Archives For CAB

È un problema che ho affrontato qualche tempo fa e che inizialmente mi ha dato un po’ di grattacapi, salvo poi trovare casi molti simili che mi hanno aiutato a risolvere l’anomalia. Il disco di un PC si satura e la colpa è della cartella C:\Windows\Temp, invasa da file senza estensione, dal nome che comincia sempre per cab_. Perché accade? Il problema viene generato da una installazione di alcuni aggiornamenti (da Windows Update) evidentemente non andata a buon fine, non del tutto almeno, nonostante la schermata preposta di Microsoft dica che tutto va bene.

Windows: l'invasione dei CBSPersist e dei cab_ (C:WindowsTemp)

Facendo un po’ più di attenzione, si scopre che in realtà di cartella che occupa spazio ce n’è un’altra. Teoricamente dovresti trovare anomala anche la C:\Windows\Logs\CBS, all’interno della quale dovresti trovare dei file CAB veri, e un file di log dalla dimensione decisamente robusta (CBS.log). L’anomalia parte proprio da qui. Partiamo con le opportune presentazioni (recuperate con una semplice ricerca):

CBS stands for “Component-Based Servicing” and it basically is the way components get installed and uninstalled during updates. It is the reason you see “Stage 1”, “Stage 2”, and “Stage 3” during the Service Pack 1 install (for example). “Stage 2” and “Stage 3” exists for the registry keys and files that are normally locked during regular operation.

Tutto chiaro? Un log in cui ogni aggiornamento di Microsoft va a scrivere e tiene traccia di ogni movimento. Un log destinato –per forza– a crescere, e che per un comportamento assolutamente standard va a ruotare, sospendendo la scrittura, finendo in un CAB che ne riduce (di parecchio) la dimensione, e infine ne prepara uno nuovo in cui tornare a scrivere, per poi ricominciare il giro ancora e ancora.

Se per qualsivoglia motivo questo procedimento non fila liscio, il CBS.log diventa più grande del previsto, ingestibile e –soprattutto– impossibile da mettere in un CAB nei tempi previsti. Il risultato? Cartella Temp di Windows piena di tentativi falliti di comprimere quel log, cartella CBS che si ingigantisce.

Diverse le fonti dove ho trovati informazioni in merito e persone capitate nello stesso vortice, ne ho selezionate tre che mi hanno aiutato:

Riepilogando, tutto questo può accadere in qualsiasi momento e -in base alla capacità del disco e lo spazio libero da poter sfruttare- potresti accorgertene a mesi (o forse anni) di distanza. Io ho scoperto di essere soggetto al problema solo perché un utente ha lamentato poco spazio libero e mi ha fatto scoprire l’anomalia. Le operazioni da affrontare per resettare il procedimento di scrittura e archiviazione del CBS.log è questo:

  • Fermare il servizio Windows Update.
  • Rinominare la cartella della Software Distribution (C:\Windows\SoftwareDistribution).
  • Cancellare ogni file in C:\Windows\Temp (ovviamente ignorando quelli in uso e che faranno comparire il classico errore a video di impossibilità di cancellazione, nda).
  • Riavviare il servizio di Windows Update.
  • Cancellare ora la cartella SoftwareDistribution precedentemente rinominata, non serve più, Windows Update provvederà a crearne una nuova in totale autonomia (dovrebbe già averlo fatto in fase di avvio del servizio, come da passaggio precedente).
  • Fermare il servizio Trusted Installer.
  • Cancellare ogni file in C:\Windows\Logs\CBS.
  • Riavviare il servizio Trusted Installer.
  • Forzare una ricerca aggiornamenti di Windows Update (direttamente via prompt).

Visto che questa cosa potrebbe capitare ad altri client in futuro, ho pensato di tradurla in codice batch, da dare in pasto anche al Kace di Dell (tanto per fare un esempio). Il tutto intervallando alcuni secondi di pausa prima di poter eseguire l’operazione successiva (dando così modo al client di non saltare alcun passaggio fondamentale):

sc stop wuauserv
ping 127.0.0.1 -n 7 > NUL
cd \Windows\
move SoftwareDistribution SoftwareDistribution_old
del /S C:\Windows\Temp\* /Q
FOR /D %%p IN ("C:\Windows\Temp\*.*") DO rmdir "%%p" /s /q
sc start wuauserv
rd /S /Q C:\Windows\SoftwareDistribution_old
sc stop TrustedInstaller
ping 127.0.0.1 -n 7 > NUL
del /S C:\Windows\Logs\CBS* /Q
sc start TrustedInstaller
ping 127.0.0.1 -n 5 > NUL
wuauclt.exe /detectnow

Così facendo ho risolto il problema e liberato spazio sul disco. Ho fatto queste modifiche al sistema mesi fa e il problema non si è più presentato (a me, ma anche ad altri utenti che nel frattempo ho rilevato nella nostra rete).

Facile (soprattutto se si ha un aiuto nella software distribution) fare un’analisi all’interno della rete aziendale e cercare le macchine che soffrono la stessa anomalia ma che ancora non hanno saturato il disco, basterà cercare nella cartella C:\Windows\Temp una forte presenza di cab_, così da portarsi avanti ed evitare che il problema si presenti agli occhi dell’utente.

Estote parati (cit.).

G

Update

Ho aggiunto il passaggio relativo alla cancellazione della cartella SoftwareDistribution rinominata (nella lista delle operazioni manuali da compiere), come da commento di GDB, che ringrazio per avermelo fatto notare.

Condividi l'articolo con i tuoi contatti:

Ieri mattina ho visto spuntare fuori un aggiornamento di stato su Facebook, poi un altro su Twitter, un altro ancora su entrambi e via andare così per svariate ore, è evidentemente stata una giornata “piena“. Mail scritte in italiano corretto, manca giusto qualche simbolo ma si tratta di sciocchezze perché l’occhio viene facilmente ingannato dalla scorrevolezza del testo e dal “possibile contenuto” dato che si parla di ordini, fatture e rimborsi, terreno fertile è la tipica azienda italiana più che il privato cittadino (ma non fa eccezione). Fate attenzione a questo articolo riepilogativo, cercherò di riportare tutti i dati che vi servono per riconoscere le mail con a bordo Cryptolocker prima che sia troppo tardi.

Cryptolocker

Di cosa si tratta

Sarò breve perché non è la parte che interessa “ai più“. Cryptolocker è un software di tipo ransomware, prendono in ostaggio i vostri file crittografandoli con una chiave privata che non potrete avere a meno di versare una cifra stabilita (da loro) entro un tetto massimo di ore (variabili) oltre le quali i file sono da considerarsi definitivamente persi. Volete approfondire? Qui trovate la definizione di Ransomware (in inglese) di e qui Michele ne parlava lo scorso dicembre su ilSoftware. Sul forum di BleepingComputer si parla delle nuove varianti in più lingue (e in questo caso il messaggio in italiano non è così perfetto).

Dettaglio da non sottovalutare: il software è in grado di modificare e impedire l’utilizzo dei file sul vostro PC tanto quanto quelli presenti nei dischi di rete qualora questi dovessero essere per voi accessibili in lettura e scrittura, il danno potrebbe essere potenzialmente devastante.

Le mail che possono arrivare

Sono di diverso tipo e –come detto inizialmente– scritte in italiano tutto sommato corretto e fluente, i dettagli “errati” (e neanche tanto) sono pochi, pochissimi, praticamente appigli inesistenti per l’utente di base (o quasi).

Cryptolocker

Non dovrei dirlo ma quel file (un %Nome a caso sempre variabile%.CAB, per la cronaca) non dovrete mai aprirlo. È una ovvietà ma le telefonate arrivate in HelpDesk (in ufficio da me) non sono state poche, fortunatamente parecchi utenti del gruppo sanno benissimo che possono girare questo tipo di comunicazioni e sanno altrettanto bene che vanno immediatamente cestinate senza pensarci su due volte. Sono rari i casi in cui vengono inoltrate “as-is” all’indirizzo dell’assistenza per una ulteriore verifica. Non è così per tutti, è importante che facciate attenzione a ciò che andate ad aprire spesso “con troppa spensieratezza. Un amico e collega di mestiere è arrivato ad affermare che con i propri clienti è diventato più semplice chiedere di pagare piuttosto che debellare la minaccia e recuperare i file, spesso mancano i backup (soprattutto quando si tratta di privati che pensano di essere al di sopra delle più banali norme di sicurezza e protezione dei dati) e non esistono ancora metodi sicuri per rimuovere l’infezione e rimuovere la crittografia applicata ai propri documenti. Allo stato attuale delle cose ci sono alcuni antivirus che ancora faticano a rilevare Cryptolocker e le sue varianti più giovani.

Qui il report di VirusTotal su un file CAB infetto: virustotal.com/it/file/cd02630a9b1ae5c224a3aa264190fabff449b3c8922be8d1fb1da28f4ac0b5e4/analysis/1422391692 (1 solo motore antivirus lo rileva senza sapere di preciso di cosa si tratta, tanto per farvi capire quanto può essere pericoloso e apparentemente innocuo).

È di solo 48 ore fa (circa) la discussione nella Mailing List di Sikurezza.org riguardo questo nuovo attacco verso gli indirizzi di posta italiani, consiglio ai più curiosi di dare un’occhiata: mail-archive.com/ml@sikurezza.org/msg04940.html

Incollo un’ulteriore mail che -come noterete- assomiglia parecchio alla prima in immagine poco sopra, in allegato il solito file cab :

"Ti ringraziamo per l'ordine effettuato di recente e confermiamo di aver 
ricevuto i prodotti restituiti.

Il tuo numero di riferimento è: V27E67848DA82536
Azienda: A.P.TEX. S.A.S.

I seguenti oggetti sono stati rimborsati come richiesto:
=====
1 x CARTUCCIA EPSON NERO MATT X R1900 C13T0878402: 14.14 EUR
1 x TONER SAMSUNG NERO ML-D3470A X SER. 3560-3561: 90.66 EUR
6 x SW NUANCE OMNIPAGE 16 PRO FULL IT: 460.47*6 = 2762.82 EUR
1 x CORLDESS BRONDI DC2080V GRIGIO: 24.39 EUR
1 x FLOPPY LOCK KENSINGTON 3.5: 17.85 EUR
=====
Totale: 2909.86 EUR

Si prega di aprire il file allegato per maggiori informazioni.

=====
Rubens Cotti"

Dubbi o curiosi di sapere ulteriore informazioni? L’area commenti è a vostra totale disposizione. Colgo l’occasione per ringraziare le varie fonti in ordine sparso per le informazioni e parte dei testi e delle immagini (Andrea e Cristian, ma anche gli utenti della lista di Sikurezza.org)

Fate attenzione!

Aggiornamento 30/1 08:30
Altri articoli raccolti sul web:

Aggiornamento 29/1 08:20
Si parla di attacco hacker ma ovviamente non lo è, il classico doppio clic di troppo ed ecco servita la chiusura per due giorni affinché si possano recuperare i dati dal backup e verificare l’integrità di tutto prima di ricominciare a prestare servizio per la clientela:

Condividi l'articolo con i tuoi contatti:

Possessori di conto corrente postale accorrete!

Una volta per tutte vorrei fare chiarezza su quello che è l’argomento “bonifici esteri e Poste Italiane S.p.A.“. Da quando Poste Italiane S.p.A. si è lanciata nel mercato dei conti correnti e dei servizi finanziari più in generale (si parla del 2000 circa, anno dal quale hanno cominciato a “far sul serio”) devo ammettere di essermi sempre trovato abbastanza bene. Sono diventato correntista nel 2004, ottenendo un conto ed una carta (BancoPosta, per capirci) che a parte i primi problemi di compatibilità presso i vari esercenti, ad oggi si dimostra affidabile e collegata ad una serie di servizi e garanzie tali per cui do fiducia al gruppo italiano.

Il vero scopo di questo post è “il solito“: fungere da promemoria per il sottoscritto e aiutare altre persone a ricordarsi che tipo di dati occorrerà comunicare all’estero nel caso in cui qualcuno debba mandarci dei soldi utilizzando la soluzione del bonifico internazionale, situazione che tipicamente prende in contropiede il connazionale.

Dal 1º gennaio 2008 l’uso dell’IBAN è diventato obbligatorio per i bonifici nazionali (in sostituzione delle coordinate bancarie ABI, CAB e numero di conto) e per quelli diretti nell’area SEPA.

I bonifici disposti senza indicazione del codice IBAN sono stati accettati fino al 1º giugno 2008 senza ulteriori costi. Successivamente, i bonifici privi di codice IBAN avranno costi maggiori.

wikipedia

I dati utili sono quindi due: codice IBAN e codice SWIFT (o BIC).

Poste Italiane viene identificata con il BIC: BPPIITRRXXX.

A tal proposito segnalo una pagina che riassume il tutto:

poste.it/bancoposta/contobancopostaimpresa/a_bonifico_estero.shtml

e contemporaneamente segnalo una ulteriore risorsa italiana che vi permette di conoscere l’IBAN calcolandolo dall’ABI e dal CAB della propria succursale bancaria o semplicemente specificando la città interessata e selezionando la succursale stessa da un menu che comparirà automaticamente a video:

abiecab.it

Qui un esempio partendo dalla mia agenzia: abiecab.it/Poste_Italiane_Spa_Ravenna-07601-13100.php

Spero possa tornarvi utile :)

Condividi l'articolo con i tuoi contatti: