Перейти к содержимому


Фото
- - - - -

проблемы с определением


  • Please log in to reply
12 ответов в этой теме

#1 exec

exec

    Newbie

  • Posters
  • 18 Сообщений:

Отправлено 30 Август 2009 - 18:42

Здравствуйте, ситуация такова. Есть ссылка, которая присылается со спамом через ICQ. LinkChecker определяет Trojan.Click.26075. Почему при попытке зайти по этой ссылке плaгин Dr. Web for Kerio не определяет там вирус?

лог прилагается:

Sat Aug 22 10:26:52 2009 | KerioPluginManager.c(258) | *************************** Log started ***************************
Sat Aug 22 10:26:53 2009 | UpdaterWatcher.cpp  (40)  | Entering CUpdaterWatcher::UpdaterWatchThread
Sat Aug 22 10:26:53 2009 | UpdaterWatcher.cpp  (43)  | Updater supervisor: Started supervision over updater.
Sat Aug 22 10:26:53 2009 | LicenseManager.cpp  (73)  | License manager: License is valid!
Sat Aug 22 10:26:53 2009 | LicenseManager.cpp  (270) | Entering CLicenseManager::ChangeFileCheckerThread
Sat Aug 22 10:26:53 2009 | LicenseManager.cpp  (292) | License key supervisor: Started supervision over key file.
Sun Aug 30 20:46:42 2009 | KerioPluginManager.c(316) | Scanning file: C:\Program Files\Kerio\WinRoute Firewall\tmp\00001149.tmp ( eicar_com.zip )
Sun Aug 30 20:46:42 2009 | AntiThreatManager.cp(114) | Scan time: 62
Sun Aug 30 20:46:42 2009 | KerioPluginManager.c(321) | Threat "EICAR Test File (NOT a Virus!)" found in file: eicar_com.zip
Sun Aug 30 21:23:10 2009 | KerioPluginManager.c(316) | Scanning file: C:\Program Files\Kerio\WinRoute Firewall\tmp\00002789.tmp ( js.js )
Sun Aug 30 21:23:10 2009 | AntiThreatManager.cp(114) | Scan time: 18

Удалил все лишнее, оставил только проверку тестового файла EICAR и js.js (вирус, содержащийся в ссылке)

Сообщение было изменено exec: 30 Август 2009 - 18:49
Возможно опасная ссылка!


#2 account has been deleted

account has been deleted

    Massive Poster

  • Posters
  • 2 837 Сообщений:

Отправлено 30 Август 2009 - 18:50

Специалисты Службы вирусного мониторинга.
Служба технической поддержки
www.surfpatrol.ru

#3 pig

pig

    Бредогенератор

  • Helpers
  • 10 852 Сообщений:

Отправлено 30 Август 2009 - 18:58

Я бы в логе посмотрел, насколько актуальны базы, которые плагин использует.
Почтовый сервер Eserv тоже работает с Dr.Web

#4 exec

exec

    Newbie

  • Posters
  • 18 Сообщений:

Отправлено 30 Август 2009 - 19:01

Базы свежие, обновил перед попыткой сходить по ссылке.

evaxp, а не затруднит ли вас показать мне необходимый формат ссылки для запроса? А то ругается что "Неправильная ссылка" ;)

#5 account has been deleted

account has been deleted

    Massive Poster

  • Posters
  • 2 837 Сообщений:

Отправлено 30 Август 2009 - 19:17

evaxp, а не затруднит ли вас показать мне необходимый формат ссылки для запроса? А то ругается что "Неправильная ссылка"

Я не знаю как решить вашу проблему, но постить на форуме ссылки, прикреплять файлы, которые могут нанести вред, категорически запрещено. ;)
[30/08/2009 11:44:19 00001a50] Response is infected by Trojan.Click.26075 (type=1). Url=http://---------------/js.js
[30/08/2009 12:29:21 0000193c] Response is infected by Trojan.Click.26075 (type=1). Url=http://---------------/js.js
[30/08/2009 12:29:38 00001250] Response is infected by Trojan.Click.26075 (type=1). Url=http://---------------/js.js
www.surfpatrol.ru

#6 userr

userr

    Newbie

  • Members
  • 16 310 Сообщений:

Отправлено 30 Август 2009 - 19:19

Базы свежие, обновил перед попыткой сходить по ссылке.

Покажите кусок лога где видна загрузка баз
C:\Program Files\Kerio\WinRoute Firewall\tmp\00002789.tmp ( js.js )
покажите результат проверки точно этого файла на http://virustotal.com/

#7 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 30 Август 2009 - 19:23

2 раза при онлайн сканировании выдалось заражен и 2 раза "вирусов нет"

Отправленное изображение

Отправленное изображение

P.S.

Ссылка отправлена в вирлаб

Сообщение было изменено mrbelyash: 30 Август 2009 - 20:20

wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#8 userr

userr

    Newbie

  • Members
  • 16 310 Сообщений:

Отправлено 30 Август 2009 - 19:45

Похоже, имеем 2 проблемы
- при разборе ссылки не всегда попадает на проверку вирусный файл
- у exec плaгин Dr. Web for Kerio не определяет вирус в файле, где онлайн вирус находит. здесь ждём логов

#9 exec

exec

    Newbie

  • Posters
  • 18 Сообщений:

Отправлено 31 Август 2009 - 07:56

Вот обновление баз:
2009-08-31, 10:17:03  ===========================================================================
==
2009-08-31, 10:17:03  Dr.Web Updater for Windows v5.00.4 (5.00.3.06011)
2009-08-31, 10:17:03  Copyright (c) Doctor Web, Ltd., 1992-2009
2009-08-31, 10:17:03  Command line: C:\Program Files\DrWeb for Kerio WinRoute\drwebupw.exe /st /go /gu /reg- /URM:disable /rp+C:\Documents and Settings\All Users\Application Data\Doctor Web\Logs\drwebupw.log
2009-08-31, 10:17:03  Operating system: Windows XP Professional x86 (Build 2600), Service Pack 3
2009-08-31, 10:17:03  ===========================================================================
==
2009-08-31, 10:17:03  Key file: C:\Program Files\DrWeb for Kerio WinRoute\drweb32.key

2009-08-31, 10:17:03  DRL file parsed (C:\Program Files\DrWeb for Kerio WinRoute\update.drl, 9 URLs)
2009-08-31, 10:17:03  Create network session
2009-08-31, 10:17:03  Connecting to host: http://update.msk6.drweb.com/500/keriowinroute/windows/ (87.242.75.130)
2009-08-31, 10:17:03  Searching drweb32.flg...
2009-08-31, 10:17:03  Searching drweb32.lst.lzma...
2009-08-31, 10:17:04  Transferring drweb32.lst.lzma...
2009-08-31, 10:17:04  drweb32.lst.lzma transferred
2009-08-31, 10:17:06  Searching drwtoday.txt.patch_2aa02217_11ca799d...
2009-08-31, 10:17:06  Searching drwtoday.txt.lzma...
2009-08-31, 10:17:06  Transferring drwtoday.txt.lzma...
2009-08-31, 10:17:07  drwtoday.txt.lzma transferred
2009-08-31, 10:17:07  Searching drwtoday.vdb.patch_bbae460f_1c088b9a...
2009-08-31, 10:17:07  Searching drwtoday.vdb.lzma...
2009-08-31, 10:17:07  Searching drwtoday.vdb...
2009-08-31, 10:17:07  Transferring drwtoday.vdb...
2009-08-31, 10:17:08  drwtoday.vdb transferred
2009-08-31, 10:17:08  Files transferred
2009-08-31, 10:17:08  Updating files...
2009-08-31, 10:17:08  Disconnected

2009-08-31, 10:17:25  ===========================================================================
==

В логах самого плагина все то же, поэтому их выкладывать не стал.

Вот скрин с вирустотал:

Прикрепленные файлы:

  • Прикрепленный файл  Result.png   33,23К   169 Скачано раз


#10 pig

pig

    Бредогенератор

  • Helpers
  • 10 852 Сообщений:

Отправлено 31 Август 2009 - 18:12

Надо лог не обновления баз, а загрузки их в себя соответствующим компонентом. Конкретно - плагином для Kerio.
Почтовый сервер Eserv тоже работает с Dr.Web

#11 exec

exec

    Newbie

  • Posters
  • 18 Сообщений:

Отправлено 31 Август 2009 - 20:24

В логе данного компонента присутствует такая строчка

Mon Aug 31 13:02:25 2009 | UpdaterWatcher.cpp  (84)  | Updater supervisor: Antivirus bases were updated!

Не думаю что она достаточно информативна и способна как-то повлиять на решение проблемы.

Чтобы вопросов больше не возникало, выкладываю оба лога целиком:

Прикрепленные файлы:

  • Прикрепленный файл  drwebupw.rar   17,26К   162 Скачано раз
  • Прикрепленный файл  Log.rar   316,36К   154 Скачано раз


#12 at.

at.

    Advanced Member

  • Dr.Web Staff
  • 967 Сообщений:

Отправлено 09 Сентябрь 2009 - 00:58

Надо лог не обновления баз, а загрузки их в себя соответствующим компонентом. Конкретно - плагином для Kerio.


Конкретно плагин для KWF не загружает никаких баз.
--

#13 at.

at.

    Advanced Member

  • Dr.Web Staff
  • 967 Сообщений:

Отправлено 09 Сентябрь 2009 - 01:24

Почему при попытке зайти по этой ссылке плaгин Dr. Web for Kerio не определяет там вирус?


Плагин проверяет только то, что передает ему на проверку сам KWF.
При проверке LinkChecker'ом трафик шел через этот же KWF?

Покажите плиз скриншот настроек плагина в консоли KWF и настройки для антивируса там же.
Уточните версию Kerio WinRoute.

И на машине с Kerio установлены ли еще наши продукты? Если да, то какие - укажете,пожалуйста, версии.

И еще просьба - пришлите экспорт EventLog'a системы, раздел Application (Приложения). Кстати, служба Event Log на сервере включена?


За логи спасибо, заодно нашли там проблемы с попыткой записать в Event Log.
--


Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых