Zugriff gewähren nachgefragt werden, ob man nicht einen Site to Site VPN-Tunnel aufbauen könnte. War das verständlich? Was sagt ihr zu diesem Bedrohungsszenario? Ist das so machbar und ist das dann wirklich so riskant? Viele Grüße und Danke Samoth

Hallo und Danke dir für deine Hilfe! Leider nicht :-/ Habe damit auch schon längere Zeit zugebracht. Das wäre ja ein dicker Hund! Ich habe allerdings nicht nur den Sprung auf 2004, sondern auch auf Vorgängerversionen versucht. Letztlich bin ich mit dem User nun so verblieben, dass wir uns irgendwann ab Oktober an eine Neuinstallation machen. Ich werde aber vorher definitiv - gerade wg. deiner Info - noch mal den Sprung über das Inplace-Upgrade versuchen. Grüße Samoth

Moin zussammen, viel los, daher lag das Thema mal auf Eis. Ja. Habe keinen gefunden. @chrismue Info: Ich bin nun mal mit 18xx ISOs an die Sache herangegangen - gleiches Verhalten. Grüße Samoth

Gestern gecheckt, keinerlei Einträge :-/ Habe auch noch ein bisschen Malware-Prüfung gemacht - erfolglos. Telemetrie prüfe ich noch. Muss mir wieder Zugang auf die Maschine verschaffen.

Habe mir das gestern noch mal angesehen und über den Link lande ich letztlich auch beim Media Creation Tool. Nein. Denke aber das würde schon funktionieren. Die Neuinstallation (dann mit Win10) ist die letzte Lösung, da ich ich dann (eine nicht unerhebliche Anzahl) Programme neu installieren und Daten migrieren müsste... muss Da schau ich noch mal nach. Evtl. ist der Lizenzkey auf dem Rechner anders als der im Windows. Wie dem auch sei: Ich vergleiche mal. Hm, mache ich immer so, weil ich angenommen habe, dass er dann bei jedem Run neu Daten aus dem Netz lädt. So habe ich die 4 GB einmal und kann Ruckzuck einen neuen Anlauf starten. Ich denke das Ergebnis wird letztlich das gleiche sein. Bin heute noch nicht dazu gekommen weiter an der Sache zu forschen. Gibts denn iwo noch konkrete Infos zu den Ursachen dieser Meldungen: MOUPG ProductKey: Failed to report Host OS channel to telemetry. CallPidGenX: PidGenX function failed on this product key. Kann man das Upgrade-Tool auch in einer Art Verbose-Modus starten? Ja, es hat wohl was mit dem Key zu tun und das ist eben ist "gefailed". Aber was ist die Ursache? :-D Sofern sich da nichts mehr tut, wird es wohl eine Neuinstallation auf einer neuen SSD werden. Dankeschön an euch mal wieder! Samoth

Ich habe das Media Creation Tool von Microsoft geladen und darüber das 2004-ISO erzeugt. Das entpacke ich und führe daraus die Setup.exe aus, um ein bestehendes Windows zu aktualisieren. Ist das in dem Fall, also Basis Windows 7, die falsche Vorgehensweise?

Ja hallo , mit deinem ersten Satz bringst du mich auf eine Idee! Am Ende geht es deswegen nicht? Die Maschine kam vorinstalliert mit Windows 7 Professional, ja. Und es ist das Image von HP. Ich habe von der Maschine noch eine DB-Sicherung und ein Image mit Acronis gezogen. 1909 haben wir auch schon gestestet - erfolglos. Wobei ich erst seit heute tiefer in die Analyse gestiegen bin. Evtl. versuche ich es auch noch mal mit dem Image... oder einem noch älteren? Ich würde das gerne mal komplett offline machen, aber da ich das Upgrade im Moment leider nur per TeamViewer machen kann, geht das nicht. Habe deswegen mal die ausführende "SetupHost.exe" in der Windows Firewall geblockt und einen weiteren Lauf gestartet. Jetzt findet sich zusätzlich im Log noch die Info, dass keine Internetverbindung aufgebaut werden konnte. Die Meldung mit der Lizenz ist dennoch vorhanden.

Hallo zusammen, ich scheitere derzeit am Upgrade von Windows 7 SP1 (Windows Updates sind aktuell) auf Windows 10 (2004). Im Log "setuperr.log" finde ich (sorry für die schlechte Formatierung): ############################################################################################################################################## 2020-08-06 14:36:31, Error MOUPG CSystemHelper::CheckConnectedStandby(642): Result = 0x80070057 2020-08-06 14:36:43, Error CallPidGenX: PidGenX function failed on this product key. (hr = 0x8a010101) 2020-08-06 14:36:43, Error MOUPG CDlpActionProductKeyValidate::ReportDownlevelInstallChannel(3274): Result = 0x8A010101 2020-08-06 14:36:43, Error MOUPG ProductKey: Failed to report Host OS channel to telemetry. 2020-08-06 14:36:55, Error CallPidGenX: PidGenX function failed on this product key. (hr = 0x8a010101) 2020-08-06 14:36:56, Error CallPidGenX: PidGenX function failed on this product key. (hr = 0x8a010001) 2020-08-06 14:37:17, Error CSI 00000001 (F) STATUS_OBJECT_NAME_NOT_FOUND #10# from Windows::Rtl::SystemImplementation::DirectRegistryProvider::SysQueryValueKey(flags = 0, key = 6c0 ('\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion'), vn = [l:25 ml:26]'CurrentMajorVersionNumber', kvic = 2, kvi = 2, disp = 0)[gle=0xd0000034] 2020-08-06 14:37:17, Error CSI 00000002 (F) STATUS_OBJECT_NAME_NOT_FOUND #9# from Windows::Rtl::SystemImplementation::CKey::QueryValue(flags = 0, kn = [l:63]'\Registry\Machine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\', vn = [l:25 ml:26]'CurrentMajorVersionNumber', ic = KeyValuePartialInformation, info = {l:0 b:}, disp = 0)[gle=0xd0000034] 2020-08-06 14:37:17, Error CSI 00000003 (F) STATUS_OBJECT_NAME_NOT_FOUND #38# from Windows::Rtl::SystemImplementation::DirectRegistryProvider::SysQueryValueKey(flags = 0, key = 6c0 ('\REGISTRY\MACHINE\SYSTEM\Setup'), vn = [l:7 ml:8]'Compact', kvic = 2, kvi = 2, disp = 0)[gle=0xd0000034] 2020-08-06 14:37:17, Error CSI 00000004 (F) STATUS_OBJECT_NAME_NOT_FOUND #37# from Windows::Rtl::SystemImplementation::CKey::QueryValue(flags = 0, kn = [l:31]'\Registry\Machine\SYSTEM\Setup\', vn = [l:7 ml:8]'Compact', ic = KeyValuePartialInformation, info = {l:0 b:}, disp = 0)[gle=0xd0000034] 2020-08-06 14:37:17, Error CSI 00000005 (F) STATUS_OBJECT_NAME_NOT_FOUND #45# from Windows::Rtl::SystemImplementation::DirectRegistryProvider::SysQueryValueKey(flags = 0, key = 698 ('\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion'), vn = [l:11 ml:12]'BuildBranch', kvic = 2, kvi = 2, disp = 0)[gle=0xd0000034] 2020-08-06 14:37:17, Error CSI 00000006 (F) STATUS_OBJECT_NAME_NOT_FOUND #44# from Windows::Rtl::SystemImplementation::CKey::QueryValue(flags = 0, kn = [l:63]'\Registry\Machine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\', vn = [l:11 ml:12]'BuildBranch', ic = KeyValuePartialInformation, info = {l:0 b:}, disp = 0)[gle=0xd0000034] 2020-08-06 14:37:23, Error CSI 00000007 (F) STATUS_OBJECT_NAME_NOT_FOUND #78# from Windows::Rtl::SystemImplementation::DirectRegistryProvider::SysQueryValueKey(flags = 0, key = 6b0 ('\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts'), vn = [l:21 ml:22]'Arial Nova (TrueType)', kvic = 2, kvi = 2, disp = 0)[gle=0xd0000034] 2020-08-06 14:37:23, Error CSI 00000008 (F) STATUS_OBJECT_NAME_NOT_FOUND #77# from Windows::Rtl::SystemImplementation::CKey::QueryValue(flags = 0, kn = [l:69]'\Registry\Machine\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Fonts\', vn = [l:21 ml:22]'Arial Nova (TrueType)', ic = KeyValuePartialInformation, info = {l:0 b:}, disp = 0)[gle=0xd0000034] ############################################################################################################################################## Es ist eine einzelne HP Workstation Z2230 mit aktiviertem Windows 7 Professional. Das Upgrade versuche ich über ein frisch geladenes Windows 10 ISO, welches ich mit dem Media Creation Tool von MS geladen habe. Was habe ich bisher versucht: - Kaspersky deinstalliert - Msconfig und alles was nicht OS-relevant ist deaktiviert - Autostart ist leer - sfc /scannow - dism soweit unter Win7 möglich - BIOS-Update - Installation als lokaler "Administrator" - Unnötige Dienste (SQL-Server,...) deaktiviert Leider ist die Kiste voll mit Software die ich nicht unbedingt neu installieren will Aber diese Basis ist sicher auch irgendwo die Ursache für das Verhalten. Derzeit bin ich ratlos. Was meint ihr? Grüße Samoth

Danke dir! Das Witzige ist ja, dass man im Anschluss bei Google oft recht viele Treffer zu dem bearbeiteten Thema findet. Hier ja auch. Hab schon mal gespitzt, aber eine wirkliche Lösung gibts keine bzw. habe noch keine gefunden. Der Bekannte hier ist auch sehr... interessiert Habe auf dem Desktop eine Datei gefunden, die den "God Mode" unter Windows aktiviert. Die Sau wird ja immer mal durchs Internet getrieben und die kommt ja nicht von selbst auf die Kiste. Da muss man ja wirklich ein wenig Arbeit reinstcken. Beim darauf Ansprechen wusste er natürlich nichts von dieser Datei Keine Idee, ob er sich bei seinem ganzen Ausprobieren auch wie dein Kunde selbst ein Ei gelegt hat.

Hallo zusammen, also ich denke, ich habe die Ursache gefunden - 100%ig verstehe ich es aber noch nicht. Der Termin gestern vor Ort brachte noch einige Erkenntnisse, weil ich nicht über den TeamViewer schaffen musste und so auch schneller hin und her springen konnte. Na gut, sei es drum. Hier mein Lösungsweg: Nach jedem Restart und dem Öffnen des Testordners mit PDFs und JPGs fiel mir im Task Manager (Sortierung CPU) neben dem Leerlaufprozess noch eine "dllhost.exe" mit ca. 12 % CPU-Nutzung auf. Während also der grüne Balken lief, habe ich den Prozess mal gekillt und - Zack - waren die Bildvorschauen da. Leider war auch die dllhost nach dem Ab- und Anmelden wieder da. Das Verhalten mit dem Killen ließ sich aber verlässlich reproduzieren. Ich habe dann über den Process Monitor mal nur diese PID verfolgt - nahzu keine Akitivät. Erst nach einigen Minuten wurde mal was angezeigt, das mir aber nicht weiter half. Dann weiter mit dem Process Explorer, dort mal die PID gesucht und geschaut was die macht. Dazu im Anhang ein Screenshot. Die dllhost (oder COM Surrogate) hatte sich auf eine mkv-Datei auf dem Desktop eingeschossen. Ich habe dann mal alle Handles auf diese beiden mkv-Einträge geschlossen. Das Problem war damit nicht gelöst. Als dann im Anschluss noch alle weiteren Handles der auf die anderen Files geschlossen - keine Lösung. Schade. Also mit dem Holzhammer drauf und einfach die Datei löschen... ging nicht. Erst als ich den dllhost-Prozess abgeschossen hatte, konnte ich auch die mkv-Datei löschen. Ja und was soll ich sagen? Danach wurden auch die ganzen Vorschauen wieder sauber aufgebaut. Ich denke das Ganze ist insofern nachvollziehbar, dass ich zumindest mal keine Neuinstallation durchführe und auch keine neue SSD einbauen werde. Ich muss heute noch einen Umzug von Window 7 auf 10 durchführen. Aber vll. setze ich mich später noch mal hin und schmeiße zu dem Thema COM Surrogate und mkv Google an. Euch auf jeden Fall vielen Dank für den Support und noch ein separates Thank you an Mr. Russinovich für die immer wieder hilfreichen Tools Schönes Wochenende und Grüße Samoth

Moin zusammen, das Upgrade habe ich gewählt, weil es eh selbstständig durchläuft. Half aber alles nichts, der Ladebalken tritt immer noch auf. Morgen fahre ich mal hin und führe am Gerät die Dell-Diagnose durch. Habe den guten Mann schon darauf vorbereitet, dass wir noch eine neue SSD bestellen und darauf das Windows frisch machen. Als IT-Interessierter ist es für mich aber schon schade, dass ich wohl nicht herausfinden werde, was denn nun eigentlich die Ursache ist. Grüße Samoth

Da bin ich auch völlig bei dir. Hatte eigentlich eine automatische Sicherung über SyncToy geplant, die hat sich aber mehrfach verhakt. Letztlich blieb dann nur das manuelle Kopieren übrig. Gut, die Daten sind jetzt soweit alle gesichert. Aktuell läuft das Upgrade auf 2004. Mal sehen was morgen dabei herauskommt. Ich hab ihn aber schon vorgewarnt, dass es vielleicht auch ein langes Wochenende werden könnte

Ja, stimmt. Aber - Achtung - das letzte Backup ist von 2019. Ich spare mir gerade die Sprüche bei ihm Wir sitzen momentan mit dem Fernwartung zusammen und kopieren händisch alle Daten. DAS wiederum geht ohne jegliche Probleme. Kein Zucken, keine Verzögerung, etc.

Wie kann ich denn eine SSD auf Fehler checken? Ich wollte jetzt eine Komplettsicherung des Rechners machen, aber das zieht sich ewig. Selbst als Administrator zieht es sich. Ich hab mit HDTunePro und Samsung Magician die SSD geprüft, finde aber keine Fehler. Trotzdem werde ich das Gefühl nicht los, dass die SSD vll. ein Problem haben könnte?

War missverständlich. Der Screenshot war von vor der Änderung. Ich habe die Haken rausgenommen und danach neu gestartet. Meintest du das so? Danach hatte ich z. B. auch kein WinRAR mehr im Rechtsklick-Menü. Sollte demnach funktioniert haben.

Ich hab im Autoruns die MS-Einträge ausblenden lassen und den Rest komplett deaktiviert - leider ohne Erfolg. Ich sichere gerade mal die privaten Daten und stoße dann ein Upgrade auf Windows 2004 an.

Werde ich heute Abend mal prüfen. Grundsätzlich reizt es mich schon die Ursache und Lösung zu finden

Damit habe ich in der Tat auch schon versucht schlauer zu werden und bin mit dem Filter auf den Windows-Explorer Prozess gegangen, aber vergeblich. Da passiert war was, aber zumindest ich erkenne keine Ursache. Über den Weg bin ich auch auf den Icon Cache gekommen. Wie würdest du da vorgehen? Hab das eben mal bei mir angeworfen und da gibts an meinem eigenen Rechner einige Einträge. Welche würdest du deaktivieren?

Guten Morgen zusammen, ich befasse mich an einem Windows 10 Notebook gerade mit einem Problem: Öffnet man einen beliebigen Ordner (Ansicht: große Symbole) mit Bildern oder PDFs, läuft der grüne Ladebalken im oberen Teil des Fensters ewig und es werden seit ca. einer Woche keine Vorschaubilder angezeigt. Der Balken läuft auch immer weiter nach hinten, kommt aber nicht an. Mir ist gestern beim Testen aufgefallen, dass man dieses Spiel auch auf andere Ordner (Ansicht: Details) übertragen kann, sobald der Vorgang oben mal gestartet wurde. Im Anhang findet sich auch ein Beispiel. Was habe ich bisher ohne Erfolg gemacht: - Neustart - chkdsk - sfc /scannow - SSD SMART-Check - Windows Updates - Virenscanner deinstalliert - Msconfig: alle Nicht-MS Dienste und im Autostart alles deaktiviert - Iconcache geleert (del %userprofile%\AppData\Local\Microsoft\Windows\Explorer\*) Der User arbeitet als Standarduser. Wenn ich das Ganze mit der Administrator-Anmeldung durchführe, habe ich das Problem nicht. Ich schätze, dass es mit einem neuen User auch nicht auftritt. Aber noch möchte ich keinen neuen User anlegen und die Daten umziehen. Habt ihr vll. noch eine Idee was ich da unternehmen könnte? Grüße + Danke Samoth

Sorry - wollte mit "Sysprep" jetzt keine Verwirrung stiften Das Office-Thema ist erst mal erledigt. Wenn die Lizenzen von Amazon da sind, wird das installiert. Sysprep beschäftigt mich gerade in anderer Weise. Suche gerade schon mal hier im Board, ob ich was dazu finde. Danke euch!