SpippolAzione.net

Mi capita il solito Windows XP con la schermata della guardia di finanza che vuole $oldi.

Fortunatamente la macchina ha due utenti, entrambi amministratori, e il problema si manifesta su un solo utente, l’altro è immune e cosi posso lavorare sul pc senza dovermi barcamenare con live cd e robe del genere, anche perché avviare in modalità provvisoria e loggandosi con l’utente infetto porta al riavvio del computer senza possibilità di scampo e una volta loggato la maschera di richiesta di soldi parte e disabilita ogni tipo di task manager e combinazione di tasti.

Il problema è evidentemente in esecuzione automatica, ma quello che viene avviato SOLO nell’utente marcio non lo vedo dall’utente sano, quindi passo antivirus ed antispyware come se non ci fosse un domani, che in effetti trovano schifezze che vengono rimosse, ma quella che carica la pagina è ancora li.

Il mio amico google mi svela un trucco per caricare l’hive del registro dell’altro utente e poterci lavorare senza problemi (della serie non si finisce mai di imparare).

1) lancio regedt32.exe

2) mi posiziono sulla voce “HKEY_LOCAL_MACHINE”, perché solo in quella posizione si attiva la voce in “File\Carica hive”

3) carico il registro relativo all’utente marcio, che trovo in “c:\documents and settings\UTENTE MARCIO\ntuser.dat”

4) mi viene chiesto un nome, mettiamo “pippo”, e la voce “pippo” mi appare sopra “HKEY_LOCAL_MACHINE”, ci entro e mi trovo tutto il registro relativo al’utente marcio

5) rufolando un poco trovo in “pippo\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon” una voce “shell” che contiene “explorer.exe, c:\documents and settings\UTENTE MARCIO\skype.dat”, ovvio che quello “skype.dat” altri non è che il beffardo eseguibile con l’estensione camuffata che carica la pagina marcia, lo vaporizzo lasciando solo “explorer.exe”

6) scarico l’hive del registro da “File\Scarica hive”, altrimenti se mi loggo con l’utente marcio windows mi dice che il profilo è danneggiato e rientro nell’utente ormai bonificato. A quel punto vaporizzo anche il file “skype.dat” e vivo felice.

Raniero 1 – MalwareDelPiffero 0

Se si installa Windows (s)Vista/7/8 su un pc che aveva Windows XP e la modalità del controller nel bios è rimasta in “IDE-mode” quando andremo a cambiare la modalità della contller in “Enhanced” DOPO aver messo il nuovo Windows al riavvio successivo avremo una simpatica schermata blu e la morte del sistema operativo.

Per evitare questo inconveniente si devono segure questi passaggi:

Aprire regedit ed andare alla voce di registro:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Msahci

dove troverete un campo chiamato “Start”, che dovrebbe avere valore “3″, che si deve modificare in “O” (zero).

Quindi si deve spengere il pc, riaccenderlo ed entrare nel bios a modificare la modalità del controller, quindi salvare le impostazioni del bios e riavviare Windows che partirà regolarmente rilevando delle nuove periferiche.
Terminato il rilevamente riavviare di nuovo e siamo a posto.

Da prompt dei comandi COME AMMINISTRATORE:

Dis-Abilitare
powercfg.exe /hibernate off

RI-Abilitare
powercfg.exe /hibernate on

Under Servers and Components, expand Blackberry Solution Topography, then Blackberry Domain, then Component View, then click on Blackberry Administration Service and record all of the CALs listed in the License Key box .

Under Servers and Components, expand Blackberry Solution Topography, then Blackberry Domain, then Component View, then Blackberry Enterprise Server, and click on the name of the Blackberry Server.

Record all of the information listed in the SRP Information box and log out of the Blackberry Administration Service.

If you are using a full version of Microsoft SQL Server:

1. Open Enterprise Manager.
2. Right-Click on the Blackberry Configuration Database (the name of the database we found earlier).
3. Select Backup Database.
4. Click Add to specify the Directory Name and File Name. Click OK to accept the settings.
5. Click OK to perform the backup.
6. Close Enterprise Manager.

If you are using Microsoft SQL Desktop Engine (MSDE):

1. Open a command prompt and type osql -E NOTE: If you are logging in to a named instance of SQL Server, use the following command syntax to log in: osql -E -S \
2. Type the following commands in this order:
1> backup database <database_name> to disk = “C:\<database_name.bak>
2> go
1> quit
3. Close the command prompt.

————–

Nel caso del mio BEs (non express)

da prompt dos:

osql -E -S misvbes01\blackberry

poi

1> backup database besmgmt to disk = “c:\backup\database_besmgmt.bak”
2> go

ci pensa e poi dice roba tipo

Processed 17104 pages for database ‘besmgmt’, file ‘BESMgmt_data’ on file 1.
Processed 2 pages for database ‘besmgmt’, file ‘BESMgmt_log’ on file 1.
BACKUP DATABASE successfully processed 17106 pages in 44.235 seconds (3.167
MB/sec).

si esce con

1> quit

Disistallando un software di RIM ( blackberry, mortacci loro) ho questo errore che si risolve cosi:

SuWindows 7 64-bit

reg delete “HKCU\SOFTWARE\Classes\Wow6432Node\CLSID\{B54F3741-5B07-11CF-A4B0-00AA004A55E8}” /f
c:\windows\syswow64\regsvr32 vbscript.dll

SuWindows 7 32-bit

reg delete “HKCU\SOFTWARE\Classes\CLSID\{B54F3741-5B07-11CF-A4B0-00AA004A55E8}” /f
c:\windows\system32\regsvr32 vbscript.dll

Può capitare, sopratutto usando il Vmware Converter, oppure durate la creazione di una macchina virtuale, di creare il disco fisso C: venga creato in modo IDE invece che SCSI.

Questo porta due svantaggi: primo che il formato IDE è più lento, poi che il formato IDE non è incrementabile di dimensioni.

Essendomi trovato a corto di spazio su una macchina in queste condizioni ho usato questo trucchetto trovato sull KB di vmware:

http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1016192

Tenete presente una cosa, il boot della macchina segue la catena scsi, nella mia macchina avevo due disco: il disco C: che era IDE e il disco D: che era SCSI 0:0, dopo la conversione il disco C: mi viene allocato come SCSI 0:1 e quindi la vm cerca di partire dal disco D:

Poco male, sposto il D: in SCSI 0:2, il C: da SCSI 0:1 a SCSI 0:0 e il D: da SCSI 0:2 a SCSI 0:1 e il tutto riparte.

Riporto qui sotto che non si sa mai, io, inoltre, per semplificarmi la vita prima di tutto il lavoro, elimino il cdrom dalla macchina virtuale, poi lo rimetto dopo aver completato la procedura:

To convert the IDE disk to SCSI:

Locate the datastore path where the virtual machine resides.

For example:

# cd /vmfs/volumes///

From the ESX Service Console, open the primary disk (.vmdk) using the vi editor. For more information, see Editing files on an ESX host using vi or nano (1020302)
Look for the line:

ddb.adapterType = “ide”

To change the adapter type to LSI Logic change the line to:

ddb.adapterType = “lsilogic”

To change the adapter type to Bus Logic change the line to:

ddb.adapterType = “buslogic”

Save the file.
From VMware Infrastructure/vSphere Client:
Click Edit Settings for the virtual machine.
Select the IDE virtual disk.
Choose to Remove the Disk from the virtual machine.
Click OK.

Caution: Make sure that you do not choose Remove from disk.

From the Edit Settings menu for this virtual machine:
Click Add > Hard Disk > Use Existing Virtual Disk.
Navigate to the location of the disk and select to add it into the virtual machine.
Choose the same controller as in Step 3 as the adapter type. The SCSI ID should read SCSI 0:0.

If a CDROM device exists in the virtual machine it may need to have the IDE channel adjusted from IDE 0:1 to IDE 0:0. If this option is greyed out, remove the CD-ROM from the virtual machine and add it back. This sets it to IDE 0:0.