Premetto che la ritengo una gran cagata… e completamente inutile, visto che i log NON HANNO ALCUN VALORE PROBATORIO!

Ma visto che dobbiamo adeguarci… cerchiamo di farlo a COSTO ZERO!

Io ho risolto (sto risolvendo) così:

Installo rsyslog con logging su file sul logserver

Su un server linux CentOs 5.*

Salve a tutti,
a volte la presenza dei suggerimenti che windows da quando si passa con il mouse su file ed icone può essere fastidioso.
Una soluzione sta nel disabilitare tale funzione.
Per farlo occorre copiare il seguente testo in un file chiamato:
disabilita_infotip.reg


Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
“ShowInfoTip”=dword:00000000


ed eseguirlo.

Riavviare il pc e le info non compariranno più.
Per rimettere tutto a posto come prima:


Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
“ShowInfoTip”=dword:00000001


Spero vi sia utile.
Saluti

La cosa che sopporto meno in assoluto è la MALEDETTA Guida in Linea.
Tutte le volte che voglio cliccare su Start -> Esegui… sbaglio e clicco su guida in linea…
Grrr…

Per eliminarla:
Copiare il seguente “codice” in un file chiamato NoGuidaInLinea.reg ed eseguirlo

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
“NoStartMenuHelp”=dword:00000001

Spero sia di aiuto.
Saluti

Il File già Pronto è qui: noguidainlinea_menustart1

Oggi ho avuto un bel problema con AVG 8.
Appena aprivo IE o Firefox compariva il messaggio:
avgnsx ha causato un errore. L’applicazione verrà chiusa.
Appena cliccato su “non inviare” non riuscivo più a navigare.
Nè con ie nè con firefox.
Anche facendo telnet su un qualsiasi sito non riuscivo a collegarmi.

Per risolvere ho re-installato avg in modo “personalizzato” e non ho installato il componente link checker

Oggi ho deciso di ripulire un po’ il dominio.
Ho scritto uno script che permette di
creare un report e/o di spostare gli account e/o di disattivare gli account
che non eseguono l’accesso al dominio (owa compresa) da un tempo
superiore a un numero di giorni
settabili a piacere.
Se può esservi utile, lo allego di seguito.
E’ uno script VBS
Saluti a tutti
Maurizio Proietti

‘Option Explicit
‘On Error Resume Next

‘—— SCRIPT CONFIGURATION ——
‘Creo un report? (si/no)
CreaReport = “si”
‘Dove creo il report?
ReportFolder = “\\fs3\SW_PKG\ScriptGestione\Report\”
‘ReportFileName = year(now())&”_”&month(now())&”_”&day(now())&”.txt”
ReportFileName = year(now())&”_”&month(now())&”_”&day(now())&”.csv”

‘Sposto gli account UTENTE nella OU definita + sotto? (si/no)
MoveUsersAccount = “si”
‘Sposto gli account COMPUTER nella OU definita + sotto? (si/no)
MoveComputersAccount = “no”

‘Dove sposto gli account utente inattivi
MoveUsersToOU = “OU=Users,OU=z_InactiveAccount,DC=prvprato1,DC=local”
‘Dove sposto gli account macchina inattivi
MoveComputersToOU = “OU=Computers,OU=z_InactiveAccount,DC=prvprato1,DC=local”

‘Disabilito gli account? (si/no)
DisableUsersAccount = “si”
DisableComputersAccount = “no”

‘Quanti giorni di inattività occorrono per spostare gli account e di conseguenza cancellargli la posta? (deve essere >= 15)
InactiveDaysToMoveAccounts = 90

‘Quanti giorni di inattività occorrono per disabilitare gli account? (deve essere >= 15)
InactiveDaysToDisableAccounts = 45

‘Dove ricerco
strDomainDN = “CN=Users,DC=prvprato1,DC=local”

’strDomainDN = “DC=prvprato1,DC=local
’strDomainDN = “CN=test3,CN=Users,DC=prvprato1,DC=local”
’strDomainDN = “OU=Users,OU=z_InactiveAccount,DC=prvprato1,DC=local”
’strDomainDN = “DC=prvprato1, DC=local”

‘ —— END CONFIGURATION ———

‘Option Explicit

‘——–   Cerco e scrivo il lastLogonTimeStamp x utenti ———————

Const OPEN_FILE_FOR_APPENDING = 8

Dim objRootDSE, adoConnection, adoCommand, strQuery
Dim adoRecordset, strDNSDomain, objShell, lngBiasKey
Dim lngBias, k, strDN, dtmDate, objDate
Dim strBase, strFilter, strAttributes, lngHigh, lngLow

‘ Obtain local Time Zone bias from machine registry.
Set objShell = CreateObject(“Wscript.Shell”)
lngBiasKey = objShell.RegRead(“HKLM\System\CurrentControlSet\Control\” _
& “TimeZoneInformation\ActiveTimeBias”)
If (UCase(TypeName(lngBiasKey)) = “LONG”) Then
lngBias = lngBiasKey
ElseIf (UCase(TypeName(lngBiasKey)) = “VARIANT()”) Then
lngBias = 0
For k = 0 To UBound(lngBiasKey)
lngBias = lngBias + (lngBiasKey(k) * 256^k)
Next
End If
Set objShell = Nothing

‘ Determine DNS domain from RootDSE object.
Set objRootDSE = GetObject(“LDAP://RootDSE”)
strDNSDomain = objRootDSE.Get(“defaultNamingContext”)
Set objRootDSE = Nothing

‘ Use ADO to search Active Directory.
Set adoCommand = CreateObject(“ADODB.Command”)
Set adoConnection = CreateObject(“ADODB.Connection”)
adoConnection.Provider = “ADsDSOObject”
adoConnection.Open “Active Directory Provider”
adoCommand.ActiveConnection = adoConnection

‘ Search entire domain.
‘Nella ver originale c’era questo, ma a me interessa solo la CN=USERS
’strBase = “<LDAP://” & strDNSDomain & “>”
strBase = “<LDAP://” & strDomainDN & “>”

‘ Filter on all user objects.
’strFilter = “(&(objectCategory=person)(objectClass=user))”
strFilter = “(&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))”

‘ Comma delimited list of attribute values to retrieve.
strAttributes = “cn,distinguishedName,lastLogonTimeStamp”

‘ Construct the LDAP syntax query.
strQuery = strBase & “;” & strFilter & “;” & strAttributes & “;subtree”

‘ Run the query.
adoCommand.CommandText = strQuery
adoCommand.Properties(“Page Size”) = 100
adoCommand.Properties(“Timeout”) = 60
adoCommand.Properties(“Cache Results”) = False
Set adoRecordset = adoCommand.Execute

‘Creo il report VUOTO
If (CreaReport = “si”) Then
Dim objFileSystem, objOutputFile
Dim strOutputFile
strOutputFile = ReportFolder & ReportFileName
Set objFileSystem = CreateObject(“Scripting.fileSystemObject”)
Set objOutputFile = objFileSystem.CreateTextFile(strOutputFile, TRUE)
objOutputFile.WriteLine(“distinguishedName;” & “CN;” & “lastLogonTimeStamp;” & “InactiveDays;” & “Action;” & “operazioni eseguite”)
objOutputFile.Close
Set objFileSystem = Nothing
End If

‘ Enumerate resulting recordset.
Do Until adoRecordset.EOF
LogAction = “0″
Action = “0″
‘ Retrieve attribute values for the user.
strDN = adoRecordset.Fields(“distinguishedName”).Value
strCN = adoRecordset.Fields(“cn”).Value
‘ Convert Integer8 value to date/time in current time zone.
On Error Resume Next
Set objDate = adoRecordset.Fields(“lastLogonTimeStamp”).Value
If (Err.Number <> 0) Then
On Error GoTo 0
dtmDate = #1/1/1601#
Else
On Error GoTo 0
lngHigh = objDate.HighPart
lngLow = objDate.LowPart
If (lngLow < 0) Then
lngHigh = lngHigh + 1
End If
If (lngHigh = 0) And (lngLow = 0 ) Then
dtmDate = #1/1/1601#
Else
dtmDate = #1/1/1601# + (((lngHigh * (2 ^ 32)) _
+ lngLow)/600000000 – lngBias)/1440
End If
End If
‘ Display values for the user.
InactiveDays = DateDiff(“d”, dtmDate, now)
‘———————– Sez disabilita utente ————————————————
If (DisableUsersAccount = “si”) Then
If (InactiveDays >= InactiveDaysToDisableAccounts) Then
‘DISABILITO UTENTE
set objUser = GetObject(“LDAP://” & strDN)
if (objUser.AccountDisabled = FALSE) then
LogAction = “Account disabled by script”
objUser.AccountDisabled = TRUE
objUser.SetInfo
else
LogAction = “Account già disabilitato”
end if
End If
set objUser = Nothing
End If
‘—————— FINE DISABILITA UTENTE ———————–

‘———————– Sez sposta utente ————————————————       If (MoveUsersAccount = “si”) Then
If (InactiveDays >= InactiveDaysToMoveAccounts) Then
strObjectDN    = “LDAP://” & strDN
strObjectRDN   = “cn=” & strCN
‘SPOSTO UTENTE
set objMoveUsersToOU = GetObject(“LDAP://” & MoveUsersToOU)
objMoveUsersToOU.MoveHere strObjectDN, strObjectRDN
LogAction = LogAction & ” – Account spostato dallo script”
End If
set objMoveUsersToOU = Nothing
End If
‘—————— FINE SPOSTA UTENTE ———————–

‘———————– Sez REPORT ————————————————       If (CreaReport = “si”) Then
If (dtmDate = #1/1/1601#) Then
dtLastLogon= “Never”
Else
dtLastLogon = dtmDate
End If
If (InactiveDays >= InactiveDaysToDisableAccounts) Then
Action = “To Disable”
End If
If (InactiveDays >= InactiveDaysToMoveAccounts) Then
Action = “To Move and Delete emails”
End If
‘Dim objFileSystem, objOutputFile
‘Dim strOutputFile

‘ generate a filename base on the script name
strOutputFile = ReportFolder & ReportFileName

Set objFileSystem = CreateObject(“Scripting.fileSystemObject”)
Set objOutputFile = objFileSystem.OpenTextFile(strOutputFile, OPEN_FILE_FOR_APPENDING)
objOutputFile.WriteLine(strDN & “;” & strCN & “;” & dtmDate & “;” & InactiveDays & “;” & Action & “;” & LogAction)
objOutputFile.Close

Set objFileSystem = Nothing
End if
‘ ————————– FINE REPORT ———————————
adoRecordset.MoveNext

Loop

‘ Clean up.
adoRecordset.Close
adoConnection.Close
Set adoConnection = Nothing
Set adoCommand = Nothing
Set adoRecordset = Nothing
Set objDate = Nothing

Fonte: http://attivissimo.blogspot.com/2006/08/rimborso-windows-garante-sancisce.html

Questo articolo vi arriva grazie alle gentili donazioni di “foucault66″ e “f.graniglia”.

L’Aduc ha pubblicato oggi un comunicato a proposito della controversia sul diritto negato al rimborso per Windows preinstallato e non utilizzato, come previsto da una poco nota clausola della licenza Microsoft. La questione (e il mio successo nell’ottenere il rimborso, seguito da quello di pochi altri testardi) è raccontata in dettaglio nella mia pagina apposita.

L’associazione di consumatori aveva denunciato Microsoft all’Autorità Garante della Concorrenza e del Mercato per abuso di posizione dominante, proprio perché è praticamente impossibile acquistare un PC senza Windows preinstallato (specialmente nel settore dei portatili e la clausola di rimborso prevista nella licenza viene sistematicamente boicottata da rivenditori e produttori. In questo senso, anzi, Aduc ha citato in giudizio HP e ha predisposto un modulo per la richiesta di rimborso.

Il comunicato Aduc di oggi cita la risposta dell’Autorità Garante, che non sono riuscito a trovare sul sito del Garante ma che secondo ADUC è in una “lettera 28300/06 del 27/7/2006″ nell’ambito del procedimento DC/5073 (sarebbe interessante leggerla per intero, ho già chiesto all’Aduc):

…L’Autorità, dopo la seduta dello scorso 20 luglio 2006, ci ha comunicato che secondo lei questo abuso non c’è: per Microsoft l’Autorità ritiene che quanto da noi segnalato non vi è riferibile, ma lo sarebbe per le imprese produttrici di hardware che pre-installano Windows nei computer. “Dalle informazioni raccolte –continua l’Autorita’ garante della Concorrenza e del Mercato- è inoltre emerso che sul mercato vi sono imprese che offrono prodotti che non installano tale sistema operativo e che comunque i consumatori possono rifiutare l’installazione di Windows e ricevere un rimborso”.

Microsoft non è colpevole, insomma, ma lo sono i rivenditori e i produttori che non consentono l’applicazione corretta della licenza. Al tempo stesso, le parole del Garante ribadiscono il diritto del consumatore a ricevere un rimborso.

Aduc riassume lucidamente il problema del rimborso. A parte la faccenda di arricchire ulteriormente Microsoft con un prodotto che il consumatore non vuole (perché vuole installare Linux o ha già una licenza valida di Windows) ma è costretto a pagare,

i consumatori vorrebbero poter scegliere “UN PC SENZA SISTEMA OPERATIVO” alla stregua di “UN VASO SENZA FIORI”; o perlomeno, i fiori vorrebbero poterli scegliere da soli!

Parole sante.

Windows 2000 non vede il disco superiore a 137GB
A me riconosceva un disco da 250GB com uno da 128GB

SOLUZIONE:

http://support.microsoft.com/default.aspx?scid=kb;en-us;q305098

Occorre creare la seguente chiave di registro:
In
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Atapi\Parameters

Value name: EnableBigLba
Data type: REG_DWORD
Value data: 0×1

riavviare e tutto funziona.

[Fonte:

http://www.pcalsicuro.com/main/2007/05/avv-ubaldo-santarelli-un-altro-avvocato-torna-a-colpire/]
Dopo alcuni mesi tornano le e-mail di diffida, delle cui precedenti
varianti avevamo già parlato QUI e QUI.

Questa volta il testo dell'e-mail è:

Egregio Signore/a
Come da Raccomandata a.r.

Oggetto: Messa in mora del debitore ex art. 1219 c.c.

La mia assistita mi informa che a tutt'oggi risulta un credito nei
Vostri confronti dicomplessivi €. 900,00, come risulta dalla
documentazione allegata.

Per quanto precede Vi rendo noto che, in difetto di ricezione,
entro e non oltre dieci giorni dal ricevimento della presente, del
complessivo importo di €. 900,00 oltre gli interessi dal dovuto al saldo
di € 670,00, agirò legalmente nei Vostri confronti, con sensibile
aggravio di spese.

Rimango in attesa di un Vostro riscontro in merito – nel termine di
cui sopra – e distintamente Vi saluto.

Avv. Ubaldo Santarelli

Il link fornito nell'e-mail invita l'utente ad aprire una pagina web in
cui si comunica la messa in mora e si mostra il documento in dimensioni
molto piccole. L'utente, invitato a cliccarci sopra per leggere il
documento, scaricherà un trojan.hijacker dalle dimensioni di 32.512 bytes.

Eseguito, il trojan aggiunge tra l'elenco dei siti attendibili i
seguenti siti:

coppieesibizioniste.biz
gooogle.bz
my-securedoc.com
mysessoblog.com
mycreditoweb.com
phishnigfix.biz
preferiti-windows.com
ricercadoppia.com
qoogler.com

La home page di Internet Explorer viene reindirizzata a gooogle.bz (di
cui avevamo già parlato) e le zone di Internet Explorer vengono alterate.

Viene creato il file:

C:\WINDOWS\system32\winsvc\svc\google.exe
C:\WINDOWS\gratis.pbk (per le connessioni dialer)

e viene creata la seguente chiave di registro:

HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}

Da questa chiave deriva poi anche l'icona Connessione Veloce presente
all'interno di Risorse del computer.

Vengono create due icone, chiamate Explorer.lnk e Internet.lnk, sul
desktop e nei programmi del menu avvio. Hanno la stessa icona di
Internet Explorer, per cui l'utente crede di lanciare il browser della
Microsoft e si vede aprire un'altra pagina.

Il trojan ha anche funzioni di dialer:

8993993** Wind Telecomunicazioni S.p.A
8990325** CSINFO S.p.A
8994511** Wind Telecomunicazioni S.p.A

Prevx1 rimuove il trojan.

*** RIMOZIONE MANUALE ***

- Attraverso regedit (START – Esegui – "regedit") eliminiamo – se
presenti – le seguenti chiavi di registro:

HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}

- Riavviamo il computer. Al riavvio cancelliamo il file

C:\WINDOWS\system32\winsvc\svc\google.exe

- Cancelliamo la falsa icona di Internet Explorer sul desktop. La
riconosciamo cliccando con il tasto destro sull'icona e cliccando su
proprietà. Se vedremo nel campo destinazione la voce analcord.com quella
è l'icona da eliminare. Lo stesso facciamo nel menu start – programmi,
cerchiamo il collegamento che richiama analcord.com.

- Apriamo risorse del computer, dove prima c'era la connessione veloce
ora ci dovrebbe essere un riquadro bianco. Facciamo click con il tasto
destro e poi elimina.

- Dobbiamo modificare la home page di Internet Explorer, la quale punta
ancora a gooogle.bz. Per fare ciò, senza scomodare il registro di
sistema, possiamo aprire Internet Explorer cliccando con il tasto destro
sull'icona del programma e cliccando su proprietà internet. Rimuoviamo
gooogle.bz quindi dalla home page e modifichiamo anche l'elenco dei siti
attendibili, andando su Protezione – Siti attendibili – Siti.

Dovremmo aver rimosso manualmente l'infezione.

–
principio di Napoleone:
non attribuire a malintenzione cio' che puo'
essere semplicemente spiegato come imbecillita'
–
MaoX Blog:
http://maox.blogspot.com

Marco Giuliani, esperto di sicurezza che collabora con la società di
sicurezza Prevx, ha pubblicato interessanti informazioni su un nuovo
messaggio e-mail che sta circolando nelle inbox degli italiani inviato
da un fantomatico avvocato con allegato un codice malware. Simili tipi
di attacchi di ingegneria sociale erano già emersi negli ultimi mesi del
2006 (dettagli pubblicati su PC Al Sicuro). Si tratta di messaggi di
posta scritti in perfetto italiano che tentano di indurre i malcapitati
destinatari a seguire link che conducono a siti web malintenzionati.

Il testo della nuova e-mail nociva:

CITAZIONE
"Egregio Signore/a Come da Raccomandata a.r. Oggetto: Messa in mora del
debitore ex art. 1219 c.c. La mia assistita mi informa che a tutt'oggi
risulta un credito nei Vostri confronti di complessivi €. 900,00, come
risulta dalla documentazione allegata. Per quanto precede Vi rendo noto
che, in difetto di ricezione, entro e non oltre dieci giorni dal
ricevimento della presente, del complessivo importo di €. 900,00 oltre
gli interessi dal dovuto al saldo di € 670,00, agirò legalmente nei
Vostri confronti, con sensibile aggravio di spese. Rimango in attesa di
un Vostro riscontro in merito – nel termine di cui sopra – e
distintamente Vi saluto. Avv. Ubaldo Santarelli".

Il link fornito nell'e-mail invita l'utente ad aprire una pagina web in
cui si comunica la messa in mora e viene mostrato il documento in
dimensioni molto ridotte. L'utente, invitato a cliccare sul file per
leggere il documento, scaricherà un trojan.hijacker dalle dimensioni di
32.512 bytes.

Il Trojan aggiunge una serie di domini nocivi nell'elenco dei siti
attendibili di internet. La home page di Internet Explorer viene
reindirizzata a gooogle.bz (analisi) e le zone di Internet Explorer
vengono alterate. Vengono creati I file:
C:\WINDOWS\system32\winsvc\svc\google.exe e C:\WINDOWS\gratis.pbk (per
le connessioni dialer) e viene creata una chiave di registro che crea
l'icona Connessione Veloce presente all'interno di Risorse del computer.

Il codice nocivo crea inoltre due collegamenti, chiamate Explorer.lnk e
Internet.lnk, sul desktop e nei programmi del menu avvio. Hanno la
stessa icona di Internet Explorer, per cui l'utente crede di lanciare il
browser di Microsoft. Il trojan ha anche funzioni di dialer: 8993993**
Wind Telecomunicazioni S.p.A, 8990325** CSINFO S.p.A, 8994511** Wind
Telecomunicazioni S.p.A

Giuliani ha pubblicato anche una procedura per la rimozione manuale
dell'infezione:

- Attraverso regedit (START – Esegui – "regedit") eliminiamo – se
presenti – le seguenti chiavi di registro:
HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}

- Riavviamo il computer. Al riavvio cancelliamo il file
C:\WINDOWS\system32\winsvc\svc\google.exe

- Cancelliamo la falsa icona di Internet Explorer sul desktop. La
riconosciamo cliccando con il tasto destro sull'icona e cliccando su
proprietà. Se vedremo nel campo destinazione la voce analcord.com quella
è l'icona da eliminare. Lo stesso facciamo nel menu start – programmi,
cerchiamo il collegamento che richiama analcord.com.

- Apriamo risorse del computer, dove prima c'era la connessione veloce
ora ci dovrebbe essere un riquadro bianco. Facciamo click con il tasto
destro e poi elimina.

- Dobbiamo modificare la home page di Internet Explorer, la quale punta
ancora a gooogle.bz. Per fare ciò, senza scomodare il registro di
sistema, possiamo aprire Internet Explorer cliccando con il tasto destro
sull'icona del programma e cliccando su proprietà internet. Rimuoviamo
gooogle.bz quindi dalla home page e modifichiamo anche l'elenco dei siti
attendibili, Protezione – Siti attendibili – Siti.

–
principio di Napoleone:
non attribuire a malintenzione cio' che puo'
essere semplicemente spiegato come imbecillita'
–
MaoX Blog:
http://maox.blogspot.com

Avevo sempre il seguente errore nell’event log:

Tipo evento: Errore
Origine evento: ESENT
Categoria evento: Registrazione/Ripristino
ID evento: 412
Data: 7/6/2000
Ora: 14.56.53
Utente: N/D
Computer: ASKO-ONE
Descrizione: servizi (PID) Impossibile leggere l’intestazione del registro. Errore -530.

Event Type: Error
Event Source: ESENT
Event Category: Logging/Recovery
Event ID: 413
Date: 5/12/2005
Time: 2:46:16 PM
User: N/A
Computer: [computername]
Description:
wuaueng.dll (1280) Unable to create the log. The drive may be read-only, out of disk space, misconfigured, or corrupted. Error -1032.

ho stoppato il servizio “aggiornamenti automatici”
ho cancellato tutto il contenuto di
%windir%\SoftwareDistribution\DataStore\Logs\
TRANNE edb.chk

ho riavviato il servizio e dalla pagina di windows update ho scelto “modifica impostazioni”
e ho disattivato Microsoft Update.

Saluti