HP Geräte Bluescreen WDF_VIOLATION nach Windows 10 Update

Die Fälle von Windows 10 Bluescreens häufen sich derzeit bei Geräten von HP. Aufgetreten ist dieser bei mir schon bei HP EliteDesk 400/800 G4

Als Stop-Fehler wird jeweils WDF_VIOLATION ausgegeben.

Gemäss kurzen Recherchen hängt dies mit einem HP Tastaturtreiber zusammen der nicht kompatibel mit dem Oktober Update von Windows 10 ist.

Die schnellste Möglichkeit einen solchen Computer wieder zum starten zu bewegen ist, diesen Treiber HpqKbFiltr.sys aus dem Ordner C:\Windows\System32\drivers\ zu entfernen bzw. umzubennen.

Kurzanleitung:

  1. Recovery Modus öffnen.
  2. Weitere Optionen
  3. Eingabeaufforderung
  4. Auf die Windows Partition zugreifen.
    1. Diese ist meist auf C: D: oder E: gemountet.
    2. Durch Eingabe von C: <ENTER> und anschliessendem dir <ENTER> kann geprüft werden ob dort ein Windows Verzeichnis und somit eine Windows Installation vorhanden ist. Wenn kein Windows Ordner vorhanden ist, diesen Schritt mit D: oder E: erneut durchführen bis Sie die Partition gefunden haben.
  5. > cd Windows\system32\drivers
  6. Datei HPqKbFiltr.sys unbennen: >  ren HPqKbFiltr.sys HPqKbFiltr.sys.old
  7. exit
  8. Neustarten

Der Anruf eines vermeintlichen Microsoft Mitarbeiter aka Scammer

Heute Nachmittag hat mich auf meinem privaten Festnetzanschluss ein Anruf von «Microsoft» erreicht.

Der Herr hat mir in englischer Sprache erklärt, dass mein Computer von einem Trojaner befallen sei und ein schwerwiegendes Problem für mein ganzes Netzwerk bestehe sowie die Lizenz meines Windows gesperrt wurde.

Da dachte ich mir, ich spiele mal mit und startete meine Windows 7 Hyper-V VM. Der «nette» Supportmitarbeiter wies mich Schritt-für-Schritt an, den Eventviewer zu öffnen. Ich leistete Folge und wie auf jeder Windows Installation üblich, fanden sich tatsächlich einige Warn- und Fehlermeldungen.

Die Banden welche diese Betrugsmasche anwenden gehen recht professionell zu Werke, nach Angabe der Systemsprache konnte dieser mich wortgenau durch die deutsche Windows 7 Installation lotsen.

Nun wurde mir angeboten, meine Probleme durch ihn weiter analysieren zu lassen, dazu soll ich ein kleines («Microsoft») Tool von einer Webseite herunterladen. Ich folgte brav seinen Anweisung und lud von der SupRemo Webseite den entsprechenden Client herunter. Ähnlich wie beim bekannten Teamviewer muss dem Supporter eine ID und ein Passwort mitgeteilt werden, was ich auch tat. Er übernahm also die Kontrolle über meine VM und erklärte mir, was er alles tat. Er zeigte mir in der Systemkonfiguration die Dienste, welche den Status beendet tragen, dies sei sehr problematisch, da es sich dabei um Sicherheitsfunktionen handle. Weiter öffnete er den Zertifikatsmanager und präsentierte mir ein im Jahr 2000 abgelaufenes Microsoft Root Zertifikat welches in jeder (zumindest Windows 7) Installation noch in den vertrauenswürdigen Stammzertifizierungsstellen liegt. Dies sei meine Microsoft Windows Lizenz welche aufgrund meines verseuchten Computers ausgelaufen sei und erneuert werden müsse.

Nun installiert der Scammer zu meiner Überaschung noch einen Teamviewer. Dieser laufe bei meiner sehr langsamen Internetverbindung besser (Die VM war durch mich vorgängig auf 1 Mbit/s Up- und Download gedrosselt).

Das gesamte Telefonat fand in Englisch statt, wir hatten eigentlich keine Probleme mit der Verständigung. Jedoch hat er mir meine Computerprobleme, die Auswirkungen und die Begriffserklärungen für mich im Google Translate in English verfasst und on-the-fly ins deutsche übersetzen lassen. Nun gut. Er erklärte mir die Begriffe Trojaner, Spam, Junk etc.

Da die Internetverbindung immer noch nicht schneller wurde bat er mich, doch meine anderen Computer oder Tablets etc. auszuschalten, diese seien auch sehr gefährdet und ebenfalls infiziert. Auch soll ich mein Handy ausschalten, ich kam dieser bitte nach.

(Was er aber nicht wusste, mein Festnetztelefon ist auf das betreffende Handy umgeleitet, ich folgte natürlich trotzdem seinen Anweisungen, was die telefonische Verbindung unterbrach. Ich solle mein Handy wieder einschalten lies er mich schriftlich bitten. Ich lasse ihn aber erstmal 5-10 Minuten warten… und genehmige mir mal eine Tasse Kaffee.)

Kaum ist das Handy wieder eingeschaltet, hat er sofort wieder angerufen und ich entschuldigte mich für meinen Fauxpas.

Nun gings ums Geschäftliche. Ich bekam die Info, dass seine Dienstleistung, die Bereinigung und die Lizenzaktivierung für zwei Jahre, CHF 15.00 kosten würde. Als Zahlungsmöglichkeiten bot er mir Kreditkarte, E-Banking oder iTunes Geschenkkarte an. Auf Nachfrage ob iTunes denn nicht von Apple sei, kam ein Nein, Microsoft betreibe iTunes im Auftrag von Apple. Als Beweis legte er mir die Suchergebnisse von Begriff iTunes von microsoft.com vor.

Nun gut. Ich nahm das mal erstaunt zur Kenntnis.

Da ich angegeben habe, keine Kreditkarte und kein E-Banking zu besitzen, blieb aus seiner Sicht nur noch eine Möglichkeit übrig. Aus meiner Sicht bot ich ihm noch den Versand per Couvert mit der Post an, dies lehnte er jedoch nach einigen Sekunden Überforderung ab, dies sei zu unsicher.

Ich solle doch in einem Kiosk die iTunes Karten im Wert von CHF 500.00  kaufen, er werde mir dann die restlichen 485.00 auf mein Bankkonto zurück überweisen. Es sei leider so, dass die 500.00 von der «Company» ein Minimalbetrag sei.

Nun verhandelte ich mit ihm auf 150.00 Sfr. Da ich angab nicht mehr in meiner Brieftasche mitzuführen.

Nach einer Abklärung beim «Manager», gab er mir grünes Licht, ich solle die Karten im Wert von 150.00 holen gehen. Ich lies ihn im glauben dies zu tun. Er nahm in dieser Zeit keinerlei Aktionen auf meinem Computer vor.
Er fragte nur von Zeit zu Zeit per Translate «Sir, are you back?» Nach einer guten halben Stunde, schrieb ich mal «Yes sir»zurück. Augenblicke später klingelte das Telefon, was mich zur Annahme bringt, dass er tatsächlich eine halbe Stunde damit verbrachte meinen Bildschirm zu beobachten.

Ich solle die zwei Codes (1x 50, 1x 100) doch bitte ins Browserfenster tippen. Leider ging aber gerade dann meine Tastatur scheinbar «defekt». Nun wurde er ungeduldig. Er hatte mit mir immerhin schon über eine Stunde Beschäftigung. Er wollte die Codes nun per Telefon übermittelt erhalten. Leider wusste ich bis dato nicht dass alle iTunes Codes mit X beginnen, er jedoch schon… Hörbar genervt fragte er mich ob ich die Karten denn wirklich habe. Dies habe ich mit einem einfachen und ehrlichen «No.» beantwortet. Seine Gefühlslage spiegelte sich nun in seiner Stimme nieder. Während er mich noch telefonisch zutextet, erstellte er mit dem Tool syskey ein Boot Passwort. Ich konnte nur noch herzlich lachen, ich fragte ihn was er da versuche, er sei in einer VM und könne absolut keinen Schaden anrichten. Da er anscheinend nicht verstanden hat was ich ihm sagen wollte, lies ich ihn mal weitermachen. Er wollte nun noch einen drauf setzen. Er hat im Taskmanager den explorer.exe Prozess beendet und ging davon ausging dass ich jetzt total verloren wäre. Er wünschte mir noch viel Spass mit meinem defekten System. Ich zeigte ihm noch kurz wie schnell ein solcher Prozess wieder gestartet ist. Er beendete darauf hin äusserst genervt unser für mich sehr amüsantes Telefonat und verabschiedete sich von meinem Computer.

Was ich noch nicht erwähnt habe, er hat zum Beweis seiner Zugehörigkeit zu Microsoft eine Teamviewer Session von meinem Rechner zu seinem getätigt. Diese ID war dann nach seinem Verbindungsabbruch noch drin. Mein Verbindungsversuch zu seinem Desktop wurde aber leider entdeckt bevor ich seine Eingaben blockieren konnte. Darauffolgende Versuche wurden irgendwann durch die DoS Protection von Teamviewer unterbunden.

Ich raubte ihm durch diese Aktion mehr als eine Stunde seiner Zeit und hoffe dass er dadurch vlt. ein oder zwei Opfer weniger Scammen konnte…

VMware ESXi auf HPE Gen 10

Bei der Installation eines neuen HPE ML350 Gen10 Servers mit der » HPE Custom Image for ESXi 6.5U2 Install CD» vom 29.05.2018 trat folgende Fehlermeldung auf:

Nach etwas Recherche bin ich auf das folgende HPE Advisory gestossen:

https://support.hpe.com/hpsc/doc/public/display?docId=emr_na-a00029615en_us

Kurz zusammengefasst:

HPE hat es geschafft, die Treiber für folgende Netzwerkadapter (welche auch bei Servern ab Stange verbaut werden) die Treiber nicht ins Custom Image zu packen:

  • HPE Ethernet 10Gb 2-port 568FLR-MMSFP+ Adapter
  • HPE Ethernet 10Gb 2-port 568FLR-MMT Adapter
  • HPE Ethernet 1Gb 2-port 368FLR-MMT Adapter
  • HPE Ethernet 1Gb 4-port 369i Adapter
  • HPE Ethernet 1Gb 2-port 368i Adapter
  • HPE Ethernet 10Gb 2-port 568i Adapter

Der von HPE vorgeschlagene Workaround, die Installation des 6.5 U1 oder den einbau einer «supporteten Netwerkkarte»  habe ich nicht versucht.

Ganz untem im Advisory ist der Link zum i40e Netzwerktreiber. Diesen habe ich dann wie folgt in das HPE Custom Image for ESXi 6.5U2 integriert umd den Server normal per ISO Image installieren zu können:

  1. Download des HPE Custom Image for ESXi 6.5U2 Offline Bundle von der VMware Webseite.
  2. Download des Intel i40e Treibers von der HPE Seite: https://support.hpe.com/hpsc/swd/public/detail?swItemId=MTX_d92aaccbb0954cc2a17f102da51
  3. Download und Installation von VMware PowerCLI von der VMware Webseite.
  4. Ein Verzeichnis erstellen: z.B. C:\temp
  5. Den Download von der VMware Seite nach C:\temp verschieben (nicht entpacken!)
  6. Den Download des Treibers von der HPE Seite entpacken wir soweit, dass wir das ZIP File mit dem Namen xxxx_offline-bunde_xxx.zip erhalten und verschieben dieses nach C:\temp.
    Das Verzeichnis sollte nun so aussehen:
  7. Nun starten wir die Powershell mit dem PowerCLI Modul, am einfachsten über das neue Icon, welches nach der PowerCLI Installation erschienen ist.
  8. Wir fügen das Original-Image in unser Software-Depot hinzu:
  9. Wir klonen nun dieses Image und geben diesem klon einen Namen:
  10. Nun nehmen wir auch noch den i40e Treiber in unser Software-Depot auf:
  11. Wir fügen nun unserem ImageProfil das i40e Treiberpaket hinzu:
  12. Nun können wir dieses Profil in eine ISO Datei exportieren:
  13. Wenn wir uns die ISO Datei ansehen, sehen wir das nun der NET_I40E.V00 im Image enthalten ist:
  14. Nun läuft auch das Setup des Gen10 Servers mit VMware 6.5.0 U2 problemlos durch.

Ich hoffe der Blog Beitrag wird bald obsolent, und HPE schafft es, den Treiber in einem zukünftigen Update selber einzubinden.

Exchange 2013 Setup – Fehler: RSAT-Clustering-CmdInterface

Bei der Installation von Microsoft Exchange Server 2013, Kumulatives Update 1 (CU1) erhielt ich folgende Fehlermeldung:

Der angegebene Technet-Artikel ist leider nicht verfügbar …

Zur Lösung des Problems muss ein Feature installiert werden:

  1. Server-Manager öffnen
  2. Rollen und Features hinzufuegen
  3. Weiter bis zum Tab: Features
  4. Hacken unter Remoteserver-Verwaltungstools > Featureverwaltungstools -> Failoverclustering-Tools > Failovercluster-Befehlsschnittstelle setzen.
  5. Installation starten
  6. Beim Exchange Setup auf Wiederholen klicken.

P.S. Die Warnungen betreffend Filter-Packs können ignoriert werden, dies ist ein Bug der Installationsroutine, die Packs werden gar nicht benötigt!