Salve a tutti ho un server che da una settimana presenta il seguente comportamento anomalo: non mistra nel systray l'iconcina della connessione di rete, non mi apre le proprietà di rete e il pannello di controllo, non naviga :muro: e cosa più importante il Norton antivirus non parte :muro: :muro:
Ora ho provato a far girare un paio di tool per il controllo di rootkit installati in particolare quello di sysinternals e di fsecure ma non riesce ad eseguirli in modalità normale ed in provvisoria non funzionano.
Due scansioni online su f-secure e su symantec non hanno trovato nulal di anomalo
L'unica cosache sono riuscito a fare è far girare hHijackThis v1.99.1 di cui posto il log alcune cose ovviamente le copro e sono relative alla rete:

Logfile of HijackThis v1.99.1
Scan saved at 10:48:19 AM, on 8/6/2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\termsrv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\Program Files\APC\PowerChute Business Edition\agent\pbeagent.exe
C:\Program Files\APC\PowerChute Business Edition\server\pbeserver.exe
C:\Program Files\Dell\OpenManage\OMSA\bin\dcevt32.exe
C:\Program Files\Dell\OpenManage\OMSA\bin\dcstor32.exe
C:\Program Files\NavNT\defwatch.exe
C:\WINNT\SYSTEM32\DWRCS.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\llssrv.exe
C:\Program Files\Dell\OpenManage\Array Manager\mr2kserv.exe
C:\Program Files\Unit\Vodafone\Bin\NtPrsSrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\Program Files\Dell\OpenManage\iws\bin\win32\omaws32.exe
C:\Program Files\Dell\OpenManage\Array Manager\VxSvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\Program Files\Common Files\System\MSSearch\Bin\mssearch.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\PROGRA~1\Dell\OPENMA~1\oldiags\vendor\pcdoctor\bin\diagorb.exe
C:\PROGRA~1\Dell\OPENMA~1\oldiags\vendor\pcdoctor\bin\PCDRWDIA.EXE
C:\PROGRA~1\Dell\OPENMA~1\oldiags\vendor\pcdoctor\modules\PCDr2D3DVideo.exe
C:\WINNT\system32\userinit.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\Atiptaxx.exe
C:\Program Files\NavNT\vptray.exe
C:\WINNT\system32\internat.exe
C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Program Files\RealVNC\WinVNC\winvnc.exe
C:\WINNT\system32\wuauclt.exe
C:\Documents and Settings\Administrator\Desktop\security\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://localhost/xxxxxxxxxxxxx/
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [AuCaption] DSA OMSA Reminder
O4 - HKLM\..\Run: [AuFlag] 
O4 - HKLM\..\Run: [vptray] C:\Program Files\NavNT\vptray.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Startup: winvnc.exe.lnk = C:\Program Files\RealVNC\WinVNC\winvnc.exe
O4 - Global Startup: Service Manager.lnk = C:\Program Files\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {90A29DA5-D020-4B18-8660-6689520C7CD7} (DmiReader Class) - http://support.euro.dell.com/global/apps/systemprofiler/PROFILER.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{269B4908-B5DC-43F5-B893-8B103EE4AA86}: NameServer = 10.82.0.14,10.168.2.24
O17 - HKLM\System\CS1\Services\Tcpip\..\{269B4908-B5DC-43F5-B893-8B103EE4AA86}: NameServer = 10.82.0.14,10.168.2.24
O17 - HKLM\System\CS2\Services\Tcpip\..\{269B4908-B5DC-43F5-B893-8B103EE4AA86}: NameServer = 10.82.0.14,10.168.2.24
O20 - Winlogon Notify: NavLogon - C:\WINNT\system32\NavLogon.dll
O23 - Service: APC PBE Agent (APCPBEAgent) - APC - C:\Program Files\APC\PowerChute Business Edition\agent\pbeagent.exe
O23 - Service: APC PBE Server (APCPBEServer) - APC - C:\Program Files\APC\PowerChute Business Edition\server\pbeserver.exe
O23 - Service: Dell OpenManage Server Agent Event Monitor (dcevt32) - Dell Inc. - C:\Program Files\Dell\OpenManage\OMSA\bin\dcevt32.exe
O23 - Service: Dell OpenManage Server Agent (dcstor32) - Dell Inc. - C:\Program Files\Dell\OpenManage\OMSA\bin\dcstor32.exe
O23 - Service: DefWatch - Symantec Corporation - C:\Program Files\NavNT\defwatch.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINNT\SYSTEM32\DWRCS.EXE
O23 - Service: HEQAOUPIVNAIZNLLD - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\HEQAOUPIVNAIZNLLD.exe
O23 - Service: mr2kserv - Unknown owner - C:\Program Files\Dell\OpenManage\Array Manager\mr2kserv.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Program Files\NavNT\rtvscan.exe
O23 - Service: NtPrs Service - xxxxxxxxx- C:\Program Files\xxxx\xxxxx\Bin\NtPrsSrv.exe
O23 - Service: Secure Port Server (Server Administrator) - Unknown owner - %SystemDrive%\Program Files\Dell\OpenManage\iws\bin\win32\omaws32.exe (file missing)
O23 - Service: U - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\U.exe
O23 - Service: Disk Management Service (VxSvc) - VERITAS Software Corp. - C:\Program Files\Dell\OpenManage\Array Manager\VxSvc.exe



La macchina è un dell e ha installato per amministrazione remota dameware miniremote control e vnc per usi interni, secondo voi che è successo a questo sistema?
Aggiungo un altro server da ieri presenta il medesimo problema :muro: :muro:

Ciao, Flaviano.

..Ciao..questa stringa non mi piace per nulla:
"O23 - Service: U - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\U.exe"
..Quel processo finale è riconducibile ad un Trojan:http://www3.ca.com/securityadvisor/pest/pest.aspx?id=453080584
..Che..guarda a caso ha la capacità di disabilitare gli antivirus...Da fixare sicuro..
Poi"O4 - HKLM\..\Run: [AuFlag]..."...Questo è sospetto...
"O23 - Service: Secure Port Server (Server Administrator) - Unknown owner - %SystemDrive%\Program Files\Dell\OpenManage\iws\bin\win32\omaws32.exe (file missing)"

"O23 - Service: HEQAOUPIVNAIZNLLD - Sysinternals - www.sysinternals.com - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\HEQAOUPIVNAIZNLLD.exe"
...altro processo sconosciuto...da fixare imho
...Altra cosa..la versione di IE non è aggiornata..Ciao.. :)

Fixate entrambe, anche io le ho trovate anomale come stringhe, l'explorer non è aggiornato perchè il problema essendosi presentato dopo un aggiornamento con alcune fix di sistema, mi ha fatto pensare che si fosse incasinato explorer e quindi lo ho disinstallato e tornato alla versione precedente.
Ora provo a disinstallare anch eil norton antivirus manualmente che comunque non parte e a reinstallarlo.

..OK..prova..ma per IE dovresti tentare di mettere la versione aggiornata..anzi se ti fosse possibile...utilizza Mozilla Firefox :cool: ...ciao..

..OK..prova..ma per IE dovresti tentare di mettere la versione aggiornata..anzi se ti fosse possibile...utilizza Mozilla Firefox :cool: ...ciao..

Il problema è che la macchina è un server e guai a toccarla :muro: :muro: il casino si è innescato quando da una sede remota hanno richiesto accesso via terminal server per gli sviluppatori:muro: :muro: ora provo a rimuovere alcuni servizi e vediamo che succede, ormai l'applicativo l'ho switchato su un altro server e questo lo posso pure schiantare, ma voglio capire cosa è successo!!!!!!! Grazie a tutti dell'aiuto anche perchè due teste ragionano meglio di una ma N teste sono una potenza inarrestabile!!!!!!

Il problema è che la macchina è un server e guai a toccarla :muro: :muro: il casino si è innescato quando da una sede remota hanno richiesto accesso via terminal server per gli sviluppatori:muro: :muro: ora provo a rimuovere alcuni servizi e vediamo che succede, ormai l'applicativo l'ho switchato su un altro server e questo lo posso pure schiantare, ma voglio capire cosa è successo!!!!!!! Grazie a tutti dell'aiuto anche perchè due teste ragionano meglio di una ma N teste sono una potenza inarrestabile!!!!!!
..Eh..sì,hai ragione...essendo aziendale... :(

Allora alla fine sono riuscito a venire a capo del problema, nessun virus o hack tool semplicemente il problema era originato dall'applicativo di gestione del gruppo di continuità che usa due servizi per funzionare, ma essendo non aggiornato presenta problemi di incompatibilità con le ultime fix di microsoft, in pratica i servizi restavano perennemente in "starting" e incasinavano la macchina, per il momento ho risolto mettendoli in avvio manuale, e magicamente la macchina ha ripreso a lavorare regolarmente, comunque ho scansionato il sistema con f-secure online e il tool di symantec oltre che a quello di sysinternals e non sono stati rilevati root kit o virus di nessun genere.