domenica 22 novembre 2009

Windows Server 2003, Impossibile eseguire i file scaricati da Internet

In Windows Server 2003 può accadere che se si tenta di eseguire un qualunque file scaricato da Internet si riceve il seguente messaggio di errore:

"Impossibile accedere alla periferica, al percorso o al file specificato. E' probabile che non si disponga delle autorizzazioni necessarie"

oppure

"Windows cannot access the specified device, file, or path. You may not have the appropriate permissions to access the item."

Il problema deriva dal componente di sicurezza di Internet Explorer che non permette di eseguire il file. E' il componente che chiede se eseguire o no il file.

Per risolvere temporaneamente il problema, fare click con il tasto destro del mouse sul file e scegliere proprietà e quindi fare click su "Annulla Blocco" o "Unblock". A questo punto i file possono essere eseguiti.

Per risolvere definitivamente il problema, andare in
"Installazione Applicazioni" e fare click su "Installazione Componenti di Windows"

Disinstallare il componente, togliendone la spunta e facendo avanti:
"Protezione avanzata di Internet Explorer"
oppure
"Internet Explorer Enhanced Security Configuration"

A questo punto riavviare il server.

venerdì 13 novembre 2009

Mebroot - il ritorno dei rootkit MBR

Il virus Mebroot si installa nell'MBR del disco rigido, sposta il boot manager microsoft su un'altra posizione e si sostituisce ad esso.

In questo modo si avvia prima del boot manager di windows, lancia il boot manager e patcha il kerner in memoria in modo da hookare alcune routine del kernel ed eseguire il driver rootkit all'avvio. Inoltre cerca di impedire la scrittura al settore 0 del disco rigido in modo da impedire di essere rimosso.

Quando windows è in esecuzione il virus scarica da un sito web altri trojan e virus tramite una backdoor. Il virus crea nuovo utente, HelpAssistant, che è amministratore del computer. Dentro questo utente c'è una copia di tutti i dati dell'utente principale, la copia viene fatta ad ogni avvio.

Quando il virus è attivo, tramite la backdoor la macchina viene controllata da remoto e tra i vari trojan che vengono scaricati ed installati c'è ne uno che quando ci si collega all'home banking, alla e-mail o altri servizi, in genere https, dopo la conferma dell'utente e della password spedisce una e-mail con queste informazioni tramite outlook. Inoltre all'avvio del computer vengono spedite altre informazioni via e-mail. C'è quindi un rischio molto elevato.

Il problema è che anche se i rimuovono dal disco rigido tutti i virus, al successivo riavvio, il rootkit li riscarica e si torna punto a capo.

Ci sono due soluzioni al problema.

La prima consiste nel far avviare la console di ripristino di Windows XP e da li digitare:
fixboot
fixmbr


La seconda invece è un po' più semplice perchè bisogna scaricare il removal tool della symantec ed eseguirlo sul pc infetto. Il software si chiama "Trojan.Mebroot Removal Tool" da cercare su google.

Consiglio prima di fare questi passi di collegare il disco rigido ad un'altro computer e fare da li una scansione e rimozione dei virus.

Aggiornamento del 07/12/2009:

Il tool della Symantec non funziona con le nuove versioni di Mebroot (dal 09/2009 in poi). Bisogna utilizzare la procedura dal cd di installazione di Windows.

Impossibile trovare il file C:\WINDOWS\explorer.exe.

In seguito ad una rimozione di virus, ma non solo, al riavvio del computer non si vedono più ne le icone del dekstop ne il menu avvio.

Se si lancia il task manager e si esegue explorer.exe per riattivare il desktop ed il menu avvio si riceve il seguente messggio di errore:

"Impossibile trovare il file "explorer.exe". Verificare che il percorso e il nome del file siano corretti e ritentare. Per cercare n file fare click sul pulsante Start, quindi scegliere Trova."

Se si tenta di eseguire da console lo stesso file si riceve il seguente messaggio di errore:

"Impossibile trovare il file C:\WINDOWS\explorer.exe."

Il file però esiste, si vede da esplora risorse, dal comando dir e la situazione non cambia nemmeno sostituindo l'eseguibile.

Per risolvere il problema bisogna aprire con regedit.exe la voce del registro

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe"

Se c'è un valore stringa chaimata "Debugger" eliminarlo, infatti i virus impostano il loro percorso in questa voce di registro in modo tale da farsi lanciare ad ogni esecuzione di explorer.exe.

martedì 22 settembre 2009

Interner Explorer 8 - Memory could not be written

Se Internet Explorer si blocca spesso con questo messaggio di errore quando si lavora con componenti ActiveX bisogna disabilitare il DEP.

Per disabilitare il DEP fare click col tasto destro su risorse del computer,
  1. Proprietà
  2. Avanzate
  3. in Avvio e Ripristino fare click su Impostazioni
  4. in Avvio del sistema fare click su Modifica
  5. Modificare /noexecute=optin in /noexecute=alwaysoff
  6. Salvare e chiudere il documento
  7. Dare OK a tutte le finestre e riavviare il computer

mercoledì 19 agosto 2009

Enable Intel VT on Acer Aspire 3810T

UPDATE:
the bios version v1.14 enables VT by default. There is no need to use this method anymore.


UPDATE 2:
if the BIOS updater says that your model is not supported, you must roll back to an older update until you find one working. After that update try again.

Hello,
Following the guide on Feature Enable's blog i was able to make the VT work on the Acer Aspire 3810T. This feature is also called Hardware Virtualization and is usefull when using virtual machines. I'm using Windows 7 RC and it has a feature called Virtual Windows XP where you can run Windows XP inside Windows 7. This software requires that the VT is Enabled. But on my notebook it was not. The cpu has this feature but Acer decided that it should not be available to the user.

You must use the bios v1.08 downloadable at Acer's site. The version v1.10 does not boot from the usb drive.


These are the steps to get the VT feature working on the Acer 3810T:

Before using the tool, you must be warned about the risks and the worst case that can happen.
First the risks (things said last hopefully stick best):- it may not work: simple as that, maybe your vendor decided to go somehow differently about things.
Something else may not work: the laptop still boots, but e.g. Shutdown does not work, or it reboots after a couple of minutes, etc. This could happen if you modified the wrong offset and have been lucky enough to still be able to boot. -> Reverse what you did (if you still know it). Enter the SetupUtility and restore default settings. If strangeness persists, you may need to reflash the firmware (perform a firmware update as usual: This will definitely restore a default VSS).
Now to the worst case: the laptop does not boot - You most definitely strayed from my instructions and touched something that you shouldn't have. Maybe there is a hotkey (Maybe [fn]-[esc], [Windows Key][ESC] or [Windows Key + B] during power-up) to enter a special firmware rescue mode where you can try to restore the firmware (and reset the VSS) from an USB stick -- maybe not. In the absolute worst case, you need to send your laptop in for repair. This could take a lot of time (months), and can cost money. So be warned and don't do anything stupid! :)
If you still want to go ahead, you need a firmware installed where the Setup variable offset has been verified. On Acer 3810T laptops that seem to be always 0x1af.
On to the procedure:
Put this EFI application on an USB-stick that is formated with FAT32 into the following directory:
\EFI\BOOT\
When the stick is attached to your laptop, it should boot from it regardless of the boot order or whether your allow or deny booting from external devices (actually a security risk of the firmware itself!).
If everything goes well, you should see the following message> Welcome to GRUB!>> Entering rescue mode...> error: file not found> grub rescue>
At first, type:
setup_var
and press ENTER, a license text should inform you about the risks. More importantly, you should see at the bottom that the tool is looking for the Setup variable and found it. The GUID should match the expected GUID - if it does not, don't continue!
Next, we'll look at the current setting of the VT offset, which is at least on all recent Insyde H2o firmware based laptops that I've encountered up until now at 0x1af.
setup_var 0x1af
again press ENTER and verify that the variable is set to 0x0. Abort if it does not contain 0x0.
The last step is to set this single byte to 0x01 by executing (WARNING: THIS WRITES TO THE VSS):
setup_var 0x1af 0x1
You may verify your changes by executing once more
setup_var 0x1af
This time the byte at the offset 0x1af should read 0x01.
After that you may reboot by pressing [ctrl][alt][del], remove the USB-stick and check with your favorite tool whether VT really is enabled or not.

giovedì 18 giugno 2009

Exchange 2003, cartelle pubbliche visualizzano i messaggi come Inserimento

Se in Exchange 2003 le email scaricate dal connettore pop3 in una cartella pubblica vengono visualizzate come Inserimento e non come Messaggio bisogna aprire la seguente chiave del registro:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\MSExchangeIS\\Public-
Inserire o modificare la voce DWORD "Incoming defaults to IPM.Note"
e cambiare il valore da 0 a 1

Bisogna riavviare il servizio Archivio Informazioni di Microsoft Exchange.

Ora tutti i messaggi saranno inseriti come tipo Messaggio e non Inserimento.

giovedì 11 giugno 2009

Modem HSUPA ZTE MF636 connect grayed out

If the driver of the ZTE MF636 modem installs correctly but does not allow you to click on connect, you must enable the Remote Access Auto Connection, Remote Access Connection Manager and Routing and Remote Access services to autostart.