ClamAV

[Suat]

ClamAV bilgisayara kurmaya çalışıp sabit disk C ve bilgisayarda takılı olan flash bellek taramak istedim. Sitede anlatıldığı gibi yapmaya çalıştım ancak ClamAV arayüzü sizin gösterdiğiniz gibi ekrana gelmiyor bende. Daha sonradan bilgisayardan programı kaldırmak istedim. Bunun için wipe kurup silmeye çalıştım. ClamAV ev konumu içinde clamav-0.98.7 klasör olarak duruyor. Bunu silmeye çalışırken bilgisayarda ilk kez aşırı donma sorunu oldu. Nitekim bunu da beceremedim.

http://i.hizliresim.com/5dbr6l.png (terminalde virüs bulduğunu gösteriyor ancak doğru yeri mi tarattım hiç bilmiyorum ve virüsler silindi mi ? )

[heartsmagic]

Kurduğun uygulama arayüz sağlamıyor. Uçbirimden yapabilirsin taramaları, ancak illa arayüz isterim diyorsan:

Kod Seç Genişlet

wget https://bitbucket.org/dave_theunsub/clamtk/downloads/clamtk_5.19-1_all.deb
sudo dpkg -i clamtk_5.19-1_all.deb

Komutu yanlış uygulamışsın orada, i harfi esasında parametre ve önünde tire olmalı:

Kod Seç Genişlet

clamscan -r --bell -i /

Ancak, bence bu şekilde tüm kök sistemi taratmaya gerek yok. USB belleği bağladın, diyelim ki /media/sandisk olarak bağlandı.

Kod Seç Genişlet

clamscan -r --bell -i /media/sandisk

şeklinde tarat.

Ayrıca, sisteme bir uygulama kurdun ve kaldırmak istiyorsun diyelim ki, Wipe ile falan uğraşma. Bir uygulama nasıl kurulduysa genellikle o şekilde kaldırılmalıdır. Elle falan pek silmeyiz genelde. Sen nasıl kurdun bu uygulamayı?

[Suat]

Kurduğun uygulama arayüz sağlamıyor. Uçbirimden yapabilirsin taramaları, ancak illa arayüz isterim diyorsan:

Kod Seç Genişlet

wget https://bitbucket.org/dave_theunsub/clamtk/downloads/clamtk_5.19-1_all.deb
sudo dpkg -i clamtk_5.19-1_all.deb

Komutu yanlış uygulamışsın orada, i harfi esasında parametre ve önünde tire olmalı:

Kod Seç Genişlet

clamscan -r --bell -i /

Ancak, bence bu şekilde tüm kök sistemi taratmaya gerek yok. USB belleği bağladın, diyelim ki /media/sandisk olarak bağlandı.

Kod Seç Genişlet

clamscan -r --bell -i /media/sandisk

şeklinde tarat.

Ayrıca, sisteme bir uygulama kurdun ve kaldırmak istiyorsun diyelim ki, Wipe ile falan uğraşma. Bir uygulama nasıl kurulduysa genellikle o şekilde kaldırılmalıdır. Elle falan pek silmeyiz genelde. Sen nasıl kurdun bu uygulamayı?

Cevap için teşekkür ederim.

Arayüze gerek yok aslında windows virüslerini silip bulması benim için yeterli. Ben kurulumu yanlış yaptığımı düşünmüştüm. Daha önceden programı silmeye kalkıp bu işin altından kalkamayınca da programı bozduğumu bile düşündüm.

Wipe yazılımını Ubuntu Yazılım Merkezine girip arama kutusuna ''nautilus-wipe'' yazıp gelen eklentiyi kurdum. Otomatik kuruldu terminalden bir şey yazmadım.

Sizin yazdığınız komutu da kullanmıştım orada ancak virüs bulup silmiyor. Konuya hakim değilim belki de silmiştir.

Benim yapmak istediğim windows virüslerini bulup silmesi. Bunun için geçerli komut hangisidir ?

[heartsmagic]

Wipe uygulaması ile uygulama kaldırma olmaz, onun amacı daha farklı. Dosya sisteminde hiç iz bırakmadan dosya silmeye yarar kendisi. Güvenli silme işlemi yani, veri kurtarma yapılsa dahi ulaşılamayacak şekilde silme işlemi.

Son verdiğim şekilde tarama yapabiliyor olman lazım. Son dizin ismini taratmak istediğin dizin olarak değiştireceksin. Diyelim ki Windows var makinende ve bu Windows bölümünü /media/windows şeklinde bağlıyorsun:

Kod Seç Genişlet


clamscan -r --bell -i /media/windows

Diyelim ki bir USB bellek taktın, bu sisteme son sürümlerde /media/kullanıcı_adın/disk_ismi şeklinde bağlanır. Bir önceki iletimde eksik verdik kısacası.

Kod Seç Genişlet

clamscan -r --bell -i /media/kullanıcı_adın/sandisk şeklinde tarama yapılabilir.

[Suat]

Wipe uygulaması ile uygulama kaldırma olmaz, onun amacı daha farklı. Dosya sisteminde hiç iz bırakmadan dosya silmeye yarar kendisi. Güvenli silme işlemi yani, veri kurtarma yapılsa dahi ulaşılamayacak şekilde silme işlemi.

Son verdiğim şekilde tarama yapabiliyor olman lazım. Son dizin ismini taratmak istediğin dizin olarak değiştireceksin. Diyelim ki Windows var makinende ve bu Windows bölümünü /media/windows şeklinde bağlıyorsun:

Kod Seç Genişlet


clamscan -r --bell -i /media/windows

Diyelim ki bir USB bellek taktın, bu sisteme son sürümlerde /media/kullanıcı_adın/disk_ismi şeklinde bağlanır. Bir önceki iletimde eksik verdik kısacası.

Kod Seç Genişlet

clamscan -r --bell -i /media/kullanıcı_adın/sandisk şeklinde tarama yapılabilir.

Araştırma da yaptım ancak olmuyor.

[heartsmagic]

Araştırma derken? Olmayan nedir tam olarak?

[Suat]

Tarama yaptığım zaman şöyle bir şey çıktı : http://i.hizliresim.com/1y5lnp.png

Ben OS taraması yapamıyorum. C'yi tamamen tarayıp windows virüslerini temizlemek istiyorum.

Bu resimde ( http://i.hizliresim.com/GYVOv2.png ) aygıtlar kısmında sabit disk C bölümü(OS) görülüyor.Windows mantiken burada kurulu olması gerekiyor. OS kısmı /dev/sda1 olarak görülüyor. Yanılmıyorsam.

Örnek komut : sudo clamscan -remove -r -bell -i /... ( 3 noktalı yere ne yazmam gerekiyor ? ) media windows olmuyor

[heartsmagic]

Kod Seç Genişlet

lsblk
ne diyor? C dediğin sda1'in nereye bağlı olduğunu görebilirsin.

Eski usül de şöyle:

Kod Seç Genişlet

mount
Eski derken, eskimiş değil ancak lsblk daha temiz çıktı veriyor.

[Suat]

Kod Seç Genişlet

lsblk
ne diyor? C dediğin sda1'in nereye bağlı olduğunu görebilirsin.

Eski usül de şöyle:

Kod Seç Genişlet

mount
Eski derken, eskimiş değil ancak lsblk daha temiz çıktı veriyor.

Cevap ve ilginiz için gerçekten teşekkür ediyorum ancak ben halen işin içinden çıkabilmiş değilim.

Windows virüslerini bulup silmesi için hangi komutu kullanmam gerekiyor ?

Dediğiniz komutları uyguladım ama çıktıları anlamadım.

[eklenti yönetici tarafından silindi]

[heartsmagic]

Windows bölümleri sisteme bağlı görünmüyor.

Kod Seç Genişlet

sudo fdisk -l
çıktısını görebilir miyiz? Çıktıları bir geç, tarama işlemine sonra bakacağız.

Çıktıları ekran görüntüsü olarak verme ama lütfen, doğrudan kopyala ve buraya yapıştır sonra da kod etiketini kullan: kodetiketi

[Suat]

Windows bölümleri sisteme bağlı görünmüyor.

Kod Seç Genişlet

sudo fdisk -l
çıktısını görebilir miyiz? Çıktıları bir geç, tarama işlemine sonra bakacağız.

Çıktıları ekran görüntüsü olarak verme ama lütfen, doğrudan kopyala ve buraya yapıştır sonra da kod etiketini kullan: http://kb.ubuntu-tr.net/kodetiketi

Kod Seç Genişlet

Disk /dev/sda: 750.2 GB, 750156374016 bytes
255 heads, 63 sectors/track, 91201 cylinders, toplam 1465149168 sektör
Units = sektör of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disk kimlikleyicisi: 0xa383324b

   Aygıt Açılış    Başlangıç     Bitiş  BlokSayısı Kml Sistem
/dev/sda1   *    52430848   666957823   307263488    7  HPFS/NTFS/exFAT
/dev/sda2       666957824  1171918058   252480117+   7  HPFS/NTFS/exFAT
/dev/sda3      1171918846  1465147391   146614273    5  Ek
Partition 3 does not start on physical sector boundary.
/dev/sda5      1171918848  1448568831   138324992   83  Linux
/dev/sda6      1448570880  1465147391     8288256   82  Linux takas / Solaris

Umarım doğru yapmışımdır.

[heartsmagic]

Kod Seç Genişlet

sudo mkdir /media/{windows1,windows2}
sudo mount /dev/sda1 /media/windows1
sudo mount /dev/sda2 /media/windows2
clamscan -r --bell -i /media/windows1
clamscan -r --bell -i /media/windows2

İki Windows bölümünü de taraması lazım eğer doğru yapıyorsak.

[Suat]

Kod Seç Genişlet

sudo mkdir /media/{windows1,windows2}
sudo mount /dev/sda1 /media/windows1
sudo mount /dev/sda2 /media/windows2
clamscan -r --bell -i /media/windows1
clamscan -r --bell -i /media/windows2

İki Windows bölümünü de taraması lazım eğer doğru yapıyorsak.

Kod Seç Genişlet

sudo mount /dev/sda1 /media/windows1

Kod Seç Genişlet

'suat' komutu bulunamadı, şunu mu demek istediniz:
'stat' paketinden 'coreutils' komutu (main)
'scat' paketinden 'wcstools' komutu (universe)
'sat' paketinden 'sat-xmpp-core' komutu (universe)
suat: komut bulunamadı


Kod Seç Genişlet

sudo mount /dev/sda2 /media/windows2

Kod Seç Genişlet

usage: sudo -h | -K | -k | -V
usage: sudo -v [-AknS] [-g group] [-h host] [-p prompt] [-u user]
usage: sudo -l [-AknS] [-g group] [-h host] [-p prompt] [-U user] [-u user]
            [command]
usage: sudo [-AbEHknPS] [-r role] [-t type] [-C num] [-g group] [-h host] [-p
            prompt] [-u user] [VAR=value] [-i|-s] [<command>]
usage: sudo -e [-AknS] [-r role] [-t type] [-C num] [-g group] [-h host] [-p
            prompt] [-u user] file ...


Kod Seç Genişlet

clamscan -r --bell -i /media/windows1

Kod Seç Genişlet

/media/windows1/Program Files/Common Files/Microsoft Shared/MSInfo/msinfo32.exe: Win.Worm.Chir-2027 FOUND

Kod Seç Genişlet

clamscan -r --bell -i /media/windows2

Kod Seç Genişlet

/media/windows1/Program Files (x86)/Common Files/Adobe AIR/Versions/1.0/Resources/template.exe: Win.Trojan.Slugin-287 FOUND
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV Error: fmap_readpage: pread error: Value too large for defined data type
/media/windows1/Users/SUAT/Desktop/Oxford/iGuide/iguide/iguide.exe: Win.Trojan.Slugin-287 FOUND
/media/windows1/Users/SUAT/Documents/Leica Geo Office/Leica.Geo.Office.V.7.0.Build.9009-ENGiNE/ENGiNE/LEICA GEO OFFICE V7.0_Crk.exe: Trojan.Agent-121200 FOUND
/media/windows1/Windows/System32/msinfo32.exe: Win.Worm.Chir-2027 FOUND
/media/windows1/Windows/winsxs/amd64_microsoft-windows-msinfo32-exe-common_31bf3856ad364e35_6.1.7601.17514_none_e46b048a01806891/msinfo32.exe: Win.Worm.Chir-2027 FOUND
/media/windows1/Windows/winsxs/amd64_microsoft-windows-msinfo32-exe_31bf3856ad364e35_6.1.7601.17514_none_0a026c46104dd379/msinfo32.exe: Win.Worm.Chir-2027 FOUND
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.
LibClamAV info: scancws: Error decompressing SWF file. Scanning what was decompressed.

----------- SCAN SUMMARY -----------
Known viruses: 3884744
Engine version: 0.98.7
Scanned directories: 34453
Scanned files: 205134
Infected files: 7
Total errors: 1
Data scanned: 41686.68 MB
Data read: 85482.50 MB (ratio 0.49:1)
Time: 5855.633 sec (97 m 35 s)
suat@Suat-PC:~$ clamscan -r --bell -i /media/windows2

----------- SCAN SUMMARY -----------
Known viruses: 3884744
Engine version: 0.98.7
Scanned directories: 6
Scanned files: 25
Infected files: 0
Data scanned: 282.09 MB
Data read: 228.30 MB (ratio 1.24:1)
Time: 19.317 sec (0 m 19 s)


Komutları tek tek uyguladım.

[heartsmagic]

Önce bazı komutları yanlış uyguladın sanırım zira hata almışsın. Sonrasında toparlamış ve yapmış gibisin. Bazı zararlılar buldum demiş ancak bunlar cidden zararlı mıdır yoksa yanlış alarm mıdır (false positive) bilemiyorum. Örneğin Adobe Air'e ait bir dosyada, Windows'un winsxs dizinindeki bir dosyada falan zararlı buldum demiş. Bunlar yanlış alarm olabilir.

Leica Geo Office/Leica.Geo.Office.V.7.0.Build.9009-ENGiNE/ENGiNE/LEICA GEO OFFICE V7.0_Crk.exe: Trojan.Agent-121200

gibi dosyalar için bir şey söyleyemiyorum. Kullanılan .exe "crack" tabir ettiğimiz kırılmış uygulamalar olduğu için zaten güvenmemek lazım. Bu türde çok aldatmaca mevcut. İnsanlara bedava uygulama sunarken kurban haline getiriyorlar böylece.

Virüs veritabanının güncellemiş miydin?

Kod Seç Genişlet

sudo freshclam
ile güncelledikten sonra windows1 tarafını tekrar tarat bence. En azından Windows'a ait şeyler düşecek mi bir görelim.

[Suat]

Önce bazı komutları yanlış uyguladın sanırım zira hata almışsın. Sonrasında toparlamış ve yapmış gibisin. Bazı zararlılar buldum demiş ancak bunlar cidden zararlı mıdır yoksa yanlış alarm mıdır (false positive) bilemiyorum. Örneğin Adobe Air'e ait bir dosyada, Windows'un winsxs dizinindeki bir dosyada falan zararlı buldum demiş. Bunlar yanlış alarm olabilir.

Leica Geo Office/Leica.Geo.Office.V.7.0.Build.9009-ENGiNE/ENGiNE/LEICA GEO OFFICE V7.0_Crk.exe: Trojan.Agent-121200

gibi dosyalar için bir şey söyleyemiyorum. Kullanılan .exe "crack" tabir ettiğimiz kırılmış uygulamalar olduğu için zaten güvenmemek lazım. Bu türde çok aldatmaca mevcut. İnsanlara bedava uygulama sunarken kurban haline getiriyorlar böylece.

Virüs veritabanının güncellemiş miydin?

Kod Seç Genişlet

sudo freshclam
ile güncelledikten sonra windows1 tarafını tekrar tarat bence. En azından Windows'a ait şeyler düşecek mi bir görelim.

Virüs tabanı günceldi yine de güncelleme yaptım.

Kod Seç Genişlet

suat@Suat-PC:~$ sudo freshclam
[sudo] password for suat:
ClamAV update process started at Fri Jul 10 19:56:28 2015
main.cvd is up to date (version: 55, sigs: 2424225, f-level: 60, builder: neo)
daily.cld is up to date (version: 20672, sigs: 1470967, f-level: 63, builder: neo)
bytecode.cld is up to date (version: 263, sigs: 48, f-level: 63, builder: shurley)
suat@Suat-PC:~$ clamscan -r --bell -i /media/windows1

----------- SCAN SUMMARY -----------
Known viruses: 3889646
Engine version: 0.98.7
Scanned directories: 1
Scanned files: 0
Infected files: 0
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
Time: 6.636 sec (0 m 6 s)
suat@Suat-PC:~$


Ya gerçekten virüs yok ya da benim 40 fırın ekmek yemem lazım

[grayloop]

@suat,
Mutlaka virüs vardır diyorsanız Comodo da deneyebilirsiniz.

https://www.comodo.com/home/internet-security/antivirus-for-linux.php?key5sk1=0742dd7d11de287ef990d6e3a23da85d03c9dfa5

[Reverser]

Kod Seç Genişlet


Scanned directories: 1
Scanned files: 0
Data scanned: 0.00 MB
Data read: 0.00 MB (ratio 0.00:1)
tarama tamamlanmamış, bir sorun var gibi.

[heartsmagic]

windows1 dediğimiz yerin yani sda1'in her seferinde bağlanması lazım zira sende kendiliğinden bağlanmıyor.

Kod Seç Genişlet


sudo mount /dev/sda1 /media/windows1
clamscan -r --bell -i /media/windows1