ClamAV Test

[ottosykora]

an alle überzeugten Verfechter von ClamAV (AntivirusEssential)

ich habe gerade ClamAV mit so neuen 'Signaturen' wie möglich an einem neuen W11 Pc versucht, ab Heisse Desinfect Stick.
Resultat nach ca 15 Minuten:
12 Ransomware
480 Trojaner und sonstigem Malware

bitte ehrlich: wozu soll dies wirklich verwendet werden?

 

[maxblank]

Vielleicht dein Windows Image nicht von Deskmodder ziehen?
Nee, im Ernst. Das ist natürlich ein Ergebnis, zumindest unter Windows, was so gar nicht geht.

Hast du davon Screenshots?

 

[ottosykora]

scrn habe ich nicht, habe es nach ca 15min abgestellt, habe nicht Zeit um ewig so was anzuschauen

 

[maxblank]

Also ich habe das auf meinem Alltagsrechner und einer neu aufgesetzten VM installiert und ClamAV scannt seit ca. 9.30 Uhr.
Bisher nicht ein einzelner Fund von Malware, Viren oder Sonstigem. An deiner Stelle würde ich mir dein System mal näher anschauen. Irgendetwas passt da nicht so ganz.

Wenn da bereits nach 15 Minuten so viele Funde waren, kannst du es ja nochmals kurz laufen lassen und gerne einen Screenshot nachreichen.

ClamAV ist einer der meistverbreitesten OpenSource-Scanner der Welt, vor allem Standard bei unioxiden Betriebssystemen, Sicherheitssystemen auf Appliances und Docker. Wenn der, wie von dir angegeben, immer so viele Fehlalarme produzieren würde, wäre dies nicht der Fall. Alleine bei Docker Hub hat der über 50 Millionen Docker-Pulls.

 

[maxblank]

Das ist das Ergebnis meiner VM, die ich für diesen Test neu aufgesetzt habe. Wenn du so viele Meldungen auf deinem System hattest, stimmt damit etwas nicht.

----------- SCAN SUMMARY -----------
Known viruses: 8708924
Engine version: 1.5.1
Scanned directories: 33489
Scanned files: 137916
Infected files: 0
Total errors: 183
Data scanned: 15.27 GiB
Data read: 27.28 GiB (ratio 0.56:1)
Time: 25925.650 sec (432 m 5 s)
Start Date: 2025:11:27 10:01:15
End Date:   2025:11:27 17:13:20

__________________________________________________________________________________________________________

Bei der Gelegenheit habe ich auch noch ein PowerShell-Script geschrieben, welches die aktuellen Virendefinitionen und Datenbanken aktualisiert ohne das man in die Console abtauschen muss. Danach wird der Scan gestartet, man kann den Status beobachten und abschließend kommt eine textbasierte Zusammenfassung inklusive Log-Datei. ClamAV ist eigentlich ein Kommandozeilen-Tool und nur darüber zu administrieren.

Spoiler: PowerShell Script für ClamAV unter Windows Aktualisierung, Start und Zusammenfassung

# ClamAV-FullScan.ps1
# PowerShell-Skript für ClamAV unter Windows

# === Einstellungen =============================

# Pfad zur ClamAV-Installation
$clamAvPath = "C:\Program Files\ClamAV"

# Welche Laufwerke/Ordner sollen gescannt werden?
$scanPaths = @("C:\")

# Wohin sollen die Logs?
$logRoot = "$env:ProgramData\ClamAV\logs"

# ==============================================

# Sicherstellen, dass das Log-Verzeichnis existiert
if (-not (Test-Path -Path $logRoot)) {
    New-Item -ItemType Directory -Path $logRoot -Force | Out-Null
}

$timestamp = Get-Date -Format "yyyyMMdd_HHmmss"
$logFile   = Join-Path $logRoot "clamscan_$timestamp.log"

Write-Host "ClamAV-Skript gestartet..."
Write-Host "Logfile: $logFile"
Write-Host ""

# Pfade zu den EXE-Dateien
$freshclamExe = Join-Path $clamAvPath "freshclam.exe"
$clamscanExe  = Join-Path $clamAvPath "clamscan.exe"

if (-not (Test-Path $freshclamExe)) {
    Write-Host "Fehler: freshclam.exe wurde nicht gefunden unter: $freshclamExe"
    exit 2
}

if (-not (Test-Path $clamscanExe)) {
    Write-Host "Fehler: clamscan.exe wurde nicht gefunden unter: $clamscanExe"
    exit 2
}

# === 1) Signaturen aktualisieren =========================
Write-Host "Aktualisiere Virendefinitionen (freshclam)..."

# freshclam ausführen und Ausgabe ins Log schreiben
& $freshclamExe 2>&1 | Tee-Object -FilePath $logFile -Append

$freshclamExit = $LASTEXITCODE

if ($freshclamExit -ne 0) {
    Write-Host "WARNUNG: freshclam konnte die Signaturen nicht aktualisieren (ExitCode $freshclamExit)."
    Write-Host "Es wird trotzdem mit den vorhandenen Signaturen gescannt."
    Add-Content -Path $logFile -Value "WARNUNG: freshclam-Update fehlgeschlagen (ExitCode $freshclamExit). Scan läuft mit vorhandenen Signaturen.`r`n"
}

# === 2) Scan vorbereiten =================================
Write-Host "Starte ClamAV-Scan..."

$scanArgs = @(
    "-r"          # rekursiv
    "-i"          # nur infizierte Dateien melden
)

# Scan-Pfade anhängen
$scanArgs += $scanPaths

# === 3) Scan ausführen ===================================
# WICHTIG: clamscan schreibt NICHT selbst ins Log, nur Tee-Object!
& $clamscanExe $scanArgs 2>&1 | Tee-Object -FilePath $logFile -Append

$exitCode = $LASTEXITCODE

# === 4) Ergebnis auswerten ===============================
$statusText = ""
switch ($exitCode) {
    0 { $statusText = "Keine infizierten Dateien gefunden."; break }
    1 { $statusText = "Infizierte Dateien gefunden! Bitte Log prüfen."; break }
    2 { $statusText = "Scanfehler aufgetreten. Details im Logfile."; break }
    default { $statusText = "Unbekannter ExitCode: $exitCode. Logfile prüfen."; break }
}

Write-Host ""
Write-Host "=== ClamAV Scan beendet ==="
Write-Host "Status: $statusText"
Write-Host "Logfile: $logFile"

# === 5) Popup-Benachrichtigung anzeigen ==================
try {
    Add-Type -AssemblyName System.Windows.Forms | Out-Null
    [System.Windows.Forms.MessageBox]::Show(
        "Status: $statusText`nLog: $logFile",
        "ClamAV-Scan beendet",
        [System.Windows.Forms.MessageBoxButtons]::OK,
        [System.Windows.Forms.MessageBoxIcon]::Information
    ) | Out-Null
} catch {
    # Falls keine GUI verfügbar ist, einfach ignorieren
}

exit $exitCode