Pour désinfecter le PC d'un client, voici la procédure que nous utilisons le plus souvent :
- Préparer un LiveCD qui contient une version récente de ClamAV. Nous avons l'habitude d'utiliser l'excellent System Rescue CD qui a l'avantage d'être régulièrement mis à jour.
- Démarrer le PC infecté avec le CD.
- Monter les partitions du disque dur à scanner après leur avoir créé des répertoires de montage
exemple :
mkdir /mnt/disque1 /mnt/disque2
mount /dev/sda1 /mnt/disque1
mount /dev/sda5 /mnt/disque2
Attention: pour les partitions NTFS il sera probablement nécessaire de remplacer mount par ntfs-3g. - Créer un répertoire de "quarantaine" sur le disque dur pour y déplacer les fichiers infectés et y mettre le rapport de l'analyse.
exemple :
mkdir /mnt/disque2/virus - La commande pour analyser les disques est :
clamscan -r /mnt/disque*
(-r pour analyser les sous-répertoires, sinon il analyse seulement la racine)
mais il vaut mieux ajouter les options suivantes :
-i pour ne pas afficher les fichiers qui ne sont pas infectés (ne pas la mettre si on veut les afficher)
--bell pour faire un bip quand un virus est trouvé (ne marche pas toujours)
-l /mnt/disque2/virus/rapport.txt pour créer un fichier de rapport d'analyse
--move=/mnt/disque2/virus pour déplacer les fichiers infectés dans le répertoire de quarantaine (si on veut les supprimer directement, il y a l'option --remove mais c'est déconseillé)
Ce qui donne au final :
clamscan -i --bell -l /mnt/disque2/virus/rapport.txt -r --move=/mnt/disque2/virus /mnt/disque*
- si on a une mise à jour plus récente :
-d /mnt/flashdisk/maj
(/mnt/flashdisk/maj étant le répertoire contenant les fichiers main.cvd et daily.cvd) - --exclude=pagefile.sys empêche d'analyser le fichier pagefile.sys
- --max-filesize=20m empêche d'analyser les fichiers de taille > 20 Mo