3141 (04.02.2002)
+ Включена проверка на вирусы средствами KAV. Вместо запуска внешних
bat-файлов теперь используется COM-интерфейс объекта Klav.AVPAntivirus,
что на порядки быстрее. Для работы с этой бетой требуется регистрация
этого компонента в качестве COM-сервиса. Версия KAV Personal PRO
этого не делает, поэтому придется скачать и установить этот plugin (6Mb):
ftp://avupdates.deerfield.com/pub/current/avplug_en.exeКлючи от KAV Personal PRO к нему тоже подходят. После установки
этой программы. Создайте в Eserv каталог mail\infected\, а каталог
mail\spool\to_check\, используемый в старой схеме проверки, нужно
удалить, agents\TossSpool.bat тоже не нужен. После этого запустите эту
бету Eserv.exe. Информация о проверке будет писаться в log\*toss.log
и дополнительная отладочная информация в temp\stdout.log. Например,
toss.log:
12:45:28 37 onriverasb@utkasu.uralnet.ru!POP3!652017!23
12:45:28 37 Infected! — I-Worm.Magistr.a
12:45:28 37 onriverasb@utkasu.uralnet.ru!POP3!652017!23 — moved to 'infected' folder. 1
12:45:28 37
12:45:28 37 matanin@mekran.ru!POP3!1397359!7
12:45:29 37 Infected! — I-Worm.Sircam.c
12:45:29 37 matanin@mekran.ru!POP3!1397359!7 — moved to 'infected' folder. 1
13:01:23 35
13:01:23 35 averin@enet.ru!POP3!7471283!1
13:01:24 35 KAV Init OK
13:01:24 35 For: andrey@cherezov.koenig.su
13:01:24 35 Non existent local user: andrey
13:01:24 35
13:01:24 35 averin@enet.ru!POP3!7471283!2
13:01:24 35 For: andrey@cherezov.koenig.su
13:01:24 35 Non existent local user: andrey
Пример stdout.log:
C:\eserv2\mail\spool\onriverasb@utkasu.uralnet.ru!POP3!652017!23 Scan OK
mail\infected\onriverasb@utkasu.uralnet.ru!POP3!652017!23
C:\eserv2\mail\spool\matanin@mekran.ru!POP3!1397359!7 Scan OK
mail\infected\matanin@mekran.ru!POP3!1397359!7
C:\eserv2\mail\spool\averin@enet.ru!POP3!7471283!1 Scan OK
C:\eserv2\mail\spool\averin@enet.ru!POP3!7471283!2 Scan OK
В этой бете не рассылаются письма "вы послали вирус", "вам послали вирус",
а только убираются вирусы из очереди mail\spool\ в каталог mail\infected\
Кстати, DKAV+ESERV работает , просто класс и быстро, и вирусы ловит — проверил: поймал I-Worm.Klez.e
Вот бы теперь в ядро Eproxy енто дело встроить — цены бы ему небыло !
Я даже как-то "обмяк" — представьте, полгода ломал непробиваемую стену support@ вокруг разработчиков KL, а когда сломал (или, точнее, вырыл подкоп
Народ жаждет крo...
Кроме того, думаю, на KL еще боевой дух пригодится
Удачи и духа на рульный софт , которому нет аналогов
- Конечно, было бы неплохо и с DrWEB общаться более производительным способом, нежели запуск на каждое письмо отдельного экземпляра антивируса.
С KAV действительно симпатично получилось — раньше он мне каждое утро булькал (это он звук такой издает при запуске) по полчаса на проверке моей почты (пока я его не удалил из-за глюков KAV4), а теперь летает быстро и молча, незаметно, как EservКстати, разработчики говорят, что упомянутый COM-интерфейс есть и в стандартном KAV personal PRO, что можно обойтись без установки доп.программы. Но у меня не работало. Может исправят в будущем... По крайней мере есть надежда, что загружать придется не 6 мег, а всего кил 100. И не с сайта конкурентов, а с нашего
Спецификацию COM-интерфейса мне тоже уже выдали, на этот раз из первых рук, "официально" значит. Ту же самую, что я получил обходными путями
Но вот была одна затыка:
14:04:11 12
14:04:11 12 mgoblin@mail.ru!81950412365!1
14:04:17 12 KAV Init OK
14:04:17 12 mgoblin@mail.ru!81950412365!1 — moved to 'infected' folder. 0
14:04:17 12 Stack error
14:04:22 819
14:04:22 819 mgoblin@mail.ru!81950412365!1
14:14:50 820
14:14:50 820 mgoblin@mail.ru!81950412365!1
14:14:50 821
14:14:50 821 mgoblin@mail.ru!81950412365!1
14:14:51 822
14:14:51 822 mgoblin@mail.ru!81950412365!1
14:33:23 823
14:33:23 823 mgoblin@mail.ru!81950412365!1
14:39:17 824
14:39:17 824 mgoblin@mail.ru!81950412365!1
Так он и завис в спуле...
А в это время в stdout.log начало все писаться в одну строку.
<> Потом перезапустил <>
14:45:14 11
14:45:14 11 mgoblin@mail.ru!81950412365!1
14:45:20 11 KAV Init OK
14:45:20 11 Infected! — I-Worm.Klez.e
14:45:21 11 mgoblin@mail.ru!81950412365!1 — moved to 'infected' folder. 1
Письмо зависло в spool, но ушло при перезагрузке.
Монитор через KAV центр приостановил и стало ОК.
mgoblin@mail.ru!81950412365!1 — moved to 'infected' folder. 0 говорит о том, что переместить файл не удалось — значит он был заблокирован кем-то — может быть монитором.
Угу-м... Учтем-с...
А в AVP маска *.!* будет работать при исключении от проверок?
Работает с плагином.
В версии 4 очень похоже что плагин будет не нужен.
Имеет смысл задуматься немного вперёд — на то время, когда возможных антивирусов будет больше одного. Так что если делать опцию, то она должна сразу быть списком вариантов. Если решаться на автоопределение, то, наверное, лучше вынести его на этап загрузки — опять же из соображений будущей множественности вариантов, перебор которых может сильно затянуться.
02:52:31 27 Shestakov_AW@mail.ru!2733573135!LOCAL!1
02:52:32 27 KAV Init OK
02:52:32 27 For: kentavr@guns.ru
02:52:32 27 Remote user: kentavr@guns.ru
12:02:58 13
12:02:58 13 forum@eserv.ru!POP3!5296055!1
12:02:59 13 KAV Init OK
12:02:59 13 For: shestakov_aw@mail.ru
12:02:59 13 Local user: ShestakovAV
12:02:59 13
12:02:59 13 forum@eserv.ru!POP3!5296075!3
12:02:59 13 For: shestakov_aw@mail.ru
12:02:59 13 Local user: ShestakovAV
12:02:59 13
12:02:59 13 kudryav@nu.jinr.ru!POP3!5296075!4
12:02:59 13 For: shestakov_aw@mail.ru
12:02:59 13 Local user: ShestakovAV
12:02:59 13
12:02:59 13 Postmaster@free4ya.com!POP3!5296055!2
12:02:59 13 For: shestakov_aw@mail.ru
12:02:59 13 Local user: ShestakovAV
13:46:08 13
13:46:08 13 forum@eserv.ru!POP3!11449753!1
13:46:09 13 KAV Init OK
13:46:09 13 For: shestakov_aw@mail.ru
13:46:09 13 Local user: ShestakovAV
13:47:17 47
13:47:17 47 Shestakov_AW@mail.ru!4711571689!LOCAL!1
13:47:18 47 KAV Init OK
13:47:18 47 For: tolik@studia-sm.com.ru
13:47:18 47 Remote user: tolik@studia-sm.com.ru
Почему строка KAV Init OK присуствует не везде? Или антивирус проверяет через раз?
Стоит система Win2000 Server + KAV for NT Server + plugin.
В версии KAV personal PRO 4 (только что проверил текущую версию от 22.02.02 kavperspro40425rus) плагин все-равно нужен. Разработчики отвечают так, словно для них это сюрприз... Но klav.exe в комплекте KAV4 нет, а больше там никто нужных классов не регистрирует. Похоже, что как раз без самого KAV обойтись можно — одним плагином
Я думаю, plugin будет работать. А от KAV нужны только базы и ключ.
Плюс к этому перезапуск eserv'а не помагает (он установлен как служба).
У меня в БАТ-варианте сделано оповещение ПОСТМАСТЕРа, с вложеным исходным сообщением. Как сделать (отключаемые-настраиваемые) оповещения отправителя и получателя не придумал...
Если кто знает — БУДУ КРАЙНЕ БЛАГОДАРЕН
Закачал билд 3144, попробуйте, приводит ли он к такой проблеме (с e.log).
А что за "служба Deerfield'а"? В сервисах? И как она называется?
DeBuck, эта фича в планах. Видите, мы еще базовую функциональность не отладили.
labmax, там возможно триальность придусмотрена — может истечет. И еще, насколько я понял из переписки с разработчиками, он не будет лечить без правильного ключа. Правда функцию лечения мы пока тоже не используем... Если у вас уже был установлен KAV до этого плагина, то он берет его настройки, базы и ключи, по-моему. Вот как бы испытать плагин без KAV на чистой машине — к каким проблемам с Eserv может это привести.
Ставил сначала KAV потом плагин с DKAV
Правда при одновременной отправки нескольких писем двум адресатам по два письма в xxxxtoss.log почему-то не было KAV Init Ok! строчки для второго адресата, уж и не знаю что так, письма оба получили ;-
В том то и дело, что я плагин прикрутил без KAV
См. выше, pig уже отвечал на этот вопрос.
Плохо дело, опять сбой в том же месте, которое лечили. Я думал, может проблема в том, каким способом я создавал объект (в KAV) — тем же способом, что годами испытан при работе с другими automation-объектами (IE,ADO,OLEDB,Word,Excel,etc) — в билде 3144 сделано уже в точности по примеру программы из документации KL (у них не совсем так). Но сваливается в прежнем месте на вызове метода объекта — на получении адреса этого метода. Словно объект внутри KAV умирает преждевременно до "отпускания" его Eserv'ом. Буду копать дальше.
С форума сообщения проходят спокойно и тихо, сам себе засылал через сервер прова письмо с вирусом — аналогично...
Вот в 2141 был e.log, но с чем-то другим...
Поставил 3144. На предыдущей версии глюков пока не заметил, но у меня поток писем маленький.
Я постави их пока в Manual и ...ждем
Про update...вообще странная штука...блокирует доступ к dll'кам KAV'а, вызывает полнейшие глюки в работе, не просит ключа и не анинсталируется по человечьи...ужас
Собственно нужно всего четыре файлика, klav.exe,klavgui.dll,klavps.dll, avpssi.dll(
(размер архива 113К) кому нужно могу выслать.
Нужно ентот архив дать AC на проверку и размещение на FTP вместе c Eserv`ом !
Вот еще непонятно, откуда он тогда базы будет брать, и как обстоят дела с *.key
В предидущем варианте у меня, к батникам была прекручена соответствующая программа на PERL. А как сделать сдесь ещё не придумал.
И не плохо было бы вести отдельный лог по заражённым письмам.
Эти файлы копируются в директорию с установленным KAV. и базы соответственно используются его.
А по поводу FTP это как АС скажет.
Ни в логах, нигде ничего..тихо после отправки имени и пароля.
На более современной машине такого нет.
На старой АВП не стоит, проверок на вирусы нет.
Вообще очень простая машинка настроенная по min.
Решил пока не заморачиваться и вервул ее на 3125.
Если это только у меня, то не стоит заморачиваться.
Верно, для работы нужен только маленький klav.exe, а не 6 мб. KL в таком виде его и дает тестерам. Но добро на "легализацию" такого способа они мне не дали. Поэтому я на ftp класть не буду, а вы для себя решайте сами.
AC: e.log'и с ошибками нужны, т.е. помимо тех что уже прислали? Т.е. я это к тому, что пробывать нам ставить новые билды или не имеет смысла?
При заходе в одной сессии сразу нескольких с больными в т.ч. — глухо... РОР3 также не работает.
А потоках еще и неразорванные соединения висят.
Поскольку у меня за три дня вообще не было таких сбоев, поэтому вся надежда на вас — тестируйте, пожалуйста 3146
Я все версии тестировал на спуле, в котором по 30 писем с вирусами, все ОК.
А неразорванные соединения — может быть из-за этих exception'ов.
Ну что там с 3146?
В 2145 было...
Вот 2146 поставил... Вроде бы Ок.
......
Ну-да! Кажись все нормально.
Боюсь, что сам по себе klav.exe (кусок plugin'а) апдейтить вирусные базы не будет. Да и вообще, где в этом plugin'е апдейт запускать, не вижу. У меня после его установки остались все запчасти от KAV4, он и апдейтит, вроде без конфликтов.
Снести что-ли все KAV с плагинами напрочь и поставить только плагин начисто... А то развелось версий, веток в регистри, копий вирусных баз в разных каталогах, не поймешь какая из них активна, а какую сносить. Почему они не с одним основным каталогом работают, а с такой кучей... Правда не смотря на всякие запугивания в readme про конфликты разных версий KAV — все работает без проблем. Я даже перестал нелюбить KAV4 — при запуске в режиме COM, а не отдельными задачами, ведет себя прилично.
06.03.2002 21:55:28 Eserv/2.98 3146 1
Но кажись 3146 работает... Еще проверю.
DKAV::Uninitialize
DKAV::Release
ComExit
На ком-то из этих двух вызовах с "::" и падает. Может он (KAV) не считает ссылки AddRef/Release, и уже по первому ::Unitialize завершается — тогда следующий вызов уже имеет дело с мертвым объектом...
Непонятно только почему не у всех он здесь падает, если дело в этом. COM чтоли разный на разных машинах...
Что-то я этот топик в форум по программированию превращаю, сорри
IA, whatsnew на ftp есть, см. также 3145.
Проверял на спуле с 58 мегами почты, в том числе со 179 разными вирусами. У меня все ОК. А у вас?
Ух-ты! А можно мне заслать? Для проверки...
Пачку не такую большую, но чтоб это могло бы быть критичным.
А то у меня кроме Klez-а больше ничего не попадалось... и проверять особо не чем.
ac: Рано, я вчера уехал, не успел увидеть 3148 билда...а сегодня времени мало. Да, кстати, если поможет, внешний симптом сбоя esrev'а у меня это при приёме письма, код выхода не ThreadReturned: -4000, а 6 или -<число_больше_миллиона>. Илил может это не симптом, а следствие....?
11:17 (на моих) Результаты работы 3148...:
07.03.2002 11:03:19 Eserv/2.98 3148 1
Странно... у меня пока все работает. NT4+SP6+ESERV+только плугин...без ничего . Никаких ексцепшенов не обнаружено, хотя проработал всю ночь последний билд 2.98 beta
Может енто только на W2k падает
А он падает , такой хороший Eserv был пока с KL не связались ;-
Может лучше с Конторой DrWeb договориться ?!
У них всё существенно проще — никаких COM-объектов (хотя желающие могут наворотить поверх и COM, и CORBA, и вообще всё, что душе угодно). Есть DLL-библиотека, содержащая все основные примитивы, надо только знать, каким образом эти функции вызывать. Правда, придётся брать на себя заботу о слежении за обновлениями как вирусных баз, так и самой библиотеки. Я им как-то задавал вопрос насчёт демона под Windows — ответили, что думают об этом.
В общем придется теперь экспериментировать с разными версиями klav и kav...
Мой адрес filippov@feib.ru
Ну должен же быть какой-то способ. Во-первых, на моем компьютере и у некоторых из здесь присутствующих проблем ни с одной из бет не было. Значит есть "надежные конфигурации". Во-вторых, KAV ведь работает как-то с другими программами, не только с Eserv
Односессионая засылка пачки писем без вирусов — все проходит Ок
Только одно письмо с или без вируса — Ок
Односессионная засылка пачки писем с письмом с вирусом — Есерв падает (лог приведен выше у Вест Теста; который заканчивается пятеркой — и пишет это на каждое входящее письмо)
PS: Хотя, "регистерс" имеют разные значения...
Такое ощущение, что кто-то "направильно" среагировал на какое-то письма, причем похоже что без вирусов, т.к. потом запустив со старой схемой проверки — вирусов в письмах не было... вроде !
У меня W2K_srv_SP2+EServ 3148+ 4 файла про которые я писал, работает второй день без всяких гемороев, Монитор отключен, AVPCC отключен.
Писем в день приходит и уходит ~40M.
Тот же плагин подключен на локальной машине к The BAT! , тоже работает и стабильно отлавливает вирусы которые идут не через EServ, правда при выходе из бата бывают любимые сообщения
Б. Гейтса. Разработчики бата с этим тоже вроде борются.
На большом кол-ве вирусов проверить не могу, так как у провайдера стоит deamon от DR.WEB. но многих вирусов он не отлавливает,
Kleza, например он стал ловить только 2 недели назад. а до этого просто закидали этой гадостью.
В свое время писали о файлах писем с хитрыми именами которые застревали в spoole. Для лечения tossspoolbat запускал отдельную прогу переименования.
Теперь tossspoolbat не нужен и что будет с этими письмами ?
Теперь можно качать klav у нас, легально, и главное не 6Мб, а 173Кб!
По поводу проблемы с ::Uninitialize. Проделал следующее: удалил все версии KAV и Deerfield plugin, вычистил из регистри все AVP-ключи, которые остались после этой процедуры. Оставил только антивирусные базы и свой ключ. Установил упомянутый выше plugin в каталог c:\program files\klav. В подкаталог "data" этого каталога положил антивирусные базы и ключ. Запустил !reg.bat. После этого klav_test.exe и klav_com_test.exe (программы-примеры из документации по klav) перестали валить klav.exe при завершении работы! Значит налицо конфликты между разными KAV. Может и остальные глюки с этим связаны?
Если 3152 с этим плагином продолжает у кого-то падать, то можете ли вы для тестирования пойти на жертву — снести KAV и оставить один plugin?
3160 наверняка должна решить все проблемы, с которыми мы тут бились! Очень надеюсь