PsTools – Remoteadministration von Windows Rechnern per Kommandozeile

Ich habe häufiger das Problem, dass sich ein Benutzer an einem WindowsXP Rechner nicht richtig abmelden konnte. Als Resultat daraus ergibt sich ein blauer Bildschirm (kein Bluescreen) wo zwar der Mauszeiger noch bewegt werden kann, aber ansonsten keinerlei Aktionen mehr möglich sind. Sofern eine Person vor Ort an dem Rechner gearbeitet hat, kann diese ihn einfach neu starten. Wenn der Rechner aber am anderen Ende der Stadt steht und nur per VNC oder RDP bedient wurde, besteht diese Möglichkeit nicht.

In so einer Situation konnte ich mir schon mehrfach damit helfen den winlogon Prozess über das Netzwerk zu beenden.  Dieser Prozess wird dann vom Betriebssystem automatisch neu gestartet und die Anmeldemaske erscheint wieder. Dazu haben sich die kostenlosen PsTools von Microsoft gut bewährt.

Drei Aufrufe von diesen kleinen Helfern möchte ich hier kurz vorstellen.

psinfo – zum Anzeigen von allgemeinen Rechnerinformationen

C:PsTools>psinfo \192.168.0.50 -u benutzername -p kennwort

PsInfo v1.75 - Local and remote system information viewer
Copyright (C) 2001-2007 Mark Russinovich
Sysinternals - www.sysinternals.com

System information for \192.168.0.50:
Uptime:                    Error reading uptime
Kernel version:            Microsoft Windows XP, Multiprocessor Free
Product type:              Professional
Product version:           5.1
Service pack:              3
Kernel build number:       2600
Registered organization:   privat
Registered owner:          privat
Install date:              20.12.2006, 16:48:15
Activation status:         Error reading status
IE version:                Unknown
System root:               C:WINDOWS
Processors:                2
Processor speed:           2.1 GHz
Processor type:            Intel(R) Core(TM)2 CPU          6400  @
Physical memory:           3070 MB
Video driver:              NVIDIA RIVA TNT2 Model 64/Model 64 Pro

C:PsTools>

psview – zum Anzeigen von laufenden Prozessen

C:PsTools>pslist \192.168.0.50 -u benutzername -p kennwort
pslist v1.28 - Sysinternals PsList
Copyright ® 2000-2004 Mark Russinovich
Sysinternals

Process information for 192.168.0.50:

Name                Pid Pri Thd  Hnd   Priv        CPU Time    Elapsed Time
Idle                  0   0   2    0      0     8:24:14.296     0:00:00.000
System                4   8  59  342      0     0:00:07.671     0:00:00.000
smss                660  11   3   19    168     0:00:00.046     4:17:19.684
csrss               708  13  14  493   1740     0:00:08.046     4:17:18.262
winlogon            732  13  16  553   6844     0:00:06.937     4:17:17.215
services            776   9  17  332   4172     0:00:01.859     4:17:16.575
lsass               788   9  24  448   4044     0:00:01.281     4:17:16.559
svchost             972   8  19  243   2692     0:00:00.140     4:17:16.137
svchost            1036   8  11  330   1932     0:00:04.234     4:17:15.950
svchost            1124   8  59 1186  14016     0:00:06.390     4:17:15.872
svchost            1248   8   6   91   1276     0:00:00.109     4:17:15.840
svchost            1284   8  15  275   2040     0:00:00.234     4:17:15.794
Iap                1536   8   6  126   1272     0:00:02.812     4:17:15.294
MDM                1584   8   4   88    900     0:00:00.031     4:17:15.278
nvsvc32            1636   8   3  106   2152     0:00:00.062     4:17:15.231
svchost            1656   8   2   60    956     0:00:00.031     4:17:15.215
snmp               1716   8   5  197   1392     0:00:00.937     4:17:15.184
uphclean           1804   8   2   37    612     0:00:00.031     4:17:15.137
winvnc             1864   8   4   96   1068     0:00:00.140     4:17:15.106
searchindexer      1984   8  20  928  21704     0:00:11.937     4:17:15.044
alg                 340   8   6  107   1116     0:00:00.015     4:17:09.028
spoolsv            1452   8  12  250   8264     0:00:01.343     4:17:00.106
explorer            272   8   8  353  12156     0:00:08.234     4:16:17.375
rundll32            392   8   1   34   2148     0:00:00.031     4:16:13.652
Spark              1076   8  33 1076  48468     0:00:07.453     4:16:13.559
ctfmon              636   8   1   67    832     0:00:00.078     4:16:13.559
hardcopy           1420   8   2   34   1152     0:00:00.203     4:16:13.143
WindowsSearch      1412   8  11  243   6012     0:00:00.250     4:16:13.004
wmiprvse           2608   8  17  272   3072     0:00:01.171     4:15:55.890
FIREFOX            2824   8  15  247 100332     0:09:14.937     4:15:49.402
thunderbird        3456   8  12  280  20640     0:00:13.250     4:14:39.881
CATALOG            3392   8   2  226  60324     0:00:37.343     3:18:40.899
javaw              3356   8  15  334  87676     0:01:04.437     3:17:56.990

C:PsTools>

pskill – zum Beenden von Prozessen

C:PsTools>pskill \192.168.0.50 -u benutzername -p kennwort winlogon
PsKill v1.12 - Terminates processes on local or remote systems
Copyright (C) 1999-2005  Mark Russinovich
Sysinternals - www.sysinternals.com
>Process winlogon killed on 149.201.90.203.
C:PsTools>