Удалить каталог RECYCLER с зараженного вирусом флеш-накопителя
Прежде чем вы сообщите мне о том, как сохранить мои файлы и форматировать диск с помощью gparted, пожалуйста, поймите, что я мог бы сделать это через несколько часов, и это заняло бы всего несколько минут. На самом деле, я хочу понять, что на самом деле происходит здесь. Ситуация разрушает весь мой опыт, накопленный за эти годы.
У меня создалось впечатление, что если я вставляю зараженный вирусом флеш-накопитель на свою машину Ubuntu, все, что мне нужно сделать это просто удалить вирусные файлы, и мне хорошо идти.
Сегодня я собрал некоторые файлы на флэш-диске с файловой системой NTFS с компьютера Windows, полностью зная, что машина заражена вирусом. Когда я вставил флешку на свою машину, я обнаружил, что она собрала много файлов и папок. Я удалил большинство из них.
Атрибуты этого каталога.
drwx------ 1 masroor masroor 4.0K May 7 16:01 RECYCLER/
Если я выполняю команду, rm,
sudo rm -rvf RECYCLER/
Я получаю длинный вывод в строке,
rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl': Input/output error
Что интересно, указанные выше файлы
ls -l RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe: Input/output error
ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl: Input/output error
total 0
-????????? ? ? ? ? ? OagFrAIX.exe
-????????? ? ? ? ? ? viJbcvrJ.cpl
Если вы пытаетесь найти атрибуты этих повреждающих папок,
ls -dl RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
, я получаю [ ! d12]
drwx------ 1 masroor masroor 4096 May 7 15:58 RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
Команда chmod, чтобы сделать запись в мире записи RECYCLER недоступной.
sudo chmod -vR ugo+w RECYCLER/
Выход находится в строке. [!d15 ]
mode of `RECYCLER/' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
mode of `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
chmod: cannot access `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
Эти папки содержали несколько .exe и другие файлы, большинство из которых я уже успешно удалил (кроме указанных выше).
Если Я проверяю атрибуты одной из этих папок,
lsattr -ad RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
Я получаю
lsattr: Inappropriate ioctl for device While reading flags on RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
Я запустил clamtk на этом устройстве, как было предложено GParted . Тем не менее, он не находит угрозы.
Насколько я понимаю, я могу где-то сохранить содержимое флеш-накопителя, а затем отформатировать его. Тем не менее, меня больше интересует выяснение, какие атрибуты были установлены в этих папках, которые сопротивляются дальнейшим изменениям. (И определенно, я тоже хочу дезинфицировать свой флеш-диск.)
UPDATE 1
В дополнение к комментарию от Patro.
Когда папки посещаются, эти файлы с множеством атрибутов не отображаются, даже когда я пытаюсь просмотреть их как скрытые файлы. Удаление этих файлов не удастся. Команда rm -rvf * внутри каталога S-2-4-27-3777257131-1806073332-421880436-8537 терпит неудачу с ошибкой ввода / вывода.UPDATE 1
После комментариев Patro и girardengo я попытался запустить [ f21] и ntfsfix.
Вот выходы.
ntfsck
sudo ntfsck /dev/sdc1
Unsupported: replay_log()
Unsupported: check_volume()
Checking 7796 MFT records.
Unsupported cases found.
ntfsck
sudo ntfsfix -d /dev/sdc1
Mounting volume... OK
Processing of $MFT and $MFTMirr completed successfully.
NTFS volume version is 3.1.
NTFS partition /dev/sdc1 was processed successfully.
Но первоначальная ситуация все еще сохраняется.
UPDATE 3 (SOLVED)
Как было сказано в girardengo , я вставил свой диск в Windows-машина и выполнен (с терминала),
chkdsk /R
Произошел шок от проверки и ремонта. Были сообщения о плохих секторах. Задача была завершена менее чем за минуту. Затем я обнаружил, что для восстановленных областей созданы новые папки.
Я снова ввел флеш-диск на компьютер Linux, и папка RECYCLER могла быть удалена без каких-либо проблем.
As добавленный шаг, теперь я отформатировал диск (используя gparted, для NTFS), так как я думаю, что получил свое понимание.
Похоже, вирус действительно способен вызвать (временную / мягкую) аппаратную проблему , Пожалуйста, см. Вышеупомянутое сообщение для подробного технического объяснения.
1 ответ
Я думаю, что проблема в том, что реализация NTFS в Linux реконструирована и не завершена --- спросите Microsoft об исходном коде ;-).
У вас есть подсказки с предупреждением «Неподдерживаемый случай». Вероятно, Windows-антивирус использовал некоторые продвинутые / неясные характеристики файловой системы NTFS, которые драйвер Linux не может понять.
Вы должны выполнять низкоуровневое управление файловой системой только в собственной системе (поиск здесь, как часто gparted изменял размер раздела NTFS, чтобы сделать систему не загружаемой ...).
См. также реализацию NTFS в Linux , и особенно этот FAQ Q & amp; A.