Username
Password

Virus e Antivirus

Il tuo computer è stato infettato da un Virus? chiedi aiuto qui
Tuesday, 12 January 2010, 16:55
tonysnk
 
 Messaggi: n/a
Exclamation

Problemi desktop remoto Server SE 2003


ciao a tutti.

un mio cliente lavorava da casa sua con un desktop remoto da me creato su HP Proliant con Server SE 2003 col quale si connetteva alla lan del suo ufficio.

Da un bel giorno in poi, quando si connette in remoto sul server, sia dall'esterno che dall'interno, dopo 2-3 minuti il desktop remoto di windows va in errore e non permette di fare più niente.....nemmeno di aprire le risorse del computer.

Ma se non si usa il desktop remoto, il server sta su per giorni senza problemi.
Il problema lo da anche se tolgo il server da internet (magari dandogli un gateway 'sbagliato').

Invece usando il VNC non c'è nessun problema, ma è moooolto più lento del desktop remoto.

Sorvolando sul fatto che non è stata un'idea proprio felicissima quella di abilitargli il desktop remoto dall'esterno e ne sono cosciente ......vi illustro il problema, sperando di risolverlo quanto prima, in modo tale che possa farlo collegare di nuovo col desktop remoto, stavolta però in VPN con OpenVPN, così stiamo tutti più tranquilli .

Allora, contestualmente dal giorno che il desktop remoto ha creato problemi, appare una scritta all'avvio del server che dice:
"Impossibile avviare uno o più servizi o driver. Controllare il registro eventi per ulteriori informazioni"

Andando nel 'Visualizzatore Eventi'--->'Sistema' l'unico errore che ritrovo all'avvio è di tipo 'Service Control Manager' con ID Evento: 7000.
"Il servizio SSPORT non è stato avviato: impossibile trovare il file specificato."


Controllando su
http://www.eventid.net/display.asp?e...trol+ma nager
non ho trovato grande aiuto.........

Inoltre questo è il log di Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13.43.00, on 12/01/2010
Platform: Windows 2003 SP2 (WinNT 5.02.3790)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programmi\Acronis\BackupServer\backupserver.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
C:\Programmi\HP\Cissesrv\cissesrv.exe
C:\WINDOWS\system32\cpqrcmc.exe
C:\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe
C:\Programmi\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\Dfssvc.exe
C:\WINDOWS\System32\dns.exe
C:\WINDOWS\system32\CBA\pds.exe
C:\WINDOWS\System32\ismserv.exe
C:\Programmi\Symantec AntiVirus\Rtvscan.exe
C:\WINDOWS\system32\sysdown.exe
C:\hp\hpsmh\bin\smhstart.exe
C:\Programmi\TightVNC\WinVNC.exe
C:\WINDOWS\system32\ntfrs.exe
C:\hp\hpsmh\bin\hpsmhd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\hp\hpsmh\bin\hpsmhd.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\hp\hpsmh\bin\rotatelogs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe
C:\Programmi\HP\NCU\cpqteam.exe
C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe
C:\Programmi\Acronis\TrueImageEnterpriseServer\Tru eImageMonitor.exe
C:\Programmi\Acronis\TrueImageEnterpriseServer\Tim ounterMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\mmc.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://iesetup.dll/hardAdmin.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://iesetup.dll/hardAdmin.htm
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O4 - HKLM\..\Run: [vspdfprsrv.exe] C:\Programmi\Visagesoft\eXPert PDF 5\vspdfprsrv.exe --background
O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\SSMMgr.exe /autorun
O4 - HKLM\..\Run: [CPQTEAM] C:\Programmi\HP\NCU\cpqteam.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programmi\File comuni\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programmi\Acronis\TrueImageEnterpriseServer\Tru eImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programmi\Acronis\TrueImageEnterpriseServer\Tim ounterMonitor.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: SmarThru4 Capture Selection - C:\Programmi\SmarThru 4\WebCapture.dll2.htm
O8 - Extra context menu item: SmarThru4 Save as HTML - C:\Programmi\SmarThru 4\WebCapture.dll1.htm
O8 - Extra context menu item: SmarThru4 Save Selected Text - C:\Programmi\SmarThru 4\WebCapture.dll.htm
O8 - Extra context menu item: SmarThru4 Web Capture - C:\Programmi\SmarThru 4\WebCapture.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: SmarThru4 Web Capture - {5941A0E4-56C1-4a49-9B18-05762CAC5F9B} - C:\Programmi\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Web Capture - {5941A0E4-56C1-4a49-9B18-05762CAC5F9B} - C:\Programmi\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra button: SmarThru4 Capture Selection - {A07BFEF7-DD11-4937-B23B-E70C11D2EDF4} - C:\Programmi\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Capture Selection - {A07BFEF7-DD11-4937-B23B-E70C11D2EDF4} - C:\Programmi\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra button: SmarThru4 Save as HTML - {E753A93F-2367-4978-BFA0-83048C1E61CB} - C:\Programmi\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Save as HTML - {E753A93F-2367-4978-BFA0-83048C1E61CB} - C:\Programmi\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra button: SmarThru4 Save Selected Text - {F1F53366-3E11-47ab-BF84-580C94F9C9AD} - C:\Programmi\SmarThru 4\WebCapture.dll (HKCU)
O9 - Extra 'Tools' menuitem: SmarThru4 Save Selected Text - {F1F53366-3E11-47ab-BF84-580C94F9C9AD} - C:\Programmi\SmarThru 4\WebCapture.dll (HKCU)
O15 - ESC Trusted Zone: http://*.studioisa.com
O15 - ESC Trusted Zone: http://*.msn.com (HKLM)
O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
O15 - ESC Trusted IP range: http://192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = rampino.local
O17 - HKLM\Software\..\Telephony: DomainName = rampino.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{264F10EC-66E8-470D-8E8B-60E801E1C6CE}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = rampino.local
O17 - HKLM\System\CS1\Services\Tcpip\..\{264F10EC-66E8-470D-8E8B-60E801E1C6CE}: NameServer = 192.168.0.1
O23 - Service: Acronis Remote Agent (AcronisAgent) - Acronis - C:\Programmi\File comuni\Acronis\Agent\agent.exe
O23 - Service: Acronis Backup Server Service (AcronisBackupServerService) - Acronis - C:\Programmi\Acronis\BackupServer\backupserver.exe
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programmi\File comuni\Acronis\Schedule2\schedul2.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
O23 - Service: HP Smart Array SAS/SATA Event Notification Service (Cissesrv) - Hewlett-Packard Company - C:\Programmi\HP\Cissesrv\cissesrv.exe
O23 - Service: HP ProLiant Remote Monitor Service (CpqRcmc) - Hewlett-Packard Company - C:\WINDOWS\system32\cpqrcmc.exe
O23 - Service: HP Version Control Agent (cpqvcagent) - Hewlett-Packard Company - C:\hp\hpsmh\data\cgi-bin\vcagent\vcagent.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programmi\Symantec AntiVirus\DefWatch.exe
O23 - Service: Intel PDS - LANDesk Software Ltd. - C:\WINDOWS\system32\CBA\pds.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programmi\File comuni\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programmi\Symantec AntiVirus\Rtvscan.exe
O23 - Service: HP ProLiant System Shutdown Service (sysdown) - Hewlett-Packard Company - C:\WINDOWS\system32\sysdown.exe
O23 - Service: HP System Management Homepage (SysMgmtHp) - Hewlett-Packard Company - C:\hp\hpsmh\bin\smhstart.exe
O23 - Service: VNC Server (winvnc) - TightVNC Group - C:\Programmi\TightVNC\WinVNC.exe
--
End of file - 8545 bytes


E' senza dubbio il fatto che di sicuro la macchina server è infetta......ma con Malwarebytes Antimalware (l'unico a funzionare sotto Server 2003) non mi ha trovato nessuna minaccia........spero solo di non essere stato vittima di una botnet o roba del genere!!!

vi prego di darmi un aiuto quanto più concreto possibile......visto che mi ritengo una persona che ammette quando sbaglia e cerca sempre di farne tesoro e recuperare agli errori fatti.......ma non vorrei formattare il server per questo problema qui!!!!

per qualunque delucidazione sono a disposizione.
ringrazio in anticipo quanti mi aiuteranno......
Antonio
    Rispondi Citando Rispondi
Tuesday, 12 January 2010, 18:26
SatRider
 Utente Appassionato
 
L'avatar di  SatRider
 
 Messaggi: 1,382

Non so bene cosa abbia quel server, però, il server "www.studioisa.com" che per quel server è in zona trusted.....è impestato/compromesso o almeno il mio antivirus lo segnala come tale...

Io inizierei a rimuovere quel dominio dai trusted, forse è da li ti sei infettato?

Francamente non capisco come mai ci siano zone trusted su un server, non lo userai mica per navigare su internet??

SatRider
    Rispondi Citando Rispondi
Wednesday, 13 January 2010, 07:44
tonysnk
 
 Messaggi: n/a

ciao sat.

quel trusted 'studioisa' è il sito del programma di gestione condomini e ci servivano vari accessi al sito per scaricare e installare il programma e relativi aggiornamenti sul server, poi ho aggiunto il 'windowsupdate' ai siti trusted per gli aggiornamenti......questo è stato l'unico momento che ho navigato col server e solo in quei siti che come vedi ho messo trusted perchè li ritengo sicuri (a parte studioisa che come dici tu sarebbe compromesso)!!!

può essere che il malware abbia sfruttato le zone trusted per 'infilarsi'?!?

cmq riferirò che 'studioisa' è impestato da virus!!!
mi dici quale antivirus l'ha segnalato?
Kaspersky.it scanner online?

a parte quei siti trusted trovi qualche altra anomalia?

grazie mille.
    Rispondi Citando Rispondi
Wednesday, 13 January 2010, 09:39
tonysnk
 
 Messaggi: n/a

edit:

ho eliminato le zone trusted ma il problema non si è risolto....
    Rispondi Citando Rispondi
Wednesday, 13 January 2010, 12:46
SatRider
 Utente Appassionato
 
L'avatar di  SatRider
 
 Messaggi: 1,382

L'unica cosa che ho notato è che, andando in quel sito, il mio antivirs (Symantec Endpoint) blocca il traffico e mi avvisa di:
"[SID: 23444] HTTP Malicious Toolkit IFrame Injection rilevato."

Francamente non so a cosa sia dovuto il tuo problema di remote desktop.

SatRider
P.S.: ora sembra che quel sito sia giù...che se ne siano accorti?
    Rispondi Citando Rispondi
Tuesday, 19 January 2010, 10:07
tonysnk
 
 Messaggi: n/a

infatti satRider...........abbiamo contattato l' amministrtore del sito e ci ha confermato che hanno avuto problemi con un trojan horse e hanno avuto pure il coraggio di dire che siamo gli unici che hanno avuto problemi.............chiaramente, mica poteva dirci diversamente!!!

Per il momento, ho deciso di 'aggirare' il problema.........visto che al mio cliente interessa lavorare da remoto a casa sua, ho creato con OpenVPN un collegamento al suo pc client dell' ufficio, il quale si collega al server per il database del programma che lui usa (come tutti i client dell' ufficio).

Il collegamento funziona...........però c'è il problema che si disconnette ogni 10 minuti circa e ora devo risolvere quest'altra rogna.........ho fatto disabilitare lo screensaver del pc client e vediamo come va....

Non è che c'entra il fatto che (oltre allo screensaver) il client, come di norma nelle reti con Dominio e DC, va in protezione (quando richiede Ctrl+Alt+Canc) e disconnette OpenVPN?!?

Come posso risolverlo???

grazie ancora siete preziosissimi
    Rispondi Citando Rispondi
Tuesday, 19 January 2010, 14:10
SataNik
 Raffaele Fazio
 Staff
 
L'avatar di  SataNik
 
 Località: Serrastretta (CZ)
 Messaggi: 10,655

tonysnk: ma openvpn e' attivo come servizio ? E' messo come TCP ?
Ti posso anticipare che come servizio e tcp non si sconnette una macchina xp che va spesso con lo screensaver .. quindi prova
__________________


"Se il risultato conferma le ipotesi, allora hai appena fatto una misura, se il risultato è contrario alle ipotesi, allora hai fatto una scoperta."
    Rispondi Citando Rispondi
Monday, 25 January 2010, 17:19
tonysnk
 
 Messaggi: n/a

Quote:
Originariamente inviato da SataNik
tonysnk: ma openvpn e' attivo come servizio ? E' messo come TCP ?
.......per quanto riguarda il tcp credo di saperlo fare in quanto CREDO si debba solo modificare il file di testo server.ovpn, giusto?!?

ma per rendere openVPN un servizio ho paura di non saperlo.....nel video tutorial non capisco dove agire....potete aiutarmi?!?

grazie mille raga
    Rispondi Citando Rispondi
Tuesday, 26 January 2010, 15:26
SataNik
 Raffaele Fazio
 Staff
 
L'avatar di  SataNik
 
 Località: Serrastretta (CZ)
 Messaggi: 10,655

per TCP devi impostarlo al posto di UDP sia nella config del server che del client.
Per attivare il servizio:
a) la configurazione del server deve essere nella cartella di default c:\programmi\openvpn\config (e non sotto cartelle).
b) Strumenti di Amministrazione->Servizi .. cerchi OPENVPN e nelle proprietà metti Avvio Automatico e clicchi su Start. Un paio di OK e dovresti vedere la connessione attiva
__________________


"Se il risultato conferma le ipotesi, allora hai appena fatto una misura, se il risultato è contrario alle ipotesi, allora hai fatto una scoperta."
    Rispondi Citando Rispondi
Saturday, 30 January 2010, 08:07
tonysnk
 
 Messaggi: n/a

ah....così facile?!? beh allora lo so fare

grazie a tutti......se dovessi avere altri problemi non esiterò a postare in questo forum dove DAVVERO si aiutano gli utenti in difficoltà..................

a presto.
    Rispondi Citando Rispondi
Rispondi Invia Nuova Discussione


Utenti attualmente attivi che stanno leggendo questa discussione: 1 (0 utenti e 1 visitatori)
 

Thread già visto da:
Pocket, ztonino, RomeoKnight, SanK, foul64, palin, S71ng, anita, BRAVO 2, SatRider, Foxes, ale82x, Neles, Valentino28, ibby, pappaalfio, Bramins
Strumenti Discussione Cerca in questa Discussione
Cerca in questa Discussione:

Ricerca Avanzata
Modalità Visualizzazione

top Regole di scrittura
Tu non puoi inserire messaggi
Tu non puoi rispondere ai messaggi
Tu non puoi inviare allegati
Tu non puoi modificare i tuoi messaggi

codice vB è Attivo
Smilies è Attivo
[IMG] il codice è Attivo
Il codice HTML è Disattivato

Se hai problemi, contattaci


Visite Totali Posts: 99.602.563
Tutti gli Orari sono GMT +1. Attualmente sono le 03:10.

iGroup Black
Powered by vBulletin Versione 3.5.6
Copyright ©2000 - 2022, Jelsoft Enterprises Ltd.
Traduzione italiana a cura di: Enzo-Staff-VbulletinItalia.it
 
2000, 2012 © Visiva Group