carloz Posted September 18, 2010 Share Posted September 18, 2010 Ciao a tutti! Ho un problema che da un paio di giorni mi assilla (e mi sta facendo perdere una montagna di tempo)... Dopo ormai 2-3 anni di funzionamento abbastanza stabile e devo dire quasi impeccabile del mio server windows 2000 server, ho scoperto che da tre-quattro giorni, pur continuando ad offrire i servizi necessari all'esterno, ha smesso di navigare in internet... non uso mai il server windows per navigare in internet (ovviamente per evitare di infettarlo di spyware/virus/malware e quant'altro), e infatti questo fatto l'ho scoperto poichè, l'antivirus installato da tempo, negli ultimi giorni mi segnala continui errori nell'aggiornamento automatico che dovrebbe fare ogni ora. Provando ad aprire internet explorer, e digitando ad esempio www.google.it, dopo un pò di tempo internet explorer mi dice "impossibile aprire la pagina di ricerca". Ho provato a fare un nslookup da prompt dei comandi, come consigliato da un gentilissimo operatore della telecom, e dopo brevissima attesa, quasi subito, mi dice errore di timeout, timeout di 2 secondi superato, e altre cose di questo tipo... I server dns impostati sulla connessione sono quelli telecom e sono giusti, tant'è vero che sono uguali a quelli impostati sugli altri computer che ho in ufficio, che navigano tranquillamente. Ho trovato questa guida della microsoft, cercando su google gli errori di timeout dell'nslookup. http://support.microsoft.com/kb/242906 ma anche facendo un ipconfig /registerdns come consigliano loro, la situazione non cambia... ho anche provato a riavviare il server...ma niente da fare...continua a non navigare... il fatto strano è che se io da prompt dei comandi pingo ad es. libero, pingando direttamente il suo ip 195.210.91.83 , il ping va a buon fine subito e libero mi risponde in pochi millisecondi...se invece faccio ping www.libero.it , dopo un pò di attesa, mi ritorna l'errore: host sconosciuto:www.libero.it . I servizi client dns, server dns,client dhcp, sono avviati e funzionanti, i server dns telecom sono impostati corretti, idem ip, netmask e gateway...non so più dove sbattere la testa... qualcuno ha idea di cosa possa essere successo, contando che non ho fatto alcuna modifica alle impostazioni del server, che peraltro non ha subito nessun riavvio o aggiornamento da oltre un mese? Ho pensato anche ad un virus o a un malware, ma dopo aver fatto le dovute scansioni con antimalware, antivirus ecc aggiornati manualmente, le scansioni sono sempre terminate non trovando niente di niente... L'operatore della telecom invece ha ipotizzato di un possibile sovraccarico del lavoro del server e dell'ip fisso a cui è associato,e perciò mi ha consigliato di installare un altro server e di distribuire parte del lavoro su questo nuovo server, in modo da alleggerirlo... a me sembra un'ipotesi plausibile, ma in teoria, se così fosse, la sera, quando il server è più a riposo e la linea meno carica, dovrebbe tornare a navigare, cosa che invece non accade... Grazie anticipate! P.S. Ho anche letto su forum in giro per internet che potrebbe essere il router della telecom che non permette la navigazione a più di un tot di pc contemporaneamente, contando che ho collegato da qualche giorno un nuovo server linux (in questo momento staccato), è possibile che abbiano fatto un errore e mi tengano bloccato un pc nella navigazione? Domani proverò, su consiglio di un amico, i server dns di opendns per vedere se è un problema relativo ai server dns telecom o se è proprio un problema di windows che non risolve più i dns...è valida vero una prova del genere? Grazie ancora. Quote Link to comment Share on other sites More sharing options...
tom1 Posted September 18, 2010 Share Posted September 18, 2010 Esattamente se hai un alice come modem quelli bianchi che sia dial face o pirelli hanno nella configurazione originale un problema di gestione connessioni ed è per questo che non riesci, come prova di ciò prova ad escludere alcuni pc e vedi se ritorna a navigare quindi alcune domande che ti pongo: -prima quando navigavi anche dal server quanti pc avevi nell'ufficio ? -ora che non navighi quanti pc sono installati sul server ? -che modello preciso hai di modem router telecom Quote Link to comment Share on other sites More sharing options...
Le085 Posted September 18, 2010 Share Posted September 18, 2010 Benvenuto Ti sposto nella sezione reti Quote Link to comment Share on other sites More sharing options...
carloz Posted September 18, 2010 Author Share Posted September 18, 2010 Innanzitutto grazie a tom della risposta e a Le085 del benvenuto Rispondendo a tom: allora, io in ufficio ho sempre avuto in tutto tre computer, il mio con cui lavoro e due server windows...di cui uno sempre acceso (che è il server in questione), e un altro acceso saltuariamente (l'ho usato per fare più che altro dei test ecc...). Adesso la situazione è: mio computer acceso, server windows 1 acceso, e server windows 2 spento ma collegato alla rete (con tanto di lucetta led accesa sullo switch di rete). C'è da dire che in questi ultimi due mesi sto cercando di mettere in piedi un server linux, che ho tenuto acceso e collegato alla rete (e navigante in internet) per circa una settimana, ma si parla di un mese fa, e tutto ancora funzionava... poi l'ho tenuto spento per un mesetto, e ho tornato a lavorarci in questi giorni. In questo preciso momento (da ieri sera) è spento e scollegato dalla rete. Seguendo questa ipotesi, ho provato perciò adesso a navigare col server, ma ancora niente... ho anche appena provato ad inserire i dns opendns, ma non naviga lo stesso e all'nslookup risponde sempre con l'errore di timeout... il router alice che ho è l'ALICE GATE VOIP 2 PLUS WI-FI Business by pirelli broadband solutions spa... Quote Link to comment Share on other sites More sharing options...
tom1 Posted September 18, 2010 Share Posted September 18, 2010 allora ok prova a fare un reset per prova del modem, dopodichè se riesci a fare gli screen del pannello del modem in sezione configura lan Quote Link to comment Share on other sites More sharing options...
carloz Posted September 18, 2010 Author Share Posted September 18, 2010 fatto il reset... il server non naviga lo stesso...ma le impostazioni sono giuste così sicuramente...sono anni che navigava... ti dico la configurazione lan: Indirizzo ip modem 192.168.2.1 maschera sottorete: 255.255.255.0 stato napt: attiva ip iniziale: 192.168.2.2 ip finale: 192.168.2.254 impostazioni servizio dhcp: disattiva ip iniziale: 192.168.2.2 ip finale: 192.168.2.254 Impostazioni LAN pubblica: Gateway predefinito Indirizzo IP iniziale Indirizzo IP finale Maschera sottorete DNS primario DNS secondario 95.228.254.94 95.228.254.89 95.228.254.93 255.255.255.248 151.99.125.1 151.99.0.100 Il fatto è che subito dopo il router telecom ho un firewall fisico/router netgear, a cui sono collegati tutti i server e pc, che ha come lato wan la seguente (parlasi del cavo di rete che arriva dal router alice sull'apposita porta wan): IP Address 95.228.254.89 Subnet Mask 255.255.255.248 Default Gateway 95.228.254.94 DNS Server 151.99.125.1 dove l'ip che ho impostato è il primo ip fisso pubblico che mi hanno dato quelli della telecom, ed anche il default gateway è sempre quello che mi hanno dato loro. Per quanto riguarda la parte lan invece gli ho impostato il solito 192.168.1.1 e tutti i pc e server sono 192.168.1.x . Sempre su questo firewall fisico/router netgear ho impostato le regole in modo che lui mi gestisca gli altri ip pubblici fissi e le porte che mi servono aperte su ciascun server. Grazie, Carloz Quote Link to comment Share on other sites More sharing options...
tom1 Posted September 18, 2010 Share Posted September 18, 2010 che modello è questo netgear Quote Link to comment Share on other sites More sharing options...
carloz Posted September 18, 2010 Author Share Posted September 18, 2010 fvs124g Quote Link to comment Share on other sites More sharing options...
pirella Posted September 18, 2010 Share Posted September 18, 2010 Ciao, se riesci a pingare tramite cmd all'esterno, vuol dire che il modem ti butta fuori... Una prova che potresti fare, è0 pingare il gateway e vedere se ti risponde... Se i ping vanno, allora potrebbe essere un problema software: magari è un aggiornamento di internet explorer che ti ha fatto in automatico e ti ha bloccato l'apertura delle pagine. In attesa del passaggio di tom1 e di Totocellux, altre idee non me ne vengono... ciau Quote Link to comment Share on other sites More sharing options...
carloz Posted September 18, 2010 Author Share Posted September 18, 2010 Ciau pirella ho provato a pingare anche il gateway e risponde... i ping funzionano, è la risoluzione dns che non va più... ho pensato anchio a un qualche aggiornamento, però l'aggiornamento automatico è impostato in modo che scarica in automatico gli aggiornamenti ma lascia me decidere se e quando installarli...perciò di aggiornamenti nuovi installati non dovrebbe averne fatti (stiamo parlando di un prodotto microsoft ovviamente...perciò in effetti tutto potrebbe essere...anche che si installa gli aggiornamenti da solo anche se gli dico di no... ) vedendo che in effetti il server è piuttosto sovraccarico, e che anche facendo un ping, il ping stesso ci mette qualche secondo per partire, non potrebbe essere che facendo l'nslookup supera veramente quei 2 secondi di timeout impostati, per motivi di sovraccarico e conseguente rallentamento del server? Se fosse così, non c'è un modo per allungare questo tempo di timeout di 2 secondi sul dns?! Come ultima prova, ho provato a fare un ping -a all'ip di libero, per vedere se partendo dall'ip mi risolve il nome... ma niente, pinga l'ip direttamente senza dire niente... Grazie del contributo cmq Quote Link to comment Share on other sites More sharing options...
Slime Posted September 18, 2010 Share Posted September 18, 2010 La tua configurazione mi appare un pò confusa, ma vediamo se riusciamo a fare chiarezza ugualmente. Per gli indirizzi pubblici business Telecom di solito fornisce un foglio dove vengono riportate due serie di indirizzi IP: Indirizzi IP Lan pubblici e Indirizzi Point-to-Point. Tu nel tuo post specifichi solo i primi e neanche in maniera completa. Gli indirizzi pubblici hanno subnet mask 255.255.255.248 e corrispondono ad un pool di 8 indirizzi (6 utilizzabili), gli indirizzi point-to-point hanno subnet mask 255.255.255.252 e corrispondono ad un pool di 4 indirizzi (2 utilizzabili). Se il primo indirizzo che ti hanno comunicato è 95.228.254.89 significa che il pool di indirizzi assegnato va da 95.228.254.88 a 95.228.254.95. Di questi indirizzi il primo e l'ultimo non possono essere utilizzati perchè il primo serve ad individuare la rete e l'ultimo è il broadcast. Quindi in realtà sono 6 gli ip disponibili. Stesso discorso vale per il point-to-point. Mi sembra errato il DGW (Default GateWay) che ti hanno assegnato perchè di solito, con telecom, il primo indirizzo point-to-point disponibile rappresenta il DGW. Il router ADSL andrebbe impostato con il protocollo RFC1483 / IPoA (IP over ATM) e il secondo indirizzo point-to-point serve per connettere l'interfaccia WAN alla rete. Ma evidentemente avendo un loro router questa parte è preconfigurata, ma al foglio di configurazione questi dati comunque dovrebbero esserci sempre per poter risalire al gateway. Non conosco il router telecom ma credo che non sia uno di quelli che permette di assegnare due indirizzi all'interfaccia lan per cui il nat va disabilitato, avendo così un routing puro. Quindi nell'indirizzo lan del router va inserito il primo ip pubblico disponibile, 95.228.254.89 con subnet 255.255.255.248. A questa porta va connesso il firewall Netgear che dovrà avere sulla porta WAN il secondo indirizzo pubblico disponibile, ovvero 95.228.254.90, subnet 255.255.255.248 e come gateway 95.228.254.89. A seguire IP LAN e NAT andranno configurati sul firewall in conseguenza della classe di indirizzi privati che utilizzi nella rete locale. Spero di essere stato chiaro. Quote Link to comment Share on other sites More sharing options...
carloz Posted September 19, 2010 Author Share Posted September 19, 2010 (edited) Ciao Slime! Allora... prima di tutto il problema è che il ruoter alice è scarisamente configurabile, infatti da quel che ricordo è tutto preconfigurato in modo molto automatico, semplificato e non modificabile dal cliente...l'unica cosa che posso modificare da quel che ricordo è la sezione lan, il dhcp,e le impostazioni wireless...punto. Quando mi hanno configurato la linea, mi hanno detto: tu al nostro router attacchi pure i tuoi computer, e gli assegni gli ip pubblici che vadano da 95.228.254.89 al .93, perchè il 94 è il gateway... così facendo però, si presentà il problema di non poter avere più di 5 computer nella stessa rete, ossia il numero degli ip pubblici ovviamente...oltre al fatto che il computer con cui lavoro, così come i server, non voglio abbiano direttamente un ip pubblico (per evitare che siano esposti completamente all'esterno, con la sola protezione del firewall di windows, ecc... si sa quante porte inutili aperte e quante vulnerabilità abbiano i sistemi windows...) il tecnico mi aveva risposto, di conseguenza: fai così, assegni il primo ip pubblico 95.228.254.89 al tuo firewall fisico sulla parte wan, e sulla parte lan invece gli assegni il 192.168.1.1, e lo usi per gestire gli altri ip pubblici, tenendo comunque così tutti i computer della tua lan aziendale con ip interni del tipo 192.168.1.x . Ed è quello che ho fatto! e ha sempre funzionato! In realtà la configurazione così com'è mi va benissimo...io sul firewall fisico infatti imposto direttamente le regole che voglio. Se voglio collegare computer normali alla mia lan gli assegno un indirizzo ip fisso del tipo 192.168.1.x, imposto come dns i dns telecom, li collego al firewall netgear, e il pc naviga tranquillamente. Se voglio invece utilizzare uno degli ip pubblici per un server, e perciò per offrire servizi del tipo hosting o quant'altro all'esterno, imposto sul server un ip fisso interno sempre del tipo 192.168.1.x, e poi sul firewall netgear imposto ad esempio la seguente regola nelle regole del firewall: per le richieste sulla porta 80 per l'ip pubblico 95.228.254.90 inoltrami le richieste all'indirizzo ip interno (del server) 192.168.1.x sempre sulla porta 80. E così è comodissimo, la gestione degli ip pubblici la fa tutta il firewall netgear in questo modo. Così facendo vedo tutti i computer, server compresi, nella lan interna (avendo tutti quanti ip del tipo 192.168.1.x, perciò stando tutti all'interno della stessa rete), anche se in realtà, da fuori, per le porte che mi interessano, appaiono con l'ip pubblico. A me questa sembra la configurazione più comoda che era possibile realizzare... spero che tu abbia capito come ho impostato il tutto... è un pò intricato da spiegare scrivendolo, quanto è invece facile da fare a livello pratico Io, dopo aver provato anche i dns opendns senza risultati, opterei di più, come mi ha detto l'operatore telecom, per un qualche errore di windows 2000 server che deve aver perso chissà quale impostazione per la risoluzione dei dns... che servizi usa windows per risolvere i dns? In parole povere, quando io pingo un nome come libero.it, che meccanismo/servizio di windows interviene per convertire quel nome in indirizzo ip?! e infine: questo meccanismo/servizio come lo si vuol chiamare, è configurabile/ripristinabile?! Grazias Edited September 19, 2010 by carloz Quote Link to comment Share on other sites More sharing options...
Slime Posted September 19, 2010 Share Posted September 19, 2010 Il servizio utilizzato è il DNS. In presenza di server di dominio e dns server interno alla lan va attivato nel servizio DNS i server di inoltro per permettere la risoluzione dei nomi dei siti internet. Ma il tuo server ha indirizzo 192.168.1.X? Nella conf dell'interfaccia di rete metti come gateway l'ip del firewall. Quote Link to comment Share on other sites More sharing options...
carloz Posted September 19, 2010 Author Share Posted September 19, 2010 eh si...il mio server ha indirizzo ip 192.168.1.46 e come gateway infatti è impostato 192.168.1.1 che è l'indirizzo lan del firewall netgear... Io ho controllato nei servizi, e ho verificato che i servizi: DNS Client, DNS Server e Client DHCP sono tutti attivati... Non ho capito questa frase: In presenza di server di dominio e dns server interno alla lan va attivato nel servizio DNS i server di inoltro per permettere la risoluzione dei nomi dei siti internet. Come si fa ad attivare i server di inoltro ecc?!:cheazz: Quote Link to comment Share on other sites More sharing options...
Slime Posted September 19, 2010 Share Posted September 19, 2010 E' un pó difficile darti una mano non sapendo come è strutturata la tua lan, se hai controller di dominio, se hai dns server interno, etc. Comunque i server di inoltro vanno attivati sul dns server. La risoluzione dei nomi locali avviene tramite dns server e la risoluzione dei nomi internet dai server di inoltro. Sarebbe anche il caso che il dhcp server fosse un server locale e non il router/firewall. I server di inoltro non sono altro che i dns telecom o opendns. Quote Link to comment Share on other sites More sharing options...
Totocellux Posted September 19, 2010 Share Posted September 19, 2010 sembrerebbe un problema in seguito alla presenza di un malware, piuttosto che a causa di un problema di configurazione hardware. Di solito questo tipo di problematiche è opera di un BHO (Browser Helper Object), una DLL che si aggancia direttamente ai meccanismi di funzionamento di Internet Explorer (a proposito, che versione hai del browser?), e quindi potrebbe anche andare a modificare delle chiavi del registro di configurazione e il file hosts nella cartella c:windirSystem32driversetc Sarebbe utile partire dal controllo del contenuto del file hosts, quindi da una scansione alla ricerca di un possibile Bho, con HijackThis v2.0.4 Salva il log e postalo qui per cortesia Quote Link to comment Share on other sites More sharing options...
carloz Posted September 19, 2010 Author Share Posted September 19, 2010 Detto fatto: versione internet explorer: 6.0.2800.1106 contenuto file hosts presente in c:windirSystem32driversetc: # Copyright © 1993-1999 Microsoft Corp. # # Questo è un esempio di file HOSTS usato da Microsoft TCP/IP per Windows. # # Questo file contiene la mappatura degli indirizzi IP ai nomi host. # Ogni voce dovrebbe occupare una singola riga. L'indirizzo IP dovrebbe # trovarsi nella prima colonna seguito dal nome host corrispondente. # L'indirizzo e il nome host dovrebbero essere separati da almeno uno spazio # o punto di tabulazione. # # È inoltre possibile inserire commenti (come questi) nelle singole righe # o dopo il nome del computer caratterizzato da un simbolo '#'. # # Per esempio: # # 102.54.94.97 rhino.acme.com # server origine # 38.25.63.10 x.acme.com # client host x 127.0.0.1 localhost Questo il log di hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18.38.37, on 19/09/2010 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:WINNTSystem32smss.exe C:WINNTsystem32winlogon.exe C:WINNTsystem32services.exe C:WINNTsystem32lsass.exe C:WINNTSystem32 ermsrv.exe C:WINNTsystem32svchost.exe C:WINNTsystem32spoolsv.exe C:WINNTsystem32 etdde.exe C:ProgrammiGrisoftAVG Anti-Spyware 7.5guard.exe C:WINNTSystem32cisvc.exe C:WINNTsystem32clipsrv.exe C:WINNTSystem32svchost.exe C:WINNTSystem32 cpsvcs.exe C:WINNTSystem32sfmprint.exe C:ProgrammiMicrosoft SQL ServerMSSQL$ADMINDBBinnsqlservr.exe C:ProgrammiMySQLMySQL Server 5.1inmysqld.exe C:WINNTsystem32 egsvc.exe C:WINNTsystem32RsFsa.exe C:WINNTsystem32RsSub.exe C:WINNTSystem32locator.exe C:WINNTsystem32MSTask.exe C:WINNTSystem32lserver.exe C:WINNTSystem32WBEMWinMgmt.exe C:WINNTSystem32wins.exe C:WINNTsystem32svchost.exe C:WINNTSystem32dmadmin.exe C:WINNTSystem32dns.exe C:WINNTsystem32inetsrvinetinfo.exe C:WINNTSystem32sfmsvc.exe C:WINNTSystem32msdtc.exe C:WINNTsystem32mqsvc.exe C:PROGRA~1SMARTP~1SPRMI.exe C:WINNTSystem32svchost.exe C:ProgrammiSmart Powerjreinjavaw.exe C:WINNTsystem32winlogon.exe C:WINNTsystem32 dpclip.exe C:WINNTExplorer.EXE C:ProgrammiClamWininClamTray.exe C:ProgrammiSmart PowerSmart Power.exe C:ProgrammiMicrosoft SQL Server80ToolsBinnsqlmangr.exe C:ProgrammiSmart Powerjreinjavaw.exe C:ProgrammiSmart Powermanager.exe C:ProgrammiSmart Powerjreinjavaw.exe C:PROGRA~1SMARTP~1monitor.exe C:ProgrammiSmart Powerjreinjavaw.exe C:WINNTSystem32cidaemon.exe C:ProgrammiAdventNetMEAppManager8workingjreinjavaw.exe C:WINNTsystem32cmd.exe C:ProgrammiAdventNetMEAppManager8workingmysqlinmysqld-nt.exe C:ProgrammiAdventNetMEAppManager8workingjrein miregistry.exe C:WINNTsystem32logon.scr c:winntmicrosoft.netframeworkv2.0.50727aspnet_wp.exe C:WINNTSystem32svchost.exe C:WINNTSystem32cidaemon.exe C:WINNTSystem32igfxsrvc.exe C:ProgrammiIObitIObit SmartDefragIObit SmartDefrag.exe C:ProgrammiClamWininclamscan.exe C:WINNTsystem32cmd.exe C:WINNTsystem32xcopy.exe C:WINNTsystem32cmd.exe C:WINNTsystem32xcopy.exe C:ProgrammiFile comuniEPSONEBAPISAgent2.exe C:ProgrammiTrend MicroHijackThisHijackThis.exe C:ProgrammiInternet ExplorerIEXPLORE.EXE R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = Microsoft Windows Update R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = 192.168.1.2:80 R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Collegamenti O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINNTSystem32msdxm.ocx O4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM..Run: [ClamWin] "C:ProgrammiClamWininClamTray.exe" --logon O4 - HKLM..Run: [igfxtray] C:WINNTSystem32igfxtray.exe O4 - HKLM..Run: [igfxhkcmd] C:WINNTSystem32hkcmd.exe O4 - HKLM..Run: [igfxpers] C:WINNTSystem32igfxpers.exe O4 - HKLM..Run: [smartPower] C:ProgrammiSmart PowerSmart Power.exe O4 - HKUSS-1-5-21-57989841-1482476501-839522115-1001..Run: [internat.exe] internat.exe (User 'NetShowServices') O4 - HKUSS-1-5-21-57989841-1482476501-839522115-1001..RunOnce: [^SetupICWDesktop] C:ProgrammiInternet ExplorerConnection Wizardicwconn1.exe /desktop (User 'NetShowServices') O4 - HKUSS-1-5-21-57989841-1482476501-839522115-1008..Run: [internat.exe] internat.exe (User 'ASPNET') O4 - HKUSS-1-5-21-57989841-1482476501-839522115-1008..RunOnce: [^SetupICWDesktop] C:ProgrammiInternet ExplorerConnection Wizardicwconn1.exe /desktop (User 'ASPNET') O4 - HKUSS-1-5-21-57989841-1482476501-839522115-1020..Run: [internat.exe] internat.exe (User 'MonitorMagicSvcAccnt') O4 - HKUSS-1-5-21-57989841-1482476501-839522115-1020..RunOnce: [^SetupICWDesktop] C:ProgrammiInternet ExplorerConnection Wizardicwconn1.exe /desktop (User 'MonitorMagicSvcAccnt') O4 - HKUS.DEFAULT..Run: [internat.exe] internat.exe (User 'Default user') O4 - HKUS.DEFAULT..RunOnce: [^SetupICWDesktop] C:ProgrammiInternet ExplorerConnection Wizardicwconn1.exe /desktop (User 'Default user') O4 - Startup: Collegamento a manager.lnk = C:ProgrammiSmart Powermanager.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:WINNTsystem32spooldriversw32x863E_SRCV02.EXE O4 - Global Startup: Service Manager.lnk = C:ProgrammiMicrosoft SQL Server80ToolsBinnsqlmangr.exe O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:WINNTdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:WINNTdoscandel.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - HouseCall - Free Online Virus Scan - Trend Micro USA O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1183043282828 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1197310877703 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLMSystemCCSServicesTcpipParameters: Domain = chrystalnet.it O17 - HKLMSystemCCSServicesTcpip..{F93FFF98-3E76-4F57-BF11-D4BB77C69A24}: NameServer = 151.99.125.1,151.99.0.100 O17 - HKLMSystemCS1ServicesTcpipParameters: Domain = chrystalnet.it O17 - HKLMSystemCS2ServicesTcpipParameters: Domain = chrystalnet.it O20 - Winlogon Notify: !SASWinLogon - C:ProgrammiSUPERAntiSpywareSASWINLO.dll O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:ProgrammiGrisoftAVG Anti-Spyware 7.5guard.exe O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:WINNTSystem32dmadmin.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:ProgrammiFile comuniEPSONEBAPISAgent2.exe O23 - Service: MonitorMagic (1358,48155) (MonitorMagic) - Unknown owner - C:Program FilesMonitorMagicServiceNM.EXE O23 - Service: MySQL - Unknown owner - C:ProgrammiMySQLMySQL.exe (file missing) O23 - Service: MySQL51 - Unknown owner - C:ProgrammiMySQLMySQL.exe (file missing) O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:ProgrammiWinPcap pcapd.exe O23 - Service: SmartPowerManager - Macrovision - C:PROGRA~1SMARTP~1manager.exe O23 - Service: SmartPowerMonitor - Macrovision - C:PROGRA~1SMARTP~1monitor.exe O23 - Service: SmartPowerRMI - Macrovision - C:PROGRA~1SMARTP~1SPRMI.exe -- End of file - 8481 bytes Ho fatto diverse scansioni utilizzando malwarebytes antimalware e super antispyware, nonchè clamwin, ma non mi ha trovato niente... Quote Link to comment Share on other sites More sharing options...
Totocellux Posted September 19, 2010 Share Posted September 19, 2010 Detto fatto: versione internet explorer: 6.0.2800.1106 contenuto file hosts presente in c:windirSystem32driversetc: # Copyright © 1993-1999 Microsoft Corp. # # Questo è un esempio di file HOSTS usato da Microsoft TCP/IP per Windows. # # Questo file contiene la mappatura degli indirizzi IP ai nomi host. # Ogni voce dovrebbe occupare una singola riga. L'indirizzo IP dovrebbe # trovarsi nella prima colonna seguito dal nome host corrispondente. # L'indirizzo e il nome host dovrebbero essere separati da almeno uno spazio # o punto di tabulazione. # # È inoltre possibile inserire commenti (come questi) nelle singole righe # o dopo il nome del computer caratterizzato da un simbolo '#'. # # Per esempio: # # 102.54.94.97 rhino.acme.com # server origine # 38.25.63.10 x.acme.com # client host x 127.0.0.1 localhost Questo il log di hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18.38.37, on 19/09/2010 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Boot mode: Normal Running processes: C:WINNTSystem32smss.exe C:WINNTsystem32winlogon.exe C:WINNTsystem32services.exe C:WINNTsystem32lsass.exe C:WINNTSystem32 ermsrv.exe C:WINNTsystem32svchost.exe C:WINNTsystem32spoolsv.exe C:WINNTsystem32 etdde.exe C:ProgrammiGrisoftAVG Anti-Spyware 7.5guard.exe C:WINNTSystem32cisvc.exe C:WINNTsystem32clipsrv.exe C:WINNTSystem32svchost.exe C:WINNTSystem32 cpsvcs.exe C:WINNTSystem32sfmprint.exe C:ProgrammiMicrosoft SQL ServerMSSQL$ADMINDBBinnsqlservr.exe C:ProgrammiMySQLMySQL Server 5.1inmysqld.exe C:WINNTsystem32 egsvc.exe C:WINNTsystem32RsFsa.exe C:WINNTsystem32RsSub.exe C:WINNTSystem32locator.exe C:WINNTsystem32MSTask.exe C:WINNTSystem32lserver.exe C:WINNTSystem32WBEMWinMgmt.exe C:WINNTSystem32wins.exe C:WINNTsystem32svchost.exe C:WINNTSystem32dmadmin.exe C:WINNTSystem32dns.exe C:WINNTsystem32inetsrvinetinfo.exe C:WINNTSystem32sfmsvc.exe C:WINNTSystem32msdtc.exe C:WINNTsystem32mqsvc.exe C:PROGRA~1SMARTP~1SPRMI.exe C:WINNTSystem32svchost.exe C:ProgrammiSmart Powerjreinjavaw.exe C:WINNTsystem32winlogon.exe C:WINNTsystem32 dpclip.exe C:WINNTExplorer.EXE C:ProgrammiClamWininClamTray.exe C:ProgrammiSmart PowerSmart Power.exe C:ProgrammiMicrosoft SQL Server80ToolsBinnsqlmangr.exe C:ProgrammiSmart Powerjreinjavaw.exe C:ProgrammiSmart Powermanager.exe C:ProgrammiSmart Powerjreinjavaw.exe C:PROGRA~1SMARTP~1monitor.exe C:ProgrammiSmart Powerjreinjavaw.exe C:WINNTSystem32cidaemon.exe C:ProgrammiAdventNetMEAppManager8workingjreinjavaw.exe C:WINNTsystem32cmd.exe C:ProgrammiAdventNetMEAppManager8workingmysqlinmysqld-nt.exe C:ProgrammiAdventNetMEAppManager8workingjrein miregistry.exe C:WINNTsystem32logon.scr c:winntmicrosoft.netframeworkv2.0.50727aspnet_wp.exe C:WINNTSystem32svchost.exe C:WINNTSystem32cidaemon.exe C:WINNTSystem32igfxsrvc.exe C:ProgrammiIObitIObit SmartDefragIObit SmartDefrag.exe C:ProgrammiClamWininclamscan.exe C:WINNTsystem32cmd.exe C:WINNTsystem32xcopy.exe C:WINNTsystem32cmd.exe C:WINNTsystem32xcopy.exe C:ProgrammiFile comuniEPSONEBAPISAgent2.exe C:ProgrammiTrend MicroHijackThisHijackThis.exe C:ProgrammiInternet ExplorerIEXPLORE.EXE R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank R1 - HKCUSoftwareMicrosoftInternet Connection Wizard,ShellNext = Microsoft Windows Update R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = 192.168.1.2:80 R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Collegamenti O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINNTSystem32msdxm.ocx O4 - HKLM..Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM..Run: [ClamWin] "C:ProgrammiClamWininClamTray.exe" --logon O4 - HKLM..Run: [igfxtray] C:WINNTSystem32igfxtray.exe O4 - HKLM..Run: [igfxhkcmd] C:WINNTSystem32hkcmd.exe O4 - HKLM..Run: [igfxpers] C:WINNTSystem32igfxpers.exe O4 - HKLM..Run: [smartPower] C:ProgrammiSmart PowerSmart Power.exe O4 - HKUSS-1-5-21-57989841-1482476501-839522115-1001..Run: [internat.exe] internat.exe (User 'NetShowServices') O4 - HKUSS-1-5-21-57989841-1482476501-839522115-1001..RunOnce: [^SetupICWDesktop] C:ProgrammiInternet ExplorerConnection Wizardicwconn1.exe /desktop (User 'NetShowServices') O4 - HKUSS-1-5-21-57989841-1482476501-839522115-1008..Run: [internat.exe] internat.exe (User 'ASPNET') O4 - HKUSS-1-5-21-57989841-1482476501-839522115-1008..RunOnce: [^SetupICWDesktop] C:ProgrammiInternet ExplorerConnection Wizardicwconn1.exe /desktop (User 'ASPNET') O4 - HKUSS-1-5-21-57989841-1482476501-839522115-1020..Run: [internat.exe] internat.exe (User 'MonitorMagicSvcAccnt') O4 - HKUSS-1-5-21-57989841-1482476501-839522115-1020..RunOnce: [^SetupICWDesktop] C:ProgrammiInternet ExplorerConnection Wizardicwconn1.exe /desktop (User 'MonitorMagicSvcAccnt') O4 - HKUS.DEFAULT..Run: [internat.exe] internat.exe (User 'Default user') O4 - HKUS.DEFAULT..RunOnce: [^SetupICWDesktop] C:ProgrammiInternet ExplorerConnection Wizardicwconn1.exe /desktop (User 'Default user') O4 - Startup: Collegamento a manager.lnk = C:ProgrammiSmart Powermanager.exe O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:WINNTsystem32spooldriversw32x863E_SRCV02.EXE O4 - Global Startup: Service Manager.lnk = C:ProgrammiMicrosoft SQL Server80ToolsBinnsqlmangr.exe O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:WINNTdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:WINNTdoscandel.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - HouseCall - Free Online Virus Scan - Trend Micro USA O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1183043282828 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1197310877703 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O17 - HKLMSystemCCSServicesTcpipParameters: Domain = chrystalnet.it O17 - HKLMSystemCCSServicesTcpip..{F93FFF98-3E76-4F57-BF11-D4BB77C69A24}: NameServer = 151.99.125.1,151.99.0.100 O17 - HKLMSystemCS1ServicesTcpipParameters: Domain = chrystalnet.it O17 - HKLMSystemCS2ServicesTcpipParameters: Domain = chrystalnet.it O20 - Winlogon Notify: !SASWinLogon - C:ProgrammiSUPERAntiSpywareSASWINLO.dll O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:ProgrammiGrisoftAVG Anti-Spyware 7.5guard.exe O23 - Service: Servizio amministrativo di Gestione disco logico (dmadmin) - VERITAS Software Corp. - C:WINNTSystem32dmadmin.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:ProgrammiFile comuniEPSONEBAPISAgent2.exe O23 - Service: MonitorMagic (1358,48155) (MonitorMagic) - Unknown owner - C:Program FilesMonitorMagicServiceNM.EXE O23 - Service: MySQL - Unknown owner - C:ProgrammiMySQLMySQL.exe (file missing) O23 - Service: MySQL51 - Unknown owner - C:ProgrammiMySQLMySQL.exe (file missing) O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:ProgrammiWinPcap pcapd.exe O23 - Service: SmartPowerManager - Macrovision - C:PROGRA~1SMARTP~1manager.exe O23 - Service: SmartPowerMonitor - Macrovision - C:PROGRA~1SMARTP~1monitor.exe O23 - Service: SmartPowerRMI - Macrovision - C:PROGRA~1SMARTP~1SPRMI.exe -- End of file - 8481 bytes Ho fatto diverse scansioni utilizzando malwarebytes antimalware e super antispyware, nonchè clamwin, ma non mi ha trovato niente... il file hosts è pulito se hai fatto una scansione da remoto (mi sembra strano), allora è possibile che logon.scr fosse in esecuzione. Ancora più strano le due copie di cmd e xcopy, a meno che tu non abbia qualche programma particolrae che li utilizzi. Per il resto, sembrerebbe tutto a posto. Comunque, comprendo il fatto che ClamWin sia completamente gratuito anche per uso commerciale, ma purtroppo non ha una buona reputazione nel proteggere il pc Quote Link to comment Share on other sites More sharing options...
carloz Posted September 19, 2010 Author Share Posted September 19, 2010 No no...non ho fatto nessuna scansione da remoto...nel senso, l'ho fatta installando hijackthis direttamente sul server, stando collegato al server tramite il desktop remoto... che sia quello il virus?:cheazz: gli xcopy sono operazioni pianificate per il backup su disco esterno che ho impostato io in modo che vengano fatte tutti i giorni...perciò credo siano normali... i cmd.exe dovrebbero essere processi che vengono avviati di conseguenza agli xcopy, giusto? Ho notato che ce ne sono ben più di due di cmd.exe... ho appena fatto un'altra scansione, e mi ha trovato ben 5 C:WINNTsystem32cmd.exe . C'è un modo per capire da dove spuntano sti processi? C'è un modo per analizzare questo logon.src e vedere se è quello il virus? Per quanto riguarda il clamwin, lo so, hai ragione però è l'unico antivirus gratuito che gira anche sui sistemi server, e, anche se non ha la protezione in tempo reale e sicuramente è inferiore agli antivirus professionali a pagamento, io ho sempre escluso la possibilità di infettare il server, in quanto non lo uso nè per navigare e tantomeno ci eseguo software che non siano comuni/famosi e testati da molte persone... perciò sicuri... Quote Link to comment Share on other sites More sharing options...
Totocellux Posted September 19, 2010 Share Posted September 19, 2010 No no...non ho fatto nessuna scansione da remoto...nel senso, l'ho fatta installando hijackthis direttamente sul server, stando collegato al server tramite il desktop remoto... che sia quello il virus?:cheazz: [...] potrebbe anche essere [...] gli xcopy sono operazioni pianificate per il backup su disco esterno che ho impostato io in modo che vengano fatte tutti i giorni...perciò credo siano normali... i cmd.exe dovrebbero essere processi che vengono avviati di conseguenza agli xcopy, giusto? Ho notato che ce ne sono ben più di due di cmd.exe... ho appena fatto un'altra scansione, e mi ha trovato ben 5 C:WINNTsystem32cmd.exe . C'è un modo per capire da dove spuntano sti processi? dipende da quanti task pianificati esistono: può accadere che alcuni non si chiudano correttamente alla fine delle operazioni di backup [...] C'è un modo per analizzare questo logon.src e vedere se è quello il virus? posta le dimensioni: in ufficio dovrei ancora avere su una macchina con Win2k Server SP4, vedrò di controllare se corrisponde [...] Per quanto riguarda il clamwin, lo so, hai ragione però è l'unico antivirus gratuito che gira anche sui sistemi server, e, anche se non ha la protezione in tempo reale e sicuramente è inferiore agli antivirus professionali a pagamento, io ho sempre escluso la possibilità di infettare il server, in quanto non lo uso nè per navigare e tantomeno ci eseguo software che non siano comuni/famosi e testati da molte persone... perciò sicuri... si, so bene che è l'unico tra i free che può essere installato sulle versioni server Microsoft Tra l'altro, come dicevo, a prescindere è in assoluto l'unico antivirus free anche per usi commerciali Quote Link to comment Share on other sites More sharing options...
carloz Posted September 19, 2010 Author Share Posted September 19, 2010 ok, grazie mille totocellux gentilissssssimo (non ci sono abbastanza s, vista la disponibilità ) domani guardo le dimensioni del file logon.src e le scrivo si si poi il clamwin da quel che vedo è molto stabile, non si inchioda mai, e mi ha bloccato parecchie email infette, molto comodo. Per quanto riguarda i processi cmd.exe, in effetti, conoscendo winzozz, è facile che siano processi non chiusi correttamente... in questi due giorni poi tra nslookup vari e ping vari ho usato molto il prompt dei comandi...perciò potrebbero anche essere quelli che non si sono terminati correttamente... ho tanta paura che non riuscirò più a farlo navigare sto server Quote Link to comment Share on other sites More sharing options...
Slime Posted September 19, 2010 Share Posted September 19, 2010 Sicuro che nella configurazione del firewall non sia interdetta la navigazione a quel pc? Magari un filtro sul MAC della scheda di rete... Quote Link to comment Share on other sites More sharing options...
carloz Posted September 19, 2010 Author Share Posted September 19, 2010 no no macchè... magari! :cry: se intendi sul firewall fisico della netgear, per le connessioni in uscita c'è impostato allow all per tutto e tutti... :cry::boh: Quote Link to comment Share on other sites More sharing options...
Slime Posted September 20, 2010 Share Posted September 20, 2010 Allora l'ipotesi virus paventata da Toto prende piede. Il file logon.scr sul server che ho in azienda è di 127k / 130.832 byte. Potresti scaricarti il tool Avira Rescue System (http://www.free-av.com/it/tools/12/avira_antivir_rescue_system.html) e fare una scansione del sistema direttamente bootando dal cd. Certo richiederà un tempo di fermo del server ma se devi risolvere... Quote Link to comment Share on other sites More sharing options...
carloz Posted September 20, 2010 Author Share Posted September 20, 2010 RISOLTO! :clapclap: Allora, stamattina mi è venuta la geniale idea di togliere qualche regola inutile dal firewall fisico netgear, pensando a un possibile sovraccarico dello stesso... ho tolto la regola che apriva la porta per le richieste dns al mio server dall'esterno ( porta 53 ), e la regola che teneva aperta la porta https... tanto di siti in https non ne ho perciò penso almeno per ora sia inutile... mi è bastato disabilitarle, senza cancellarle, e tutto è ripartito all'istante! A quanto pare questo maledetto firewall fisico della netgear era troppo carico di regole e di lavoro e probabilmente è andato in crisi, anche a causa delle nuove regole in entrata che ho aggiunto per il server linux che sto configurando... Ve lo scrivo nel caso dovesse succedere anche a voi una cosa del genere. Evviva! Grazie a tutti! P.S. Per quanto riguarda il file logon anche il mio ha le stesse identiche dimensioni, perciò dovrebbe essere ok... Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.