Вопросы Теги

Удалите каталог RECYCLER с зараженного вирусом флэш-накопителя.

Прежде чем вы посоветуете мне вариант сохранения моих файлов и форматирования диска с помощью gparted , пожалуйста, поймите, что я мог бы сделать это несколько часов назад, а это заняло бы всего несколько минут. Собственно, я хочу понять, что здесь происходит на самом деле. Ситуация разрушает весь мой опыт, накопленный за эти годы.

У меня создалось впечатление, что если я вставляю зараженную вирусом флешку в свою машину с Ubuntu, все, что мне нужно сделать, это просто удалить вирусные файлы, и все готово.

Сегодня я собрал несколько файлов на флеш-накопителе в формате NTFS с машины Windows, полностью зная, что машина заражена вирусом. Когда я вставил флешку в свою машину, я обнаружил, что она действительно собрала много файлов и папок. Я удалил большинство из них. Единственное, что демонстрирует жесткое сопротивление, - это каталог RECYCLER (и его подкаталоги).

Атрибуты этого каталога. 

drwx------ 1 masroor masroor 4.0K May  7 16:01 RECYCLER/

Если я выполняю команду rm , 

sudo rm -rvf RECYCLER/

я получаю длинный вывод в строке, 

rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl': Input/output error
<rest snipped>

Что интересно, указанные выше файлы отображаются с помощью ls с несметным набором атрибутов . 

ls -l RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe: Input/output error
ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl: Input/output error
total 0
-????????? ? ? ? ?            ? OagFrAIX.exe
-????????? ? ? ? ?            ? viJbcvrJ.cpl

Если попытаться найти атрибуты этих проблемных папок, 

ls -dl RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

я получаю 

drwx------ 1 masroor masroor 4096 May  7 15:58 RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Команда chmod , чтобы сделать мир папок RECYCLER доступным для записи, не удается.

sudo chmod -vR ugo+w RECYCLER/

Вывод находится в строке. 

mode of `RECYCLER/' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
mode of `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
chmod: cannot access `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
<snipped>

Эти папки содержали несколько файлов .exe и других файлов, большинство из которых я уже успешно удалил (кроме тех, о которых сообщалось выше).

Если я проверю атрибуты одной из этих папок, 

lsattr -ad RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

я получу 

lsattr: Inappropriate ioctl for device While reading flags on RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Я запустил clamtk на этом устройстве, как предлагается здесь . Однако угрозы обнаружить не удается.

Я понимаю, что могу просто сохранить где-нибудь содержимое флэш-накопителя и затем отформатировать его. Однако мне больше интересно узнать, какие атрибуты были установлены в этих папках, которые сопротивляются дальнейшим изменениям. (И, безусловно, я хочу вылечить и свою флешку.)

ОБНОВЛЕНИЕ 1

В продолжение комментария от Патро .

  1. При посещении папок эти файлы с множеством атрибутов не отображаются, даже когда я пытаюсь просмотреть их как скрытые файлы.
  2. Не удалось удалить эти файлы. Команда rm -rvf * внутри каталога S-2-4-27-3777257131-1806073332-421880436-8537 завершается ошибкой ввода / вывода.

ОБНОВЛЕНИЕ 2

После комментариев от soulsource и girardengo я попытался запустить ntfsck и ntfsfix . Также помог этот вопрос .

Вот результаты.

ntfsck 

sudo ntfsck  /dev/sdc1

Unsupported: replay_log()
Unsupported: check_volume()
Checking 7796 MFT records.
Unsupported cases found.

ntfsfix 

sudo ntfsfix -d /dev/sdc1

Mounting volume... OK
Processing of $MFT and $MFTMirr completed successfully.
NTFS volume version is 3.1.
NTFS partition /dev/sdc1 was processed successfully.

Но исходная ситуация все еще сохраняется. Никаких улучшений не произошло.

ОБНОВЛЕНИЕ 3 (РЕШЕНО)

В соответствии с рекомендациями этого сообщения , я вставил свой диск в машину с Windows и выполнил его (с терминала), 

chkdsk <drive letter> /R

шквал работ по проверке и ремонту. Также были сообщения о битых секторах. Задача была завершена менее чем за минуту. Затем я обнаружил, что для восстановленных областей были созданы новые папки.

Я повторно вставил флешку в машину с Linux, и папку RECYCLER можно было удалить без каких-либо проблем.

В качестве дополнительного шага я отформатировал диск (с помощью gparted в NTFS), так как думаю, что понял.

Похоже, вирус действительно может вызвать (временную / программную) аппаратную проблему. См. вышеупомянутый пост для подробного технического объяснения.

15
задан 13 April 2017 в 05:23

2 ответа

Хорошо я должен очистить несколько вещей здесь:

  1. перепроектировать часть о NTFS не применяется здесь, специально для отформатированного флеш-накопителя NTFS. Даже если это сделало, который будет чем-то действительно из нормального. Я работал со многими, NTFS отформатировал Флеш-накопители, отформатированные в Windows XP, Vista, 7 и 8.

    , Таким образом, проблема с Linux, не обнаруживающим NTFS правильно, не является им. 3G NTFS proyect не является медленным, ни несовместимым с тем уровнем, можно даже видеть, что последнее обновление было несколько месяцев назад этот тот же год . Это уверенный время от времени имеет несколько проблем как кэширующаяся поддержка и огромное использование ЦП, но как я сказал для Флеш-накопителя, это будет чем-то очень вряд ли для случая или было бы с очень маленьким шансом..

  2. у меня были подобные проблемы с Флеш-накопителями, показывающими также????? символы или просто неправильные символы в целом (EG:! #% $ % # вместо имени файла). Некоторые пользователи рекомендуют использовать ntfsfix или ntfck, но если Вы не можете зафиксировать их с тем выполнением chkdsk в Windows на диске. Загрузочная запись / файловая система для него могла бы иметь некоторые проблемы.

  3. владелец файла/папки не имеет значения, пока он использует sudo. Это мог быть любой пользователь, но когда он будет использовать sudo, команда rm удалит его независимо от того, кто владеет им. Снова это относится к отформатированному Флеш-накопителю этого NTFS.

  4. , Когда я увидел вопрос в первый раз, я собирался попросить выполнять команду как sudo, но я считал Вас, уже сделал. Тогда собирался предложить инструменты восстановления ntfs, но Вы уже сделали. тогда я видел ошибка ввода/вывода в конце. Это и видящий, как название файлов появилось все испорченные просто, сказало мне, что была фактическая проблема файловой системы, которая может быть исправлена только:

    • Используя chkdsk в Windows. Ни ntfsfix, ни ntfsck устранит несколько проблем, которые может только устранить chkdsk.

    • В данный момент это не похоже на аппаратную проблему, более вероятно проблема файловой системы. Если chkdsk не работает, то единственное решение состоит в том, чтобы отформатировать флеш-накопитель снова (Никакая потребность в низком уровне). В случае простой формат не помогает (и протестированный в Windows и gparted), тогда мы смотрим на проблему аппаратного уровня.

, Если бы вирус на самом деле должен был сделать что-нибудь с этой проблемой, это было бы, потому что это влияло/присоединяло к таблице файловой системы (MFT). Это создало бы проблемы как наблюдение частей файловой системы хорошо и других ПЛОХО. Не видя файлы в одной системе и видя их в другом. Наблюдение всех файлов или некоторых поврежденных (например:! @#!#! LOL! #!) и другой странный материал, который мог произойти, если таблица файловой системы повреждена. Это могло быть столь же просто как вирус, изменяющий одно из полей в таблице файловой системы, или это могло быть столь же ужасно как вирус, изменяющий размер MFT или нескольких файлов.

Вирус в стороне необходимо знать, что, если проблема так плоха, что Вы не можете отформатировать диск (Новая файловая система), который был бы редок, чтобы видеть, что вирус делает это, тогда более вероятно, что Вам вызвали аппаратную проблему флеш-накопителя тепло, влияние, и т.д.

Для повреждения данных по флеш-накопителю, или в любом устройстве хранения данных, но особенно флеш-накопителях, причина во многих случаях удаляет единицу, прежде чем вся информация была правильно сохранена. Это может произойти в обоих, Windows и Linux, если пользователь удаляет флеш-накопитель, не удостоверяясь, что все закончило писать, и сеанс для устройства закрыт.

В случае Linux Вы начнете получать предупреждения об операциях чтения-записи, не разрешенных в целом флеш-накопителе или файлах (как фильмы) недостающие 50% из большего количества целого размера (Как фильм на 1.2 ГБ, взвешивающий только 500 МБ и все в поврежденном). fsck может зафиксировать это в большинстве случаев. В случае Windows это покажет ошибки ввода/вывода и может пойти до повреждения целой единицы, потому что MFT не сохранил правильно информацию, Таким образом, это, рекомендуют или ожидать сессии, чтобы закрыть или использовать, "безопасно удаляют" опцию, когда доступно.

6
ответ дан 23 November 2019 в 02:49

Я думаю, что проблема состоит в том, что реализация NTFS в Linux перепроектирована, и не полный---просят у Microsoft исходный код;-).

у Вас есть подсказки с "Неподдерживаемым случаем, найденным", предупреждая. Вероятно, антивирус машины Windows использовал некоторые усовершенствованные/неясные характеристики файловой системы NTFS, которые драйвер Linux не в состоянии схватить.

необходимо сделать управление низкого уровня файловой системой в собственной системе только (поиск здесь, как часто gparted изменил размеры раздела NTFS только для создания системы незагрузочной...).

См. также основная страница NTFS-3g, и особенно этот FAQ Q& .

5
ответ дан 23 November 2019 в 02:49

Другие вопросы по тегам:

Похожие вопросы: