Chez JL

Joliciel Libre

Accueil > Informatique > ClamWin Antivirus, utilisation

ClamWin Antivirus, utilisation

mardi 8 mars 2005

Voici un résumé de mon utilisation de ClamWin.

  Sommaire  

 Sous GNU/Linux

Source : http://doc.ubuntu-fr.org/clamav

aptitude install clamav clamav-freshclam

Pour rester à jour ajouter au sources.list :
# Mise à jour clamav
deb http://ftp2.de.debian.org/debian-volatile sarge/volatile main

aptitude  install  clamav unrar lha clamav-docs arj unzoo bzip2

Question à l’installation :
méthode de mise à jour de la base de donnée de virus : cron
miroir de la base de données : db.fr.clamav.net (France)
mandataire HTTP : laissé vide
avertir clamd des mises à jour réussies : oui

Mise à jour des signatures de virus :

sudo freshclam

Exemple pour scanner un répertoire précis :

clamscan -i -r /home/jl/mail/

Commande pour scanner tous les répertoires sauf celui "informatique" :

clamscan -r -i /home --exclude-dir=/home/informatique >> /root/rapport_antivirus

Scanner une partition Windows (Fat 32), montée en "/mnt/D". Signal sonore et affichage si virus trouvé et écriture dans virus.log

sudo clamscan --bell -r -i --log=/var/log/clamav/virus.log /mnt/D/

options :

- i : n’affiche que les fichiers infectés

- r : récursif, dans les sous-dossiers, pour une profondeur de 15 par défaut

- v : pour afficher le nom des fichiers scannés en direct
Le rapport peut être lu dans /root/rapport_antivirus

Créer un répertoire, qui puisse être assez conséquent (c’est pour ça que je l’ai mis dans /home. le /tmp ne suffisait pas, pourtant il fesait 400Mo), ça sera le répertoire temporaire : /home/tmp

Pour voir la place dont a besoin clamav, pour faire son scan, dans le répertoire temporaire :

clamscan -r  /home —tempdir=/home/tmp —leave-temps —exclude-dir=/home/tmp —exclude-dir=/home/informatique

Puis regarder la taille du répertoire /home/tmp à la fin. Ne pas oublier de la supprimer.

avec l’option —leave-temps la taille du fichier temporaire monte à plus de 15 (pour 6 Go de données !). Sans cette option, le répertoire temporaire est rempli et vidé régulièrement pendant le scan (il n’atteint donc pas une taille énorme, mais 400 Mo n’était pas suffisant)

 Sous Windows

ClamWin est un antivirus libre et gratuit pour Microsoft Windows.

Pour la surveillance résidentielle ajouter :
- clamsentinel
- ou Moon Secure Antivirus

- Téléchargement de la dernière version de ClamWin
- Installation de ClamWin
- Faire une recherche de virus
- Supprimer un virus
- Remarques



- Téléchargement

Remarque :
Si vous avez déjà ClamWin, pour voir son numéro de version :

  • Double-cliquer sur l’icône de ClamWin dans la barre des tâches en bas à droite (icône en forme de viseur). Cela fait apparaître la fenêtre de ClamWin.
  • Cliquer sur "Help", puis sur "About"

Télécharger la dernière version de ClamWin :

  • Aller sur le site suivant
    http://www.clamwin.org/
  • Cliquer ensuite, sur "Téléchargement" dans la colonne de gauche
  • Cliquer sur "Cliquez ici pour télécharger"
  • Un tableau apparaît. Sur n’importe quelle ligne cliquer sur "Download", au bout de la ligne
  • Attendre un peu, et une petite fenêtre doit apparaître. Choisissez "Enregistrer sur le disque"
  • Choisissez ensuite par exemple le "Bureau" comme destination du fichier.
  • Anttendre que le téléchargement se termine.


- Installation de ClamWin

Aller sur le bureau (où ailleurs, si vous avez enregistrer le fichier ailleurs), et double cliquer sur "clamwin-version-setup.exe".

  • Une question peut être posée si vous aviez déjà installer ClamWin. Choisir alors le choix recommendé, cliquer sur "Oui".
  • Cliquer ensuite sur "Suivant".
  • Lire la license, si vous êtes d’accord cliquer sur "I accept agreement" puis sur "Next". Sinon abandonner ClamWin, c’est fini.
  • Cliquer sur "Next" 2 fois
  • Cocher ensuite la case "Integration with Windows Explorer", puis cliquer sur "Next"
  • Cliquer sur "Next" 2 fois encore
  • Cliquer sur "Install". L’installtion s’effectue et prend environ 1 min.
  • Cliquer sur "Finish". L’installation est terminée. Vous pouvez maintenant supprimer le fichier "clamwin-version-setup.exe" sur le bureau.

-  Utiliser ClamWin, faire une recherche de virus ("scanner" dans le jargon)

  • Double cliquer sur l’icone de ClamWin dans la barre des tâches en bas à droite (icône en forme de viseur). Cela fait apparaître la fenêtre de ClamWin.
  • Il y a trois gros icônes, cliquer sur celui du milieu (avec un symbole de la Terre). ClamWin va alors automatiquement chercher, via internet, la définition des nouveaux virus.
  • ClamWin renvoie un petit rapport. Cliquer sur "Close"
  • Séléctionner le disque "C :", par exemple, si c’est lui que vous voulez scanner.
  • Cliquer sur "Scan"
  • ClamWin va alors parcourir tous les fichiers de "C :" et regarder s’ils sont infectés. Cela peut prendre plusieurs heures en général.
  • A la fin, ClamWin renvoie un rapport. Faire "Close", car le rapport est sauvé automatiquement par ClamWin (Dans "Tools"->"Display Reports"->"Scan Report").
--------------------------------------
Scan started : Sun Mar  6 11:31:04 2005

— summary —
Known viruses : 31359
Scanned directories : 7
Scanned files : 84
Infected files : 0

Data scanned : 21.20 MB
I/O buffer size : 131072 bytes
Time : 19.226 sec (0 m 19 s)
-------------------
Completed
-------------------

La ligne importante est celle avec "Infected files". Elle vous donne le nombre de virus trouvé. Si c’est 0, comme le cas présent, vous avez fini, sinon il faut passer à l’étape suivante.


- Supprimer un virus

ClamWin a donc détecté des virus qui se trouvent sur votre ordinateur. Il y a plusieurs choix de configuration :

  • Soit le virus est supprimé directement (voir la remarque 2), mais c’est dangereux. Imaginer par exemple qu’un de fichier important soint infectés.
  • Soit le fichier est mis en quarantaine
  • Soit il est laissé tel quel

Je préfère dire à ClamWin de laisser les fichiers tel quel (c’et la configuration par défaut), et de les supprimer "manuellement" :

  • Cliquer sur "Tools", puis sur "Display Reports", puis sur "Scan Report". ClamWin vous renvoie le rapport complet. Si des fichiers sont infectés, leur chemin apparait. C’est en anglais, mais c’est pas trop compliqué.
    --------------------------------------
    Scan started : Wed Jan 12 15:30:00 2005
    

    C :\Program Files\ALCATech\BPM-Studio Profi\Locales\bpm.DE : Trojan.PWS.Wexd FOUND

    — summary —
    Known viruses : 29410
    Scanned directories : 19
    Scanned files : 157
    Infected files : 1
    Data scanned : 14.13 MB
    I\O buffer size : 131072 bytes
    Time : 12.150 sec (0 m 12 s)
    --------------------------------------

    Intéressons nous par exemple à une ligne du type :

    C :\Program Files\ALCATech\BPM-Studio Profi\Locales\bpm.DE : Trojan.PWS.Wexd FOUND

    Cela veut dire que le virus du nom de "Trojan.PWS.Wexd" a été trouvé (FOUND), dans le fichier "
    C :\Program Files\ALCATech\BPM-Studio Profi\Locales\bpm.DE"

  • Etape critique : décider si on supprime le fichier ou non. De manière général le fichier peut être supprimer. Prenez vos responsabilités.
  • Pour supprimer le fihcier : aller dans le repertoire
    "C :\Program Files\ALCATech\BPM-Studio Profi\Locales\" (Depuis le Bureau, faites un double clic sur "Poste de Travail", puis sur "C :", puis sur "ALCATECH", ...) et supprimer le fichier bpm.DE (cliquez bouton droit sur le fichier, puis cliquez sur "supprimer"). Voilà, un virus a été détruit.

- Remarques

1. Scanner juste un fichier
Faites ceci, si vous suspecter un fichier d’avoir un virus. Cela permet de ne pas scanner le disque complètment.

  • Cliquer avec le bouton droit sur le fichier
  • Cliquer ensuite sur "Scan For Viruses With ClamWin
  • ClamWin vous fait un rapport. Si le fichier est infecté (message en rouge), prenez vos responsabilités, et supprimer le ou non.

Remarque :

S’il y a un virus dans clamscan.exe.dmp : laisser tomber, ce n’est pas un virus. Ce fichier est créé lors d’un plantage de Clamwin.