Логи сервера и агента отличаются.
#1
Отправлено 06 Февраль 2009 - 10:18
В лог файле SpIDer.log присутствует запись о вирусе, а сервер ES ни чего про это не знает. На период обнаружения вируса оба сервера были в онлайне.
Немного настораживает.
Кто нить с таким сталкивался, и какие могут быть причины? Агенты цепляются к серверу напрямую по ИП.
#2
Отправлено 06 Февраль 2009 - 11:23
Doctor Web, Ltd.
#3
Отправлено 06 Февраль 2009 - 11:41
Лог файла drwagntd.log за февраль:
Лог обновления тоже не выдает ни каких ошибок за этот период.20090131.182951.50 ERR 003268/noname Unable to set SD to "C:\Program Files\DrWeb Enterprise Suite\Infected.!!!" directory because of Access is denied (code=5).
20090202.115530.71 ERR 003284/noname Unable to set SD to "C:\Program Files\DrWeb Enterprise Suite\Infected.!!!" directory because of Access is denied (code=5).
20090206.103046.31 ERR 003284/DW32 [DrWeb32#11] Object "C:\pagefile.sys" - read error [#00000020]
20090206.103047.14 ERR 003284/DW32 [DrWeb32#10] Object "C:\Documents and Settings\Administrator.NAVIS\NTUSER.DAT" - read error [#00000020]
20090206.103047.14 ERR 003284/DW32 [DrWeb32#8] Object "C:\Documents and Settings\Administrator.NAVIS\ntuser.dat.LOG" - read error [#00000020]
20090206.103047.15 ERR 003284/DW32 [DrWeb32#5] Object "C:\Documents and Settings\LocalService\NTUSER.DAT" - read error [#00000020]
20090206.103047.15 ERR 003284/DW32 [DrWeb32#4] Object "C:\Documents and Settings\LocalService\ntuser.dat.LOG" - read error [#00000020]
20090206.103047.15 ERR 003284/DW32 [DrWeb32#4] Object "C:\Documents and Settings\NetworkService\NTUSER.DAT" - read error [#00000020]
20090206.103047.15 ERR 003284/DW32 [DrWeb32#4] Object "C:\Documents and Settings\NetworkService\ntuser.dat.LOG" - read error [#00000020]
А вот лог гварда содержит такую запись
Собственно ее то на сервере ES и нету05-02-2009 10:50:03 [BG] (PID = 0004) E:\storage\DP_SERVICE\pkzipc.exe - infected with Win32.Alman
05-02-2009 10:50:03 E:\storage\DP_SERVICE\pkzipc.exe - infected with Win32.Alman and cannot be cured
05-02-2009 10:50:03 [BG] (PID = 0004) E:\storage\DP_SERVICE\pkzipc.exe - renamed
ОС Win2003 SP2 server с последними обновлениями.
#4
Отправлено 09 Февраль 2009 - 11:12
(стоит галочка - оповещение о вирусах) и на сервере, если смотреть через консоль в "Инфекции", запись не появилась.
Вот что говорит SpIDer.log:
09-02-2009 09:07:51 [BG] (PID = 2340) E:\Virus\Inbox\msntamep.exe - iнфiкований Trojan.MulDrop.30222
09-02-2009 09:07:51 [BG] (PID = 2340) E:\Virus\Inbox\msntamep.exe - зцiлений
2340 - Проводник Windows (C:\WINDOWS\explorer.exe)
Через несколько минут при попытке извлечь тот же файл вируса из архива, Spider его сразу обнаруживает и удаляет. Появляется всплывающее сообщение об обнаруженом вирусе и на сервере появляется соответствующая запись.
#5
Отправлено 10 Февраль 2009 - 14:25
В лог файлах присутствует запись о найденых зараженных файлах. И о действиях которые произведенны с ними, а сервер ЕС про это ничего не знает.
Хотя нет, знает, правда там всего одна запись.
Лог гварда:
09-02-2009 15:44:18 [CL] (PID = 0004) E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\Starter.exe - infected with Win32.Alman
09-02-2009 15:44:18 E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\Starter.exe - infected with Win32.Alman and cannot be cured
09-02-2009 15:44:18 [CL] (PID = 0004) E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\Starter.exe - renamed
09-02-2009 17:27:06 [BG] (PID = 0004) E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\ComIO.exe - infected with Win32.Alman
09-02-2009 17:27:06 E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\ComIO.exe - infected with Win32.Alman and cannot be cured
09-02-2009 17:27:06 [BG] (PID = 0004) E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\ComIO.exe - renamed
09-02-2009 17:27:16 [BG] (PID = 0004) E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\Control.exe - infected with Win32.Alman
09-02-2009 17:27:16 E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\Control.exe - infected with Win32.Alman and cannot be cured
09-02-2009 17:27:16 [BG] (PID = 0004) E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\Control.exe - renamed
09-02-2009 17:27:17 [BG] (PID = 0004) E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\Monitor.exe - infected with Win32.Alman
09-02-2009 17:27:17 E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\Monitor.exe - infected with Win32.Alman and cannot be cured
09-02-2009 17:27:17 [BG] (PID = 0004) E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\Monitor.exe - renamed
09-02-2009 17:27:26 [BG] (PID = 0004) E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\PLCWriter.exe - infected with Win32.Alman
09-02-2009 17:27:26 E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\PLCWriter.exe - infected with Win32.Alman and cannot be cured
09-02-2009 17:27:26 [BG] (PID = 0004) E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\PLCWriter.exe - renamed
09-02-2009 17:27:27 [BG] (PID = 0004) E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\Writer.exe - infected with Win32.Alman
09-02-2009 17:27:27 E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\Writer.exe - infected with Win32.Alman and cannot be cured
09-02-2009 17:27:27 [BG] (PID = 0004) E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\Writer.exe - renamed
09-02-2009 17:32:20 [BG] (PID = 0004) E:\storage\DP_SERVICE\!Ships\AMT_TMARTIN\OUT_2004_08_26_216_006\IVCS2001.2.16.006\!Bin\ComIO.exe - infected with Win32.Alman
09-02-2009 17:32:20 E:\storage\DP_SERVICE\!Ships\AMT_TMARTIN\OUT_2004_08_26_216_006\IVCS2001.2.16.006\!Bin\ComIO.exe - infected with Win32.Alman and cannot be cured
09-02-2009 17:32:20 [BG] (PID = 0004) E:\storage\DP_SERVICE\!Ships\AMT_TMARTIN\OUT_2004_08_26_216_006\IVCS2001.2.16.006\!Bin\ComIO.exe - renamed
09-02-2009 17:32:39 [BG] (PID = 0004) E:\storage\DP_SERVICE\!Ships\AMT_TMARTIN\OUT_2004_08_26_216_006\IVCS2001.2.16.006\!Bin\MsgExchanger.exe - infected with Win32.Alman
09-02-2009 17:32:39 E:\storage\DP_SERVICE\!Ships\AMT_TMARTIN\OUT_2004_08_26_216_006\IVCS2001.2.16.006\!Bin\MsgExchanger.exe - infected with Win32.Alman and cannot be cured
09-02-2009 17:32:39 [BG] (PID = 0004) E:\storage\DP_SERVICE\!Ships\AMT_TMARTIN\OUT_2004_08_26_216_006\IVCS2001.2.16.006\!Bin\MsgExchanger.exe - renamed
Лог ЕС сервера:
Актуально 2009/02/09 15:44:19.081 SERVER инфицирован Win32.Alman переименован Неизвестно E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\Starter.exe SpIDer Guard ® for Windows Server
Создается впечатление что статистика о вирусах найденых в фоновом режиме не отправляется на сервер.
Что это баг или фича?
#6
Отправлено 10 Февраль 2009 - 19:50
да, какой-то баг в спайдере
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых