Hi

habe gerade den Virenscanner Clamxav am Laufen -

der Bursche findet den Word Virus " W97M.thus.gen-1".

So weit ich weiss, für uns nicht wirklich gefährlich aber ich will das Ding nicht an PC User weitergeben ...

Wie werde ich das Ding jetzt los ?

Leier kann ich nicht helfen, aber würde mich stark interessieren ob es eine Möglichkeit gibt, auf den Rechner (MAC) nach den Virus zu suchen ohne Clamxav?

Vielleicht hat jemand eine Idee.

Meinst du mit bord eigenen Mitteln? Eher nicht. Dafür brauchst du nun mal ein externes Programm.

bist du mit clamxav nicht zufrieden ? ist ne freeware und anscheinend nicht schlechter als die shareware norton

hat jemand gute erfahrung mit virenkillern gemacht?

am besten wäre natürlich n programm das die befallene datei einfach von der malware befreit -

ohne die datei jedoch in ihrem inhalt zu gefährden

wurde übrigens mit osx server standarmässig ausgeliefert und genutzt, einzig die deutchen engine updates hinken oft gehörig hinterher, afair.

performance war ok, sogar welten von intego virusbarrier(dem performance fresser) entfernt und norton ist sowieso indiskutabel…

on topic tippe ich auf einen schlichten word macro virus, der sowieso nur mit aktiven vba/macroscripten in office funktioniert, abhilfe wäre da schlicht office 2008 ohne automator angleichung, imho.

redbear:

Wie ist Dein ClamXav denn konfiguriert? Ist es so konfiguriert, dass infizierte Dateien bei Erkennung gleich automatisch in einen von Dir ausgewählten Quarantäne-Ordner verfrachtet werden? Ist es so konfiguriert, dass solche Dateien gleich automatisch gelöscht werden? Wird von ClamXav erstmal gar nichts gemacht?
Welche Datei ist überhaupt als infiziert erkannt worden bzw. wo liegt sie?

Wenn ClamXav nicht so konfiguriert ist, dass es da irgendwas automatisch machen soll, dann musst Du die Entsorgung einer solchen infizierten Datei wohl nachträglich von Hand erledigen, ClamXav hat Dir dann wohl nur Bescheid gesagt, dass da was ist, wo Du tätig werden solltest.

Mehr dazu sicher auch in der ClamXav-Hilfe/Dokumentation, im betreffenden Logfile, wo das ja alles mitprotokolliert wird, oder online in der Doku , .

Clamav ist der kostenfreie Standard im Unix-Bereich, was das angeht; Apple liefert sein MacOSX Server selber mit dieser Software aus und hat sowohl das "normale" MacOSX (das Du und ich verwenden) als auch MacOSX Server auf die Zusammenarbeit mit Clamav bereits vorbereitet (indem z.B. die versteckten Systemnutzer, die Clamav und ClamXav benötigen, um sicher zu laufen, bereits in jedem MacOSX vorangelegt sind -- egal, ob Clamav/ClamXav nun installiert sind oder nicht).

was haltet ihr von virus barrier x5 ???

1. Hast Du nur die Datei mit ClamXav gescannt, oder die ganze Festplatte? Falls Du nur eine oder ein paar Dateien gescannt hast, scanne am Besten noch die ganze Platte (wichtig ist vor allem die Vorlagendatei "normal.dot").
2. Das ist ein Makrovirus, wenn Du in den Office-Programmeinstellungen die Ausführung von Makros deaktivierst, kannst Du die Datei(en) öffnen und das Makro entfernen. Wichtig ist dabei, sicherzustellen, dass "normal.dot" nicht infiziert ist, denn so verbreitet sich Dein Schädling.
3. Woher hast Du die Datei? Der Absender sollte ebenfalls was gegen seinen "Schädlingsbefall" unternehmen.

das automatische verfrachten der daten in einen quarantänte ordner hat manchmal n haken :


das kann zu problemen mit 'mail' führen ...

die annahme, dass es sich um einen macro handelt ist korrekt

wie gleicht man denn office 2008 an ? lizenz kaufen ?

wowbagger : wo finde ich normal.dot ?

im moment wird der mein benutzerordner gescannt...

Am Besten in der Hilfe nachschauen, ich habe keine Ahnung, ob sich der Speicherort bei unterschiedlichen Office-Versionen unterscheidet. Bei meinem uralten Office v.X. liegt die Datei unter "/Programme/Microsoft Office X/Vorlagen"

Ich kann mich erinnern – vor eine paar Jahren - dass ClamXav mein System stark verlangsamt hat und ich wollte daher darauf verzichten.

Interessant wäre zu wissen ob man einfach einmal das ClamXav Starten kann und danach diese Löschen ink. aller dazugehörigen Daten.

Im Übrigen:

Sehr löblich! Und vorausschauend (mit)gedacht!

Denn gerade heute wieder darf man solch eine Meldung lesen:
heise online: Freie Bahn für Spam vom Klimagipfel

Das stimmt. Deshalb ist es auch per Voreinstellung erstmal nicht aktiviert und muss vom Benutzer extra aktiviert werden. Natürlich nicht ohne zuvor die entsprechenden (Warn-)Hinweise, die danebenstehen gelesen und verstanden zu haben, warum, wieso, weshalb. Zumindest in der 1.x-Version von ClamXav stehen sie noch neben den Häkchen und in der Programmhilfe. Bei der 2beta-Version stehen da keine Warnhinweise mehr, und die Programmhilfe scheint noch nicht fertig zu sein. In jedem Fall erfährt man mehr dazu in der Online-Hilfe von ClamXav:

ClamXav Quickstart Guide ,
ClamXav Preferences und
ClamXav Sentry

Siehe im Guid für die Preferences hierzu der Abschnitt "Quarantine infected files to".

Das Thema dürfte aber wohl seit Leopard obsolet bzw. zumindest entschärft sein, weil Mail.app seit Leopard die emails nicht mehr in einer einzigen mbox-Datei ablegt, sondern einzeln ablegt in einzelnen Dateien pro email, die dann im emlx/mbox-Format sind.

Wenn dann also eine Datei per Automatik in die Quarantäne geschickt wird oder gelöscht wird, so war in der Vor-Leopard-Ära tatsächlich das Risiko, dass man damit dann seine kompletten Mails verlieren konnte, weil eben alle emails in einer einzigen mbox-Datei zusammengefasst waren/sind. Und da seit Leopard die emails alle je eine einzelne emlx/mbox-Datei pro hereingekommender email sind (und Attachments zumindest bei IMAP-Konten getrennt abgelegt werden können), ist der Schaden also dann nur auf diese eine infizierte Datei bzw. email beschränkt, wenn sie in Quarantäne geschickt wird (also in einen abgesonderten Ordner zur weiteren Begutachtung und Entscheidung des Benutzers verfrachtet wird) und nicht mehr komplett alle vorhandenen emails.

Und das wird wohl auch ein möglicher Grund sein, warum der Sicherheitshinweis in der Version 2beta von ClamXav bisher fehlt: weil das Problem seit der Mail-Version, die seit Leopard eingesetzt wird, so nicht mehr vorhanden ist bzw. auf ein Minimum reduziert ist durch die Art und Weise, wie in Mail emails seitdem gespeichert werden.

kannst du,
das ClamXav-Sentry (die automatische Überwachung aller Dateien) habe ich nicht eingerichtet, da es meinen Mac auch ausbremst.

Du kannst aber ClamXAV genauso nutzen, wenn Du eben den Scan per Scheduler oder von Hand auslöst.

barbagianni:

Ja, kannst Du, siehe:
ClamXav FAQ: How do remove ClamXav and the associated engine

Zudem liegt dasselbe dort genannte Uninstaller-Skript namens REMOVE_engine.command dem Installer-Paket von ClamXav bei, um alle zu ClamAv zugehörigen Dateien, die in den Unix-Verzeichnissen (z.B. /usr/local/clamXav) abgelegt worden sind, auf Wunsch ggf. automatisch entfernen zu lassen.

Du KANNST Sentry benutzen, Du musst es aber nicht. Du KANNST, wenn Du Sentry benutzt, alle Ordner bzw. den ganzen Rechner überwachen lassen, Du musst es aber nicht. Du kannst Sentry auch ganz einfach sagen bzw. es so konfigurieren, dass es nur bestimmte, ausgesuchte Ordner regelmäßig scannen soll bzw. überwachen und erst dann scannen soll, wenn dort eine Datei reingelegt wird (ich weiß grad' gar nicht, was die Default-Einstellung ist, ich glaube, standardmäßig ist da erstmal kein einziger zu überwachender Ordner vorkonfiguriert). Verbreitet und sicher sinnvoll sind z.B. die Ordner ~/Desktop und ~/Downloads, vielleicht noch ~/Documents. Reicht doch eigentlich schon als sinnvolle Minimal-Konfiguration. Da wird zumindest bei mir eigentlich nichts groß ausgebremst, jedenfalls nicht so spürbar, dass es sich lohnt darüber zu meckern.

Und dann wahlweise dazu als Schedule dann meinetwegen in Zeiten, wo der Rechner nix zu tun hat oder nachts oder einmal in der Woche oder einmal im Monat dann eben den kompletten Heimordner ~/ oder sogar auch mal die ganze Festplatte für den, der es mal ab und zu GANZ gründlich haben will.

Aber die genannte Minimal-Überwachung, die für viele Situationen ja eigentlich schon ausreichend ist mit vielleicht ein, zwei drei Ordnern die von Sentry überwacht werden, die bremst eigentlich nix groß aus.

Vielen dank für die ausführliche Informationen.