Você realmente precisa de algum tipo de sistema HIDS para ser executado em conjunto com o clamav.
O clamav é notório por "falsos positivos" e você pode facilmente encontrar muitos posts em toda a internet, testemunhando que esses falsos positivos podem ser ignorados ...
MAS ...
A Clamav tem um mecanismo para relatar falsos positivos se você acredita ter um falso positivo - link
Embora ignorar falsos positivos seja uma prática comum, vou apenas adicionar um pequeno detalhe / cuidado / sugestões ...
Você precisa começar com um bom sistema conhecido, como uma nova instalação. Você então instala e configura algum tipo de HIDS (OSSEC, AIDE, ...).
Veja link ou uma pesquisa no google por opções.
Você então corre clamv e investiga falsos positivos.
Você pode determinar se um pacote instalou um arquivo, em uma nova instalação, você meio que tem que assumir que esses arquivos estão limpos. Você não tem que fazer tal suposição, mas então você entra em um buraco negro profundo de paranoia e se você não confia nos repositórios do Ubuntu você está em meio a um monte de trabalho com os pés fora do portão.
Você verifica um arquivo com debsums
sudo debsums -ac
Veja ou a página de manual do debsums link para mais detalhes .
Você está começando com um bom sistema conhecido e sabe o que o clamav reporta com uma instalação limpa e atualizada.
Quando você roda o clamav, você pode compará-lo à sua nova instalação via debsums e HIDS.
Você atualiza o HIDS e sua lista clamav de falsos positivos conhecidos após cada atualização e instalação do pacote, confirmando o debsums.
Se você tiver um alerta do clamav, verá o histórico do arquivo em HIDS e debsums para determinar se o arquivo está (ainda) intacto / um falso positivo ou se houve uma alteração inesperada nos arquivos.
Compreendo perfeitamente o que estou sugerindo é muito complicado, e muitas pessoas não fazem todos esses passos, mas ...
Se você não vai investigar o que o clamav está guiando você a investigar, por que rodar o clamav?