ClamAV

[Johnny Rosenberg]

Hej på er och hoppas ni har en skön midsommarafton och är ute i det fina vädret istället för att läsa och besvara mina dumma frågor här på forumet…

Men det är ju inte midsommarafton jämt, så kanske någon orkar läsa detta så småningom och eventuellt kanske avyttra ett litet svar.

Jag har installerat ClamAV via Synaptig. Gjorde det en gång på min andra dator och valde då det grafiska användargränssnittet, men förstod mig inte på det, för när jag gjort mina inställningar och sedan skannade hårddisken, stod den och tuggade i tre dygn (om jag inte minns fel) innan jag till sist avbröt idiotin.

Vis av erfarenheten sket jag nu i det grafiska och körde via terminal istället. Det brukar ju vara pålitligare, dessutom är jag väldigt förtjust i terminalen, även om jag är usel när det gäller användandet av den.

Om man kanske skulle komma till saken någon gång, kanske…

När jag nu testade lite första gången fick jag lite felmeddelanden, så jag provade att starta om i ”recovery-läge”, utan grafik och som root. Jag gjorde då följande:

Kod: Markera allt

clamscan -r / > /root/Viruskoll_2008-06-19

Det mesta av den text som kommandot producerar hamnar ju nu i filen /root/Viruskoll_2008-06-19, men lite text, i form av felmeddelanden, poppar ändå upp i terminalen. Ett antal av raderna såg ut så här:

Kod: Markera allt

LibClamAV Error: cli_readn: read error: Function not implemented

Ungefär en eller två skärmsidor av detta felmeddelande fick jag. Vad är det för funktion som inte är implementerad och hur implementerar jag den? Har jag missat något paket att installera?

Nu har jag granskat filen också. Jag skrev:

Kod: Markera allt

guraknugen@PB-laptop:~$ cat /root/Viruskoll_2008-06-19 | grep FOUND
//media/sda1/minint/system32/p000004.zip: Oversized.Zip FOUND
//media/sda1/minint/system32/p000145.zip: Oversized.Zip FOUND
//media/sda1/minint/system32/p000157.zip: Oversized.Zip FOUND
//media/sda1/minint/system32/p000163.zip: Oversized.Zip FOUND
//media/sda1/minint/system32/p000037.zip: Oversized.Zip FOUND
//media/sda2/Program Files/Common Files/Symantec Shared/CCPD-LC/symlcsvc.exe: Trojan.Clicker-1535 FOUND
//media/sda2/Program Files/Common Files/Symantec Shared/CCPD-LC/symlctnk.dll: Trojan.Clicker-1535 FOUND
//media/sda2/Program Files/Windows Plus/Party Mode/Party_Mode.wmz: Oversized.Zip FOUND
guraknugen@PB-laptop:~$ 

sda1 är Windows räddningspartition (istället för en WIndows installations-CD - idiotiskt som fan)
sda2 är Windowspartitionen.

Hur tolkar jag detta?

Slutet av filen ser ut så här:

Kod: Markera allt

guraknugen@PB-laptop:~$ tail /root/Viruskoll_2008-06-19 
//media/sda2/WINDOWS/MCSetup_UI.log: OK

----------- SCAN SUMMARY -----------
Known viruses: 315678
Engine version: 0.92.1
Scanned directories: 30464
Scanned files: 254621
Infected files: 8
Data scanned: 128341.49 MB
Time: 18194.800 sec (303 m 14 s)
guraknugen@PB-laptop:~$ 

Antalet ”Infected files” var alltså 8. Det antal träffar jag fick på ordet ”FOUND” ovan var också 8. Kan jag anta att det är dessa 8 träffar som åsyftas?

Också värt att notera är att hela skiten tog över 6 timmar (303 m 14 s) så det är ju inget man har lust att göra ofta. Ska undersöka om det finns något sätt at tutesluta vissa oväsentliga mappar, som exempelvis /media/sda1/ och /media/sda2/. Några fler förslag på mappar som man absolut inte behöver kontrollera?

Och till sist kan man kanske också notera att min Windows-partition är mycket lite använd sedan senaste ominstallationen. Jag har endast installerat mjukvaran för att kunna uppgradera min Garmin-navigator, eftersom jag inte hittat motsvarande mjukvara till Linux. Kanske borde testa Wine någon gång, i och för sig, men jag är ju nykterist…

Och visst ja, vad är en ”Oversized ZIP”? Det låter ju inte så allvarligt… Det låter mer som att ClamAV inte är riktigt kompatibel med ZIP-filer…

[webaake]

Man kan utesluta valfria filer med detta:

clamscan --exclude=".avi$|.iso$|"

Detta utesluter scanning av .avi och .iso filer. Även .vob filer väljer jag bort. De är ofta väldigt stora men innehåller inga virus, menar jag. Man får göra en avvägning av risken kontra tiden.