Tartana
13-08-2009, 16:49
Intanto buonasera a tutti.. Ho veramente bisogno del vostro aiuto perchè non so più dove sbattere la testa. Gestisco una rete con una quarantina di client e un paio di server (client xp pro, server 2000). La rete è disposta su vari piani e utilizza hub differenti, il tutto fa capo a 2 router cisco che sono serviti da adsl.
Premesso che i server non hanno funzione di proxy o gestione connessioni, ma vengono utilizzati solo come archivio dati o server del dominio e quindi con gestione Active directory per account e pc, ho dei problemi di connessione sui client da circa una settimana.
Sintomi:
Da parecchi client della rete (non tutti però, almeno per ora) riscontro dei problemi a connettermi tramite browser o gestore di posta sia a siti esterni che a link della rete intranet. Provo a spiegarmi meglio.. Nonostante il cavo di rete sia e risulti collegato, la scheda funzionante, e, soprattutto, il ping allo stesso indirizzo che tento di raggiungere da browser fedele al 100% (non perde un pacchetto), quando tento di raggiungerlo da internet explorer mi dice impossibile visualizzare la pagina.
Il messaggio di errore ha cominciato a presentarsi con frequenza elevata, fino a diventare permanente sui pc in questione.
TENTATIVI DI RIPRISTINARE LA SITUAZIONE CORRETTA:
1) Con l'assistenza del gestore adsl, verifica del segnale su entrambi i router con risultati ottimi e nessun segno di mancanza di linea, nè tanto meno di traffico anomalo o fuori regola.
2) Aggiornamento definizione virus da server (symantec corporate edition) e scansione dei client col disservizio. Nessun virus rilevato.
3) Vista la distribuzione delle connessioni sui vari hub, spostamento dei link tutti su uno solo, per verificare un eventuale guasto di un hub.
4) Essendo che internet explorer segnala dalla diagnostica un possibile errore nel winsock, scaricato il tool Winsock-fix, utilizzato e, dopo il riavvio reimpostato l'indirizzo ip fisso nella scheda di rete. Il pc sembra funzionare perfettamente finchè viene utilizzato, se si abbandona la navigazione per qualche minuto, il problema si ripresenta puntualmente.
5) Eseguito il tool stinger mcafee per eventuale virus da rimuovere. Nessun virus rilevato.
6) Eseguito symantec security check dal sito per verificare presenza di virus. nessun virus rilevato.
Premesso anche che i pc funzionanti hanno la stessa identica configurazione di quelli disserviti (stesso gateway, stessi dns), non so più a cosa attaccarmi. L'idea che ho in testa è di un virus che non riesco a rilevare, ma che solamente non ha ancora colpito i pc funzionanti.
Ho letto anche di lsp o varie forme di tool che danneggiano il sistema...
Avete qualche idea da suggerirmi su come mi posso muovere?!! vi ringrazion infinitamente in anticipo, save me! :-)
vi posto il log di hijackthis di un pc che presenta questi problemi.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.53.27, on 13/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\user\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\lsass.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\lsass.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O4 - Global Startup: Vision Services.lnk = C:\Programmi\File comuni\Vision\vservice.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F2CA2115-C8D2-11D1-BEBD-00A0C95A6A5C} (WebReportSource Class) - http://serenasvr05/viewer/activeXViewer/activexviewer.cab
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programmi\Symantec\pcAnywhere\awhost32.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
--
End of file - 4717 bytes
PPS. Ho provato a installare safari ma è la stessa cosa.
Premesso che i server non hanno funzione di proxy o gestione connessioni, ma vengono utilizzati solo come archivio dati o server del dominio e quindi con gestione Active directory per account e pc, ho dei problemi di connessione sui client da circa una settimana.
Sintomi:
Da parecchi client della rete (non tutti però, almeno per ora) riscontro dei problemi a connettermi tramite browser o gestore di posta sia a siti esterni che a link della rete intranet. Provo a spiegarmi meglio.. Nonostante il cavo di rete sia e risulti collegato, la scheda funzionante, e, soprattutto, il ping allo stesso indirizzo che tento di raggiungere da browser fedele al 100% (non perde un pacchetto), quando tento di raggiungerlo da internet explorer mi dice impossibile visualizzare la pagina.
Il messaggio di errore ha cominciato a presentarsi con frequenza elevata, fino a diventare permanente sui pc in questione.
TENTATIVI DI RIPRISTINARE LA SITUAZIONE CORRETTA:
1) Con l'assistenza del gestore adsl, verifica del segnale su entrambi i router con risultati ottimi e nessun segno di mancanza di linea, nè tanto meno di traffico anomalo o fuori regola.
2) Aggiornamento definizione virus da server (symantec corporate edition) e scansione dei client col disservizio. Nessun virus rilevato.
3) Vista la distribuzione delle connessioni sui vari hub, spostamento dei link tutti su uno solo, per verificare un eventuale guasto di un hub.
4) Essendo che internet explorer segnala dalla diagnostica un possibile errore nel winsock, scaricato il tool Winsock-fix, utilizzato e, dopo il riavvio reimpostato l'indirizzo ip fisso nella scheda di rete. Il pc sembra funzionare perfettamente finchè viene utilizzato, se si abbandona la navigazione per qualche minuto, il problema si ripresenta puntualmente.
5) Eseguito il tool stinger mcafee per eventuale virus da rimuovere. Nessun virus rilevato.
6) Eseguito symantec security check dal sito per verificare presenza di virus. nessun virus rilevato.
Premesso anche che i pc funzionanti hanno la stessa identica configurazione di quelli disserviti (stesso gateway, stessi dns), non so più a cosa attaccarmi. L'idea che ho in testa è di un virus che non riesco a rilevare, ma che solamente non ha ancora colpito i pc funzionanti.
Ho letto anche di lsp o varie forme di tool che danneggiano il sistema...
Avete qualche idea da suggerirmi su come mi posso muovere?!! vi ringrazion infinitamente in anticipo, save me! :-)
vi posto il log di hijackthis di un pc che presenta questi problemi.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16.53.27, on 13/08/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\user\Desktop\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programmi\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programmi\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\lsass.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programmi\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\system32\drivers\lsass.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Avvio veloce di Adobe Reader.lnk = C:\Programmi\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programmi\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Porta Symantec Fax Starter Edition.lnk = C:\Programmi\Microsoft Office\Office\1040\OLFSNT40.EXE
O4 - Global Startup: Vision Services.lnk = C:\Programmi\File comuni\Vision\vservice.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F2CA2115-C8D2-11D1-BEBD-00A0C95A6A5C} (WebReportSource Class) - http://serenasvr05/viewer/activeXViewer/activexviewer.cab
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programmi\Symantec\pcAnywhere\awhost32.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programmi\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
--
End of file - 4717 bytes
PPS. Ho provato a installare safari ma è la stessa cosa.