Rimuovere la directory RECYCLER dall'unità flash infetta da virus

Prima di consigliarmi sull'opzione di salvare i miei file e di formattare l'unità utilizzando gparted , ti preghiamo di comprendere che avrei potuto farlo ore fa e che ci sarebbero voluti solo pochi minuti. In realtà, voglio capire cosa sta realmente succedendo qui. La situazione sta distruggendo tutte le mie esperienze acquisite negli anni.

Ho avuto l'impressione che se inserisco un'unità flash infetta da virus nella mia macchina Ubuntu, tutto ciò che devo fare è semplicemente eliminare i file dei virus e sono a posto.

Oggi ho raccolto alcuni file in un'unità flash formattata NTFS da un computer Windows sapendo perfettamente che il computer è infetto da virus. Quando ho inserito l'unità flash nella mia macchina, ho scoperto che effettivamente ha raccolto molti file e cartelle. Ne ho cancellate la maggior parte. L'unico che mostra una forte resistenza è una directory RECYCLER (e le sue sottodirectory).

Gli attributi di questa directory.

drwx------ 1 masroor masroor 4.0K May  7 16:01 RECYCLER/

Se eseguo il rmcomando,

sudo rm -rvf RECYCLER/

Ottengo un output lungo nella linea di,

rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl': Input/output error
<rest snipped>

Ciò che è interessante, i file sopra riportati sono mostrati dal lscomando con una serie di attributi.

ls -l RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe: Input/output error
ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl: Input/output error
total 0
-????????? ? ? ? ?            ? OagFrAIX.exe
-????????? ? ? ? ?            ? viJbcvrJ.cpl

Se prova a trovare gli attributi di quelle cartelle offensive,

ls -dl RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Ottengo,

drwx------ 1 masroor masroor 4096 May  7 15:58 RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Il comando chmodper rendere scrivibile il mondo della cartella RECYCLER non riesce.

sudo chmod -vR ugo+w RECYCLER/

L'output è nella linea di.

mode of `RECYCLER/' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
mode of `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
chmod: cannot access `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
<snipped>

Queste cartelle contenevano un numero di .exee altri file la maggior parte dei quali ho già cancellato con successo (tranne quelli sopra riportati).

Se controllo gli attributi di una di queste cartelle,

lsattr -ad RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

ottengo

lsattr: Inappropriate ioctl for device While reading flags on RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Ho eseguito clamtksu questo dispositivo come suggerito qui . Tuttavia, non riesce a trovare una minaccia.

Capisco che posso semplicemente salvare il contenuto della mia unità flash da qualche parte e quindi formattarlo. Tuttavia, sono più interessato a scoprire quali attributi sono stati impostati in queste cartelle che resistono a ulteriori cambiamenti. (E sicuramente, vorrò disinfettare anche la mia unità flash.)

AGGIORNAMENTO 1

A seguito del commento di Patro .

Quando le cartelle vengono visitate, i file con una miriade di attributi non vengono visualizzati, anche quando provo a visualizzarli come file nascosti.
L'eliminazione di questi file non riesce. Il comando rm -rvf *all'interno della directory ha S-2-4-27-3777257131-1806073332-421880436-8537esito negativo con errore di input / output.

AGGIORNAMENTO 2

Dopo i commenti di soulsource e girardengo ho provato a correre ntfscke ntfsfix. Inoltre, questa domanda ha aiutato.

Ecco le uscite.

ntfsck

sudo ntfsck  /dev/sdc1

Unsupported: replay_log()
Unsupported: check_volume()
Checking 7796 MFT records.
Unsupported cases found.

ntfsfix

sudo ntfsfix -d /dev/sdc1

Mounting volume... OK
Processing of $MFT and $MFTMirr completed successfully.
NTFS volume version is 3.1.
NTFS partition /dev/sdc1 was processed successfully.

Ma la situazione iniziale persiste ancora. Non c'è stato alcun miglioramento.

AGGIORNAMENTO 3 (RISOLTO)

Come consigliato in questo post , ho inserito il mio disco in un computer Windows ed eseguito (da un terminale),

chkdsk <drive letter> /R

C'è stata una raffica di attività su controllo e riparazione. C'erano anche alcuni messaggi riguardanti settori danneggiati. L'attività è stata completata in meno di un minuto. Poi ho scoperto che sono state create alcune nuove cartelle per le aree recuperate.

Ho reinserito l'unità flash su una macchina Linux e la cartella RECYCLER potrebbe essere eliminata senza alcun problema.

Come passaggio aggiuntivo, ora ho formattato l'unità (usando gparted, in NTFS) poiché penso di aver acquisito le mie conoscenze.

Sembra che il virus sia effettivamente in grado di causare problemi hardware (temporanei / software ) . Si prega di consultare il post sopra menzionato per una spiegazione tecnica dettagliata.

— Masroor
fonte

drwx ------ 1 masroor masroor 4096 7 maggio 15:58 RECYCLER / S-2-4-27-3777257131-1806073332-421880436-8537 /; La directory indica solo il proprietario del file (in questo caso, il proprietario che lo ha creato) può eliminarlo. Prova a fare clic con il pulsante destro del mouse sulla cartella e fai clic su Proprietà, quindi seleziona la scheda delle autorizzazioni.

— user220402

@ user220402 Ho provato a cancellare la cartella come utente root usando sudo se hai notato. Ho provato a usare sudo quando la cancellazione dell'utente non è riuscita.

— Masroor

Prova a sfogliare la cartella ed eliminare ogni file singolarmente e vedere se funziona. Quindi in seguito prova a eliminare la cartella stessa.

— Parto,

In genere, gli errori I / O significano che qualcosa non va a livello hardware. È certamente possibile che appaiano solo all'interno di una singola cartella o file (se gli inode corrispondenti sono memorizzati in celle di memoria difettose, ma tutte le altre celle di memoria sono OK). Tuttavia, la mia ipotesi migliore è che il file system sia stato corrotto dal virus, mettendo questi file da qualche parte al di fuori dell'intervallo di memoria dei dischi. Vorrei quindi provare a eseguire ntfsck sul filesystem. Se hai un'installazione di Windows che puoi reinstallare nel peggiore dei casi (di un'infezione), puoi anche provare a usare chkdsk.

— fonte di anime

come suggerito provare a fare una scansione del dispositivo. È possibile utilizzare il comando ntfsfixper provare a correggere gli errori.

— girardengo,

Risposte:

Ok, devo chiarire un paio di cose qui:

La parte di ingegneria inversa relativa a NTFS non si applica qui, in particolare per un'unità flash NTFS formattata. Anche se lo facesse, sarebbe qualcosa di veramente fuori dal comune. Ho lavorato con molte unità flash formattate NTFS, formattate in Windows XP, Vista, 7 e 8.

Quindi un problema con Linux che non rileva correttamente NTFS non è vero. il progetto NTFS-3G non è lento né incompatibile con quel livello, puoi persino vedere che l'ultimo aggiornamento è stato un paio di mesi fa lo stesso anno . Di sicuro ha un paio di problemi di tanto in tanto come il supporto per la memorizzazione nella cache e l'enorme utilizzo della CPU, ma come ho detto, per un Flash Drive sarebbe qualcosa di molto improbabile che accadesse o sarebbe con una possibilità molto piccola ..
Ho avuto problemi simili con le unità Flash che mostravano ????? simboli o semplicemente simboli sbagliati del tutto (EG:! @ #% $ @% # @ invece del nome del file). Alcuni utenti consigliano di utilizzare ntfsfixo, ntfckma se non riesci a risolverli con l'esecuzione di chkdsk su Windows sull'unità. Il record di avvio / file system potrebbe presentare alcuni problemi.
Il proprietario del file / cartella non ha importanza finché lo utilizza sudo. Potrebbe essere qualsiasi utente ma quando usa il sudocomando rmlo rimuoverà indipendentemente da chi lo possiede. Ancora una volta, questo vale per questa unità flash formattata NTFS.
Quando ho visto la domanda per la prima volta, avrei chiesto di eseguire il comando, sudoma ho letto che l'hai già fatto. Quindi stava per suggerire gli strumenti di riparazione NTFS, ma l'hai già fatto. poi ho visto l' errore di input / output alla fine. Questo e vedendo come il nome dei file appariva tutto incasinato mi ha semplicemente detto che c'era un vero problema del filesystem che può essere corretto solo da:
- Utilizzo di chkdsk su Windows. Né ntfsfixné ntfsckfisserà un paio di questioni che chkdsk può risolvere solo.
- In questo momento non sembra un problema hardware, più probabilmente un problema con il filesystem. Se chkdsk non funziona, l'unica soluzione è formattare nuovamente l'unità flash (non è necessario un livello basso). Nel caso in cui un formato semplice non sia di aiuto (e testato in Windows e gparted), stiamo osservando un problema a livello di hardware.

Se un virus dovesse effettivamente fare qualcosa con questo problema, sarebbe perché influenzato / collegato alla tabella del filesystem (MFT). Ciò creerebbe problemi come vedere parti del filesystem OK e altre MALE. Non vedere i file su un sistema e vederli in un altro. Vedere tutti i file o alcuni file danneggiati (ad esempio:! @ #! #! LOL! @ #!) E altre cose strane che potrebbero accadere se la tabella del file system è corrotta. Potrebbe essere semplice come il virus che modifica uno dei campi nella tabella del filesystem o potrebbe essere orribile come il virus che modifica la dimensione della MFT o diversi file.

A parte il virus, dovresti sapere che se il problema è così grave che non puoi formattare l'unità (filesystem Fresh) che sarebbe raro vedere un virus farlo, allora è più probabile che tu abbia un problema hardware dell'unità flash causato da calore, impatto, ecc.

Per la corruzione dei dati sull'unità flash, o in qualsiasi unità di archiviazione, ma in particolare le unità flash, la causa in molti casi è la rimozione dell'unità prima che tutte le informazioni siano state salvate correttamente. Questo può accadere sia in Windows che in Linux se un utente rimuove l'unità flash senza assicurarsi che tutto abbia finito di scrivere e che la sessione per il dispositivo sia chiusa.

Nel caso di Linux inizierai a ricevere avvisi sulle operazioni di lettura / scrittura non consentite nell'intera unità flash o sui file (come i film) mancanti del 50% di più dell'intera dimensione (come un film da 1,2 GB che pesa solo 500 MB e tutto ciò che contiene corrotti). fsck può risolvere questo problema nella maggior parte dei casi. Nel caso di Windows mostrerà errori di input / output e può arrivare a corrompere l'intera unità perché la MFT non ha salvato correttamente le informazioni. Pertanto, si consiglia di attendere la chiusura della sessione o di utilizzare un'opzione "Rimozione sicura" quando disponibile.

— Luis Alvarado
fonte

Si prega di consultare il mio AGGIORNAMENTO 3. Sembra che io abbia la mia risposta. Ma aspetterò ancora qualche giorno prima di assegnarlo alla migliore risposta. :-)

— Masroor

@MMA Ottimo lavoro. Chkdsk crea quelle cartelle perché erano parti del filesystem (file o cartelle) che non erano assegnate a nulla, quindi crea queste cartelle temporanee in modo da poter scegliere dove posizionare i file recuperati. Aggiungerò alcuni suggerimenti che potrebbero creare questo problema a parte un virus.

— Luis Alvarado,

Penso che il problema sia che l' implementazione NTFS in Linux è retroingegnerizzata e non completa --- chiedi a Microsoft il codice sorgente ;-).

Hai suggerimenti con l'avviso "Trovato caso non supportato". Probabilmente l'antivirus della macchina Windows utilizzava alcune caratteristiche del filesystem NTFS avanzate / oscure che il driver Linux non è in grado di cogliere.

Dovresti fare una gestione di basso livello di un filesystem solo sul sistema nativo (cerca qui quante volte gparted ridimensiona una partizione NTFS solo per rendere il sistema non avviabile ...).

Vedi anche la pagina principale di NTFS-3g , e in particolare questa FAQ Domande e risposte .

— Rmano
fonte