Исходные: Linux Arch
1. Установка пакетов
sudo pacman -S clamav
2. Инициализация базы
Создаём конфиг и обновляем сигнатуры:
sudo freshclam
Если ругнётся на конфиг - раскомментируй строку DatabaseMirror:
sudo nano /etc/clamav/freshclam.conf
Убедись, что НЕ закомментировано:
DatabaseMirror database.clamav.net
3. Обновление базы (ручное)
sudo freshclam
4. Быстрая проверка файлов
Проверить файл:
clamscan file
Проверить каталог рекурсивно:
clamscan -r /path
Только заражённые:
clamscan -r --infected /path
5. Проверка всей системы
(медленно, но эффективно)
sudo clamscan -r --infected --bell -i /
6. Демон сканера (быстрее для частых проверок)
Включить сервис:
sudo systemctl enable clamav-daemon
sudo systemctl start clamav-daemon
Сканирование через демон:
clamdscan /path
⚔️ Полезные флаги:
--remove=yes # удалить заражённые
--move=/quarantine
--exclude-dir="^/sys"
Возможные ошибки
Если получил такое:
ClamAV update process started at Wed Mar 4 12:31:56 2026
daily database available for download (remote version: 27930)
Time: 1.0s, ETA: 0.0s [========================>] 4.41KiB/4.41KiB
WARNING: Can't download daily.cvd from https://database.clamav.net/daily.cvd
WARNING: FreshClam received error code 403 from the ClamAV Content Delivery Network (CDN).
This could mean several things:
1. You are running an out-of-date version of ClamAV / FreshClam.
Ensure you are the most updated version by visiting https://www.clamav.net/downloads
2. Your network is explicitly denied by the FreshClam CDN.
In order to rectify this please check that you are:
a. Running an up-to-date version of FreshClam
b. Running FreshClam no more than once an hour
c. Connecting from an IP in a blocked region
Please see https://www.cisco.com/c/m/en_us/crisissupport.html
d. If you have checked (a), (b) and (c), please open a ticket at
https://github.com/Cisco-Talos/clamav/issues
and we will investigate why your network is blocked.
Please provide the following cf-ray id with your ticket: 9d6fdef31d97e84c-DME
WARNING: You are on cool-down until after: 2026-03-05 12:31:57
ERROR: Database update process failed: Forbidden; Blocked by CDN
ERROR: Update failed.
То, проще обновиться вручную: Это серверная блокировка Cloudflare у ClamAV - смена proxy уже не поможет. Есть обход.
1. Скачать базы вручную
sudo mkdir -p /var/lib/clamav
cd /var/lib/clamav
sudo curl -O https://database.clamav.net/main.cvd
sudo curl -O https://database.clamav.net/daily.cvd
sudo curl -O https://database.clamav.net/bytecode.cvd
Права:
sudo chown clamav:clamav /var/lib/clamav/*
2. Проверить
clamscan --version
Если база подхватилась — увидишь версии сигнатур. Пример:
work# clamscan --version
ClamAV 1.5.1/27930/Wed Mar 4 10:24:08 2026
3. Запустить сервис обновления
(чтобы завтра он сам обновился)
sudo systemctl enable clamav-freshclam
sudo systemctl start clamav-freshclam
4. Проверка
clamscan -r --infected /home
или быстрее через демон:
clamdscan /home
Флаги сканирования
Для полного и жёсткого сканирования ClamAV по /home можно включить почти все полезные флаги.
Максимально полный запуск
clamscan -r /home \
--infected \
--bell \
--archive-verbose \
--detect-pua \
--detect-broken \
--scan-mail \
--scan-pdf \
--scan-archive \
--scan-elf \
--scan-ole2 \
--scan-html \
--scan-pe \
--scan-swf \
--scan-xmldocs \
--heuristic-alerts \
--heuristic-scan-precedence \
--bytecode \
--bytecode-unsigned \
--gen-json \
--log=/var/log/clamav/full_scan.log
Что включено Флаг Что делает
-r рекурсивный обход
--infected вывод только заражённых
--detect-pua потенциально нежелательный софт
--archive-verbose разбор архивов
--scan-elf Linux бинарники
--scan-pe Windows PE
--scan-pdf PDF
--scan-mail email базы
--scan-html HTML / JS
--heuristic-alerts эвристика
--bytecode bytecode сигнатуры
--gen-json JSON вывод
--log лог сканирования
Если нужно максимально параноидальное сканирование
(включая глубину архивов)
clamscan -r /home \
--infected \
--detect-pua \
--max-filesize=200M \
--max-scansize=500M \
--max-recursion=25 \
--max-files=100000 \
--heuristic-alerts \
--scan-archive \
--archive-verbose
Если нужно автоматически удалять вирусы
clamscan -r /home --infected --remove=yes
или карантин:
clamscan -r /home --infected --move=/quarantine
Маленький трюк (ускоряет ×10):
использовать демон:
clamdscan -r /home --infected
потому что clamscan каждый раз заново грузит базу сигнатур.
Папка должна существовать заранее, иначе ClamAV не сможет переместить файл.
- Создать карантин
Обычно делают в /var/lib/clamav или /var/quarantine.
Надёжный вариант:
sudo mkdir -p /var/quarantine/clamav
sudo chown -R clamav:clamav /var/quarantine/clamav
sudo chmod 700 /var/quarantine/clamav
- Запуск сканирования
sudo clamscan -r /home --infected --move=/var/quarantine/clamav
- Проверить карантин
ls -lh /var/quarantine/clamav
Файлы туда перемещаются с тем же именем.
⚠️ Важный момент
Если сканируешь без sudo, ClamAV не сможет:
читать чужие файлы
перемещать их в системный каталог
Поэтому обычно запускают:
sudo clamscan -r /home --infected --move=/var/quarantine/clamav
Маленький хак
Чтобы видеть что именно он делает:
sudo clamscan -r /home --infected --move=/var/quarantine/clamav --verbose