Перейти к содержимому


Фото
- - - - -

Логи сервера и агента отличаются.

Автор John , фев 06 2009 10:18

  • Please log in to reply
5 ответов в этой теме

#1 John

John

    Member

  • Posters
  • 399 Сообщений:

Отправлено 06 Февраль 2009 - 10:18

В общем
В лог файле SpIDer.log присутствует запись о вирусе, а сервер ES ни чего про это не знает. На период обнаружения вируса оба сервера были в онлайне.
Немного настораживает.
Кто нить с таким сталкивался, и какие могут быть причины? Агенты цепляются к серверу напрямую по ИП.

#2 Konstantin Yudin

Konstantin Yudin

    Смотрящий

  • Dr.Web Staff
  • 19 552 Сообщений:

Отправлено 06 Февраль 2009 - 11:23

надо сомтреть логи агента на станиции.
With best regards, Konstantin Yudin
Doctor Web, Ltd.

#3 John

John

    Member

  • Posters
  • 399 Сообщений:

Отправлено 06 Февраль 2009 - 11:41

Судя по логам вирус был 5 февраля.

Лог файла drwagntd.log за февраль:

20090131.182951.50 ERR 003268/noname Unable to set SD to "C:\Program Files\DrWeb Enterprise Suite\Infected.!!!" directory because of Access is denied (code=5).
20090202.115530.71 ERR 003284/noname Unable to set SD to "C:\Program Files\DrWeb Enterprise Suite\Infected.!!!" directory because of Access is denied (code=5).
20090206.103046.31 ERR 003284/DW32 [DrWeb32#11] Object "C:\pagefile.sys" - read error [#00000020]
20090206.103047.14 ERR 003284/DW32 [DrWeb32#10] Object "C:\Documents and Settings\Administrator.NAVIS\NTUSER.DAT" - read error [#00000020]
20090206.103047.14 ERR 003284/DW32 [DrWeb32#8] Object "C:\Documents and Settings\Administrator.NAVIS\ntuser.dat.LOG" - read error [#00000020]
20090206.103047.15 ERR 003284/DW32 [DrWeb32#5] Object "C:\Documents and Settings\LocalService\NTUSER.DAT" - read error [#00000020]
20090206.103047.15 ERR 003284/DW32 [DrWeb32#4] Object "C:\Documents and Settings\LocalService\ntuser.dat.LOG" - read error [#00000020]
20090206.103047.15 ERR 003284/DW32 [DrWeb32#4] Object "C:\Documents and Settings\NetworkService\NTUSER.DAT" - read error [#00000020]
20090206.103047.15 ERR 003284/DW32 [DrWeb32#4] Object "C:\Documents and Settings\NetworkService\ntuser.dat.LOG" - read error [#00000020]

Лог обновления тоже не выдает ни каких ошибок за этот период.

А вот лог гварда содержит такую запись

05-02-2009 10:50:03 [BG] (PID = 0004) E:\storage\DP_SERVICE\pkzipc.exe - infected with Win32.Alman
05-02-2009 10:50:03 E:\storage\DP_SERVICE\pkzipc.exe - infected with Win32.Alman and cannot be cured
05-02-2009 10:50:03 [BG] (PID = 0004) E:\storage\DP_SERVICE\pkzipc.exe - renamed

Собственно ее то на сервере ES и нету :rolleyes:

ОС Win2003 SP2 server с последними обновлениями.

#4 Богдан

Богдан

    Newbie

  • Posters
  • 6 Сообщений:

Отправлено 09 Февраль 2009 - 11:12

Тоже такое наблюдал иногда. Вот сегодня утром такое повторилось, решил написать. Отправлял вирус в лабораторию в пятницу. Сегодня решил проверить детект. Открил папку с вирусом, выделил мышкой файл с вирусом, потом забрал выделение, подождал немножко, файл исчез. Всплывающее окошко не появилось
(стоит галочка - оповещение о вирусах) и на сервере, если смотреть через консоль в "Инфекции", запись не появилась.

Вот что говорит SpIDer.log:
09-02-2009 09:07:51 [BG] (PID = 2340) E:\Virus\Inbox\msntamep.exe - iнфiкований Trojan.MulDrop.30222
09-02-2009 09:07:51 [BG] (PID = 2340) E:\Virus\Inbox\msntamep.exe - зцiлений

2340 - Проводник Windows (C:\WINDOWS\explorer.exe)

Через несколько минут при попытке извлечь тот же файл вируса из архива, Spider его сразу обнаруживает и удаляет. Появляется всплывающее сообщение об обнаруженом вирусе и на сервере появляется соответствующая запись.

#5 John

John

    Member

  • Posters
  • 399 Сообщений:

Отправлено 10 Февраль 2009 - 14:25

Ситуация опять повторяется.
В лог файлах присутствует запись о найденых зараженных файлах. И о действиях которые произведенны с ними, а сервер ЕС про это ничего не знает.
Хотя нет, знает, правда там всего одна запись.
Лог гварда:

09-02-2009 15:44:18 [CL] (PID = 0004) E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\Starter.exe - infected with Win32.Alman
09-02-2009 15:44:18 E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\Starter.exe - infected with Win32.Alman and cannot be cured
09-02-2009 15:44:18 [CL] (PID = 0004) E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\Starter.exe - renamed
09-02-2009 17:27:06 [BG] (PID = 0004) E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\ComIO.exe - infected with Win32.Alman
09-02-2009 17:27:06 E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\ComIO.exe - infected with Win32.Alman and cannot be cured
09-02-2009 17:27:06 [BG] (PID = 0004) E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\ComIO.exe - renamed
09-02-2009 17:27:16 [BG] (PID = 0004) E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\Control.exe - infected with Win32.Alman
09-02-2009 17:27:16 E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\Control.exe - infected with Win32.Alman and cannot be cured
09-02-2009 17:27:16 [BG] (PID = 0004) E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\Control.exe - renamed
09-02-2009 17:27:17 [BG] (PID = 0004) E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\Monitor.exe - infected with Win32.Alman
09-02-2009 17:27:17 E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\Monitor.exe - infected with Win32.Alman and cannot be cured
09-02-2009 17:27:17 [BG] (PID = 0004) E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\Monitor.exe - renamed
09-02-2009 17:27:26 [BG] (PID = 0004) E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\PLCWriter.exe - infected with Win32.Alman
09-02-2009 17:27:26 E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\PLCWriter.exe - infected with Win32.Alman and cannot be cured
09-02-2009 17:27:26 [BG] (PID = 0004) E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\PLCWriter.exe - renamed
09-02-2009 17:27:27 [BG] (PID = 0004) E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\Writer.exe - infected with Win32.Alman
09-02-2009 17:27:27 E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\Writer.exe - infected with Win32.Alman and cannot be cured
09-02-2009 17:27:27 [BG] (PID = 0004) E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\Writer.exe - renamed
09-02-2009 17:32:20 [BG] (PID = 0004) E:\storage\DP_SERVICE\!Ships\AMT_TMARTIN\OUT_2004_08_26_216_006\IVCS2001.2.16.006\!Bin\ComIO.exe - infected with Win32.Alman
09-02-2009 17:32:20 E:\storage\DP_SERVICE\!Ships\AMT_TMARTIN\OUT_2004_08_26_216_006\IVCS2001.2.16.006\!Bin\ComIO.exe - infected with Win32.Alman and cannot be cured
09-02-2009 17:32:20 [BG] (PID = 0004) E:\storage\DP_SERVICE\!Ships\AMT_TMARTIN\OUT_2004_08_26_216_006\IVCS2001.2.16.006\!Bin\ComIO.exe - renamed
09-02-2009 17:32:39 [BG] (PID = 0004) E:\storage\DP_SERVICE\!Ships\AMT_TMARTIN\OUT_2004_08_26_216_006\IVCS2001.2.16.006\!Bin\MsgExchanger.exe - infected with Win32.Alman
09-02-2009 17:32:39 E:\storage\DP_SERVICE\!Ships\AMT_TMARTIN\OUT_2004_08_26_216_006\IVCS2001.2.16.006\!Bin\MsgExchanger.exe - infected with Win32.Alman and cannot be cured
09-02-2009 17:32:39 [BG] (PID = 0004) E:\storage\DP_SERVICE\!Ships\AMT_TMARTIN\OUT_2004_08_26_216_006\IVCS2001.2.16.006\!Bin\MsgExchanger.exe - renamed


Лог ЕС сервера:

Актуально 2009/02/09 15:44:19.081 SERVER инфицирован Win32.Alman переименован Неизвестно E:\storage\DP_SERVICE\!Ships\HOS090\OUT_2004_07_16_214_003_1\!Bin\Starter.exe SpIDer Guard ® for Windows Server


Создается впечатление что статистика о вирусах найденых в фоновом режиме не отправляется на сервер.
Что это баг или фича?

#6 Eugeny Gladkih

Eugeny Gladkih

    the Spirit of the Enlightenment

  • Dr.Web Staff
  • 5 295 Сообщений:

Отправлено 10 Февраль 2009 - 19:50

John

да, какой-то баг в спайдере
Назад к Dr.Web Enterprise Suite

Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых

  1. Dr.Web forum
  2. Русские форумы
  3. Dr.Web Enterprise Suite
  4. Privacy Policy
  5. Terms & Rules ·