Перейти к содержимому


Фото
- - - - -

Зависание сервера


  • Please log in to reply
10 ответов в этой теме

#1 Andrey_Kr

Andrey_Kr

    Advanced Member

  • Posters
  • 666 Сообщений:

Отправлено 28 Май 2008 - 19:02

Зависает сервер с Вин 2003 (процессор - Xeon 1,6 Ghz), проблему уже когда то описывал http://new-forum.drweb.com/mod/forum/thread/?id=40379&fid=2# . Следуя совету, обновил антивирус, но с паузы с тех пор не снимал :) (до сих пор волосы на голове дыбом встают как вспомню, что мне пришлось пережить пока не понял что это антивирус "вешает" сервер).Так вот, сегодня снял с паузы спайдер, комп поработал пол часа и начал медленно умирать: вначале отваливаются сетевые шары, некоторое время на нем еще что то можно делать, но потом он постепенно зависает, остановка спайдера в этот момент уже не помогает(версия спайдера 4.44.4.03250)
Вот чем заканчивается лог спайдера:
28-05-2008 11:11:30 [CL] D:.............VBE305.TMP - инфицирован W97M.Destrib
28-05-2008 11:13:47
28-05-2008 11:13:47 SpIDer Guard переведён в режим паузы пользователем "....Administrator". Антивирусная защита временно ОТКЛЮЧЕНА.
28-05-2008 11:13:47
28-05-2008 11:15:49
28-05-2008 11:15:49 SpIDer Guard переведён в нормальный режим пользователем ".....Administrator". Антивирусная защита ВКЛЮЧЕНА.
28-05-2008 11:15:49
28-05-2008 11:16:10
28-05-2008 11:16:10 SpIDer Guard переведён в режим паузы пользователем ".....Administrator". Антивирусная защита временно ОТКЛЮЧЕНА.
28-05-2008 11:16:10

Причем, судя по логу, он несколько раз находил ифицированные файлы W97M.Destrib и нормально их переносил.

#2 userr

userr

    Newbie

  • Members
  • 16 310 Сообщений:

Отправлено 29 Май 2008 - 18:35

Зависает сервер с Вин 2003 (процессор - Xeon 1,6 Ghz), проблему уже когда то описывал

В том топике я писал:

Возьмите один из таких файлов и проверьте на http://www.virustotal.com/ . В любом случае, после обновления drweb проведите полную проверку сервера. Можно отключить проверку архивов, для скорости. Действия для найденных вредоносного программного обеспечения выберите Переместить, на всякий случай. Если у Вас пользователи работают с документами на сервере то, возможно, заражены машины юзеров.
Проверьте, что у спайдера отключена проверка архивов/почты и локальной сети (сеть см. в Управлении).

Вы что-нибудь из этого делали? Каковы результаты?
Волосы дыбом должны вставать от того, что у Вас вирусы в сети, а Вы за месяц их не вылечили.
По такому логу ничего понять нельзя, пролечите все сканером сначала как следует, потом включите в спайдере ВСЕ детали лога и повторите опыт.

#3 Andrey_Kr

Andrey_Kr

    Advanced Member

  • Posters
  • 666 Сообщений:

Отправлено 30 Май 2008 - 12:45

Спасибо за советы в прошлом топике и участие в этом.
Теперь к делу: сервер о котором идет речь является файловым.Пользователи работают с документами, как локально, так и используя сетевые диски раположенные на данном сервере.Периодическое сканирование

сервера выдает только инфицированные W97M.Destrib файлы(*.doc и *.tmp), опасных зверушек пока не было.
В общем-то известны машины пользователей, на которых живет этот вирус, вот только есть несколько проблем: все зараженные компы(4 шт.) не блещут производительностью (PII-166), антивирусный монитор туда

не воткнешь, пользователи достаточно вредные - запустить курит удалось только на одном, остальные компы вечно заняты.Компы находятся в одном отделе, естественно пользователи обращаются к одни и тем же

документам на сетевом диске.Одновременно просканировать 4 компа однозначно не удастся, так что хотелось бы, чтоб они хотя бы не заражали друг друга с сетевого диска.Вот для этого и хотелось бы видеть

спайдер постоянно включным на сервере.
История знает 4 случая зависания сервера, если открыть лог спайдера, то во всех 4-х сучаях зависания лог обрывается такими строчками:

29-04-2008 09:44:31 [CL] D:...VBE220.TMP - инфицирован W97M.Destrib


29-04-2008 10:07:06 [CL] D:...VB9091.TMP - инфицирован W97M.Destrib


29-04-2008 10:36:45 [CL] D:...VB7040.TMP - инфицирован W97M.Destrib



28-05-2008 11:11:30 [CL] D:.VBE305.TMP - инфицирован W97M.Destrib
28-05-2008 11:13:47
28-05-2008 11:13:47 SpIDer Guard переведён в режим паузы пользователем "...Administrator". Антивирусная защита временно ОТКЛЮЧЕНА.
28-05-2008 11:13:47
28-05-2008 11:15:49
28-05-2008 11:15:49 SpIDer Guard переведён в нормальный режим пользователем "...Administrator". Антивирусная защита ВКЛЮЧЕНА.
28-05-2008 11:15:49
28-05-2008 11:16:10
28-05-2008 11:16:10 SpIDer Guard переведён в режим паузы пользователем "...Administrator". Антивирусная защита временно ОТКЛЮЧЕНА.
28-05-2008 11:16:10

То есть спайдер находит инфицированный файл, дальше он его должен переместить, но у него почему то это не выходит и система виснет :(
В последнем случае видно, что я пытался поставить спайдер на паузу, после того как понял, что сервер начинает зависать, но это не помогло - сервер не "отпустило"

Проверка архивов и локальной сети в спайдере отключена.
Ссылка на результат проверки одного из зараженных файлов http://www.virustotal.com/analisis/4aff187...bb6ad5bfef06f6c

#4 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 30 Май 2008 - 12:50

Ссылка на результат проверки одного из зараженных файлов

File size: 526 bytes ???

---
С уважением,
Borka.

#5 Pavel Plotnikov

Pavel Plotnikov

  • Guests
  • 5 276 Сообщений:

Отправлено 30 Май 2008 - 13:01

Вроде была бага связаная с типом процессора. Висло на Ксеоне.
--
С уважением, Pavel

#6 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 30 Май 2008 - 13:02

Тут больше на Атлон смахивает...
Хорошо бы с этим в файлом в Суппорт.

---
С уважением,
Borka.

#7 Andrey_Kr

Andrey_Kr

    Advanced Member

  • Posters
  • 666 Сообщений:

Отправлено 30 Май 2008 - 13:05

это заархивированый :)
без архивации немного больше:
http://www.virustotal.com/ru/analisis/5aea...dedab832695ae69


эти *.tmp сопутствуют зараженным файлам .doc

#8 Andrey_Kr

Andrey_Kr

    Advanced Member

  • Posters
  • 666 Сообщений:

Отправлено 30 Май 2008 - 13:08

Проц Xeon 1,6

#9 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 30 Май 2008 - 13:13

Проц Xeon 1,6

Это я видел. По проявлениям очень похоже на http://bugs.drweb.com/bug_view_advanced_pa...?bug_id=0013232

---
С уважением,
Borka.

#10 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 30 Май 2008 - 13:16

это заархивированый :)

Угу, ужЕ увидел. :(
Вам дорога в Суппорт, однако: http://support.drweb.com/request

---
С уважением,
Borka.

#11 Pavel Plotnikov

Pavel Plotnikov

  • Guests
  • 5 276 Сообщений:

Отправлено 30 Май 2008 - 13:26

Уберите программный код, пожалуйста.
--
С уважением, Pavel


Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых