получил вот такое письмо, о том, что зараженное письом отправлено с адреса mail@mydomen.ru,
это значит что вирус сидит на почтовом сервере (Linux, postfix) или это могло быть отправлнео с зараженной рабочей станции?
на линуксе крутятся прикрепленные к почте drweb и spamassassin.
Drweb лицензия для почтового сервера.
Вопрос, если вирус все-таки на линуксе, чем его лечить?

Return-Path: <DrWEB-DAEMON@relay.mydomen.ru>
X-Original-To: mail@mydomen.ru
Delivered-To: admin@relay.mydomen.ru
Received: by relay.mydomen.ru (Postfix, from userid 502)
        id 6E1FB440175; Wed, 26 Oct 2005 10:29:33 +0400 (MSD)
From: "DrWeb-DAEMON" <DrWEB-DAEMON@relay.mydomen.ru>
To: mail@mydomen.ru
Subject: Undelivered mail:  Warning Message: Your services near to be closed.
Content-Type: multipart/mixed;
boundary="001-DrWeb-MailFilter-Notification"
MIME-Version: 1.0
X-Antivirus-Ticket: DrWeb notification.
Message-Id: <20051026062933.6E1FB440175@relay.mydomen.ru>
Date: Wed, 26 Oct 2005 10:29:33 +0400 (MSD)
Status:  
Уважаемый Отправитель mail@mydomen.ru !
Сообщение, отправленное с Вашего адреса (возможно вирусом
с другого компьютера) по адресу(ам) user@mydomen.ru
инфицировано и не было доставлено.

вот строки в логе:
Oct 26 10:29:33 relay postfix/nqmgr[10711]: 8C33B440176: from=<mail@mydomen.ru>, size=39809, nrcpt=1 (queue active)
Oct 26 10:29:33 relay spamd[19294]: connection from relay [127.0.0.1] at port 52119
Oct 26 10:29:33 relay spamd[19294]: Creating default_prefs [/var/drweb/.spamassassin/user_prefs]
Oct 26 10:29:33 relay spamd[19294]: Cannot write to /var/drweb/.spamassassin/user_prefs: Permission denied
Oct 26 10:29:33 relay spamd[19294]: Couldn't create readable default_prefs for [/var/drweb/.spamassassin/user_prefs]
Oct 26 10:29:33 relay spamd[19294]: processing message <20051026062927.8C33B440176@relay.mydomen.ru> for drweb:503.
Oct 26 10:29:33 relay postfix/smtpd[22604]: disconnect from unknown[195.131.78.2]
Oct 26 10:29:33 relay spamd[19294]: clean message (-95.7/6.5) for drweb:503 in 0.1 seconds, 39298 bytes.
Oct 26 10:29:33 relay spamd[19294]: result: . -95 - BAYES_20,HTML_10_20,HTML_MESSAGE,MIME_HTML_ONLY,MISSING_MIMEOLE,MSGID_FROM_MTA_ID,NO_REAL_NAME,PRIORITY_NO_NAME,USER_IN_WHITELIST scantime=0.1,size=39298,mid=<20051026062927.8C33B440176@relay.mydomen.ru>,bayes=0.148724233620378,autolearn=no
Oct 26 10:29:33 relay drweb-postfix: dwlib[24017]: scan: the message(drweb.tmp.G6DFku) sent by mail@mydomen.ru to user@mydomen.ru has been stored in archive /var/drweb/infected/drweb.quarantine.r1nYmn
Oct 26 10:29:33 relay postfix/pickup[22380]: 6601F440175: uid=502 from=<DrWEB-DAEMON>
Oct 26 10:29:33 relay postfix/cleanup[22576]: 6601F440175: message-id=<20051026062933.6601F440175@relay.mydomen.ru>
Oct 26 10:29:33 relay postfix/nqmgr[10711]: 6601F440175: from=<DrWEB-DAEMON@relay.mydomen.ru>, size=3808, nrcpt=1 (queue active)
Oct 26 10:29:33 relay postfix/local[23850]: 6601F440175: to=<admin@relay.mydomen.ru>, orig_to=<postmaster>, relay=local, delay=0, status=sent (mailbox)
Oct 26 10:29:33 relay postfix/pickup[22380]: 6A188440175: uid=502 from=<DrWEB-DAEMON>
Oct 26 10:29:33 relay postfix/cleanup[23612]: 6A188440175: message-id=<20051026062933.6A188440175@relay.mydomen.ru>
Oct 26 10:29:33 relay postfix/nqmgr[10711]: 6A188440175: from=<DrWEB-DAEMON@relay.mydomen.ru>, size=3964, nrcpt=1 (queue active)
Oct 26 10:29:33 relay postfix/local[23850]: 6A188440175: to=<user@mydomen.ru>, relay=local, delay=0, status=sent (mailbox)
Oct 26 10:29:33 relay postfix/pickup[22380]: 6E1FB440175: uid=502 from=<DrWEB-DAEMON>
Oct 26 10:29:33 relay postfix/cleanup[23519]: 6E1FB440175: message-id=<20051026062933.6E1FB440175@relay.mydomen.ru>

• письмо с вирусом от почтового сервера, Skif, 12:04 , 26-Окт-05, (1)