Category Archives: Windows

Оптимизация скорости Windows

Оптимизация скорости Windows

Все, кто работает с Windows сталкиваются с проблемой «торможения» Windows со временем. Создается впечатление «усталости операционной системы». Как результат, через некоторое время операционная система Windows раздражает своей не поворотливостью.

Особенно остро проблема возникает, когда на дисках много файлов. Это проявляется как на серверах, так и на компьютерах.

Некоторые админы «решают» проблему полной переустановкой Windows с периодичностью раз в 1-2 года. Но, такими действиями они лишь сбрасывают проблему к нулю, а не решают ПРИЧИНУ проблемы.

В процессе борьбы с торможениями я вывел ряд рецептов, которые приводят к уменьшению количества чтения/записей дисковых накопителей, а как результат к стабильно высокой скорости работы системы.

 

1. Если SSD-диск. Включаем функцию Trim.

Проверить включена ли функция trim можно в командной строке, выполнив:

Если 0 — то Trim включен, если 1 — выключен.

 

2. Отключаем дефрагментацию.

Запускаем команду:

В ней, нужно для всех дисков отключить план запуска дефрагментации.

Отключение дефрагментации диска

 

3. Отключаем индексацию содержимого файлов.

Нажимаем на диске правой клавишей и вызываем свойства. Там указываем, что не нужна индексация (убираем галочку индексации).

Отключение индексации диска

 

4. Отключение файла подкачки.

Убираем галочку автоматического определения файла подкачки. Устанавливаем значение «без файла подкачки».

Отключение файла подкачки Windows

 

5. Отключаем файл гибернации.

Для того, чтоб отключить гибернацию, входите под админ-правами в cmd и выполняете команду:

 

Использованная статья: http://remontka.pro/nastroika-ssd-windows

 

Автор: Рудюк Сергей https://k2r.biz https://corp2.net

https://3dvisio.org

Что делать, если провреждено хранилище компонентов Windows Server 2012

Бывает, что операционная система Windows Server 2012 ругается на повреждение хранилища компонентов. В этом случае, сервисы не ставятся и такая ситуация вводит администраторов в «ступор».

Что же делать, в этом случае?

Ответ найден на сайте Microsoft.

Для возможного решения проблемы рекомендую Вам выполнить следующее:

 

1. Удалите антивирусную программу.

  • После удаления антивирусной программы, перезапустите компьютер.
  • При следующем запуске включится встроенная защита от вирусов Windows Defender (Защитник Windows).
  • Проверьте работу Центра обновления Windows.

 

2. Проверьте наличие ошибок в хранилище системных файлов и обновлений.

 

  • Для этого нажмите «Win+X», выберите «Командная строка (администратор)»
  • В Командной строке введите следующую команду: Dism /Online /Cleanup-Image /CheckHealth

 

3.    Вне зависимости от результатов проверки выполните проверку данной папки и устранение потенциальных ошибок

  • Для этого, так же в Командной строке введите следующую команду: Dism /Online /Cleanup-Image /RestoreHealth

4.    Выполните проверку системных файлов на целостность

  • Для этого в Командной строке введите следующую команду: sfc /scannow

 

5.    Проверьте работу служб:

  • Также в командной строке введите поочередно следующие команды:

net stop wuauserv

net stop bits

net stop cryptsvc

ren %systemroot%\SoftwareDistribution sdold123

ren %systemroot%\System32\catroot2 cr2old123

net start cryptsvc

net start bits

net start wuauserv

 

P.S. Документация Windows молчит, что это может не помогать.

 

Запустите PowerShell от имени администратора, выполните:

Если это не момогло, скопируйте install.wim из дистрибутива на жесткий диск в C:\image и смонтируйте в C:\mount

Затем:

 

3D визуализация и дизайн

3D визуализация и дизайн

Не все так просто с Petya

27-го июня, 2017 года новая кибератака поразила множество компьютерных систем в Украине и других странах. Атака была вызвана зловредом, который ESET определял как Diskcoder.C (aka ExPetr, PetrWrap, Petya, или NotPetya).

Эта атака маскировалась под эпидемию обычного шифровальщика — который шифровал данные на диске и требовал 300$ в биткоинах для восстановления данных. Но на самом деле, план был в нанесении ущерба, поэтому автора сделали все что могли, чтобы усложнить расшифровку данных.

В нашем блоге, мы уже относили эту атаку к группе TeleBots и раскрыли детали другой похожей цепочки атак против Украины. Эта статья раскрывает детали про первичный вектор распространения, который был использован для эпидемии DiskCoder.C.

Итак, рассказ о поддельном обновлении.

На своей страничке в фейсбук, Департамент киберполиции в Украине, сообщил, что на начальной фазе распространения зловреда DiskCoder.C, было использовано популярное программное обеспечение бухгалтерского учета M.E.Doc — практически монополист в этой области на Украине. Но до сих пор нет никаких деталей как именно это было проделано.

Во время нашего исследования, мы обнаружили весьма хитро скрытый бэкдор, который был внедрен в один из официальных модулей M.E.Doc. Само исполнение выглядит так, что это было бы очень сложно сделать без доступа к исходным кодам M.E.Doc.

Файл зараженного модуля ZvitPublishedObjects.dll, написан на .NET Framework, он размером в 5 мегабайт, и содержит большое количество легального кода, который может быть вызван другими компонентами ПО, включая основной файл ezvit.exe

Мы изучили все обновления M.E.Doc, которые были выпущены в 2017 году, и обнаружили как минимум три обновления, содержащих зараженный модуль:

01.175-10.01.176, от 14 апреля 2017
01.180-10.01.181, от 15 мая 2017
01.188-10.01.189, от 22 июня 2017

Распространение Win32/Filecoder.AESNI.C началось через три дня после обновления 10.01.180-10.01.181, а распространение DiskCoder.C началось через 5 дней после обновления 10.01.188-10.01.189.

Что интересно, так это то, что четыре обновления с 24 апреля 2017 по 10 мая 2017 года, и семь обновлений с 17 мая по 21 июня, НЕ содержали троянский модуль.

В обновлениях с 15 мая по 17 мая, троянский модуль есть, но после 17 мая их нет, и это вероятно одна из причин, по которой распространение первого зловреда, а именно Win32/Filecoder.AESNI.C было не таким масштабным.

Возможно, обновление от 17-го мая было неожиданным для атакующих. Но они снова загрузили уязвимость в обновление от 18-го мая, тем не менее большинство пользователей M.E.Doc уже обновились «вчерашним» патчем, и первая атака прошла не особо заметно.

Метаданные файла показывают, что библиотека была скомпилирована скорее всего прямо в день обновления, или возможно на день раньше, в зависимости от часового пояса.

Вирус Петя

Timestamp показывает, что троянский модуль был создан 15 мая.

Вирус Петя 2017

Тут мы видим разницу в классах между зараженным и нормальным модулем, используется .NET декомпилятор the ILSpy. Классы зараженного модуля слева.

Основной класс бэкдора — MeCom, который расположен в пространстве имен ZvitPublishedObjects.Server, как это указано на картинке 3.

Петя Вирус

Класс MeCom с троянским кодом в ILSpy .NET Decompiler.

Методы класса MeCom вызываются из метода IsNewUpdate в пространстве имен UpdaterUtils и ZvitPublishedObjects.Server. Сам метод IsNewUpdate вызывается периодически, чтобы проверять доступны ли новые обновления. Зараженный модуль от 15 мая работает немного иначе и содержит меньше функций, чем модуль от 22 июня.

Каждая зарегистрированная организация в Украине имеет уникальный код ЕДРПОУ. И это очень важно, так как используя ЕДРПОУ, можно проводить целенаправленную атаку против конкретной компании или организации. Работая изнутри, с компьютера где установлен троянский модуль, можно использовать различную тактику, в зависимости от намерений атакующих.

С тех пор, как M.E.Doc получил большую популярность, его можно найти на компьютере практически каждого бухгалтера. Один M.E.Doc может обслуживать сразу несколько организаций, и однажды установленный троян будет знать о всех ЕДРПОУ на этой машине для отправки их злоумышленникам.

Вирус Петя

Код, который собирает ЕДРПОУ.

Кроме ЕДРПОУ, троян также собирает настройки прокси, почты, включая логины и пароли зараженного приложения M.E.Doc.

Внимание! Рекомендуется сменить пароли для всех прокси и почтовых пользователей, которые пользовались M.E.Doc!!

Также вредоносный код записывает собранную информацию в реестре Windows по адресу HKEY_CURRENT_USER\SOFTWARE\WC, используя имена ключей Cred и Prx. Если на вашем компьютере вы найдете подобную информацию реестре, значит на вашем компьютере как минимум выполнялся троянский код.

И наконец наиболее хитрая часть. Троянский модуль не использовал никаких внешних серверов как контрольных центров. Он пользовался стандартными обновлениями приложения от M.E.Doc с официального сервера upd.me-doc.com[.]ua. Единственное отличие от легальных запросов в том, что троянский код отправлял собранную информацию назад на сервер через cookies.

Вирус Петя-А

HTTP-запрос от трояснкого модуля, который содержит ЕДРПОУ в cookie.

Мы не проводили судебный анализ M.E.Doc сервера. Мы уже писали в нашем блоге, что есть признаки того, что сервер обновлений был скомпроментирован. Поэтому мы можем только подозревать, что атакующие смогли подпатчить сервер обновлений, чтобы различать запросы от зараженных и не зараженных машин и пользоваться этим.

Вирус Петя

И конечно, атакующий должен был добавить способ контроля зараженной машины. Этот код получал бинарные данные с официального сервера обновления M.E.Doc, расшифровывал их алгоритмом Triple Des, распаковывал из GZip, в результате получался XML файл с набором инструкций. Таким образом, этот троян превращался в полномасштабную платформу для кибершпионажа и киберсаботажа.

Вирус Петя

Код трояна, который расшифровывает список инструкций для выполнения на зараженной машине.

Таблица возможных команд:

Command назначение

0 – RunCmd Выполнить shell команду
1 – DumpData декодировать Base64 данные и сохранить их в файл
2 – MinInfo Собрать информацию о компьютере — версия ОС, разрядность, текущие привилегии, настройки UAC, настройки прокси и почты (включая логины и пароли)
3 – GetFile Получить файл с зараженного компьютера
4 – Payload Декодировать Base64 данные, сохранить их в исполняемый файл и запустить его
5 – AutoPayload тоже, что и предыдущее, но файл должен быть сохранен в виде библиотеки и предполагался выполняться через rundll32.exe. Вдобавок он должен попытаться перезаписать конкретную DLL.

Можно отметить, что именно команда номер 5, названная автором зловреда как «AutoPayload», полностью подходит под то, каким образом изначально распространялся DiskCoder.C на зеро-пациентах (первых зараженных машинах).

Вирус Петя

Метод AutoPayload, который использовался для выполнения шифровальщика DiskCoder.C.

Выводы

Как показывает наш анализ, это была очень тщательно спланированная и хорошо выполненная операция. Мы предполагаем, что атакующие имели доступ к исходным кодам M.E.Doc. Что у них было достаточно времени чтобы изучить его код и внедрить скрытую уязвимость. Полный размер установочного пакета M.E.Doc — около 1.5 гигабайта, и нет никакой возможности оперативно проверить его на другие закладки и уязвимости.

Все еще остаются вопросы. Как долго этот троян использовался? Какие другие команды, кроме отправки зловредов DiskCoder.C и Win32/Filecoder.AESNI.C были запущены через этот канал? Какие другие атаки могли пройти задолго до текущей ситуации, но остались незамеченными?

Отдельная благодарность моим коллегам Frédéric Vachon и Thomas Dupuy за их помощь в расследовании.

Indicators of Compromise (IoC)
ESET detection names:
MSIL/TeleDoor.A
Legitimate servers abused by malware authors:
upd.me-doc.com[.]ua
SHA-1 hashes:

7B051E7E7A82F07873FA360958ACC6492E4385DD
7F3B1C56C180369AE7891483675BEC61F3182F27
3567434E2E49358E8210674641A20B147E0BD23C

P.S.
От переводчика:

Данная ситуация показывает, как плохо государство осознает опасность киберпреступлений, насколько плохо то, что методы борьбы с киберпреступниками не обсуждаются со специалистами, и в результате принимаются совершенно бесполезные, неэффективные и даже вредные решения в виде блокировок и запретов.

В стране сотни крупных и десятки крупнейших ИТ компаний, которые пишут отличное ПО мирового уровня. И эти компании неоднократно предлагали государству услуги по созданию государственных ИТ сервисов, со всеми аттрибутами — адекватным тендером и привлечением специалистов с экспертизой.

Вполне даже тендер может быть организован таким образом, чтобы для исполнения были выбраны несколько компаний — кто-то как автор, кто-то как независимый аудитор.

Совершенно очевидно, что подобный диалог нужен, и ПО, которое используется настолько широко, должно проходить сертификацию как ПО национального значения.

Источник: https://geektimes.ru/post/290779/

3D визуализация и интерьер

Предметная визуализация

Отключение сервиса ISS в Windows 8

В Windows 8 блокируется 80 порт. Как результат, блокируется возможность работы Apache по 80 порту.

Чтоб исправить данный недостаток в Windows 8 необходимо под правами администратора выполнить команду:

 

Дизайн интерьеров

Сброс пароля локального Администратора Windows Server 2008 R2 (Еще способ)

Была как то у меня на обслуживании не большая организация, внедрял я там Windows Server 2008 R2, поднял терминальный сервер.
Притеры, пользователи, пароли, все как обычно. Ну, пароль Администратора у меня остался. Через некоторое время,
по не понятным причинам, они взяли системного администратора на полную ставку. Ну причины мне не особо интересны.
Сдал я сервер мальчику заочнику-первокурснику, и спокойненько ушел. Первая мысль была примерно такая: «Ломать тут нечего, сервер терминалов будет крутить, надет все в интернете, почтовый вряд ли тронет.»
Ну и ушел с почти спокойной душой. Прошло пол года, звонят, у нас вот так и так что то не так. (Ну как всегда у пользователей. «У нас что то не так, а что сказать не можем, приходите»). Спросил про мальчика админа, сказали уволили нафиг. Ну думаю бывает.
Собираюсь, приезжаю. Мальчик смог поломать сервер терминалов, саму Windows Server 2008 R2 тоже потрепал не плохо (Контроллер домена на 15 пользователей? Нафига вот? Да еще и не поднятый. Как он вообще эту роль НеДоподнял, не понимаю. :( ), почтовый сервер, и понаставить кучу нелицензионного ПО на клиентские места. (Ну фиг с ней с лицензией, а вот, то что это ПО просто бесполезное…)

Пробую залогинится на остатках сервера, пароль не принимает. Сменил. Ну оно и понятно. Звоню, диктует, не подходит (Мальчик как то ехидно посмивается.). Ну думаю фиг с тобой. Попробовал сбросить пароль способом уже ранее описанным тут.
Сбросил, зашел, требует перезагрузку. Перезагрузжаюсь, пароль не верный. Приехали. Пытаюсь снова сбросить, не сбрасывает. Типа пароль пустой и бла бла бла. Сегодня опишу еще один способ сброса пароля на Windows Server 2008 R2.

В отличии от предыдущей статьи, никакого стороннего ПО использовать не будем. Все что потребуется, пара рук, внимательность при прочтении этой статьи, и установочный диск от Windows Server 2008 R2. (к слову сказать, я всегда такой с собой тоскаю. Вообще в моей аптечке много всего, мало ли что :) )
Итак, вставляем диск в привод и грузимся с него.
С лева, в низу, будет «Ссылка» под названием «Восстановление системы» (англ. «Repair your computer«), вот ее и жмем.

OneВсе параметры оставляем по умолчанию, и ничего не меняем. Жмем «Далее»

TwoВыбираем как средство восстановления «Командная строка»

ThreeДалее все достаточно просто. Вводим несколько не замысловатых команд:

Получим ответ: Перемещено файлов: 1
Вводим:

Получи ответ: Скопировано файлов: 1

Four

Этими командами, мы подменили программу запуска «Специальных возможностей«, командной строкой. Вся соль в том, что на экране входа, «Специальные возможности» запускаются от имени системы. Вот это и будем использовать.

Теперь перезагружаем систему, до экрана входа. Да, того экрана который говорит что пароль не верный.

fiveИ жмем на кнопку «Специальные возможности«, после чего будет запущена командная строка.

sixМожете выполнить команду whoami, что бы удостоверится что на данный момент командная оболочка выполняется от имени системы:

seven1Далее все просто и весьма не замысловато. Теперь осталось просто сменить пароль нужного пользователя простой командой net. Сменим пароль для учетной записи Администратор:

nine Ну в принципе на этом вроде бы и все. Но! Обязательно, снова загрузитесь с диска, как в начале, и верните файлы на свои места. Если все оставить как есть, то в системе останется дыра размером с железнодорожный туннель. Представьте себе, если например инициировать автоматическую загрузку «центра специальных возможностей» (Да, кавычки тут по тому что это уже центр в кавычках :) ) с какими либо параметрами. И все команды исполняются от имени системы. Воспользовавшись этим, можно расширить дыру от масштабов «железнодорожного тоннеля», до космической черной дыры! Так что не откладывайте возвращение файлов на свои места.

Этот способ испытан мной только на системе Windows Server 2008 R2 и только на учетной записи локального администратора. Сбросить пароль администратора домена, так не выйдет.

 

Источник: http://melfis.ru/%D1%81%D0%B1%D1%80%D0%BE%D1%81-%D0%BF%D0%B0%D1%80%D0%BE%D0%BB%D1%8F-%D0%BB%D0%BE%D0%BA%D0%B0%D0%BB%D1%8C%D0%BD%D0%BE%D0%B3%D0%BE-%D0%B0%D0%B4%D0%BC%D0%B8%D0%BD%D0%B8%D1%81%D1%82%D1%80%D0%B0%D1%82-2/

Как сменить ID в TeamViewer

После установки TeamViewer и первого подключения к сети, программа получает уникальный идентификационный номер (ID), благодаря которому вы можете осуществлять подключение к вашему компьютеру. Если, вы используете бесплатную версию в коммерческих целях, есть большая вероятность, что со временем, вам ограничат время удаленного соединения, до значения не превышающее пяти минут, после чего соединение будет оборвано. В этом случае единственным способом разблокировать ограничение является смена ID.

Teamviewer

ID привязывается и формируется по двум значением на вашем компьютере, это MAC адрес сетевой карты и VolumeID раздела жесткого диска. Соответственно для того чтобы сменить ID в TeamViewer, нужно изменить эти два значения.

В начале мы опишем как сменить MAC адрес. Есть два способа: простой и сложный.

Простой способ смены MAC адреса — это при использовании специально предназначенной для этого утилиты, например: MACChange.

Teamviewer2

Тут все просто, находим в списке сетевую карту с помощью которой осуществляется подключение, после чего нажимаем кнопку генерации нового MAC и жмем «Change».

Вторым и более сложным способом, является смена MAC адреса с помощью редактирования нужного ключа в реестре. Для этого откроем редактор реестра, выполнив команду: regedit.

В редакторе реестра переходим по пути HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4d36e972-e325-11ce-bfc1-08002be10318}.

regeditregedit2

Тут, каждый сетевой компонент обозначен четырьмя цифрами начиная с 0000, 0001 и так далее. Нужный мы можем найти просматривая его параметр DriverDesc, где мы и можем найти название своей сетевой карты, например: TP-LINK Wireless USB Adapter.

regedit3

После того как нужная сетевая карта найдена, добавляем или изменяем ключ: NetworkAddress, который и является MAC адресом. Тип данных для этого ключа необходимо установить REG_SZ.

regedit4

Итак, MAC адрес сетевой карты изменен, теперь нужно изменить VolumeID системного раздела жесткого диска (заметим, что в некоторых случаях TeamViewer привязывается к другим разделам диска или даже к присоединенным съемным носителям, поэтому есть вероятность, что придется менять VolumeID других разделов).

Для смены VilumeID, скачиваем программу VolumeID v2.0 и запускаем от имени Администратора.

VolumeID

Тут выбираем нужный нам раздел, вводим новый серийный номер (New serial number) и жмем кнопку «Change serial number».

После всех выполненных операций нужно перезагрузить компьютер. Запустив TeamViewer вам будет присвоен новый ID.


AHera 14.01.2015 3707

Источник: http://winupdate.ru/question/kak-smenit-id-v-teamviewer/

3D визуализация и интерьер

Запуск 1С7.7 в Windows Server 2008 64bit в терминальном режиме

Автор: Рудюк С . А.
https://corp2.net

E-Mail: rs@corp2.net

Столнулся с проблемой запуска 1С7.7 последних релизов в Windows Server 2008, когда подключаешься Windows Terminal. Как оказалось, для того, чтоб корректно работала 1С7.7 нужно отключить dep.

Для того, чтоб отключить DEP, входите в командную строку под администратором и выполняете команду:
bcdedit.exe /set {current} nx AlwaysOff 

После перезагрузки компьютера — будет все запускаться.

Автор: Рудюк С . А. https://corp2.net

Услуги программирования в 1С. Киев

Windows 8 и кнопка Пуск

Автор: Рудюк С . А.
https://corp2.net

E-Mail: rs@corp2.net

В Windows 8 убрали классическое меню с программами, которое возникало при нажатии на кнопке Пуск. В результате, пользователю предлагается выбрать программу в «плиточном» интерфейсе Metro. В результате, пользователям полноценных компьютеров таким инструментарием пользоваться не удобно и сильно медленно…

В результате, ряд компаний, стали предлагать программное обеспечение, которое вернет стандартный функционал кнопки Пуск.

Например:

Start Menu X — http://www.startmenux.com/ru/
Start 8 — http://www.stardock.com/products/start8/

Я лично, выбрал бесплатный вариант Start Menu X.

Автор: Рудюк С . А. https://corp2.net

3D визуализация и интерьер

Как сделать в Windows 8, чтоб Skype не открывался на весь экран

Новый интерефейс Skype просто «убивает»… Дизайнеры в очередной раз придумали функционал, который не ведет к улучшениям, а ведет к диградации… Открывая Skype для Windows 8, он распахивается на весь экран. В результате, Вы не можете «между делом» переписываться с партнерами… Как результат — закрываете Skype и не пользуетесь им вообще…

Но, есть возможность решения данной проблемы: просто поставьте Skype для рабочего стола. На данный момент, ссылка на данный вариант реализации Skype: 

http://www.skype.com/ru/download-skype/skype-for-computer/