Cleaning viruses since linux with clamav

AVISO: Para montar una partición ntfs con permisos de escritura es necesario usar el comando ntfs-3g. Ejemplo:

ntfs-3g /dev/sda1 /mnt/window

Leer esto :

http://www.ubuntu-es.org/?q=node/130890

Hola jav…:
Estos son los pasos:
– Arrancar el Live Cd de la versión 9.10 Karmic Koala.
– Configurar la conexión de red adecuadamente.
– Abrir el gestionador de paquetes synaptic
– Activar los repositorios
– Pulsar en actualizar para que se actualicen las versiones de los paquetes.
– Buscar clamav
– Marcar el paquete y los cuatro que necesita.
– Aplicar los cambios para instalarlo.
– Actualizar su lista de definición de virus:

sudo freshclam

– Identificar la partición:

sudo fdisk -l

– Identificada la partición en NTFS de ese sistema con virus
supongamos en que esta en /dev/sda1, montarla con:

sudo mkdir /mnt/windows
sudo mount /dev/sda1 /mnt/windows
sudo mkdir /mnt/virus

– Escanearla

sudo clamscan -v -r --bell --move /mnt/virus /mnt/windows

Los parámetros de clamav son para:
– -v: verbose: Despliega información
– -r: recursive: Escanea en forma recursiva
– –bell: Sonido cuando un virus es detectado
– –move: Mueve los virus al directorio /mnt/virus/
– /media/windows: Este es el directorio a escanear donde windows esta montado

– Una vez terminado el escaneo borras el directorio donde se movieron los archivos
infectados.

TAMBIÉN LEER ESTO:

http://linuxitomex.wordpress.com/2010/01/28/como-eliminar-archivos-con-virus-de-windows-desde-gnulinux/

Tienes instalada alguna Distro de GNU/ Linux en tu PC y también tienes Windows instalado con un Dual Boot y tu sistema de las Ventanas se infecto con un virus y no sabes que hacer, ademas de que la licencia de tu Antivirus ya caduco hace bastante, pues te informo que puedes desinfectarlo desde Linux, esto gracias al Antivirus ClamAV, el cual un poderoso y versátil anti-virus libre para GNU/Linux y otros sabores de Unix. Pero como hacemos este escaneo y desinfección, lo hacemos de la siguiente forma:
“Todos los pasos abajo mencionados deberan de ser ejecutados como root.”

1.- Instalamos ClamAV ya sea con YUM o APT-GET (esto dependiendo de tu Distro que tengas instalada).

(debian, ubuntu):

  • sudo apt-get install clamav

(Fedora, OpenSuse, CentOS):

  • yum install clamav

2.- Ya instalado clamav, hacemos una actualizacion de la lista de definición de Virus:

  • freshclam

3.- Si no tenemos montada la partición y no sabemos como localizarla, la buscamos con el comando:

  • fdisk -l

Nos desplegara una lista parecida ha esta donde veremos nuestras particiones:

Disk /dev/sda: 160.0 GB, 160000000000 bytes

255 heads, 63 sectors/track, 19452 cylinders

Units = cylinders of 16065 * 512 = 8225280 bytes

Disk identifier: 0×41ab2316

Device Boot Start End Blocks Id System

/dev/sda1 1 5 40131 de Dell Utility

/dev/sda2 * 6 19046 152946832+ 7 HPFS/NTFS

/dev/sda3 19047 19452 3261195 db CP/M / CTOS / …

4.- En este caso identificamos que la partición esta NTFS de ese sistema incubador de virus esta en /dev/sda2 y ahora hay que montarlo de la siguiente forma

4.1.- Creamos un directorio donde sera montada la partición:

  • mkdir /media/windows

4.2.- Montamos dicha partición con el comando:

  • mount /dev/sda2 /media/windows

5.- Ahora ejecutamos el escaneo de la siguiente forma (esto tomara un tiempo, dependiendo de la capacidad de tu disco duro y todo lo que ya tengas usado de este)

    • mkdir /tmp/virus
  • clamscan -v -r –bell –move /tmp/virus –log /tmp/virus.log /media/windows

Las instrucciones de clamav arriba mencionandas son para lo siguiente:

    • -v: verbose – Imprime mucha información
    • -r: recursive – Revisa todos los archivos y directorios
    • –bell: bell – Hace un ruido cuando un virus es detectado
    • –move: Mueve los virus al directorio /tmp/virus/
    • –log: Guarda un log de todos los archivos en /tmp/virus.log
  • /media/windows: Este es el directorio a escanear donde tendremos nuestra particion de windows montada

6.- Ya por último borramos el directorio donde se movieron los archivos infectados, pero primero hay que ver cuales son los archivos entrando al directorio donde se movieron estos:

    • cd /tmp/virus
  • ls

Y ya que veamos los archivos los borramos

  • rm -rf /tmp/virus

“Si no tienes instalada alguna distro de GNU/Linux y quieres desinfectar ese sistema siguiendo este pequeño How-To, descarga un LiveCD ( http://www.ubuntu.com/ ) y ejecuta los pasos arriba mencionandos y si te gusta el sistema pues instalalo también y manda a volar a todos los virus no volviendolos a tener en tu computadora ya no usando mas a esa incubadora de virus llamada Windows.”

NOTA: Al ver los archivos infectados como vemos desde donde fueron movidos, pues revisamos el log del escaneo.

  • vi /tmp/virus.log

Ahi buscamos un archivos de los infectados y talves encontremos una linea como la siguiente:

  • /media/windows/Documents and Settings/User/Mis documentos/Portable_Infix_PDF_Editor_2050/Portable Infix PDF Editor 2050/Thinstall/Infix2/4000009b00002h/IEXPLORE.EXE: Trojan.IRCBot-3683 FOUND

Y ahi al ver que los archivos no son de importancia los borramos.

This entry was posted in Uncategorized. Bookmark the permalink.

One Response to Cleaning viruses since linux with clamav

  1. Pingback: Use SystemRescueCD to scan/clean viruses and to backup partitions | manoftherambla

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s