alcuni problemi con windows 2003 server

[nickbo]

salve a tutti.

ho alcuni problemi con windows 2003 server SE, apparentemente a seguito di una infezione dal virus backdoor.kavar.

Il server è un HP Proliant ML310 RAID 1

Ho rimosso il virus ma ci sono delle anomalie nel comportamento del server:
- al boot, dopo il caricamento del controller dell'array, mi segnala:
NO SCSI BOOT DEVICE FOUND
SCSI BOOT NOT INSTALLED
e poi prosegue regolarmente l'avvio di windows

- una volta avviato, alcuni programmi o alcuni comandi di programmi crashano e mi costringono a terminare manualmente il programma. Uno di questi è il comando "Archivi removibili" e "gestione disco" in "Gestione computer".

cosa posso fare? e come posso ripristinare il sistema se non ho un backup completo?

grazie

[goldfix_1]

ciaoooooo


reinstallare tutto?

sicuramente il virus ha danneggiato il MBR, da cio' i problemi di avvio (anche se stranamente non rientra nei danni previsti dal virus, se sicuro che non ne hai dentro qualcun altro).

Alternativa puoi prova a creare un disco di ripristino ed eseguire un "Repair Installation". Cio' non ti costringe a reinstallare tutto e in breve dovresti avere il SO dinuovo perfettamente funzionante. Dopo la suddetta procedura devi rieseguire tutti gli upgrade.

ciaoooooo

[nickbo]

grazie per la risposta!

in effetti è sembrato strano anche a me avere tutti questi problemi con kavar (mi sono visto anch'io tutti i vari payload di questo worm), però una spiegazione ci può essere: ho dovuto rimuovere i files infettati manualmente e fra questi ce n'era uno nella cartella system32 che si chiamava bios1.rom. Forse era proprio il file di configurazione dell'unità scsi...

purtroppo, sono stato costretto a rimuoverlo, dopo aver provato a sanarlo con the cleaner (ma quest'ultimo non mi diceva che era infettato), mentre l'antivirus "antiy ghostbusters" me lo aveva trovato (solo che la versione che ho di quest'ultimo non è registrata - non mi fido del sistema di pagamento che utilizza - e quindi non rimuove i virus). Purtroppo Norton per i server costa una cifra spropositata...

ho provato a cercare un tool di rimozione, ma non ne ho trovati. Anzi, ho notato che non tutti gli antivirus riconoscono kavar (o, almeno, non ne ho trovato traccia sotto questo nome nella libreria), per esempio trend micro.

Particolare importante: anche se alcuni files (solo 3) erano infettati, non ho trovato traccia nel file di registro delle voci associate a questo worm. Quindi, era solo dormiente e non in grado di infettare altri files.

Dai log ho notato che al 99% si è trattato di un attacco FTP.

Ti ringrazio del consiglio riguardo al disco di ripristino che proverò al + presto (anche se in questo periodo sono in altre faccende affaccendato...)

C'è però una cosa che non capisco... se veramente si tratta di una corruzione del file MBR, da quel che ne so, il server non dovrebbe avviarsi. Invece, tutto fila liscio senza particolari problemi, a parte quelli già segnalati (in più, quando effettuo il login utente, il alcune operazioni il pc lo vedo + rallentato)...


A presto