Como saber onde está o vírus?

removido
(usa Nenhuma)

Enviado em 03/08/2010 - 09:01h

pessoal estou rodando o clamav e hoje no log apareceu isso:

hoje ele me mostrou que pegou um vírus:


----------- SCAN SUMMARY -----------
Known viruses: 812529
Engine version: 0.96.1
Scanned directories: 2930
Scanned files: 22560
Infected files: 1
Data scanned: 11031.86 MB
Data read: 14231.89 MB (ratio 0.78:1)
Time: 2279.812 sec (37 m 59 s)


mas não diz se removeu e nem em arquivo está..é isso que preciso saber.como faço?

nos outros logs só mostra isso:
[root@backup ~]# tail /var/log/clamav/clamd.log.1
Sun Aug 1 03:00:09 2010 -> SelfCheck: Database status OK.
Sun Aug 1 03:10:09 2010 -> SelfCheck: Database status OK.
Sun Aug 1 03:20:09 2010 -> SelfCheck: Database status OK.
Sun Aug 1 03:30:09 2010 -> SelfCheck: Database status OK.
Sun Aug 1 03:40:09 2010 -> SelfCheck: Database status OK.
Sun Aug 1 03:50:09 2010 -> SelfCheck: Database status OK.
Sun Aug 1 04:00:09 2010 -> SelfCheck: Database status OK.
Sun Aug 1 04:02:05 2010 -> Reading databases from /var/clamav
Sun Aug 1 04:02:11 2010 -> Database correctly reloaded (812418 signatures)
Sun Aug 1 04:02:11 2010 -> SIGHUP caught: re-opening log file.

Fabio_Farias
(usa openSUSE)

Enviado em 03/08/2010 - 09:31h

Ele deve ter colocado em quarentena. Procure nos diretórios do programa alguma pasta chamada "quarentine" e veja se não está lá.
Eu uso o clamav para windows (no pendrive) e configurei ele para colocar em quarentena quando encontrar algo suspeito.

Dica: se usa o Kde pode usar uma interface gráfica para o clamav, ela se chama Klamav (com "K").

Abraços!

removido
(usa Nenhuma)

Enviado em 03/08/2010 - 10:32h

está no servidor sem interface gráfica.No /etc/clamd.conf não aparece nada sobre quarentena....estou com ele instalado em um servidor centos.

acho que ele não joga nada para quarentena até porque o comando para remover.

Fabio_Farias
(usa openSUSE)

Enviado em 03/08/2010 - 10:47h

Hum...ele deve ter excluído então. Na dúvida, faça um "re-scan" (palavra nova adicionada ao dicionário rsrsrs)
Abraços!

removido
(usa Nenhuma)

Enviado em 03/08/2010 - 11:27h

então mas como faço para poder saber qual arquivo estava com vírus?

Fabio_Farias
(usa openSUSE)

Enviado em 03/08/2010 - 13:14h

Veja,penso que agora não tem mais como vocÊ saber qual arquivo estava infectado. Reveja as configurações do clamav para ver se ele está gerando um log do escaneamento. O log que você postou acima parece ser da atualização do banco de dados e não do escaneamento. Como lhe informei, na versão do Clamav para Windows (ClamWin) ele não vem configurado por padrão para gerar um arquivo de log durante o escaneamento nem vem configurado por padrão para remover o arquivo infectado para a quarentena. Sendo assim, eu configuro para gerar um log e mover o arquivo para a quarentena para que eu possa analisá-lo com calma depois.
Abraços!

victor_linux
(usa KUbuntu)

Enviado em 03/08/2010 - 13:24h

normalmente fica na pasta oculta .klamav/quarantine

removido
(usa Nenhuma)

Enviado em 03/08/2010 - 13:28h

o log é esse mesmo que postei acima tb do scanner mas não mostra nada além de avisar que teve um arquivo infectado:

----------- SCAN SUMMARY -----------
Known viruses: 812529
Engine version: 0.96.1
Scanned directories: 2930
Scanned files: 22560
Infected files: 1
Data scanned: 11031.86 MB
Data read: 14231.89 MB (ratio 0.78:1)
Time: 2279.812 sec (37 m 59 s)

victor, onde configuro qual pasta ele mandar? uso servidor centos 64 bits sem interface gráfica

LuisFlavio
(usa Ubuntu)

Enviado em 03/08/2010 - 17:31h

Você esta rodando com interface gráfica?

victor_linux
(usa KUbuntu)

Enviado em 03/08/2010 - 21:58h

para mudar o diretório basta abrir o clamav ir na aba quarentena > diretório > e escolher um diretório, mais se você quiser ter acesso a pasta é uma pasta oculta para ter acesso você tem que colocar um ponto na frente ex:/home/usuario/.klamav/ ou ir em ver > mostra arquivos ocultos

removido
(usa Nenhuma)

Enviado em 04/08/2010 - 07:43h

Victor, como postei acima não rodo interface gráfica...é um servidor centos.

eu fiz assim não sei se vai funcionar:

/usr/bin/clamscan -r --log=/var/log/clamav/clamscan.log --move=/home/quarentena /home

nesse caso ao encontrar um vírus ele move para a pasta /home/quarentena

será que funciona assim? ele vai para lá mesmo?

OBS.: porque temos que colocar o código umas 400 vezes para aceitar a postagem?já notaram isso?

victor_linux
(usa KUbuntu)

Enviado em 04/08/2010 - 22:02h

sinto muito mais eu não entendo muito desse negócio de servidor e modo gráfico então eu só posso ajudar até ai. sobre os códigos eu também passo a mesma coisa ás vezes eu até desisto de postar