Зависание сервера
#1
Отправлено 28 Май 2008 - 19:02
Вот чем заканчивается лог спайдера:
28-05-2008 11:11:30 [CL] D:.............VBE305.TMP - инфицирован W97M.Destrib
28-05-2008 11:13:47
28-05-2008 11:13:47 SpIDer Guard переведён в режим паузы пользователем "....Administrator". Антивирусная защита временно ОТКЛЮЧЕНА.
28-05-2008 11:13:47
28-05-2008 11:15:49
28-05-2008 11:15:49 SpIDer Guard переведён в нормальный режим пользователем ".....Administrator". Антивирусная защита ВКЛЮЧЕНА.
28-05-2008 11:15:49
28-05-2008 11:16:10
28-05-2008 11:16:10 SpIDer Guard переведён в режим паузы пользователем ".....Administrator". Антивирусная защита временно ОТКЛЮЧЕНА.
28-05-2008 11:16:10
Причем, судя по логу, он несколько раз находил ифицированные файлы W97M.Destrib и нормально их переносил.
#2
Отправлено 29 Май 2008 - 18:35
В том топике я писал:Зависает сервер с Вин 2003 (процессор - Xeon 1,6 Ghz), проблему уже когда то описывал
Вы что-нибудь из этого делали? Каковы результаты?Возьмите один из таких файлов и проверьте на http://www.virustotal.com/ . В любом случае, после обновления drweb проведите полную проверку сервера. Можно отключить проверку архивов, для скорости. Действия для найденных вредоносного программного обеспечения выберите Переместить, на всякий случай. Если у Вас пользователи работают с документами на сервере то, возможно, заражены машины юзеров.
Проверьте, что у спайдера отключена проверка архивов/почты и локальной сети (сеть см. в Управлении).
Волосы дыбом должны вставать от того, что у Вас вирусы в сети, а Вы за месяц их не вылечили.
По такому логу ничего понять нельзя, пролечите все сканером сначала как следует, потом включите в спайдере ВСЕ детали лога и повторите опыт.
#3
Отправлено 30 Май 2008 - 12:45
Теперь к делу: сервер о котором идет речь является файловым.Пользователи работают с документами, как локально, так и используя сетевые диски раположенные на данном сервере.Периодическое сканирование
сервера выдает только инфицированные W97M.Destrib файлы(*.doc и *.tmp), опасных зверушек пока не было.
В общем-то известны машины пользователей, на которых живет этот вирус, вот только есть несколько проблем: все зараженные компы(4 шт.) не блещут производительностью (PII-166), антивирусный монитор туда
не воткнешь, пользователи достаточно вредные - запустить курит удалось только на одном, остальные компы вечно заняты.Компы находятся в одном отделе, естественно пользователи обращаются к одни и тем же
документам на сетевом диске.Одновременно просканировать 4 компа однозначно не удастся, так что хотелось бы, чтоб они хотя бы не заражали друг друга с сетевого диска.Вот для этого и хотелось бы видеть
спайдер постоянно включным на сервере.
История знает 4 случая зависания сервера, если открыть лог спайдера, то во всех 4-х сучаях зависания лог обрывается такими строчками:
29-04-2008 09:44:31 [CL] D:...VBE220.TMP - инфицирован W97M.Destrib
29-04-2008 10:07:06 [CL] D:...VB9091.TMP - инфицирован W97M.Destrib
29-04-2008 10:36:45 [CL] D:...VB7040.TMP - инфицирован W97M.Destrib
28-05-2008 11:11:30 [CL] D:.VBE305.TMP - инфицирован W97M.Destrib
28-05-2008 11:13:47
28-05-2008 11:13:47 SpIDer Guard переведён в режим паузы пользователем "...Administrator". Антивирусная защита временно ОТКЛЮЧЕНА.
28-05-2008 11:13:47
28-05-2008 11:15:49
28-05-2008 11:15:49 SpIDer Guard переведён в нормальный режим пользователем "...Administrator". Антивирусная защита ВКЛЮЧЕНА.
28-05-2008 11:15:49
28-05-2008 11:16:10
28-05-2008 11:16:10 SpIDer Guard переведён в режим паузы пользователем "...Administrator". Антивирусная защита временно ОТКЛЮЧЕНА.
28-05-2008 11:16:10
То есть спайдер находит инфицированный файл, дальше он его должен переместить, но у него почему то это не выходит и система виснет :(
В последнем случае видно, что я пытался поставить спайдер на паузу, после того как понял, что сервер начинает зависать, но это не помогло - сервер не "отпустило"
Проверка архивов и локальной сети в спайдере отключена.
Ссылка на результат проверки одного из зараженных файлов http://www.virustotal.com/analisis/4aff187...bb6ad5bfef06f6c
#4
Отправлено 30 Май 2008 - 12:50
File size: 526 bytes ???Ссылка на результат проверки одного из зараженных файлов
---
С уважением,
Borka.
#5
Отправлено 30 Май 2008 - 13:01
--
С уважением, Pavel
#6
Отправлено 30 Май 2008 - 13:02
Хорошо бы с этим в файлом в Суппорт.
---
С уважением,
Borka.
#7
Отправлено 30 Май 2008 - 13:05
без архивации немного больше:
http://www.virustotal.com/ru/analisis/5aea...dedab832695ae69
эти *.tmp сопутствуют зараженным файлам .doc
#8
Отправлено 30 Май 2008 - 13:08
#9
Отправлено 30 Май 2008 - 13:13
Это я видел. По проявлениям очень похоже на http://bugs.drweb.com/bug_view_advanced_pa...?bug_id=0013232Проц Xeon 1,6
---
С уважением,
Borka.
#10
Отправлено 30 Май 2008 - 13:16
Угу, ужЕ увидел. :(это заархивированый :)
Вам дорога в Суппорт, однако: http://support.drweb.com/request
---
С уважением,
Borka.
#11
Отправлено 30 Май 2008 - 13:26
--
С уважением, Pavel
Читают тему: 1
0 пользователей, 1 гостей, 0 скрытых