Virenfund - nur welche Datei?

Rhodanos

Grand Admiral Special
Mitglied seit
11.11.2001
Beiträge
3.090
Renomée
3
Standort
/usr/local/karlsruhe
Known viruses: 31325
Scanned directories: 1822
Scanned files: 7831
Infected files: 1
Data scanned: 1687.46 MB
I/O buffer size: 131072 bytes
Time: 534.786 sec (8 m 54 s)
[root@PC1 thomas]#

Dies ist das summary eines scans meines /home. Wie finde ich jetzt heraus, welche Datei clamav meint? Ich kriege aber nirgendwo ein log zu sehen.


# Uncomment this option to enable logging.
# LogFile must be writable for the user running daemon.
# A full path is required.
# Default: disabled
LogFile /var/log/clamav/clamd.log

Damit sollte ich doch ein Log kriegen, oder? Ist die /etc/clam.conf

Rhodanos
 
warscheinlich hast du als User ge-scanned und der darf in /var/log nicht schreiben, möcht ich jetzt behaupten. Entweder du gibts deinem User schreibrechte für das in der config angegebene Verzeichnis ( /var/log/clamav/ ) oder du änderst den Pfad so dass der Scanner die Log-Datei in dein home-Verzeichnis schreibt ( LogFile /home/$USER/clamd.log ), was mir sinnvoller erscheint . . .
 
Original geschrieben von Rhodanos
Nee bullitt, leider nicht. Scan erfolgte als root.

[root@PC1 thomas]# clamscan -r /home

Rhodanos

habsch überlesen . . . :-[

bzw

ich kompilier clamav + Abhängigkeit grad mal, fehlt mir nur noch nen Virus damit der gleich auch was findet . . . ;D
 
Mann ist das ein Mist! Ich dachte immer, Viren und Linux, sowas gibt es nicht.
Vielleicht ist es auch nur ein Fehlalarm. Die Datei, die es betrifft, wüsste ich halt schon gerne aber.

Rhodanos

Edit : Clamav liefert Testviren mit :D

Zum Testen von clamav liegen der Dokumentation ein paar Testsignaturen bei. Führen wir einmal clamscan -ri /usr/share/doc/ aus, so sollten wir dann folgende Ausgabe zu sehen bekommen:

[dieter@workstation dieter]$ clamscan -ri /usr/share/doc/

/usr/share/doc/libclamav1-devel-0.75.1/clamdwatch/clamdwatch.tar.gz: Eicar-Test-Signature FOUND
/usr/share/doc/clamav-0.75.1/test/test: ClamAV-Test-Signature FOUND
/usr/share/doc/clamav-0.75.1/test/test-zip-noext: ClamAV-Test-Signature FOUND
/usr/share/doc/clamav-0.75.1/test/test.bz2: ClamAV-Test-Signature FOUND
/usr/share/doc/clamav-0.75.1/test/test.msc: ClamAV-Test-Signature FOUND
/usr/share/doc/clamav-0.75.1/test/test.rar: ClamAV-Test-Signature FOUND
/usr/share/doc/clamav-0.75.1/test/test.zip: ClamAV-Test-Signature FOUND

Aus dieser Anleitung :

http://mandrakeuser.de/coma/ClaMav
 
was soll eigentlich die option -r ? finde dazu nix in den Docs . . . *noahnung*
 
Was mich stutzig macht ist, dass er dir beim Scan des Doc-Verzeichnisses die Dateien brav auflistet, in deinem home-Verzeichnis aber schweigsam bleibt? ??? Oder tut er das auch nicht, und es wird in der Dokumentation nur als Beispiel so genannt? Dann sollte er das ja zumindest tun. *noahnung*
 
Naja, der Scan läuft duch. Und ich kriege anschliessend nur dieses summary, 1 infected. Der Scan dauert 9 Minuten, ich sehe die Files schön durchsausen, und das war es dann. Bis zum Ende. Das mit den Testviren steht in nder Anleitung.

Rhodanos
 
sag mal einer wo ich nen Virus finde . . . :]
Das loggen klappt bei mir, scannen tut er auch, nur Viren findet er nicht . . . ;D
Jetzt suche ich schon im ed2k-netz nach vireverseuchten Archiven, aber alle die ich sauge sind sauber . . .

bzw

ich nutze v0.83, freshclam hat die aktuellesten Viredefinitionen geladen (ging erst nachdem ich dem freshclam-log als benutzer und gruppe "clamav" zugeordnet habe, gab aber ne Fehlermeldung vorher)
 
Ich hab einen *lol* )(( :-X ;)

Tja, ich denke schon, schwer nachzuvollziehen. bullitt, danke!! Aber wie dich unterstützen?
Ich würde dir ja meinen "Virus" gerne schicken, zum Testen.

Rhodanos
 
gibts denn die Log-Datei ? ? Wenn nicht, vielleicht mal mit

touch /var/log/clamav/clamd.log

anlegen und mit

chown clamav:clamav /var/log/clamav/clamd.log

Besitzer:Gruppe der Datei ändern. Bei einer Log-Datei musste ich es so machen (freshclam.log), bei der clamd.log war clamav schon besitzer . . .

€dit: Ohoho . . .

<root> <~> clamscan -i /home/bullitt/emule/AbsoluteTelnet\ Telnet\ SSH\ client\ ALL\ VERSIO +\ Crack.exe
/home/bullitt/emule/AbsoluteTelnet Telnet SSH client ALL VERSIONS KeyGen + Crack.exe: Worm.P2P.Backterra.A.2 FOUND

----------- SCAN SUMMARY -----------
Known viruses: 31325
Scanned directories: 0
Scanned files: 1
Infected files: 1
Data scanned: 0.08 MB
I/O buffer size: 131072 bytes
Time: 0.509 sec (0 m 0 s)
<root> <~>


€dit2: Ich kann dich beruhigen, in der log-datei wird der Virus nicht mit-gelogged . . . ;)

vielleicht mal nen aktuelleres clamav installieren . . . :)
 
Zuletzt bearbeitet:
@ bullitt :

Welche Version hattest du denn genommen? Ich habe bei jetzt die 0.83er installiert und nochmal gescannt. Jetzt hat er mir in einem alten Dosgame !! einen Virus gemeldet. Nuja, ich habe das eh nie zum Laufen gebracht und habe es dann gelöscht. ;D
Gemckert hat er da wegen einem Oversized. rar. Was soll das denn?

Rhodanos
 
Original geschrieben von Rhodanos
@ bullitt :

Welche Version hattest du denn genommen? Ich habe bei jetzt die 0.83er installiert und nochmal gescannt. Jetzt hat er mir in einem alten Dosgame !! einen Virus gemeldet. Nuja, ich habe das eh nie zum Laufen gebracht und habe es dann gelöscht. ;D
Gemckert hat er da wegen einem Oversized. rar. Was soll das denn?

Rhodanos

keine Ahnung, das einzige was ich weiß ist dass das scannen von 3.x-rar-Archiven nicht 100ig unterstützt wird, nur 2.x-Archive werden offizielle unterstützt. Würd mich auch nnicht wundern wenn das nen Bug war, echt keine Ahnung. Diese Sache mit den Arciven steht auch in der clamd.conf, kannst ja mal nachgucken . . .

ich habe von vorn herein v0.83 genutzt, hab ich auch irgendwo oben mal geschrieben, aber is ja egal jetzt.

mfg
bullitt

PS: Habe das prog schon wieder runter geschmissen, aber schön zu wissen dass es clamav gibt . . . ;)
 
Die Viren laufen ja eh nur unter Windoofs, also für Linux gibt es eigentlich garkeine Viren - vielleicht hier und da mal was experimentelles, was sich aber auch einfach nicht verbreitet und auf ein oder 2 Rechnern vor sich hindümpelt.

Also selbst wenn er da irgendwo Viren findet, unter Linux können die sich sowieso nicht verbreiten.
 
Original geschrieben von i_hasser
Die Viren laufen ja eh nur unter Windoofs, also für Linux gibt es eigentlich garkeine Viren - vielleicht hier und da mal was experimentelles, was sich aber auch einfach nicht verbreitet und auf ein oder 2 Rechnern vor sich hindümpelt.

Also selbst wenn er da irgendwo Viren findet, unter Linux können die sich sowieso nicht verbreiten.

es geht ja eh nur ums prinzip . . . ;)
 
Original geschrieben von i_hasser
Die Viren laufen ja eh nur unter Windoofs, also für Linux gibt es eigentlich garkeine Viren - vielleicht hier und da mal was experimentelles, was sich aber auch einfach nicht verbreitet und auf ein oder 2 Rechnern vor sich hindümpelt.

Also selbst wenn er da irgendwo Viren findet, unter Linux können die sich sowieso nicht verbreiten.

hoffentlich bleibt das auch so! Falls es bei Linux mal so krass werden sollte wie bei Win, dann steig ich um auf FreeBSD oder dann auf "Windows 2040 (bunt edition)".
 
Zurück
Oben Unten