Virensuche mit Clamav und ClamXav

Ramhto · 20.09.07

Hallo Parallels-User

Habe seit einiger Zeit Win2003 unter Parallels auf einem Mac mini (Intel) am laufen.
Ich betreibe damit einen Terminalserver. Das klappt wunderbar.

Nun muss ich ja Windows wie normal gegen Viren schützen und benutze dazu Clamav und Spyware Doctor vom Google-Pack. Bis jetzt wurde von Clamav nichts und von Spyware Doctor nur Unbedeutendes gefunden, was gleich entfernt hatte.
Auf diesem Mac mini (Mac OS X 10.4.10) lasse ich zusätzlich auch CalmXav, das Mac-Pendant zu Clamav laufen.
Komischerweise findet ClamXav auf der virtuellen Harddisk von Parallels
- "win2003.hdd: Trojan.Downloader.Small-298 FOUND",
in der Snapshot-Datei
- "win2003.hds: W97M.Chack.AK FOUND" und
im virtuellen Memory
- "win2003.mem: Worm.Rays.A FOUND".

Erst war nur der Trojan Downloader da, den ich einfach ignorierte, da ja auf Windows nichts gefunden wurde. Nach einem Snapshot mit Parallels kam dann die entsprechende Meldung hinzu. Und heute ist im virtuellen Memory noch dieser Wurm gefunden worden.
Zwei verschiedene Onlinescanner (TrendMicro und Kapersky) haben direkt im Windows 2003 auch nichts gefunden.

Trotzdem bin ich langsam beunruhigt. Ich frage mich, wie diese Meldungen zustande kommen.
Wem kann ich trauen?
Hat jemand ähnliche Erfahrungen gemacht?
Gibt es irgendwo Erklärungen zu Clam(X)av Meldungen?

Für kostruktive Antworten bedanke ich mich bestens.

Freundliche Grüße

Ramhto

chekov · 20.09.07

grundsätzlich würde ich sagen: traue nie dem virenscanner auf dem laufenden system!
Denn wenn der Virus aktiv ist dann kann er sich vorm Scanner verstecken!

qwert · 20.09.07

Ramhto schrieb:
Bis jetzt wurde von Clamav nichts und von Spyware Doctor nur Unbedeutendes gefunden, was gleich entfernt hatte.

ClamAV bietet keinen Echtschutz, d.h. man muss ihn erst aktivieren, damit er nach Viren sucht. Automatisch findet er keine .. Deshalb konnte er keine finden ..

Und deinstalliere gleich Spyware Doctor. Der Name hört sich "komisch". Vertraue da lieber "Spybot Search & Destroy".

(http://www.safer-networking.org/de/spybotsd/index.html)

Ramhto schrieb:
- "win2003.hdd: Trojan.Downloader.Small-298 FOUND",
in der Snapshot-Datei
- "win2003.hds: W97M.Chack.AK FOUND" und
im virtuellen Memory
- "win2003.mem: Worm.Rays.A FOUND".

Diese Viren bzw. Trojaner kannst du mit dem oben genannten Programm wieder löschen. Wenn nicht, dann installiere parallel AntiVir (http://www.free-av.de). Dieser bietet Echtschutz und findet die meisten Viren. Zu Empfehlen ist auch dieses Programm: STINGER (http://vil.nai.com/vil/stinger/)

ClamAv kann ich nicht empfehlen für einen Windows-PC. Laut Changelog soll das Programm irgendwann einen Echtschutz bieten, aber zur Zeit ist er nicht vorhanden.

Ramhto · 20.09.07

movidre schrieb:
ClamAV bietet keinen Echtschutz, d.h. man muss ihn erst aktivieren, damit er nach Viren sucht. Automatisch findet er keine .. Deshalb konnte er keine finden ..

Der sucht aber jede Nacht die ganze HD inkl. Memory ab, gesteuert durch einen Cronjob. Zudem habe ich ihn auch mal manuell suchen lassen. Deswegen hätte es schon was finden müssen.

movidre schrieb:
Und deinstalliere gleich Spyware Doctor. Der Name hört sich "komisch".

Der wird von Google im Google-Pack angeboten. Die Sachen, die sie sonst damit anbieten sind ausnahmlos gut.

movidre schrieb:
Vertraue da lieber "Spybot Search & Destroy". (http://www.safer-networking.org/de/spybotsd/index.html)

Kannte ich, habe aber nicht mehr daran gedacht. Werde ihn gleich auf die Suche schicken.
Danke für den Tipp!

movidre schrieb:
Wenn nicht, dann installiere parallel AntiVir (http://www.free-av.de). Dieser bietet Echtschutz und findet die meisten Viren.

Das kenne ich sehr gut und setze es auch für WinXP ein. Leider ist AntiVir für Windows 2003 kostenplichtig.

movidre schrieb:
Zu Empfehlen ist auch dieses Programm: STINGER (http://vil.nai.com/vil/stinger/)

Ich kann damit auch mal suchen. So wie ich jedoch kurz überflogen gelesen habe bietet der keinen Echtschutz und ist zum entfernen für diverse Schädlinge.

Vielen Dank für Deine Tipps.
Gruß Ramhto

Ramhto · 20.09.07

movidre schrieb:
Vertraue da lieber "Spybot Search & Destroy".
Zu Empfehlen ist auch dieses Programm: STINGER

Leider, oder besser zu Glück, haben auch diese beiden Programme nichts gefunden.

Ich frage weiterhin:
Wie kommen diese Meldungen zustande.
Hat jemand ähnliche Erfahrungen gemacht?
Gibt es irgendwo Erklärungen zu Clam(X)av Meldungen?

Gute Nacht
Ramhto

qwert · 22.09.07

Ramhto schrieb:
Wie kommen diese Meldungen zustande.

Die Meldungen von ClamXav beschreiben den Virus bzw. den Trojaner. Ich habe mal die Virentypen im Internet gesucht und folgende Beschreibung gefunden:

Ramhto schrieb:
- "win2003.hdd: Trojan.Downloader.Small-298 FOUND",

Bei einem Trojaner-Downloader handelt es sich in der Regel ein eigenständiges Programm, das versucht, unbemerkt Dateien von entfernten Webservern und FTP-Sites herunterzuladen und diese auszuführen ...

Die bekanntesten Trojaner-Downloader sind Aphex, Dlder, Small und WebDL.

Quelle: Hier!

Ramhto schrieb:
- "win2003.hds: W97M.Chack.AK FOUND"

W97M.Chack.ak is a Microsoft Word macro virus that infects the active document and the Normal.dot template.

The virus disables all other macros except itself and makes some menu changes so that macros cannot be edited. It also places its own routines in place of some default menu operations.

Quelle: Hier und Hier.

Ramhto schrieb:
- "win2003.mem: Worm.Rays.A FOUND".

Anleitung, um den Worm.Rays.A zu entfernen: Hier!

Falls ich irgendwas vergessen, dann besuche diese oder diese Webseite. Darin findest du eine große Virendatenbank, die täglich aktualisiert wird.

Parallel zu Spybot S&D empfehle ich dir auch das Programm Ad-Aware 2007 zu installieren. Beide Programm ergänzen sich super und können zusammen (fast) alle Spyware oder andere bösartige Programme finden und isolieren.

Zum Schluss rate ich dir auch das XP komplett mit HijackThis durchzusuchen. Das Programm listet alle erdenkliche gute Einstellungen und zeigt diese als Auflistung auf. Das Portal findest du hier; "Download" (Direktlink) von HijackThis

Wie es geht? Einfach Programm herunterladen, den Logbericht erstellen und diesen dann hier einfügen. Ein Klick auf "Auswerten" und du siehst alle deine Einstellungen, die du gemacht hast. Das Programm listet dann auch auf, ob diese gut sind oder schlecht.

Wenn du noch Hilfe brauchst, dann melde dich einfach.

Ramhto schrieb:
Hat jemand ähnliche Erfahrungen gemacht?

Nein, aber ich besitze ebenfalls ClamXav an meinen Mac. Bislang hat dieser noch nie einen Virus gefunden. Hängt aber auch davon ab, dass ich kein Windows bei mir installiert habe. Wegen der Gewöhnlichkeit habe ich trotzdem ein AntiVirusprogramm installiert.

groove-i.d · 27.01.08

chekov schrieb:
grundsätzlich würde ich sagen: traue nie dem virenscanner auf dem laufenden system!
Denn wenn der Virus aktiv ist dann kann er sich vorm Scanner verstecken!

sollte ich den scanner also von extern laufen haben?
nur wie mache ich das?

Suche

Suche

Virensuche mit Clamav und ClamXav

Ramhto

Gast

chekov

Jerseymac

qwert

Johannes Böttner

Ramhto

Gast

Ramhto

Gast

qwert

Johannes Böttner

groove-i.d

Rote Sternrenette

Wir schützen Ihre Privatsphäre

Informationen auf einem Gerät speichern und/oder abrufen

Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen (Optionale Cookies)

Datenübermittlung an Partner in anderen Staaten (Drittanbieter-Cookies)