Mit diesem Post laufe ich Gefahr, Dinge zu wiederholen. Aber das liegt in der Natur der Sache. Tomtomtom hat im Prinzip alles gesagt, was es zu sagen gibt. Ich möchte nur noch einmal rekapitulieren, wie viel hier durcheinandergegangen ist.
Zunächst mal: Du benutzt ClamAV. Wenn du mal in unser Wiki schaust, dann siehst du direkt in der Einleitung des Artikels
Daher ist ein Virenscanner für eine GNU/Linux-Desktopinstallation nicht wirklich notwendig. ClamAV eignet sich aber trotzdem sehr gut für heterogene Umgebungen (z.B. parallele Installationen von GNU/Linux und Windows, in denen Dateien unter GNU/Linux heruntergeladen und geprüft werden, bevor sie an Windows "weitergereicht" werden), zum Prüfen von Mailanhängen oder zum Einsatz in Kombination mit Dritt-Programmen wie z.B. Samba oder einem Mail-Server.
Um es also (nochmal) ganz deutlich zu sagen: Es geht bei diesem Virenscanner nur und ausschließlich darum, Schadsoftware zu identifizieren, die zwar auf dem eigenen System keinen Schaden verursachen kann, aber direkt an Windows-Systeme weitergereicht wird. Wenn du also nicht gerade einen Samba- oder Mailserver betreibst, kannst du schlichtweg keinen Nutzen aus der Software ziehen.
Es ist auch schlichtweg nicht möglich, dass eine hypothetische Malware (es ist keine da!) nach folgendem Szenario auf deinen Windows-Rechner kommt
Möglicherweise gelangen die auf irgendeinem Weg vom mime cache zu meinem Windows.
Keine Chance. Wenn da wirklich Malware wäre (es ist keine da!), die unter Windows lauffähig ist, dann ist sie unter Linux nicht lauffähig. Sprich, sie kann nur aus einer laufenden Windows-Instanz heraus ausgeführt werden. Das würde bedeuten, dass Windows das Linux-ext4-Dateisystem lesen können müsste (1), das auch tut (2) und (3) die Malware so entworfen ist, dass sie sich auf einem Linux Betriebssystem einnistet, um dann ein paralleles Windows zu befallen. Und das ist vollkommen absurd. Wenn ich eine Malware scheiben will, dann gehe ich durch die offene Vordertür (Windows), anstatt durch die gut gepanzerte Hintertür (Linux) einzubrechen, nur, um dann dem Kollegen dann von innen die ohnehin nur angelehnte Vordertür aufzumachen. ☺
Du kannst ja auch nochmal in anderen Quellen nachlesen. Bei Debian heißt es (meine Hervorhebung):
There are not many anti-virus tools included with Debian GNU/Linux, probably because GNU/Linux users are not plagued by viruses. The Unix security model makes a distinction between privileged (root) processes and user-owned processes, therefore a "hostile" executable that a non-root user receives or creates and then executes cannot "infect" or otherwise manipulate the whole system. However, GNU/Linux worms and viruses do exist, although there has not (yet, hopefully) been any that has spread in the wild over any Debian distribution. In any case, administrators might want to build up anti-virus gateways that protect against viruses arising on other, more vulnerable systems in their network.
Es gibt Malware für Linux (klar!), aber die verbreitet sich nicht auf diese epidemische Weise wie unter Windows. Deshalb ist eine "anti-epidemische" Maßnahme wie ein Virenscanner sinnlos, kann aber nützlich sein, wenn es um die Weitergabe von Dateien an andere Systeme (gemeint ist Windows) geht.
Das deckt sich vollkommen mit der Beschreibung hier im Wiki.
Also erster Punkt: Du hast eine Software installiert, die für deinen Anwendungsfall nicht gedacht ist. Lösung:
sudo apt-get remove clamav clamav-freshclam
Und eigentlich könnten wir an dieser Stelle aufhören. Wir machen jetzt mal spaßeshalber weiter. Und dazu gucken wir erstmal bei ClamAV selbst. Sie schreiben (wieder meine Hervorhebung):
What is PUA? I get a lot of false positives named PUA.
With the release of ClamAV 0.91.2 we introduce the option to scan for Potentially Unwanted Applications.
The PUA database contains detection for applications that are not malicious by itself but can be used in a malicious or unwanted context. As an example: A tool to retrieve passwords from a system can be useful as long as the person who uses it, is authorized to do so. However, the same tool can be used to steal passwords from a system. To make use of the PUA database you can use the –detect-pua switch for clamscan or enable it in the config file for clamd (add: DetectPUA yes).
At this point we DO NOT recommend using it in production environments, because the detection may be too agressive and lead to false positives. In one of the next releases we will provide additional features for fine-tuning allowing better adjustments to different setups. NOTE: A detection as PUA does NOT tell if a application is good or bad. All it says is, that a file MAYBE unwanted or MAYBE could compromise your system security and it MAYBE a good idea to check it twice.
Also: PUA-Erkennung kann zu falschen Positivergebnissen führen und wird in Produktivumgebungen deshalb nicht empfohlen.
Wir halten fest. Du hast...
unnötige Software installiert
eine für Produktivumgebungen nicht empfohle Option aktiviert
ein falsches Postivergebnis bekommen
Außerdem hast du diesen und diesen und diesen Hinweis auf ein falsches Positivergebnis nicht zur Kenntnis genommen. Es gibt tatsächlich überhaupt nicht einen Hinweis darauf, dass es wirklich eine Malware ist - außer eben ähnlich verunsicherte Menschen wie du, die in anderen Foren dieselbe Diskussion führen - mit demselben Ergebnis.
Weiterhin gilt als Lösung:
sudo apt-get remove clamav clamav-freshclam
Alles andere ist schlichtweg Unsinn. Selbst, wenn du einen vernünftigen Grund hättest, ClamAV zu betreiben (hast du nicht!), wäre die Herangehensweise, ClamAV das false positive zu melden. Das Ziel der Löschereiaktionen ist ja nicht, irgendeine Malware zu entfernen (da ist keine!), sondern die Meldung abzustellen. Und die Meldung stellt man ab mit
sudo apt-get remove clamav clamav-freshclam
, nicht dadurch, dass du willkürlich Dateien aus deinem System löschst, für die eine Software, die auf deinem System nicht eingesetzt werden sollte behauptet, sie hätte ein für ein vollkommen anderes Betriebssystem möglicherweise unerwünschte Software gefunden (was ja nicht der Fall ist!).
Generell solltest du unbedingt vom Windows-Denken runterkommen. Wenn ich so Sachen lese wie...
Die Firewall wurde eingeschaltet
Die Befehle wurden in allen möglichen Schreibweisen nicht ausgeführt, da unbekannt.
Dann wurde Firefox per Synaptics Paketverwaltung deinstalliert und durch Chrome ersetzt!
Reinigung per autoremove
Dies habe ich bereits mit bleachbit as root gemacht.
Dann kann ich das nachvollziehen, wieso du meinst, sowas tun zu müssen, aber du überträgst hier Windows-Verhaltensweisen auf Linux und die gehören hier nicht hin. Ebensowie ein Virenscanner ein ganz spezifisches Schutzziel hat, hat eine Firewall ein Schutzziel: unerwünschte Verbindungen zu unterbinden. Wenn du unerwünschte ausgehende Verbindungen hast, dann kannst du deiner eigenen Software auf dem Systen nicht trauen. Wenn du der aber nicht trauen kannst (du merkst, es geht doch um Vertrauen!), dann solltest du sie von vornherein nicht installieren. Wenn du unerwünschte eingehende Verbindungen verhindern willst, dann wäre die sinnvollste Möglichkeit, gar nicht auf eingehende Verbindungen zu warten (was die Voraussetzung ist, damit eine Firewall überhaupt irgendetwas blockieren kann). Unter Windows sind standardmäßig Ports offen, unter Ubuntu nicht. Sprich: Eine Firewall hat nullkommanullüberhauptnixkeinen Mehrwert. Das ist so, wie wenn jemand vor die Berliner Mauer eine Tür gestellt und abgeschlossen hätte: Dahinter wäre eh zu gewesen!
Auch solche Reinigungstools wie bleachbit sind nicht nützlich, sondern gefährlich. Ironischerweise heißt es gleich im allerersten Absatz in unserem Wiki (meine Hervorhebung):
Bleachbit sollte nie mit Administratorenrechten gestartet werden, da eine unbedachte Nutzung das System und auch Benutzerdaten gefährden kann.
und
Speziell bei KDE kann das Programm schwerwiegende Funktionsstörungen zur Folge haben, da es wichtige Systemressourcen löscht [...]
Es ist also bei dir genau das eingetreten, was prophezeit wurde.
Ich will damit gar nicht darauf hinaus, dir sämtliche Fehler aufzuzeigen, die du gemacht hast (wir machen alle Fehler, ständig), sondern darum, dass die Vermutung, du hättest Malware auf deinem System nur ein Symptom tief verankerten Windows-Denkens und -Handels ist, dass sich in sämtlichen Details deiner Posts wiederfindet.
Also, um das nochmal zu bekräftigen: Lies die Links hier im Thread und dann, wenn du es nicht schon getan hast, führe
sudo apt-get remove clamav clamav-freshclam
aus.
