none
windows server 2008 lento e cpu al 100% RRS feed

  • Domanda

  • Buongiorno. problema da un cliente: abbiamo un server con server 2008 r2, l'hardware è piuttosto recente, ha circa un anno. sopra ci sono solo kasperky small buseiness, il ns gestionale e sql 2005 express. da un mesetto circa ho la cpu sempre al 100%, ho provato ad installare sql 2008 per esigenze di database, ma ovviamente non mi fa fare nulla perchè "intasato".

    a kasperky risulta tutto pulito. ho lanciato anche l'antimalware di windows ed è ok. ho passato malwarebytes e ha trovato e tolto solo un trojan che con il riavvio secondo lui andava a risolversi, infatti non c'è più. che ci siano tanti servizi attivi è normale, ma appena apro taskmanager anche lui mi va ad occupare il 50% della cpu, la memoria direi che è ok. gli aggiornamenti sembra che me li scarichi ma alla fine mi da sempre errore nell'installazione. in questo momento ci sto anche mettendo l'hotfix per scaricare gi aggiornamenti autonomamente ma dopo stare un quarto d'ora a cercare gli aggiornamenti mi dice che il paccheto non è installabile...help!

    lunedì 8 agosto 2011 10:13

Risposte

  • avvia task manager, vai sulla tab "processes", ordina i processi rispetto alla colonna CPU decrescente  e posta qui i primi 4/5 processi con il loro valore, poi ordina i processi secondo l'occupazione della ram decrescente e posta qui i primi 4/5 processi con il valore di occupazione.

    esegui anche una scansione usando l'Avira Rescue Disk che troverai qui

    http://www.avira.com/en/support-download-avira-antivir-rescue-system

    masterizzerai e farai il boot del server con quel cd.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    lunedì 8 agosto 2011 10:55
    Moderatore
  • giusto per la cronaca...avevo qualche giorno di tempo "libero" e prima di formattare le ho veramente volute provare tutte....ed è venuto fuori che era Kaspersky !!!!!!!!!

    al cliente avevamo messo la versione server 6.0 + i client, era scaduto da circa un mese , ma con tutte le scansioni che mi avete fatto fare voi ero sicurissima non fosse problema di virus "seri"....alla fine l'ho disinstallato (e anche tramite il tools di kaspersky perchè causa lentezza la normale procedura non andava a buon fine, windows installer si bloccava sempre) e ora è come nuovo !!!

    sto finendo di installare altre cose e poi procederò con la re-installazione del pacchetto small business per server che abbiamo appena riacquistato..e speriamo bene !

    ps

    ho segnalato la cosa a Kaspersky, chiedendo se magari non era una cosa fatta da loro appositamente perchè era scaduto, visto che ci è stato installato un anno e non ha mai dato problemi...ovviamente mi hanno detto che a loro non risultano problemi di questo genere !

    grazie di nuovo :)

    mercoledì 24 agosto 2011 10:27

Tutte le risposte

  • avvia task manager, vai sulla tab "processes", ordina i processi rispetto alla colonna CPU decrescente  e posta qui i primi 4/5 processi con il loro valore, poi ordina i processi secondo l'occupazione della ram decrescente e posta qui i primi 4/5 processi con il valore di occupazione.

    esegui anche una scansione usando l'Avira Rescue Disk che troverai qui

    http://www.avira.com/en/support-download-avira-antivir-rescue-system

    masterizzerai e farai il boot del server con quel cd.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org

    lunedì 8 agosto 2011 10:55
    Moderatore


  • per l'altra soluzione provo domani mattina perchè devo spegnerlo e ora non è possibile....
    lunedì 8 agosto 2011 11:29
  • il task manager non dice nulla di particolare, meglio procedere con la scansione, ciao.
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    lunedì 8 agosto 2011 14:46
    Moderatore
  • Ciao Cristina, oltre a quanto consigliato da Edoardo Benussi potresti eseguire una scansione con HijackThis ed inoltrare la verifica del risultato.

     

    Saluti

    Nino

    lunedì 8 agosto 2011 15:04
    Moderatore
  • Prova anche con Process Explorer (http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx) che ti da informazioni più dettagliate.

     

    Ciao

     

    lunedì 8 agosto 2011 15:39
  • Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16.29.41, on 09/08/2011
    Platform: Windows Vista SP2 (WinNT 6.00.1906)
    MSIE: Internet Explorer v8.00 (8.00.6001.19019)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\taskeng.exe
    C:\Windows\system32\Dwm.exe
    C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
    C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Windows\explorer.exe
    C:\Windows\system32\werfault.exe
    C:\Users\Administrator\Desktop\stinger10.2.0.233.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://iesetup.dll/HardAdmin.htm
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.it/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\system32\blank.htm
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\System32\blank.htm
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers MP4\avp.exe"
    O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
    O4 - HKLM\..\Run: [Seagull Drivers] ssdal_nc.exe startup
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
    O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O10 - Broken Internet access because of LSP provider 'c:\users\administrator\windows\system32\nlaapi.dll' missing
    O13 - Gopher Prefix:
    O15 - ESC Trusted Zone: http://webmaildomini.aruba.it
    O15 - ESC Trusted Zone: http://www.citizenitalia.it
    O15 - ESC Trusted Zone: http://d10xg45o6p6dbl.cloudfront.net
    O15 - ESC Trusted Zone: http://googleads.g.doubleclick.net
    O15 - ESC Trusted Zone: http://www2.gmer.net
    O15 - ESC Trusted Zone: http://www.google-analytics.com
    O15 - ESC Trusted Zone: http://www.google.it
    O15 - ESC Trusted Zone: http://pagead2.googlesyndication.com
    O15 - ESC Trusted Zone: http://www.ip-adress.com
    O15 - ESC Trusted Zone: http://mozilla.isohunt.com
    O15 - ESC Trusted Zone: http://products.kaspersky-labs.com
    O15 - ESC Trusted Zone: http://www.kaspersky.com
    O15 - ESC Trusted Zone: http://www.kraun.it
    O15 - ESC Trusted Zone: http://mirror.leaseweb.com
    O15 - ESC Trusted Zone: http://mozilla.mirror.ac.za
    O15 - ESC Trusted Zone: http://runonce.msn.com
    O15 - ESC Trusted Zone: http://www.myip.com
    O15 - ESC Trusted Zone: http://download.nai.com
    O15 - ESC Trusted Zone: http://*.openvpn.se
    O15 - ESC Trusted Zone: http://support.ricoh.com
    O15 - ESC Trusted Zone: http://download3.showmypc.com
    O15 - ESC Trusted Zone: http://*.showmypc.com
    O15 - ESC Trusted Zone: http://sd-cf.softonic.it
    O15 - ESC Trusted Zone: http://security.symantec.com
    O15 - ESC Trusted Zone: http://licenze.teamsystem.com
    O15 - ESC Trusted Zone: http://ta.teamsystem.com
    O15 - ESC Trusted Zone: http://webrecall.teamsystem.com
    O15 - ESC Trusted Zone: http://www.teamsystem.com
    O15 - ESC Trusted Zone: http://www.teamviewer.com
    O15 - ESC Trusted Zone: http://support1.uvnc.com
    O15 - ESC Trusted Zone: http://mozilla-mirror.3347.voxcdn.com
    O15 - ESC Trusted Zone: http://*.windowsupdate.com
    O15 - ESC Trusted Zone: http://www.winrar.it
    O15 - ESC Trusted Zone: http://runonce.msn.com (HKLM)
    O15 - ESC Trusted Zone: http://*.windowsupdate.com (HKLM)
    O16 - DPF: {0FADB9AA-6955-4319-B538-BB1461E11A28} (NTR Plugin 1.2.4.2) - http://ta.teamsystem.com/inquiero/mod/setup/ntrplugin1242.cab
    O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
    O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/ractrl.cab?lmi=100
    O17 - HKLM\System\CCS\Services\Tcpip\..\{0C005609-7EF1-433D-8BC9-37347F558CB3}: NameServer = 151.99.125.2,151.99.125.3
    O17 - HKLM\System\CS1\Services\Tcpip\..\{0C005609-7EF1-433D-8BC9-37347F558CB3}: NameServer = 151.99.125.2,151.99.125.3
    O17 - HKLM\System\CS2\Services\Tcpip\..\{0C005609-7EF1-433D-8BC9-37347F558CB3}: NameServer = 151.99.125.0,151.99.125.100
    O17 - HKLM\System\CS3\Services\Tcpip\..\{0C005609-7EF1-433D-8BC9-37347F558CB3}: NameServer = 151.99.125.2,151.99.125.3
    O17 - HKLM\System\CS4\Services\Tcpip\..\{0C005609-7EF1-433D-8BC9-37347F558CB3}: NameServer = 151.99.125.2,151.99.125.3
    O17 - HKLM\System\CS5\Services\Tcpip\..\{0C005609-7EF1-433D-8BC9-37347F558CB3}: NameServer = 151.99.125.2,151.99.125.3
    O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Servers MP4\avp.exe
    O23 - Service: LMIGuardianSvc - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LMIGuardianSvc.exe
    O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
    O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
    O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

    --
    End of file - 6995 bytes
     non so...vedi magari qualcosa di dubbio????
    martedì 9 agosto 2011 14:34
  • grazie della dritta,  ma mi conferma solo quello che avevo già visto: il 50% mi se lo prende l'ultima cosa aperta (procexp ora e tskmgr prima), e il rsto svchost, explorer o altro che comunque ci deve stare..
    martedì 9 agosto 2011 14:45
  • Vedo vari strumenti per i virus &C.:

    sbaglio o hai qualcosa di symantec? E Spybot? Mcafee? Inoltre no metterei mai su un server LogmeIN!!!

     


    Adriano - MCITP Server Administrator MCTS Windows Server 2008 Applications Infrastructure, Configuration adriano.mariolini[at]adrsys.it
    martedì 9 agosto 2011 14:51
  • il log di hjt è pulito. hai fatto la scansione col Rescue Disk di Avira ?
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    martedì 9 agosto 2011 14:59
    Moderatore
  • si, alla fine quei programmi sono tutte cose che sto mettendo in questi giorni. avira se ne parla domani. in ogni caso, al momento, ogni altro software di scansione che sto lanciando sta togliendo qualcosa..sembra magari andare un pochino meglio, ma poi al riavvio è come prima. l'ultimo è avira...e ti saprò dire, grazie
    martedì 9 agosto 2011 15:00
  • Se vuoi controllare anche tu utilizza il seguente link http://hijackthis.de/it#anl

    Coma ti ha scritto Edoardo Benussi sembra pulito, a parte le voci "017" che contengono IP pubblici (DNS Interbusiness). Parlando di un server mi sarei aspettato dei DNS di dominio.

    Comunque il mio consiglio è quello di evitare di installare software su software ed in particolare se sono software che risiedono in memoria (vedi antivirus).

     

    Saluti

    Nino

     

    martedì 9 agosto 2011 15:47
    Moderatore
  • scansione fatta! ha trovato e rinominato 6 trojan, si è riavviato....ora sto anche rimuovendo i vari programmini pe rle scansioni installati in sti giorni, ma ad occhio direi che siamo più o meno come prima..non vorrei che se li ricarica i trojan al riavvio. addorittura stamattina non mi ha fatto finire la disinstallazione di uh programm (tecncicamente era la prima cosa per cui ci ho lavorato e che non riuscivo a fare per la lentezza) perchè aveva un errore su windows installer.- ho provato anche a reinstallarlo 8dopo averlo scaricato) e mi dice che la versione non corrisponde, quando invece chiaramente è la sua...
    mercoledì 10 agosto 2011 10:34
  • com'è possibile che un server venga utilizzato con tanta "leggerezza" da tirarsi a bordo dei trojan ?

    chi è che gestisce la sicurezza di questa azienda ? topolino ?

    anche ammettendo che sia possibile tentare un'operazione di pulizia con le indicazioni di Vincenzo Di Russo che ti riporto qui

    Il computer è infettato da malware, come devo procedere?
    Segui alla lettera tutte le istruzioni nel post, nell'ordine in cui sono state scritte.

    un server compromesso andrebbe rifatto ex-novo, io non mi fiderei a lasciarlo in produzione.


    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    mercoledì 10 agosto 2011 11:01
    Moderatore
  • no comment sulla gestione fatta finora, purtroppo non dipendeva da noi! comunque grazie mille dei tanti consigli, alla fine mi toccherà formattare e basta...alla prossima!
    giovedì 18 agosto 2011 11:12
  • Grazie a te per il feedback, purtroppo quando una macchina non è stabile la migliore soluzione è quella di segarla.

    Piacere di risentirci alla prossima.

     

    Saluti

    Nino

    giovedì 18 agosto 2011 11:17
    Moderatore
  • giusto per la cronaca...avevo qualche giorno di tempo "libero" e prima di formattare le ho veramente volute provare tutte....ed è venuto fuori che era Kaspersky !!!!!!!!!

    al cliente avevamo messo la versione server 6.0 + i client, era scaduto da circa un mese , ma con tutte le scansioni che mi avete fatto fare voi ero sicurissima non fosse problema di virus "seri"....alla fine l'ho disinstallato (e anche tramite il tools di kaspersky perchè causa lentezza la normale procedura non andava a buon fine, windows installer si bloccava sempre) e ora è come nuovo !!!

    sto finendo di installare altre cose e poi procederò con la re-installazione del pacchetto small business per server che abbiamo appena riacquistato..e speriamo bene !

    ps

    ho segnalato la cosa a Kaspersky, chiedendo se magari non era una cosa fatta da loro appositamente perchè era scaduto, visto che ci è stato installato un anno e non ha mai dato problemi...ovviamente mi hanno detto che a loro non risultano problemi di questo genere !

    grazie di nuovo :)

    mercoledì 24 agosto 2011 10:27
  • grazie a te per aver postato la soluzione a beneficio della community, ciao ;-)
    Edoardo Benussi
    Microsoft MVP - Management Infrastructure
    edo[at]mvps[dot]org
    mercoledì 24 agosto 2011 10:37
    Moderatore