none
FYI: Антивирус ClamWin/ClamAV может нарушить работу серверов Windows Server RRS feed

  • Вопрос

  • Приветствую,

    FYI: С сегоднешнего утра 12.02.2016 , после обновления сигнатур бесплатного антивируса, может произвойти отказ работы Windows Server, а также компонентов веб-сервера IIS, а также антивирус сам себя убивает.

    Поэтому, если кто-то решиться все же использовать указанный выше продукт готовьтесь к проблемам.

    Часть лога карантина, хотя файлы чистые.
    C:\Program Files (x86)\ClamWin\bin\python23.dll: Win.Trojan.Bancos-2115 FOUND
    C:\Program Files (x86)\ClamWin\bin\python23.dll: moved to 'C:\ProgramData\.clamwin\quarantine\python23.dll.infected'
    C:\Program Files (x86)\ClamWin\lib\_sre.pyd: Win.Trojan.Bancos-2115 FOUND
    C:\Program Files (x86)\ClamWin\lib\_sre.pyd: moved to 'C:\ProgramData\.clamwin\quarantine\_sre.pyd.infected'
    C:\Program Files (x86)\ClamWin\lib\_ssl.pyd: Win.Trojan.Bancos-2115 FOUND
    C:\Program Files (x86)\ClamWin\lib\_ssl.pyd: moved to 'C:\ProgramData\.clamwin\quarantine\_ssl.pyd.infected'
    C:\Program Files (x86)\ClamWin\lib\pythoncom23.dll: Win.Trojan.Bancos-2115 FOUND
    C:\Program Files (x86)\ClamWin\lib\pythoncom23.dll: moved to 'C:\ProgramData\.clamwin\quarantine\pythoncom23.dll.infected'
    C:\Program Files (x86)\ClamWin\lib\shell.pyd: Win.Trojan.Bancos-2115 FOUND
    C:\Program Files (x86)\ClamWin\lib\shell.pyd: moved to 'C:\ProgramData\.clamwin\quarantine\shell.pyd.infected'
    C:\Program Files (x86)\ClamWin\lib\wxc.pyd: Win.Trojan.Bancos-2115 FOUND
    C:\Program Files (x86)\ClamWin\lib\wxc.pyd: moved to 'C:\ProgramData\.clamwin\quarantine\wxc.pyd.infected'
    C:\Program Files (x86)\ClamWin\lib\wxmsw24h.dll: Win.Trojan.Bancos-2115 FOUND
    C:\Program Files (x86)\ClamWin\lib\wxmsw24h.dll: moved to 'C:\ProgramData\.clamwin\quarantine\wxmsw24h.dll.infected'
    C:\Program Files (x86)\ClamWin\lib\_bsddb.pyd: Win.Trojan.Bancos-2115 FOUND
    C:\Program Files (x86)\ClamWin\lib\_bsddb.pyd: moved to 'C:\ProgramData\.clamwin\quarantine\_bsddb.pyd.infected'
    C:\Program Files (x86)\ClamWin\bin\libclamav.dll: Win.Trojan.Bancos-2115 FOUND
    C:\Program Files (x86)\ClamWin\bin\libclamav.dll: moved to 'C:\ProgramData\.clamwin\quarantine\libclamav.dll.infected'
    C:\Program Files (x86)\ClamWin\bin\libclamav_llvm.dll: Win.Trojan.Bancos-2115 FOUND
    C:\Program Files (x86)\ClamWin\bin\libclamav_llvm.dll: moved to 'C:\ProgramData\.clamwin\quarantine\libclamav_llvm.dll.infected'
    
    C:\Windows\assembly\NativeImages_v2.0.50727_32\System\4976746d2f27ea6b60301a84d6c3e4be\System.ni.dll: Win.Trojan.Bancos-2115 FOUND
    C:\Windows\assembly\NativeImages_v2.0.50727_32\System\4976746d2f27ea6b60301a84d6c3e4be\System.ni.dll: moved to 'C:\ProgramData\.clamwin\quarantine\System.ni.dll.infected'
    C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Web\12c5330f4a7fbf221679f6223d48408f\System.Web.ni.dll: Win.Trojan.Bancos-2115 FOUND
    C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Web\12c5330f4a7fbf221679f6223d48408f\System.Web.ni.dll: moved to 'C:\ProgramData\.clamwin\quarantine\System.Web.ni.dll.infected'
    C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Configuration\ee6d89830b1aea077e5fc12fb95df6a0\System.Configuration.ni.dll: Win.Trojan.Bancos-2115 FOUND
    C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Configuration\ee6d89830b1aea077e5fc12fb95df6a0\System.Configuration.ni.dll: moved to 'C:\ProgramData\.clamwin\quarantine\System.Configuration.ni.dll.infected'
    C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Xml\49201f5658aca21352debffb85ff41df\System.Xml.ni.dll: Win.Trojan.Bancos-2115 FOUND
    C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Xml\49201f5658aca21352debffb85ff41df\System.Xml.ni.dll: moved to 'C:\ProgramData\.clamwin\quarantine\System.Xml.ni.dll.infected'
    C:\Windows\assembly\NativeImages_v2.0.50727_32\Microsoft.JScript\7c638034e2e6f9aa208b3372732917ac\Microsoft.JScript.ni.dll: Win.Trojan.Bancos-2115 FOUND
    C:\Windows\assembly\NativeImages_v2.0.50727_32\Microsoft.JScript\7c638034e2e6f9aa208b3372732917ac\Microsoft.JScript.ni.dll: moved to 'C:\ProgramData\.clamwin\quarantine\Microsoft.JScript.ni.dll.infected'
    C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Web.Mobile\4866914f813d886206e4b507e5ffcc63\System.Web.Mobile.ni.dll: Win.Trojan.Bancos-2115 FOUND
    C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Web.Mobile\4866914f813d886206e4b507e5ffcc63\System.Web.Mobile.ni.dll: moved to 'C:\ProgramData\.clamwin\quarantine\System.Web.Mobile.ni.dll.infected'
    C:\Windows\assembly\NativeImages_v2.0.50727_32\System.ServiceModel\60891b05589fad0aa016ead518199431\System.ServiceModel.ni.dll: Win.Trojan.Bancos-2115 FOUND
    C:\Windows\assembly\NativeImages_v2.0.50727_32\System.ServiceModel\60891b05589fad0aa016ead518199431\System.ServiceModel.ni.dll: moved to 'C:\ProgramData\.clamwin\quarantine\System.ServiceModel.ni.dll.infected'
    C:\Windows\assembly\NativeImages_v2.0.50727_32\SMDiagnostics\213a039f8e64e876d997be8a933abae2\SMDiagnostics.ni.dll: Win.Trojan.Bancos-2115 FOUND
    C:\Windows\assembly\NativeImages_v2.0.50727_32\SMDiagnostics\213a039f8e64e876d997be8a933abae2\SMDiagnostics.ni.dll: moved to 'C:\ProgramData\.clamwin\quarantine\SMDiagnostics.ni.dll.infected'
    C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Data\9056bdf1d8022eafb78c6bd805d3facc\System.Data.ni.dll: Win.Trojan.Bancos-2115 FOUND
    C:\Windows\assembly\NativeImages_v2.0.50727_32\System.Data\9056bdf1d8022eafb78c6bd805d3facc\System.Data.ni.dll: moved to 'C:\ProgramData\.clamwin\quarantine\System.Data.ni.dll.infected'
    
    C:\Windows\SYSTEM32\inetsrv\ModSecurityIIS.dll: Win.Trojan.Bancos-2115 FOUND
    C:\Windows\SYSTEM32\inetsrv\ModSecurityIIS.dll: moved to 'C:\ProgramData\.clamwin\quarantine\ModSecurityIIS.dll.infected'
    C:\Windows\SYSTEM32\inetsrv\libaprutil-1.dll: Win.Trojan.Bancos-2115 FOUND
    C:\Windows\SYSTEM32\inetsrv\libaprutil-1.dll: moved to 'C:\ProgramData\.clamwin\quarantine\libaprutil-1.dll.infected'
    C:\Windows\SYSTEM32\inetsrv\libxml2.dll: Win.Trojan.Bancos-2115 FOUND
    C:\Windows\SYSTEM32\inetsrv\libxml2.dll: moved to 'C:\ProgramData\.clamwin\quarantine\libxml2.dll.infected.000'
    C:\Windows\SYSTEM32\inetsrv\lua5.1.dll: Win.Trojan.Bancos-2115 FOUND
    C:\Windows\SYSTEM32\inetsrv\lua5.1.dll: moved to 'C:\ProgramData\.clamwin\quarantine\lua5.1.dll.infected'
    Отписал разработчикам, на данный момент ответа не поступало.

    Best Regards, Andrei ...
    MCP

    12 февраля 2016 г. 15:05
    Модератор

Ответы

  • Разработчики написали, что исравили проблему сегодня утром.
    На 13.02.2016 проблема не актуальна.

    P.S. Рекомендую тем кто использует продукты clamwin/clamav отключить возможность каратина и выгрузки из памяти, отставить только "report only".

    Best Regards, Andrei ...
    MCP

    • Помечено в качестве ответа SQxModerator 13 февраля 2016 г. 11:21
    • Изменено SQxModerator 13 февраля 2016 г. 11:22 исправлено
    13 февраля 2016 г. 11:21
    Модератор

Все ответы

  • У меня повалились такие сообщения на CentOS, стоит Clamav, после обновления баз:

    /bitrix/image_uploader/ImageUploader7.cab: Win.Trojan.Bancos-2115 FOUND

    /bitrix/image_uploader/ImageUploader.cab: Win.Trojan.Bancos-2115 FOUND

    /published/SC/html/scripts/modules/payment/payflow_pro/pfpro.dll: Win.Trojan.Bancos-2115 FOUND

    и т.д.

    Пока не ясно что делать...

    13 февраля 2016 г. 8:12
  • Разработчики написали, что исравили проблему сегодня утром.
    На 13.02.2016 проблема не актуальна.

    P.S. Рекомендую тем кто использует продукты clamwin/clamav отключить возможность каратина и выгрузки из памяти, отставить только "report only".

    Best Regards, Andrei ...
    MCP

    • Помечено в качестве ответа SQxModerator 13 февраля 2016 г. 11:21
    • Изменено SQxModerator 13 февраля 2016 г. 11:22 исправлено
    13 февраля 2016 г. 11:21
    Модератор