La piccola Bottega degli orrori9. L'antivirus uccide Exchange

Una calda mattina di agosto il nostro sistema di posta Exchange si rifiutò di partire. Un rapido sguardo al "Visualizzatore eventi" ci permetteva di scoprire gli Event ID degli errori che non facevano partire il servizio: 455 (Information Store error while opening e00.log) e 9518 (Error Current log file missing). La relativa ricerca su Google, ci permetteva di scoprire che si era allargata la schiera di chi, installando un antivirus qualsiasi (e non uno studiato apposta per Exchange), aveva subito la cancellazione/spostamento di un file fondamentale per il sistema di posta, perchè contenente un virus.
Il file e00.log, e tutti i log di Exchange, contengono i messaggi in arrivo o in partenza che devono essere processati dal motore di posta; di conseguenza possono contenere anche dei virus. E' buona norma impedire agli antivirus la scansione della cartella Mdbdata, della cartella dei log e dell'information store montato sul disco M, in modo da non far spostare dei file vitali in quarantena. Tutta la casistica ritrovata online (1,2,3,4) dava come semplici soluzioni quella di ripristinare un backup o quella di spostare il file dalla cartella di quarantena dell'antivirus alla cartella originale di Exchange; niente di più ironico ed umoristico: nessun backup ed il nostro antirus non solo aveva individuato il file infetto da Netsky.Q, ma in più l'aveva cancellato!
Per pura fortuna avevamo conservato una copia della cartella Mdbdata (risalente al marzo 2003), rinominando quella vecchia e creandone una nuova contenente questi file copiati, almeno avremmo rimesso il servizio in piedi (perdendo oltre 1 GB di posta!). Purtroppo neppure questa soluzione sembrava funzionare: il motore di posta lamentava l'inconsistenza della cartella Mdbdata rispetto alla cartella dei log; rinominando anche la cartella dei log e facendo ripartire il servizio ci accorgevamo che Exhange ricreava una cartella dei log vergine, contenente il perduto file e00.log, a questo punto il servizio partiva e l'information store poteva essere montato perchè i dati erano coerenti tra loro.
Non contenti abbiamo fermato il servizio, copiato la nostra vecchia posta (contenuta nei file priv1.edb priv1.stm pub1.edb pub1.stm) e riavviato il servizio: il motore si lamentava nuovamente dell'inconsistenza; stavolta occorreva un operazione più "ruvida", eseguendo dalla cartella Mdbdata i comandi "..\bin\eseutil /p priv1.edb" e poi "..\bin\eseutil /p pub1.edb", ripristinavamo la coerenza tra gli archivi e la nuova cartella dei log; riavviando il servizio l'information store si rimontava e noi, finalmente.. potevamo andare in pace in vacanza.