Регистрация...

Eserv Forum / Plugins / Antivirus / Куда пишутся логи обработки писем drweb 'ом

imported // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Новости
12.10.2009
Переезд завершен
в eserv.log вижу
13:07:48 21 DRWEB engine: 431
13:07:49 21 DRWEB viruses: 46083
13:07:49 21 DRWEB plugin init OK и все в папке temp ничего не заметил как узнать пашет он или нет, а то такое чуство что не работает?
 
Комментарии к этой версии (25.02.2004 14:03) [~Gin] 47a8adda
АвторДатаТекстtags
pig25.02.2004 16:23
Раз базу перезагружает, значит, что-то проверяет. Скачайте на www.eicar.org тестовый файл.
imported
svp26.02.2004 13:12
Засветите адрес где-нибудь и увидите что работает

"Сообщение, которое Вы отправили на адрес xxx@yyyyy.ru, датированное Thu, 26 Feb 2004 15:15:23 +0700 (KRAT) не было доставлено, так как в нем содержится вирус: I-Worm.Mydoom.e"
imported
Gin27.02.2004 17:49
Если бы это помогло, на серваке универа стоит антивирус он перехватывает, и до меня не доходит ничего пытался из своей подсетки отправить самому себе так вот ни на одной машине вируса не нашел, даже трояна нет которых обычно в кэше полно, хотя сеня с утра пришло сообщение что в адресованном мне письме вирус(тот самый доом). Как выглядит уведомление о вирусе, 'это просто письмо адресованное администратору?
Если да то работает, хотя в теле письма отправитель не ясен и где сгенерировано письмо тоже не понятно мне показалось что сервак выше уровнем перехватил, но при 'этом письмо пришло на ящик которого нету вне моей подсетки.
imported
pig27.02.2004 18:17
Информация о перехваченных вирусах пишется в лог тоссера. Сами письма (если рабочий режим) перемещаются в mail\infected. Уведомлений администратору по умолчанию нет — по крайней мере, в версии двухгодичной давности, которая у меня хранится. Извещаются отправитель и получатель.

Вы зайдите на www.eicar.org, скачайте там тестовый файл и пошлите самому себе. В логе всё увидите.
imported
Gin27.02.2004 18:20
Спасибо что подсказали а то я не знал что с ним делать, запускал у себя на машине вот щас только дошло, но не был уверен
imported
Gin01.03.2004 08:43
вот с утра отправил себе тестовый вирус он как нивчем не бывало пришел ко мне, значит антивирус у меня не пашет?
imported
Gin01.03.2004 08:49
ой, поторопился текстовый файл вложил мне пришло сообщение о вирусе а вот зип проскочил как ни в чем не бывало
imported
pig01.03.2004 14:20
В демо-режиме:
  • архивы не проверяются
  • заражённые письма доставляются получателю как вложения в письмо-предупреждение
imported
W.Alco09.03.2004 15:27
pig пишет: Информация о перехваченных вирусах пишется в лог тоссера. Сами письма (если рабочий режим) перемещаются в mail\infected. Уведомлений администратору по умолчанию нет — по крайней мере, в версии двухгодичной давности, которая у меня хранится. Извещаются отправитель и получатель.


Вопрос. Где отключить оповещение отправителя? Приходят письма с левым адресом и оповещение болтается в \mail\out .
imported
pig09.03.2004 17:25
В agents\av.cfg и agents\av_demo.cfg закомментировать строку SentVirus CR.
imported
W.Alco09.03.2004 17:32
Спасибо.
imported
Gin16.03.2004 09:31
не могу понять в чем дело, отправляю для проверки тестовый файл который вы мне посоветовали, отправил 3 письма с различными вариантами, вот лог тоссера

10:08:59 22 centrik@istu.ru!22729028!LOCAL!1
10:09:02 22 Infected! — EICAR Test File (NOT a Virus!)
10:09:02 22 agents\Erobot.exe -c agents\av_demo.cfg -p1 "EICAR Test File (NOT a Virus!)" -p2 istu.ru -i "mail\spool\centrik@istu.ru!22729028!LOCAL!1" -o temp\av.1.22.731912.txt
10:09:08 22 <129728757.20040316100859@istu.ru>
10:09:08 22 For: gin@istu.udm.ru
10:09:08 22 Local user: gin
10:09:08 22 Local user: gin
10:09:08 22 Already in rcpt list.
10:09:08 22
10:09:08 23 centrik@istu.ru!23736448!LOCAL!1
10:09:08 23 Infected! — EICAR Test File (NOT a Virus!)
10:09:08 23 agents\Erobot.exe -c agents\av_demo.cfg -p1 "EICAR Test File (NOT a Virus!)" -p2 istu.ru -i "mail\spool\centrik@istu.ru!23736448!LOCAL!1" -o temp\av.1.23.738061.txt
10:09:14 23 <54736378.20040316100906@istu.ru>
10:09:14 23 For: gin@istu.udm.ru
10:09:14 23 Local user: gin
10:09:14 23 Local user: gin
10:09:14 23 Already in rcpt list.
10:09:14 23
10:09:14 23 gin@istu.udm.ru!erobot!737961!1
10:09:14 23
10:09:14 23 For: gin@istu.udm.ru
10:09:14 23 Local user: gin
10:09:14 23 Local user: gin
10:09:14 23 Already in rcpt list.
10:09:14 23
10:09:14 23 gin@istu.udm.ru!erobot!737971!2
10:09:14 23
10:09:14 23 For: centrik@istu.ru
10:09:14 23 Remote user: centrik@istu.ru
10:09:14 23 Local user: gin
10:09:14 23
10:09:14 24 centrik@istu.ru!24743709!LOCAL!1
10:09:14 24 Skip archive (demo version)
10:09:14 24 <108743629.20040316100913@istu.ru>
10:09:14 24 For: gin@istu.udm.ru
10:09:14 24 Local user: gin
10:09:14 24 Local user: gin
10:09:14 24 Already in rcpt list.
10:09:14 24
10:09:14 24 gin@istu.udm.ru!erobot!744079!1
10:09:14 24
10:09:14 24 For: gin@istu.udm.ru
10:09:14 24 Local user: gin
10:09:14 24 Local user: gin
10:09:14 24 Already in rcpt list.
10:09:14 24
10:09:14 24 gin@istu.udm.ru!erobot!744089!2
10:09:14 24
10:09:14 24 For: centrik@istu.ru
10:09:14 24 Remote user: centrik@istu.ru
10:09:14 24 Local user: gin
10:09:14 24

в ответ мне пришло аж 7 писем, это понятно отправителю получателю по письму + с архивом не проверенное итого должно быть 5 писем а тут еще и 2 письма как были так и пришли при этом в лооп они не легли почему в темпе появились два файла содержание такое mail\spool\gin@istu.udm.ru!erobot!737961!1 agents\recv_virus_demo.pat mail\spool\gin@istu.udm.ru!erobot!737971!2 agents\sent_virus_demo.pat
0 как сделать так что бы само письмо не уходило а ложилось в папку infected?
imported
pig16.03.2004 11:41
Демо-режим.
imported
Gin16.03.2004 16:08
не понравился мне встроенный демо антивирус, а на полноценный начальство бабло зажмет как пить дать, и решил я внешний антивирус присобачить, ол дня маялся, даже в одно время пожалел было служюа нивкакую не хотела запускаться но все хорошо что хорошо кончается вот все пашет, но как всегда есть одно но, находи авп вирус письмо кидает в инфектед и при этом в лооп тоже ложится письмо как быть? смериться или можно разрешить, да еще в корневой каталоге создается файл Program почему? вот testvir.bat echo "c:\Program Files\eserv2\%1" >> c:\Program Files\eserv2\log\testvir.log
"C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\Avp32.exe" "c:\Program Files\eserv2\%1" /S /N /Q if ERRORLEVEL 2 goto virus if ERRORLEVEL 3 goto virus if ERRORLEVEL 4 goto virus goto endtest
:virus agents\erobot.exe -i %1 -c agents\av.cfg move %1 mail\infected\
:endtest move %1 mail\spool\

Да и как можно заставить av.cfg заставить писать что нить в поле отправителя и в теме письма к тому же русско язычная часть с непонятной кодировкой.
imported
Gin16.03.2004 16:28
из-за чего в лооп скидывает письмо понял
16:52:40 504 ildgin@mail.ru!erobot!7064908!1
16:52:40 504 For: ildgin@mail.ru
16:52:40 504 There are no legal recepients
16:52:40 504 ildgin@mail.ru!erobot!7064908!1 — moving to 'loop' folder OK как заставить робот писать то что нужно есерву?
imported
pig16.03.2004 16:29
Насчёт loop смотрите в логе тоссера, что за письмо и что в нём тоссеру не понравилось. Файл Program создаётся потому, что вы имя лог-файла в кавычки не взяли. Кодировка в письмах самая что ни на есть стандартная — KOI-8R. А что вам надо прописывать в заголовочных полях, я не понял.
imported
Gin16.03.2004 16:35
мне приходит письмо из содержание понятно что или я слал вирус или мне а вот оправитель не заполнен можно скажем написать что письмо выслал робот а в теме написать что письмо котрое вы(вам) выслали с вирусом?
imported
pig16.03.2004 16:40
На самом деле (я считаю) ни отправителю (который большей частью подделан), ни получателю (чтобы зря не нервировать) ничего слать не надо. А вот кого на самом деле надо извещать, так это администратора, чтобы он разобрался и принял меры.
imported
Gin16.03.2004 16:41
ок, спасибо.
Тогдя я думаю удалю строку с вызовом робота
imported
pig16.03.2004 16:43
А отправитель в шаблоне, кстати, прописан...
imported
vze06.04.2004 14:17
Подходит ли DRWEB сертификат от 3 к 2? Такое ощущение, что не подходит в логе видно что с архивом ничегоне сделал, говорит демо, и еще вопрос на какой стадии он проверяет, до mcontent или после?
imported
vze06.04.2004 14:28
И еще текст от плагина на вирус в Outlook 2002 по русски не читабельный, с этим можно что сделать?
imported
pig06.04.2004 16:15
Для Eserv/2 лицензия на Dr.Web зашивается в key-файл. А с текстом извещения всё вообще в ваших руках — берёте и редактируете соответствующий PAT-файл как вам угодно.
imported
Работает на Eserv/5.05567 (10.02.2020)