Windows 8.1 per Remote Session (RDP) neu starten

Standard

Ein kleiner Tipp für alle, die sich wie ich öfter mal per RDP mit Windows Clients und Servern verbinden:

Ich suchte mir gerade einen Wolf, um in einer RDP-Session den Host neu zu starten. Unter Windows 7 etc. ist dies im Startmenü über den Punkt „Windows-Sicherheit“ erreichbar, dieser bringt einen zumindest auf den Logon-Screen, auf dem man sich mit dem Button unten rechts den PC herunterfahren oder neu starten kann:

screenshot.3

screenshot.5

In Windows 8.1 (und wahrscheinlich auch Windows 8) sieht dies etwas anders aus, hier scheint es den Punkt „Windows-Sicherheit“ nicht mehr zu geben. Rechtsklick auf den Start-Button zeigt uns zwar den Menüpunkt „Herunterfahren oder Abmelden“, welcher aber in einer RDP-Session die Punkte „Herunterfahren“ und „Neu starten“ nicht zeigt. Zum Glück wusste Dr. Google hier Bescheid: Man setzt den Focus in das Fenster der RDP Session auf den Desktop und drückt die althergebrachte Tastenkombination <Alt> <F4>  – diese öffnet den Herunterfahren-Dialog von Windows, und zwar auch innerhalb der RDP Session.

screenshot.1

Dieses Kürzel funktioniert übrigens offenbar in allen Windows-Versionen identisch, weswegen es wohl doch ein besserer Weg ist, als über den Punkt „Windows-Sicherheit“ unter Win 7 und vorherige Versionen. Die Oldies unter uns (wie ich) dürften diesen Shortcut eigentlich schon aus DOS-Zeiten kennen – im Laufe der Jahre war er bei mir in Vergessenheit geraten… Altes Wissen, neu erlernt!

wetter.com verteilt Schadsoftware

Standard

Der bekannte Wetterdienst wetter.com ist aktuell in den Schlagzeilen: Beim Besuch der Seite ist man der Gefahr ausgesetzt, von Malware infiziert zu werden. Bei uns in der Firma habe ich seit gestern 2 infizierte PCs gehabt: Direkt beim Besuch der Seite wetter.com (bzw. wurden beide über Google-Suchergebnisse dort hin geleitet) wurde ein Banner vor die Anzeige gelegt, das Windows-System wäre aus Sicherheitsgründen blockiert worden, weil es durch den Besuch von Seiten mit infizierten und pornografischen Inhalten an eine „kritische Grenze“ angekommen sei. Unten wird ein „Bezahlen und runterladen“ Button angezeigt, der einem zur Zahlung eines Betrages auffordert, um das System wieder „freizuschalten“. Das Banner wird so vor die Anzeige gelegt, dass kein weiteres Arbeiten möglich ist; <Alt><Tab> und Taskmanager funktionieren nicht mehr.

Sowohl unsere Symantec Endpoint Protection, als auch verschiedene Offline-Virenscanner (von der c’t Desinfec’t CD) konnten den Virus trotz aktueller Signaturen NICHT entfernen. Im Forum von www.trojaner-board.de habe ich verschiedene Beiträge zu dem Ding bzw. seinen Artverwandten gefunden. Im Endeffekt hat mich dieser Beitrag mit Hinweis auf eine gefakete Datei „SkypePM.exe“, die im Ordner C:\Dokumente und Einstellungen\<User>\Lokale Einstellungen\Anwendungsdaten\Skype liegen könnte, auf die richtige Spur gebracht. Also flink im abgesicherten Modus gestartet, mit Autoruns unter „Logon“ den Eintrag im HKCU Zweig des kompromittierten Users ausfindig gemacht, gelöscht und die entsprechende Datei vernichtet. Neustart, zack, anschliessend einmal Malwarebytes durchlaufen lassen, welcher auch tatsächlich nichts mehr fand. Anschliessend eine Rundmail durch die Firma, dass wetter.com derzeit unter allen Umständen zu meiden ist.

Möchte nicht wissen, wie viele wetter.com Besucher sich diesen Mist aufgeladen haben…