Видаліть каталог RECYCLER з флешки, зараженої вірусом

Перш ніж ви порадити мені можливість збереження моїх файлів та форматування диска за допомогою gparted , будь ласка, зрозумійте, що я міг би зробити це за години назад, і це займе лише кілька хвилин. Власне, я хочу зрозуміти, що тут насправді відбувається. Ситуація руйнує весь мій досвід, накопичений за ці роки.

У мене склалося враження, що якщо я вставив на свою машину Ubuntu флешку, заражену вірусом, все, що мені потрібно зробити, - це просто видалити вірусні файли, і мені добре йти.

Сьогодні я зібрав декілька файлів на флеш-диску, відформатованій NTFS, із машини Windows, повністю знаючи, що машина заражена вірусом. Коли я вставив флешку на свою машину, я виявив, що вона справді зібрала багато файлів і папок. Я видалив більшість із них. Єдиний, що демонструє жорстку стійкість, - це каталог RECYCLER (та його підкаталоги).

Атрибути цього каталогу.

drwx------ 1 masroor masroor 4.0K May  7 16:01 RECYCLER/

Якщо я виконую rmкоманду,

sudo rm -rvf RECYCLER/

Я отримую довгий результат у рядку,

rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl': Input/output error
<rest snipped>

Що цікаво, вищезазначені файли відображаються lsкомандою з деяким безліччю наборів атрибутів.

ls -l RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe: Input/output error
ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl: Input/output error
total 0
-????????? ? ? ? ?            ? OagFrAIX.exe
-????????? ? ? ? ?            ? viJbcvrJ.cpl

Якщо спробуйте знайти атрибути цих порушень,

ls -dl RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Я отримав,

drwx------ 1 masroor masroor 4096 May  7 15:58 RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Команда chmodзробити так, щоб ця папка RECYCLER не була спробована для запису.

sudo chmod -vR ugo+w RECYCLER/

Вихід знаходиться в рядку.

mode of `RECYCLER/' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
mode of `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
chmod: cannot access `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
<snipped>

Ці папки містили ряд .exeта інших файлів, більшість з яких я вже успішно видалила (крім вищезгаданих).

Якщо я перевіряю атрибути однієї з цих папок,

lsattr -ad RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

я отримав

lsattr: Inappropriate ioctl for device While reading flags on RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Я працював clamtkна цьому пристрої, як тут запропоновано . Однак загрозу не вдається знайти.

Я розумію, що я можу просто зберегти вміст флешки десь і потім відформатувати його. Однак мені більше цікаво дізнатися, які атрибути були встановлені в цих папках, які чинять опір подальшим змінам. (І, безумовно, я хочу також продезінфікувати свою флешку.)

ОНОВЛЕННЯ 1

Далі до коментаря від Patro .

1. Коли папки відвідуються, ці файли з безліччю атрибутів не відображаються, навіть коли я намагаюся розглянути їх як приховані файли.
2. Видалення цих файлів не вдається. Команда rm -rvf *всередині каталогу S-2-4-27-3777257131-1806073332-421880436-8537не вдається з помилкою введення / виводу.

ОНОВЛЕННЯ 2

Після коментарів з soulsource та girardengo я спробував запустити ntfsckі ntfsfix. Також це питання допомогло.

Ось результати.

ntfsck

sudo ntfsck  /dev/sdc1

Unsupported: replay_log()
Unsupported: check_volume()
Checking 7796 MFT records.
Unsupported cases found.

ntfsfix

sudo ntfsfix -d /dev/sdc1

Mounting volume... OK
Processing of $MFT and $MFTMirr completed successfully.
NTFS volume version is 3.1.
NTFS partition /dev/sdc1 was processed successfully.

Але початкова ситуація все ще зберігається. Поліпшення не відбулося.

ОНОВЛЕННЯ 3 (РІШЕНО)

Як зазначено в цій публікації , я вставив свій привід у машину Windows і виконав (з терміналу),

chkdsk <drive letter> /R

Була шквал заходів щодо перевірки та ремонту. Було кілька повідомлень і про погані сектори. Завдання було закінчено менше ніж за хвилину. Потім я виявив, що створені нові папки для відновлених областей.

Я знову встановив флешку на машину Linux, і папку RECYCLER можна було без проблем видалити.

Як доданий крок, тепер я відформатував накопичувач (використовуючи gparted, NTFS), оскільки думаю, що я отримав своє розуміння.

Схоже, вірус справді здатний викликати (тимчасові / м'які) апаратні проблеми. Будь ласка, дивіться вищезгаданий пост для детального технічного пояснення.

Гаразд, я повинен зрозуміти кілька речей тут:

1. Частина реверсивної інженерії про NTFS тут не застосовується, особливо для форматованої флеш-пам’яті NTFS. Навіть якби це було, це було б щось справді не нормальне. Я працював з багатьма флеш-накопичувачами у форматі NTFS, відформатованими в Windows XP, Vista, 7 та 8.

   Отже, проблема з неправильним виявленням NTFS в Linux не в цьому. Проект NTFS-3G не повільний і не сумісний з цим рівнем, можна навіть побачити, що останнє оновлення було пару місяців тому цього ж року . Звичайно, час від часу виникає кілька питань, таких як підтримка кешування та величезне використання процесора, але, як я вже сказав, для Flash Drive це буде щось дуже навряд чи відбудеться з дуже маленьким шансом ..

2. У мене були подібні проблеми із флешками, які показували або ????? символи або зовсім неправильні символи (EG:! @ #% $ @% # @ замість імені файлу). Деякі користувачі рекомендують використовувати ntfsfixабо , ntfckале якщо ви не можете виправити їх з цим запустити CHKDSK на Windows , на диску. Запис / файлова система Boot для нього може мати деякі проблеми.

3. Власник файлу / папки не має значення, поки він використовує sudo. Це може бути будь-який користувач, але коли він використовує sudoкоманду rm, видалить її незалежно від того, хто їй належить. Знову це стосується цієї флеш-пам’яті у форматі NTFS.

4. Коли я вперше побачив питання, я збирався попросити запустити команду як, sudoале я прочитав, що ви вже зробили. Тоді збирався запропонувати інструменти для ремонту ntfs, але ви вже це зробили. тоді я побачив помилку введення / виводу в кінці. Що, і бачачи, як назва файлів з'явився, все переплутало просто сказали мені, що існує фактична проблема файлової системи, яку можна виправити лише за допомогою:

   • Використання chkdsk у Windows. Ні , ntfsfixні ntfsckне виправить кілька питань , які CHKDSK може тільки виправити.

   • На даний момент це не схоже на апаратну проблему, швидше проблему з файловою системою. Якщо chkdsk не працює, єдине рішення - це знову відформатувати флешку (Не потрібен низький рівень). У випадку, якщо простий формат не допомагає (і тестується в Windows і gparted), ми розглядаємо проблему апаратного рівня.

Якщо вірус насправді мав би щось робити з цією проблемою, це було б тому, що він вплинув / приєднався до таблиці файлової системи (MFT). Це створило б такі проблеми, як перегляд частин файлової системи OK та інших BAD. Не бачити файли в одній системі та не бачити їх в іншій. Повідомлення всіх файлів або пошкоджених файлів (напр .:! @ #! #! LOL! @ #!) Та інших дивних речей, які можуть статися, якщо таблиця файлової системи пошкоджена. Це може бути таким же простим, як вірус, що змінює одне з полів таблиці файлової системи, або може бути таким же жахливим, як вірус, що змінює розмір MFT або декількох файлів.

Вірус, окрім цього, ви повинні знати, що якщо проблема настільки сильна, що ви не можете відформатувати диск (свіжа файлова система), що рідко можна побачити, як це зробити вірус, то більш імовірно, що у вас є апаратна проблема на флешці, викликана тепло, вплив тощо.

Внаслідок пошкодження даних на флеш-пам’яті чи будь-якому сховищі даних, але особливо на флеш-накопичувачах, причиною у багатьох випадках є видалення пристрою до того, як вся інформація була правильно збережена. Це може статися як в Windows, так і в Linux, якщо користувач видаляє флешку, не переконуючись, що все закінчено, і сеанс для пристрою закритий.

У випадку з Linux ви почнете отримувати попередження про операції читання / запису, заборонені у всій флеш-пам’яті або файлах (на кшталт фільмів), не вистачаючи на 50% більше всього розміру (як фільм 1,2 ГБ вагою лише 500 МБ і все в ньому зіпсований). fsck може виправити це в більшості випадків. У випадку з Windows він покаже помилки вводу / виводу і може піти на пошкодження всього блоку, оскільки MFT неправильно зберегла інформацію. Тому рекомендується або зачекати, коли сеанс закриється, або скористатися опцією "безпечно видалити", коли вона доступна.

Я думаю, що проблема полягає в тому, що реалізація NTFS в Linux є реверсивним і не завершеним --- запитайте у Microsoft вихідний код ;-).

У вас є підказки з попередженням "Знайдено непідтримуваний випадок". Ймовірно, антивірус машини Windows використовував деякі вдосконалені / неясні характеристики файлової системи NTFS, які драйвер Linux не може зрозуміти.

Вам слід керувати файловою системою низького рівня лише в рідній системі (шукайте тут, як часто gparted змінює розмір розділу NTFS лише для того, щоб зробити систему незавантаженою ...).

Дивіться також головну сторінку NTFS-3g , і особливо цю FAQ-питання .