Problemi e Soluzioni di un sistemista informatico » windows

Provvedimento del garante sugli Amministratori di sistema

admin — Thu, 29 Oct 2009 07:06:33 +0000

Premetto che la ritengo una gran cagata… e completamente inutile, visto che i log NON HANNO ALCUN VALORE PROBATORIO!

Ma visto che dobbiamo adeguarci… cerchiamo di farlo a COSTO ZERO!

Io ho risolto (sto risolvendo) così:

Installo rsyslog con logging su file sul logserver

Su un server linux CentOs 5.*

yum install rsyslog*

vim /etc/sysconfig/rsyslog

sostituisco

SYSLOGD_OPTIONS=”-m 0″
con
SYSLOGD_OPTIONS=”-m 0 -r”

vim /etc/rsyslog.conf

###################################################

$template DynAuth, “/var/log/TUTTI/%$MONTH%/%$DAY%/%FROMHOST%.log”
local1.*,user.*,auth.*,authpriv.*,kern.* ?DynAuth
$EscapeControlCharactersOnReceive off
%msg:::space-cc%
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
authpriv.*                                              /var/log/secure
mail.*                                                  -/var/log/maillog
cron.*                                                  /var/log/cron
*.emerg                                                 *
uucp,news.crit                                          /var/log/spooler
local7.*                                                /var/log/boot.log
local3.*                                                /var/log/varie.log

###################################################

vedi http://openskill.info/infobox.php?ID=1475

Abilitare il logging su tutti i server linux

Su un qualsiasi server linux

cat /etc/syslog.conf

auth.*;authpriv.*;local1.* @logserver.dominio

Su ogni server devo poi creare utenti PERSONALI da assegnare a tutti gli AdS:

useradd -G wheel -m -s /bin/bash username

passwd username

Aggiungo

AllowUsers username

in /etc/ssh/sshd_config

lancio

visudo

e aggiungo o decommento la riga seguente:

%wheel ALL=(ALL) ALL

In questo modo gli AdS dovranno loggarsi con il loro account ed usare sudo

(consiglio il sudo -i o sudo -u per diventare root)

Il vantaggio dell’uso di sudo sta nel fatto che ho potuto cambiare password a root e metterla in cassaforte senza la necessità di comunicarla a tutti gli AdS (dato che sudo permette di diventare root inserendo la propria password)

Abilitare il logging su Oracle 9i

mkdir /var/log/oracle/
chown -R oracle:dba /var/log/oracle/
SHOW PARAMETER audit
ALTER SYSTEM SET audit_trail=OS SCOPE=SPFILE;
ALTER SYSTEM SET audit_sys_operations=TRUE SCOPE=SPFILE;
ALTER SYSTEM SET audit_file_dest=”/var/log/oracle” SCOPE=SPFILE;
AUDIT SESSION;
SHUTDOWN IMMEDIATE
startup

Occorre poi creare un cron sul logserver che filtra solo i login/logout e prelevi i risultati.

Nella ver 9i infatti non è possibile inviare i log a un remote syslog

Abilitare il logging su Postgres

Modifico
/usr/local/pgsql/data/postgresql.conf
come segue:

log_destination = ‘syslog’

syslog_facility = ‘LOCAL1′
syslog_ident = ‘postgres’

log_connections = true
log_disconnections = true
log_duration = true

log_hostname = true

Abilitare il logging su MySql

Dato che mysql non supporta la scrittura di log su syslog si può risolvere nel seguente modo:

Nel file
/etc/my.cnf

nella sezione
[mysqld]

aggiungo
log=/var/log/mysql.log

Poi lancio all’avvio il seguente comando:

tail -f /var/log/mysql.log | egrep ‘Connect|Quit’ | logger -p LOCAL1.info -t mysql &

(ringrazio Stefano Coletta (http://www.mindcreations.com/) per la precisazione:

l’egrep va corredato dall’opzione –line-buffered altrimenti non funziona correttamente)

tail -f /var/log/mysql.log | egrep –line-buffered ‘Connect|Quit’ | logger -p LOCAL1.info -t mysql &

e lo salvo nell’ rc.local

e lo metto anche nella sezione postrotate del logrotate in
/etc/logrotate.d/mysql-log-rotate

Altrimenti, come suggeritomi dal buon Alessandro Corbelli di www.web4web.it si possono usare le named pipe:

http://www.linuxjournal.com/article/2156

http://www.linuxjournal.com/content/using-named-pipes-fifos-bash

Non loggo tutto su file ma ho creato una named pipe ed in inittab ho inserito, in respawn, uno script così composto

while [ true ]; do
tail -f | egrep ‘Connect|Quit’ | logger…
done

Le prestazioni sono ‘abbastanza’ decenti.
Il while sarebbe anche superfluo…

Occorre fare attenzione a un particolare:

Se si utilizza la named pipe con lo script in inittab, nello script NON deve esserci il tail, ma il cat.

Quindi lo script diventa:

while [ true ]; do
cat | egrep ‘Connect|Quit’ | logger -p LOCAL1.info -t mysql
done

Abilitare il logging sui server Windows

Sui server windows

Ho usato snare:

SnareSetup-3.1.5-MultiArch.exe

http://www.intersectalliance.com/projects/SnareWindows/index.html

Come “Destination snare server address” ho messo lo stesso ip del log server e come porta la 514

Abilitare il logging su Exchange

Per abilitare il logging sel mailserver:

Gestore sistema Exchange -> Gruppi amministrativi -> -> server -> NomeServer -> tasto dx sul server -> registrazione Diagnostica
-> MSExchangeIS -> private o cassetta postale -> Accessi = minima; Controllo accessi = minima (oppure logons=minima e access control = minima)

Poi su snare:
Creo un nuovo oggetto:
Identify the high level event = Any event(s)
Event ID Search Term = 1009,1016,1013,1029
General Search Term = *
Select the User Match Type = Include
User Search Term = *admin*
Identify the event types to be captured = Success Audit + Failure Audit
Identify the event logs = Security + Application
Select the Alert Level = Critical

Abilitare il logging sul FileServer

Creo un nuovo oggetto:
Identify the high level event = Any event(s)
Event ID Search Term = 538,540,552,551,682,683,528
General Search Term = *
Select the User Match Type = Include
User Search Term = *admin*
Identify the event types to be captured = TUTTI
Identify the event logs = Security
Select the Alert Level = Critical

Immodificabilità dei log

Ogni notte, sul logserver, parte un cron che mi crea un md5 di tutti i file di log

Lo chiamo Z_calcola_md5.sh in modo che il cron lo chiama da ultimo DOPO il logrotate

cat /etc/cron.daily/Z_calcola_md5.sh

########################################
#!/bin/bash
TMP=`/bin/date –date=’1 days ago’ +%m/%d`
FILE_NAME=”MD5-`/bin/date –date=’1 days ago’ +%m-%d`.md5″
DEST_DIR01=”/var/log/TUTTI”
DEST_DIR=”$DEST_DIR01/$TMP/”
MD5_DIR=”/var/log/TUTTI/MD5/”
cd $MD5_DIR
find $DEST_DIR -type f -exec md5sum {} \; > $FILE_NAME
#########################################

A questo punto posso creare un tar.gz e salvare i log su un dvd o effettuarne un backup

http://www.linuxjournal.com/article/2156

http://www.linuxjournal.com/content/using-named-pipes-fifos-bash

Disabilitare le info di windows quando si muove il mouse sulle icone

admin — Tue, 24 Feb 2009 15:42:21 +0000

Salve a tutti,
a volte la presenza dei suggerimenti che windows da quando si passa con il mouse su file ed icone può essere fastidioso.
Una soluzione sta nel disabilitare tale funzione.
Per farlo occorre copiare il seguente testo in un file chiamato:
disabilita_infotip.reg

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowInfoTip”=dword:00000000

ed eseguirlo.

Riavviare il pc e le info non compariranno più.
Per rimettere tutto a posto come prima:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “ShowInfoTip”=dword:00000001

Spero vi sia utile.
Saluti

Win XP – Eliminare la guida in linea dal menu Start

admin — Tue, 17 Feb 2009 21:42:22 +0000

La cosa che sopporto meno in assoluto è la MALEDETTA Guida in Linea.
Tutte le volte che voglio cliccare su Start -> Esegui… sbaglio e clicco su guida in linea…
Grrr…

Per eliminarla:
Copiare il seguente “codice” in un file chiamato NoGuidaInLinea.reg ed eseguirlo

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
“NoStartMenuHelp”=dword:00000001

Spero sia di aiuto.
Saluti

Il File già Pronto è qui: noguidainlinea_menustart1

Problema con AVG 8 – avgnsx e problemi nella navigazione internet

admin — Wed, 11 Feb 2009 08:07:53 +0000

Oggi ho avuto un bel problema con AVG 8.
Appena aprivo IE o Firefox compariva il messaggio:
avgnsx ha causato un errore. L’applicazione verrà chiusa.
Appena cliccato su “non inviare” non riuscivo più a navigare.
Nè con ie nè con firefox.
Anche facendo telnet su un qualsiasi sito non riuscivo a collegarmi.

Per risolvere ho re-installato avg in modo “personalizzato” e non ho installato il componente link checker

Gestione degli utenti inattivi su Windows 2003 Server

admin — Thu, 07 Aug 2008 15:07:46 +0000

Oggi ho deciso di ripulire un po’ il dominio.
Ho scritto uno script che permette di
creare un report e/o di spostare gli account e/o di disattivare gli account
che non eseguono l’accesso al dominio (owa compresa) da un tempo
superiore a un numero di giorni
settabili a piacere.
Se può esservi utile, lo allego di seguito.
E’ uno script VBS
Saluti a tutti
Maurizio Proietti

'Option Explicit 'On Error Resume Next


'—— SCRIPT CONFIGURATION ——

'Creo un report? (si/no)

CreaReport = "si"

'Dove creo il report?

ReportFolder = "\\fs3\SW_PKG\ScriptGestione\Report\"

'ReportFileName = year(now())&"_"&month(now())&"_"&day(now())&".txt"

ReportFileName = year(now())&"_"&month(now())&"_"&day(now())&".csv"
'Sposto gli account UTENTE nella OU definita + sotto? (si/no)

MoveUsersAccount = "si"

'Sposto gli account COMPUTER nella OU definita + sotto? (si/no)

MoveComputersAccount = "no"
'Dove sposto gli account utente inattivi

MoveUsersToOU = "OU=Users,OU=z_InactiveAccount,DC=prvprato1,DC=local"

'Dove sposto gli account macchina inattivi

MoveComputersToOU = "OU=Computers,OU=z_InactiveAccount,DC=prvprato1,DC=local"
'Disabilito gli account? (si/no)

DisableUsersAccount = "si"

DisableComputersAccount = "no"
'Quanti giorni di inattività occorrono per spostare gli account e di conseguenza cancellargli la posta? (deve essere >= 15)

InactiveDaysToMoveAccounts = 90
'Quanti giorni di inattività occorrono per disabilitare gli account? (deve essere >= 15)

InactiveDaysToDisableAccounts = 45
'Dove ricerco

strDomainDN = "CN=Users,DC=prvprato1,DC=local"
'strDomainDN = "DC=prvprato1,DC=local

'strDomainDN = "CN=test3,CN=Users,DC=prvprato1,DC=local"

'strDomainDN = "OU=Users,OU=z_InactiveAccount,DC=prvprato1,DC=local"

'strDomainDN = "DC=prvprato1, DC=local"
' —— END CONFIGURATION ———
'Option Explicit
'——–   Cerco e scrivo il lastLogonTimeStamp x utenti ———————
Const OPEN_FILE_FOR_APPENDING = 8
Dim objRootDSE, adoConnection, adoCommand, strQuery

Dim adoRecordset, strDNSDomain, objShell, lngBiasKey

Dim lngBias, k, strDN, dtmDate, objDate

Dim strBase, strFilter, strAttributes, lngHigh, lngLow
' Obtain local Time Zone bias from machine registry.

Set objShell = CreateObject("Wscript.Shell")

lngBiasKey = objShell.RegRead("HKLM\System\CurrentControlSet\Control\" _

& "TimeZoneInformation\ActiveTimeBias")

If (UCase(TypeName(lngBiasKey)) = "LONG") Then

lngBias = lngBiasKey

ElseIf (UCase(TypeName(lngBiasKey)) = "VARIANT()") Then

lngBias = 0

For k = 0 To UBound(lngBiasKey)

lngBias = lngBias + (lngBiasKey(k) * 256^k)

Next

End If

Set objShell = Nothing
' Determine DNS domain from RootDSE object.

Set objRootDSE = GetObject("LDAP://RootDSE")

strDNSDomain = objRootDSE.Get("defaultNamingContext")

Set objRootDSE = Nothing
' Use ADO to search Active Directory.

Set adoCommand = CreateObject("ADODB.Command")

Set adoConnection = CreateObject("ADODB.Connection")

adoConnection.Provider = "ADsDSOObject"

adoConnection.Open "Active Directory Provider"

adoCommand.ActiveConnection = adoConnection
' Search entire domain.

'Nella ver originale c’era questo, ma a me interessa solo la CN=USERS

'strBase = ""

strBase = ""
' Filter on all user objects.

'strFilter = "(&(objectCategory=person)(objectClass=user))"

strFilter = "(&(objectCategory=person)(objectClass=user)(!(userAccountControl:1.2.840.113556.1.4.803:=2)))"
' Comma delimited list of attribute values to retrieve.

strAttributes = "cn,distinguishedName,lastLogonTimeStamp"
' Construct the LDAP syntax query.

strQuery = strBase & ";" & strFilter & ";" & strAttributes & ";subtree"
' Run the query.

adoCommand.CommandText = strQuery

adoCommand.Properties("Page Size") = 100

adoCommand.Properties("Timeout") = 60

adoCommand.Properties("Cache Results") = False

Set adoRecordset = adoCommand.Execute
'Creo il report VUOTO

If (CreaReport = "si") Then

Dim objFileSystem, objOutputFile

Dim strOutputFile

strOutputFile = ReportFolder & ReportFileName

Set objFileSystem = CreateObject("Scripting.fileSystemObject")

Set objOutputFile = objFileSystem.CreateTextFile(strOutputFile, TRUE)

objOutputFile.WriteLine("distinguishedName;" & "CN;" & "lastLogonTimeStamp;" & "InactiveDays;" & "Action;" & "operazioni eseguite")

objOutputFile.Close

Set objFileSystem = Nothing

End If
' Enumerate resulting recordset.

Do Until adoRecordset.EOF

LogAction = "0?

Action = "0?

' Retrieve attribute values for the user.

strDN = adoRecordset.Fields("distinguishedName").Value

strCN = adoRecordset.Fields("cn").Value

' Convert Integer8 value to date/time in current time zone.

On Error Resume Next

Set objDate = adoRecordset.Fields("lastLogonTimeStamp").Value

If (Err.Number <> 0) Then

On Error GoTo 0

dtmDate = #1/1/1601#

Else

On Error GoTo 0

lngHigh = objDate.HighPart

lngLow = objDate.LowPart

If (lngLow < 0) Then

lngHigh = lngHigh + 1

End If

If (lngHigh = 0) And (lngLow = 0 ) Then

dtmDate = #1/1/1601#

Else

dtmDate = #1/1/1601# + (((lngHigh * (2 ^ 32)) _

+ lngLow)/600000000 – lngBias)/1440

End If

End If

' Display values for the user.

InactiveDays = DateDiff("d", dtmDate, now)

'———————– Sez disabilita utente ————————————————

If (DisableUsersAccount = "si") Then

If (InactiveDays >= InactiveDaysToDisableAccounts) Then

'DISABILITO UTENTE

set objUser = GetObject("LDAP://" & strDN)

if (objUser.AccountDisabled = FALSE) then

LogAction = "Account disabled by script"

objUser.AccountDisabled = TRUE

objUser.SetInfo

else

LogAction = "Account già disabilitato"

end if

End If

set objUser = Nothing

End If

'—————— FINE DISABILITA UTENTE ———————–
'———————– Sez sposta utente ————————————————

If (MoveUsersAccount = "si") Then

If (InactiveDays >= InactiveDaysToMoveAccounts) Then

strObjectDN    = "LDAP://" & strDN

strObjectRDN   = "cn=" & strCN

'SPOSTO UTENTE

set objMoveUsersToOU = GetObject("LDAP://" & MoveUsersToOU)

objMoveUsersToOU.MoveHere strObjectDN, strObjectRDN

LogAction = LogAction & " – Account spostato dallo script"

End If

set objMoveUsersToOU = Nothing

End If

'—————— FINE SPOSTA UTENTE ———————–
'———————– Sez REPORT ————————————————

If (CreaReport = "si") Then

If (dtmDate = #1/1/1601#) Then

dtLastLogon= "Never"

Else

dtLastLogon = dtmDate

End If

If (InactiveDays >= InactiveDaysToDisableAccounts) Then

Action = "To Disable"

End If

If (InactiveDays >= InactiveDaysToMoveAccounts) Then

Action = "To Move and Delete emails"

End If

'Dim objFileSystem, objOutputFile

'Dim strOutputFile
' generate a filename base on the script name

strOutputFile = ReportFolder & ReportFileName
Set objFileSystem = CreateObject("Scripting.fileSystemObject")

Set objOutputFile = objFileSystem.OpenTextFile(strOutputFile, OPEN_FILE_FOR_APPENDING)

objOutputFile.WriteLine(strDN & ";" & strCN & ";" & dtmDate & ";" & InactiveDays & ";" & Action & ";" & LogAction)

objOutputFile.Close
Set objFileSystem = Nothing

End if

' ————————– FINE REPORT ———————————

adoRecordset.MoveNext
Loop

' Clean up. adoRecordset.Close adoConnection.Close Set adoConnection = Nothing Set adoCommand = Nothing Set adoRecordset = Nothing Set objDate = Nothing

Rimborso per Windows preinstallato, il parere dell’Aduc

admin — Sun, 17 Jun 2007 01:41:00 +0000

Fonte: http://attivissimo.blogspot.com/2006/08/rimborso-windows-garante-sancisce.html

Questo articolo vi arriva grazie alle gentili donazioni di “foucault66″ e “f.graniglia”.

L’Aduc ha pubblicato oggi un comunicato a proposito della controversia sul diritto negato al rimborso per Windows preinstallato e non utilizzato, come previsto da una poco nota clausola della licenza Microsoft. La questione (e il mio successo nell’ottenere il rimborso, seguito da quello di pochi altri testardi) è raccontata in dettaglio nella mia pagina apposita.

L’associazione di consumatori aveva denunciato Microsoft all’Autorità Garante della Concorrenza e del Mercato per abuso di posizione dominante, proprio perché è praticamente impossibile acquistare un PC senza Windows preinstallato (specialmente nel settore dei portatili e la clausola di rimborso prevista nella licenza viene sistematicamente boicottata da rivenditori e produttori. In questo senso, anzi, Aduc ha citato in giudizio HP e ha predisposto un modulo per la richiesta di rimborso.

Il comunicato Aduc di oggi cita la risposta dell’Autorità Garante, che non sono riuscito a trovare sul sito del Garante ma che secondo ADUC è in una “lettera 28300/06 del 27/7/2006″ nell’ambito del procedimento DC/5073 (sarebbe interessante leggerla per intero, ho già chiesto all’Aduc):

…L’Autorità, dopo la seduta dello scorso 20 luglio 2006, ci ha comunicato che secondo lei questo abuso non c’è: per Microsoft l’Autorità ritiene che quanto da noi segnalato non vi è riferibile, ma lo sarebbe per le imprese produttrici di hardware che pre-installano Windows nei computer. “Dalle informazioni raccolte –continua l’Autorita’ garante della Concorrenza e del Mercato- è inoltre emerso che sul mercato vi sono imprese che offrono prodotti che non installano tale sistema operativo e che comunque i consumatori possono rifiutare l’installazione di Windows e ricevere un rimborso”.

Microsoft non è colpevole, insomma, ma lo sono i rivenditori e i produttori che non consentono l’applicazione corretta della licenza. Al tempo stesso, le parole del Garante ribadiscono il diritto del consumatore a ricevere un rimborso.

Aduc riassume lucidamente il problema del rimborso. A parte la faccenda di arricchire ulteriormente Microsoft con un prodotto che il consumatore non vuole (perché vuole installare Linux o ha già una licenza valida di Windows) ma è costretto a pagare,

i consumatori vorrebbero poter scegliere “UN PC SENZA SISTEMA OPERATIVO” alla stregua di “UN VASO SENZA FIORI”; o perlomeno, i fiori vorrebbero poterli scegliere da soli!

Parole sante.

Windows 2000 non vede il disco superiore a 137GB

admin — Fri, 15 Jun 2007 13:35:00 +0000

Windows 2000 non vede il disco superiore a 137GB
A me riconosceva un disco da 250GB com uno da 128GB

SOLUZIONE:

http://support.microsoft.com/default.aspx?scid=kb;en-us;q305098

Occorre creare la seguente chiave di registro:
In
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Atapi\Parameters

Value name: EnableBigLba
Data type: REG_DWORD
Value data: 0×1

riavviare e tutto funziona.

[TROJAN] – avv.Ubaldo Santarelli – rimozione manuale 2

admin — Thu, 14 Jun 2007 13:18:00 +0000

[Fonte:

http://www.pcalsicuro.com/main/2007/05/avv-ubaldo-santarelli-un-altro-avvocato-torna-a-colpire/]
Dopo alcuni mesi tornano le e-mail di diffida, delle cui precedenti
varianti avevamo già parlato QUI e QUI.

Questa volta il testo dell'e-mail è:

Egregio Signore/a
Come da Raccomandata a.r.

Oggetto: Messa in mora del debitore ex art. 1219 c.c.

La mia assistita mi informa che a tutt'oggi risulta un credito nei
Vostri confronti dicomplessivi €. 900,00, come risulta dalla
documentazione allegata.

Per quanto precede Vi rendo noto che, in difetto di ricezione,
entro e non oltre dieci giorni dal ricevimento della presente, del
complessivo importo di €. 900,00 oltre gli interessi dal dovuto al saldo
di € 670,00, agirò legalmente nei Vostri confronti, con sensibile
aggravio di spese.

Rimango in attesa di un Vostro riscontro in merito – nel termine di
cui sopra – e distintamente Vi saluto.

Avv. Ubaldo Santarelli

Il link fornito nell'e-mail invita l'utente ad aprire una pagina web in
cui si comunica la messa in mora e si mostra il documento in dimensioni
molto piccole. L'utente, invitato a cliccarci sopra per leggere il
documento, scaricherà un trojan.hijacker dalle dimensioni di 32.512 bytes.

Eseguito, il trojan aggiunge tra l'elenco dei siti attendibili i
seguenti siti:

coppieesibizioniste.biz
gooogle.bz
my-securedoc.com
mysessoblog.com
mycreditoweb.com
phishnigfix.biz
preferiti-windows.com
ricercadoppia.com
qoogler.com

La home page di Internet Explorer viene reindirizzata a gooogle.bz (di
cui avevamo già parlato) e le zone di Internet Explorer vengono alterate.

Viene creato il file:

C:\WINDOWS\system32\winsvc\svc\google.exe
C:\WINDOWS\gratis.pbk (per le connessioni dialer)

e viene creata la seguente chiave di registro:

HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}

Da questa chiave deriva poi anche l'icona Connessione Veloce presente
all'interno di Risorse del computer.

Vengono create due icone, chiamate Explorer.lnk e Internet.lnk, sul
desktop e nei programmi del menu avvio. Hanno la stessa icona di
Internet Explorer, per cui l'utente crede di lanciare il browser della
Microsoft e si vede aprire un'altra pagina.

Il trojan ha anche funzioni di dialer:

8993993** Wind Telecomunicazioni S.p.A
8990325** CSINFO S.p.A
8994511** Wind Telecomunicazioni S.p.A

Prevx1 rimuove il trojan.

*** RIMOZIONE MANUALE ***

- Attraverso regedit (START – Esegui – "regedit") eliminiamo – se
presenti – le seguenti chiavi di registro:

HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}

- Riavviamo il computer. Al riavvio cancelliamo il file

C:\WINDOWS\system32\winsvc\svc\google.exe

- Cancelliamo la falsa icona di Internet Explorer sul desktop. La
riconosciamo cliccando con il tasto destro sull'icona e cliccando su
proprietà. Se vedremo nel campo destinazione la voce analcord.com quella
è l'icona da eliminare. Lo stesso facciamo nel menu start – programmi,
cerchiamo il collegamento che richiama analcord.com.

- Apriamo risorse del computer, dove prima c'era la connessione veloce
ora ci dovrebbe essere un riquadro bianco. Facciamo click con il tasto
destro e poi elimina.

- Dobbiamo modificare la home page di Internet Explorer, la quale punta
ancora a gooogle.bz. Per fare ciò, senza scomodare il registro di
sistema, possiamo aprire Internet Explorer cliccando con il tasto destro
sull'icona del programma e cliccando su proprietà internet. Rimuoviamo
gooogle.bz quindi dalla home page e modifichiamo anche l'elenco dei siti
attendibili, andando su Protezione – Siti attendibili – Siti.

Dovremmo aver rimosso manualmente l'infezione.

–
principio di Napoleone:
non attribuire a malintenzione cio' che puo'
essere semplicemente spiegato come imbecillita'
–
MaoX Blog:
http://maox.blogspot.com

[TROJAN] – avv.Ubaldo Santarelli – rimozione manuale

admin — Thu, 14 Jun 2007 13:15:00 +0000

Marco Giuliani, esperto di sicurezza che collabora con la società di
sicurezza Prevx, ha pubblicato interessanti informazioni su un nuovo
messaggio e-mail che sta circolando nelle inbox degli italiani inviato
da un fantomatico avvocato con allegato un codice malware. Simili tipi
di attacchi di ingegneria sociale erano già emersi negli ultimi mesi del
2006 (dettagli pubblicati su PC Al Sicuro). Si tratta di messaggi di
posta scritti in perfetto italiano che tentano di indurre i malcapitati
destinatari a seguire link che conducono a siti web malintenzionati.

Il testo della nuova e-mail nociva:

CITAZIONE
"Egregio Signore/a Come da Raccomandata a.r. Oggetto: Messa in mora del
debitore ex art. 1219 c.c. La mia assistita mi informa che a tutt'oggi
risulta un credito nei Vostri confronti di complessivi €. 900,00, come
risulta dalla documentazione allegata. Per quanto precede Vi rendo noto
che, in difetto di ricezione, entro e non oltre dieci giorni dal
ricevimento della presente, del complessivo importo di €. 900,00 oltre
gli interessi dal dovuto al saldo di € 670,00, agirò legalmente nei
Vostri confronti, con sensibile aggravio di spese. Rimango in attesa di
un Vostro riscontro in merito – nel termine di cui sopra – e
distintamente Vi saluto. Avv. Ubaldo Santarelli".

Il link fornito nell'e-mail invita l'utente ad aprire una pagina web in
cui si comunica la messa in mora e viene mostrato il documento in
dimensioni molto ridotte. L'utente, invitato a cliccare sul file per
leggere il documento, scaricherà un trojan.hijacker dalle dimensioni di
32.512 bytes.

Il Trojan aggiunge una serie di domini nocivi nell'elenco dei siti
attendibili di internet. La home page di Internet Explorer viene
reindirizzata a gooogle.bz (analisi) e le zone di Internet Explorer
vengono alterate. Vengono creati I file:
C:\WINDOWS\system32\winsvc\svc\google.exe e C:\WINDOWS\gratis.pbk (per
le connessioni dialer) e viene creata una chiave di registro che crea
l'icona Connessione Veloce presente all'interno di Risorse del computer.

Il codice nocivo crea inoltre due collegamenti, chiamate Explorer.lnk e
Internet.lnk, sul desktop e nei programmi del menu avvio. Hanno la
stessa icona di Internet Explorer, per cui l'utente crede di lanciare il
browser di Microsoft. Il trojan ha anche funzioni di dialer: 8993993**
Wind Telecomunicazioni S.p.A, 8990325** CSINFO S.p.A, 8994511** Wind
Telecomunicazioni S.p.A

Giuliani ha pubblicato anche una procedura per la rimozione manuale
dell'infezione:

- Attraverso regedit (START – Esegui – "regedit") eliminiamo – se
presenti – le seguenti chiavi di registro:
HKEY_CLASSES_ROOT\CLSID\{16C7013F-912E-42ac-AA8E-A10A180DFF51}

- Riavviamo il computer. Al riavvio cancelliamo il file
C:\WINDOWS\system32\winsvc\svc\google.exe

- Apriamo risorse del computer, dove prima c'era la connessione veloce
ora ci dovrebbe essere un riquadro bianco. Facciamo click con il tasto
destro e poi elimina.

–
principio di Napoleone:
non attribuire a malintenzione cio' che puo'
essere semplicemente spiegato come imbecillita'
–
MaoX Blog:
http://maox.blogspot.com

Soluzione problema aggiornamenti automatici windows update

admin — Fri, 25 May 2007 01:46:00 +0000

Avevo sempre il seguente errore nell’event log:

Tipo evento: Errore
Origine evento: ESENT
Categoria evento: Registrazione/Ripristino
ID evento: 412
Data: 7/6/2000
Ora: 14.56.53
Utente: N/D
Computer: ASKO-ONE
Descrizione: servizi (PID) Impossibile leggere l’intestazione del registro. Errore -530.

Event Type: Error
Event Source: ESENT
Event Category: Logging/Recovery
Event ID: 413
Date: 5/12/2005
Time: 2:46:16 PM
User: N/A
Computer: [computername]
Description:
wuaueng.dll (1280) Unable to create the log. The drive may be read-only, out of disk space, misconfigured, or corrupted. Error -1032.

Per risolvere ho eseguito le seguenti operazioni:

ho stoppato il servizio “aggiornamenti automatici”
ho cancellato tutto il contenuto di
%windir%\SoftwareDistribution\DataStore\Logs\
TRANNE edb.chk

ho riavviato il servizio e dalla pagina di windows update ho scelto “modifica impostazioni”
e ho disattivato Microsoft Update.

A questo punto tutto ha funzionato!

Saluti

Altri sintomi o problemi con gli aggiornamenti automatici o windows update

admin — Thu, 24 May 2007 22:16:00 +0000

Dal sito microsoft:

http://support.microsoft.com/kb/278316
http://support.microsoft.com/kb/296220

Gli ID evento ESENT 1000, 1202, 412 e 454 vengono registrati ripetutamente nel registro applicazione

Visualizza i prodotti ai quali l’articolo e’ applicato.

Identificativo articolo	:	278316
Ultima modifica	:	martedì 18 ottobre 2005
Revisione	:	6.0

Sintomi

Ogni cinque minuti nel registro applicazione vengono registrati i seguenti messaggi relativi a ID eventi:

Messaggio 1

Tipo evento: Errore
Origine evento: Userenv
Categoria evento: Nessuna
ID evento: 1000
Data: 7/6/2000
Ora: 14.56.53
Utente: WINDOWS NT AUTHORITY\SYSTEM
Computer: ASKO-ONE
Descrizione: all’estensione Protezione sul lato client Criteri di gruppo sono stati inviati dei flag (17). Essa ha restituito un codice di stato di errore (1208).

Messaggio 2

Tipo evento: Avviso
Origine evento: SceCli
Categoria evento: Nessuna
ID evento: 1202
Data: 7/6/2000
Ora: 14.56.53
Utente: N/D
Computer: ASKO-ONE
Descrizione: criteri di protezione propagati con avviso. 0x4b8: si è verificato un errore esteso. Per ulteriori informazioni, vedere la sezione della Guida in linea relativa alla risoluzione dei problemi di protezione.

Messaggio 3

Tipo evento: Errore
Origine evento: ESENT
Categoria evento: Registrazione/Ripristino
ID evento: 454
Data: 7/6/2000
Ora: 14.56.53
Utente: N/D
Computer: ASKO-ONE
Descrizione: servizi (PID) Impossibile recuperare o ripristinare il database. Errore imprevisto -530.

Messaggio 4

Torna all’inizio

Cause

Questo problema si verifica quando il file di database dei Criteri di gruppo locale è danneggiato.

Torna all’inizio

Risoluzione

Per risolvere questo problema, utilizzare la procedura descritta in questa sezione per ricreare il file dei Criteri di gruppo locale.

Importante L’implementazione di un modello di protezione su un controller di dominio potrebbe comportare la modifica delle impostazioni del Criterio controller dominio predefinito o del Criterio dominio predefinito. Il modello applicato potrebbe sovrascrivere le autorizzazioni sui nuovi file, sulle chiavi del Registro di sistema e sui servizi di sistema creati da altri programmi. Dopo l’applicazione di un modello di protezione, potrebbe essere necessario ripristinare questi criteri. Prima di eseguire questa procedura su un controller di dominio, creare un backup della condivisione SYSVOL.

Nota Quando si utilizza la seguente procedura, il computer viene ripristinato allo stato originale dell’installazione, in cui i Criteri di protezione locale non sono definiti. Potrebbe essere necessario avviare il computer in modalità provvisoria per rinominare o spostare i file. Per ulteriori informazioni su come effettuare questa operazione, vedere la Guida in linea di Windows 2000.

1.	Aprire la cartella %SystemRoot%\Security, creare una nuova cartella, quindi rinominarla “OldSecurity”.
2.	Spostare tutti i file con estensione LOG dalla cartella %SystemRoot%\Security alla cartella OldSecurity.
3.	Individuare il file Secedit.sdb nella cartella %SystemRoot%\Security\Database, quindi rinominarlo “Secedit.old”.
4.	Fare clic sul pulsante Start, scegliere Esegui, digitare mmc, quindi scegliere OK.
5.	Scegliere Aggiungi/Rimuovi snap-in dal menu Console, quindi aggiungere lo snap-in Analisi e configurazione della protezione.
6.	Fare clic con il pulsante destro del mouse su Analisi e configurazione della protezione e scegliere Apri database.
7.	Passare alla cartella %SystemRoot%\Security\Database, digitare Secedit.sdb nella casella Nome file e scegliere Apri.
8.	Alla richiesta di importare un modello, fare clic su Setup Security.inf, quindi scegliere Apri. Nota Se viene visualizzato un messaggio di errore “Accesso negato”, sarà possibile ignorarlo.

Torna all’inizio

Le informazioni in questo articolo si applicano a

•	Microsoft Windows 2000 Service Pack 1
•	Microsoft Windows 2000 Service Pack 2
•	Microsoft Windows 2000 Advanced Server
•	Microsoft Windows 2000 Advanced Server
•	Microsoft Windows 2000 Service Pack 1
•	Microsoft Windows 2000 Service Pack 2

Torna all’inizio

kberrmsg kbprb KB278316

Si registrano i punti di indicizzazione che funzionano e i messaggi di evento ESE98

Visualizza i prodotti ai quali l’articolo e’ applicato.

NOTA: Questo articolo è stato tradotto da un sistema di traduzione automatica senza intervento umano. Microsoft mette a disposizione questi articoli come beneficio per coloro che non parlano la lingua inglese al fine di facilitarli nella comprensione. Microsoft non garantisce la qualità linguistica delle traduzioni e non è responsabile di qualsivoglia problema, diretto o indiretto, dovuto alla erronea interpretazione dei contenuti o dell’ultilizzo degli stessi presso i clienti.

Identificativo articolo	:	296220
Ultima modifica	:	mercoledì 28 febbraio 2007
Revisione	:	2.3

Sintomi

L’indicizzazione interrompe l’utilizzo e alcun o tutti i seguenti messaggi di errore sono inseriti nel registro di eventi di applicazione in un computer SharePoint Portal Server nel log:

Event Type: Errore
Origine evento: ESE98
Categoria di eventi: Generale
ID evento: 490
Descrizione: Il mssearch (1492), non è riuscito un tentativo per aprire il file “Server\Data\Ftdata\SharePointPortalServer\MSStmp.log Portale Files\SharePoint D:\Program” per la lettura/ scrivere l’accesso con l’errore di sistema 32 (0×00000020) : “il processo non può accedere al file perché esso è utilizzato da un altro processo”. L’operazione di apertura di file non si effettuerà con l’errore 1032 (0xfffffbf8).

-e–

Event Type: Errore
Origine evento: ESE98
Categoria di eventi: Generale
ID evento: 488
Descrizione: Il mssearch (1492), non è riuscito un tentativo per creare il file “Server\Data\Ftdata\SharePointPortalServer\MSStmp.log Portale Files\SharePoint D:\Program” “Accesso negato” con l’errore di sistema 5 (0×00000005). L’operazione di creazione sul file non si effettuerà con l’errore 1032 (0xfffffbf8).

-e–

Event Type: Errore
Origine evento: ESE98
Categoria di eventi: Logging/Recovery
ID evento: 413
Descrizione: Il mssearch (1492), il file Impossibile per creare un nuovo registro presenta perché il database non si può scrivere nell’unità di registro. L’unità è della lettura sola dello spazio misconfigure o danneggiato sul disco. Errore 1032.

-e–

Event Type: Errore
Origine evento: ESE98
Categoria di eventi: Logging/Recovery
ID evento: 492
Descrizione: Il mssearch (1492) la il file di registro sequenza in “Server\Data\Ftdata\SharePointPortalServer\ Portale Files\SharePoint D:\Program” è stato arrestato a causa di un errore irreversibile. Nessun ulteriore aggiornamento non è possibile per i database che utilizzano questa sequenza di registro di file. Il problema risolvere, riavviare o si ripristinare dal backup.

-e–

Event Type: Errore
Origine evento: ESE98
Categoria di eventi: Logging/Recovery
ID evento: 471
Descrizione: Mssearch Impossibile (1492) all’operazione #128.145.954 di rollback sul database Server\Data\Ftdata\SharePointPortalServer\sps.edb Portale Files\SharePoint D:\Program. Errore: -510. Si rifiuteranno tutti gli aggiornamenti di database futuro.

Torna all’inizio

Cause

Questo problema si può verificare se un programma di backup ha bloccato i file JET di dati e log nella cartella Ftdata SharePoint Portal Server. Quando si esegue il backup e si ripristina un computer SharePoint Portal Server, si supporta il Solo script MSDMBACK.VBS che si fornisce con il prodotto o una soluzione di backup di terze parti che si certifica specificamente per l’utilizzo con SharePoint Portal Server. Se si utilizza tutto l’altro programma di backup che si include Microsoft Windows 2000 Backup, è possibile visualizzare i messaggi di errore che si descrive nella sezione “Sommario” di questo articolo.

Torna all’inizio

Risoluzione

Per risolvere questo problema, chiudere il processo di backup e riavviare il servizio di ricerca Microsoft (Mssearch.exe) sul server.

Torna all’inizio

Informazioni

Per impedirlo a questo problema di ricorrere, verificare a quello la cartella Ftdata SharePoint Portal Server che si indica evento i messaggi di registro di errore sono esclusi nel programma di backup non supportato sul server. Questa cartella risiede in genere sull’unità in cui ha installato i file di dati durante Processo di installazione (che si trova questa cartella in Data\Ftdata\SharePointPortalServer) a. Poiché verificano i dati che si possono essere spostato di file dopo l’installazione che lo Sps.edb e i file associati si trovino nel percorso a cui si fa il riferimento, registrare gli errori di evento.

Torna all’inizio

Le informazioni in questo articolo si applicano a

•	Microsoft SharePoint Portal Server 2001

Torna all’inizio

kberrmsg kbprb KB296220 KbMtit kbmt

Problemi con gli aggiornamenti automatici o windows update

admin — Thu, 24 May 2007 22:14:00 +0000

Al seguente link ho trovato una guida davvero ben fatta che riporto integralmente in seguito.
http://wsus.editme.com/TroubleshootingClientSetup

Troubleshooting Client Setup

In some cases, AU clients do not show up in WSUS Administration console, and thus never receive updates from WSUS. There are several reasons why this can happen.

The first thing to establish is the settings that the client is using. To do this, run the following command:

Reg query “HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate” /s

Ensure server and port number shown in the output exist and are correct. Typos in these settings can be the cause of your problem.

Next check whether WSUS is installed on Default Website. If client policies point to the default web site for updating, check that WUS is also installed in Default Website. If you have installed WUS on a different port run the script %Program Files%\MicrosoftWindowsUpdate\Services\”SetupInstallSelfupdateOnPort80.vbs.

Also, use the clientdiag tool from the RC (download this from the WSUS Beta Site) to see what other errors there might be.

If other computers are checking in fine but you have one or more that aren’t, check a couple relevant text logs for clues. There’s the main windows update log at %systemroot%\WindowsUpdate.log (WindowsUpdate all one word) and another log covering individual component updates at %systemroot%\SoftwareDistribution\ReportingEvents.log I found a handy page that has a list of error messages with some plain english messages. You’ll want to check that out at http://perso.wanadoo.fr/doc.jm/WU5-ERR.htm

I had one computer not checking in and found errors like this in the ReportingEvents.log:

Windows failed to install the following update with error 0x800703e3: Automatic Updates.

and in WindowsUpdate.log I saw:

start delayed initialization of WU client
Loading inf file D:\WINDOWS\SoftwareDistribution\SelfUpdate\wusetup.inf
.
.
.
Required Version for binary D:\WINDOWS\system32\cdm.dll is: 5,8,0,2339
Binary: D:\WINDOWS\system32\cdm.dll: Target version: 5.5.3790.2182 Required: 5.8.0.2339
Required Version for binary D:\WINDOWS\system32\iuengine.dll is: 5,8,0,2339
Binary: D:\WINDOWS\system32\iuengine.dll: Target version: 5.4.3790.2182 Required: 5.8.0.2339
.
.
.
WU client failed Searching for update with error 0x8024001b
ISusInternal API CClientCallRecorder::DisconnectCall succeeds
Starting File operations for section cdm
InstallUpdatedBinaries failed with error 0x800703e3

A quick visit to the beta v6 windowsupdate site updated the WU client and everything just started working from my local WSUS after that. You can force the client to restart the AU process by doing:

pskill wuauclt [or use task manager; I'm unsure if this step is neccesary or good]
net stop “Automatic Updates”
net start “Automatic Updates”
wuauclt /detectnow

If client machines do not have web access, download the full file Windows Update Client agent Agent from
http://go.microsoft.com/fwlink/?LinkId=43264

WindowsUpdateAgent20-x86.exe /wuforce /quiet to install it remotely.

Add /norestart if you’re doing it during the day (my clients didn’t need a reboot, but ya never know).

If you’re seeing error 0x8024400A and are running WSUS on Win2K3 SP1 it might be an IIS bug that’s causing it. A hotfix is available. See: http://support.microsoft.com/Default.aspx?id=898708

I personally had success via a “shotgun” aproach suggested by ctobio on the wsus.info forums. I’ve consolidated the operations into a batch file form here, suitable for running remotely:

REM Stop the Automatic Updates service
net stop wuauserv

REM Stop the Windows Management Instrumentation service
net stop winmgmt

REM Backup ReportingEvents.log. Then, delete the contents of
REM %systemroot%\SoftwareDistribution and
REM %systemroot%\system32\WBEM\Repository
copy %systemroot%\softwaredistribution\reportingevents.log %homedrive%\
del /f /q %systemroot%\softwaredistribution\*.*
move %homedrive%\reportingevents.log %systemroot%\softwaredistribution

REM Delete SusClientID and AccountDomainSid keys from
REM HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate
SET WU_KEY=HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate
reg delete %WU_KEY% /v SusClientID
reg delete %WU_KEY% /v AccountDomainSid
SET WU_KEY=

REM Start the Automatic Updates service
net start wuauserv

REM Start the Windows Management Instrumentation service
net start winmgmt

REM Force a group policy update
gpupdate /force

REM Roll the WU Client…
wuauclt /resetauthorization /detectnow

After you do this, you will have to delete the old and now spurious computer account in the WSUS admin interface. Delete the old computer that shows a status of not having checked in for so many days. Leave the account that’s never checked in. This new account will be checking in and that should be reflected after a little while in the admin interface. You’ll also have to move the new account into the proper group where the old one was. Monitor the WindowsUpdate.log in %systemroot% on that client machine to ensure that it’s grabbing updates again.

If a client appears in the admin console but all the updates are flagged “unknown” the system cannot determine which updates are needed or installed. Multiple errors similar to the following may appear in the client’s Application event log:

Event Type: Error
Event Source: ESENT
Event Category: General
Event ID: 427
Date: 5/17/2005
Time: 10:51:44 AM
User: N/A
Computer: [computername]
Description:
wuaueng.dll (1280) The database engine could not access the file called C:\WINNT\SoftwareDistribution\DataStore\Logs\edb.log.

Additionally the following error may appear once around the time of the first occurrence of the above error:

Event Type: Error
Event Source: ESENT
Event Category: Logging/Recovery
Event ID: 413
Date: 5/12/2005
Time: 2:46:16 PM
User: N/A
Computer: [computername]
Description:
wuaueng.dll (1280) Unable to create the log. The drive may be read-only, out of disk space, misconfigured, or corrupted. Error -1032.

To resolve this problem, stop the Automatic Updates service on the affected client, delete %windir%\SoftwareDistribution\DataStore\Logs\edb.log and restart the service.

[I couldn't find any record of this error at Microsoft or anywhere else.]

The following registry location can be useful to see what state the client is in

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\AUState  This will have one of the following values

0—initial 24-hour timeout (Automatic Updates doesn’t run until 24 hours after it first detects an Internet connection.)
1—waiting for the user to run Automatic Updates
2—detection pending
3—download pending (Automatic Updates is waiting for the user to accept the predownloaded prompt.)
4—download in progress
5—install pending
6—install complete
7—disabled
8—reboot pending (Updates that require a reboot were installed, but the reboot was declined. Automatic Updates won’t do anything until this value is cleared and a reboot occurs.)

Name	Version	Size	Date	User
Wsus error.txt	1	1574	27/10/06 3.28	praveenr
Wsus error

Comments:

From karmacop – 29/03/05 8.10

WUS is all working fine, but i accidentally removed all my clients ffrom the ‘All Computers’ Group. Is there a way to get the computers back or do i need to re-install WUS?

From ipelivan – 20/04/05 15.07

Hi! I have simillar problem. I removed one client computer from computer group. How to get it back?

From jahovabob – 07/07/05 9.48

clientdiag can also be downloaded here.

From helsby – 06/10/05 8.45

You are better going to http://www.microsoft.com/windowsserversystem/updateservices/support/default.mspx for the client diag download as this also has links to the readme. There are also server diag tools from this link too.

From rpaz – 08/01/06 17.42

I’m a little bit confused.

Can the AUState registry key be used to check WSUS Status? Or this key is only used by SUS?

From rpaz – 08/01/06 17.46

For those that accidentally removed All The Clients, don’t worry to much they will get back on next cycle

I made the same mistake

From rpaz – 08/01/06 18.00

For those that accidentally removed All The Clients, don’t worry to much they will get back on next cycle

I made the same mistake

From rpaz – 08/01/06 18.00

For those that accidentally removed All The Clients, don’t worry to much they will get back on next cycle

I made the same mistake

From rpaz – 08/01/06 18.13

Sorry about the duplicated comments. Dam reload!

From giadzich – 22/02/06 12.16

It will take a while for client to report back to WSUS server after you delete it.
I hate to see those little icons saying the computer not report in xx days. I decided to delete them all. No harm.

From weeble – 27/02/06 1.47

This may not apply to everybody but I’ve got around 40 Windows 2000 machines that are not checking into my WSUS Server.

So far, the solution that I’ve found to get them all to start checking in is as follows:

Download and install the following:

Windows installer 3.1 (don’t restart, just install the next item)
BITS Update for Windows 2000 (KB842773) (don’t restart, just install the next item)
MDAC Update (if prompted to re-start, do the next step before clicking restart)
Once I’ve done that, I have to then copy over the latest WUAUENG.DLL file renaming the old one to WUAUENG.DLL.OLD (or whatever you choose).
Restart your computer (cross your fingers)

Once I’ve restarted the computer, it will then check in with my WSUS server and start the updating process.

I’ve found that in some remote cases, I’ve also had to export the REGKEYS from a working machine and them import them into a machine that isn’t working after I’ve done all the updates.

If you’re having problems, and you’ve checked everything else, try this … it may work and you’ve obviously got nothing else to loose. So far, it’s worked without fail for me.

From laurin1 – 21/06/06 13.27

I had it working fine, but now it’s broke. None of my clients show up in the Console and all log Event ID 16.

From geraghty – 11/05/07 6.39

I spent days trying to work out why none of my clients were connecting to WSUS – finally realised the problem was that the IUSER account was disabled! I’d disabled it ages ago to increase the security of the server…

Last Modified 11/04/06 22.39

Problemi e Soluzioni di un sistemista informatico » windows

Provvedimento del garante sugli Amministratori di sistema

Installo rsyslog con logging su file sul logserver

Abilitare il logging su tutti i server linux

Abilitare il logging su Oracle 9i

Abilitare il logging su Postgres

Abilitare il logging su MySql

Abilitare il logging sui server Windows

Abilitare il logging su Exchange

Abilitare il logging sul FileServer

Immodificabilità dei log

Disabilitare le info di windows quando si muove il mouse sulle icone

Win XP – Eliminare la guida in linea dal menu Start

Problema con AVG 8 – avgnsx e problemi nella navigazione internet

Gestione degli utenti inattivi su Windows 2003 Server

Rimborso per Windows preinstallato, il parere dell’Aduc

Windows 2000 non vede il disco superiore a 137GB

[TROJAN] – avv.Ubaldo Santarelli – rimozione manuale 2

[TROJAN] – avv.Ubaldo Santarelli – rimozione manuale

Soluzione problema aggiornamenti automatici windows update

Altri sintomi o problemi con gli aggiornamenti automatici o windows update

Gli ID evento ESENT 1000, 1202, 412 e 454 vengono registrati ripetutamente nel registro applicazione

Sintomi

Cause

Risoluzione

Le informazioni in questo articolo si applicano a

Chiavi:

Si registrano i punti di indicizzazione che funzionano e i messaggi di evento ESE98

Sintomi

Cause

Risoluzione

Informazioni

Le informazioni in questo articolo si applicano a

Chiavi:

Problemi con gli aggiornamenti automatici o windows update

Troubleshooting Client Setup

Comments: