Month: June 2012

Windows7 e Server 2008: gestire da riga di comando gli event log di Windows con “Wevtutil.exe”

Alberto Scotti

Wevtutil.exe è un comodo programma a riga di comando, presente su Windows7 e Windows Server 2008, che permette di gestire, anche remotamente, gli event log di Windows: è possibile infatti eseguire query, vedere e modificare le configurazioni dei log, esportarli in vari formati per poterli archiviare.
Alcuni esempi pratici:

Lista degli event log presenti sul computer:
wevtutil el

Visualizzare i parametri di configurazione del system event log da un computer remoto:
wevtutil gl System /r:nome_computer

Visualizzare informazioni aggiuntive (dimensione, numero di entry, data di creazione) dell’application event log da un computer remoto:
wevtutil gli Application /r:nome_computer

Visualizzare, in formato testo, i 100 record più recenti dell’application event log da un computer remoto:
wevtutil qe Application /c:100 /rd:true /f:text /r:nome_computer

Esportare su file il System event log da un computer remoto (il file verrà creato sul computer remoto):
wevtutil epl System C:backupsystem.evtx /r:nome_computer

Esportare su file e cancellare tutti i record dell’Application event log da un computer remoto (il file verrà creato sul computer remoto):
wevtutil cl Application /bu:C:zapplication.evtx /r:nome_computer

 

A questa pagina http://technet.microsoft.com/en-us/library/cc732848%28v=ws.10%29.aspx troverete la spiegazione di tutte le opzioni e degli switch di esecuzione di Wevtutil.exe.

The NTP Pool Project needs more servers

Alberto Scotti

Riporto la richiesta del NTP Pool Project: The NTP Pool needs more servers

The client base for the NTP Pool continues to grow, so we also need to increase the number of servers. Being a “public utility” of sorts (you likely use it for some computer or device in your house, office or both even if you don’t know it), we need help from, well, the public. At least the particular kind of public who is running a server or two with static IP addresses and know how to configure a new daemon on it.

There are several thousand and new ones are added regularly, however from natural attrition the total number of servers have been stagnating or even going down lately, even in Europe. Some countries still have very good coverage (Germany for example), but many others really could use more.

In Asia virtually all countries could use more servers, even or maybe in particular Japan, China and India. In South America there are virtually no servers outside Brazil.

Iceland recently joined the pool as a “full zone”; so far just with two servers.

More servers in any country are very welcome, but in particular in the countries with sparse coverage it’ll be great to get more.

Windows7: Apple Bonjour, errore “Failed to connect to a windows service” e Winsock da buttare

Alberto Scotti

Ho da poco avuto un problema, sul mio portatile con Windows7 x64, che mi ha fatto venire un bel mal di testa per cercare di risolverlo.
Tutto è iniziato quando ho deciso di disinstallare iTunes e tutti i programmi Apple ad esso collegati: dopo la disinstallazione del servizio “Bonjour“, al successivo riavvio, il portatile non è stato più in grado di collegarsi alla rete aziendale (sia wired sia wireless), a quella casalinga e ad internet.

L’event log di sistema era pieno di questi errori:
Failed to connect to a windows service. Windows could not connect to the System Event Notification Service service. This problem prevents limited users from logging on to the system. As an administrative user, you can review the System Event Log for details about why the service didn’t respond.
Per qualche oscuro motivo la disinstallazione di Bonjour non è avvenuta in maniera corretta, e TCP/IP e Winsock sono rimasti corrotti.

In Windows7 è possibile ripristinare parametri e servizi di TCP/IP e winsock da riga di comando eseguendo:
netsh winsock reset
netsh int ip reset

All’esecuzione di questi comandi, tuttavia, il sistema ha riportato l’errore:
Initialization Function InitHelperDll in NSHHTTP.DLL failed to start with error code 11003
ed al successivo riavvio la rete non era ancora disponibile.

L’unico modo per fare tornare a funzionare tutto è stato piuttosto da brividi: ho dovuto cancellare le chiavi di registry relative a TCP/IP e Winsock, esportarle e ripristinarle da un altro computer simile funzionante, resettare TCP/IP e Winsock con netsh.
Quindi ho dovuto:

  1. cancellare la chiave HKLM/System/CurrentControlSet/Services/Winsock
  2. cancellare la chiave HKLM/System/CurrentControlSet/Services/Winsock2
  3. esportare in un file .reg, da un computer funzionante, la chiave HKLM/System/CurrentControlSet/Services/Winsock
  4. esportare in un file .reg, da un computer funzionante, la chiave HKLM/System/CurrentControlSet/Services/Winsock2
  5. importare i due file di registry del computer malfunzionante
  6. riavviare
  7. eseguire nuovamente netsh winsock reset e netsh int ip reset
  8. riavviare

ed il computer è tornato online.
GLUB 🙁

VMware Workstation 8: come entrare nel BIOS di una VM

Alberto Scotti

Ci sono due cose di VMware Workstation 8 che trovo “stupide”:

  1. l’impossibilità di modificare la sequenza di boot dei device di una VM dal pannello delle impostazione della VM: bisogna avviare la VM ed entrare nel BIOS;
  2. l’impossibilità di modificare qualsiasi parametro di BIOS di una VM: bisogna avviare la VM ed entrare nel BIOS;
  3. il ridottissimo tempo in cui appare a video il BIOS della VM, non appena avviata: è praticamente impossibile entrare nel BIOS sperando di riuscire a premere il tasto corretto.

Come faccio ad entrare nel BIOS di una VM per editarne i parametri (per esempio quelli relativi alla sequenza di boot) ?

Primo modo: nella finestra principale di VMware cliccare su VM > Power > Power on to BIOS
Secondo modo: editare il file VMX (testuale) di configurazione della VM dove vogliamo visualizzare il BIOS ed aggiungere la seguente nuova riga:

bios.bootdelay = 20000

ciò aggiunge un delay di 20 secondi al boot che permette di rimanere nella pagina delle informazioni del POST della VM e, quindi, permette di avere tutto il tempo necessario per premere F2 per entrare nel BIOS

W32.Flamer: Enormous Data Collection | Symantec Connect Community

Alberto Scotti

Articolo originale qui: W32.Flamer: Enormous Data Collection | Symantec Connect Community.

Una interessante analisi dei lab Symantec riguardo quali genere di informazioni il virus / worm “Flame” riesca a recuperare e rubare da un computer. E’ importante tenere presente che la stragrande maggioranza dei malware eseguono questo tipo di data harvesting dai computer infetti.
Guardate un po’ cosa rileva:

1_original
2_original
3_original
4_original