Virüs bulaşmış flash sürücüden RECYCLER dizinini kaldırın

15

Dosyalarımı kaydetme ve sürücüyü sivri uç kullanarak biçimlendirme seçeneği hakkında tavsiyede bulunmadan önce , lütfen o saatleri geri alabileceğimi ve bunun sadece birkaç dakika süreceğini anlayın. Aslında, burada gerçekten neler olduğunu anlamak istiyorum. Durum yıllar boyunca kazandığım tüm deneyimlerimi çöpe atıyor.

Ubuntu makineme virüs bulaşmış bir flash sürücü takarsam, tek yapmam gereken sadece virüs dosyalarını silmek ve gitmek için iyi olduğum izlenimi altındaydım.

Bugün, bir Windows makinesinden NTFS formatlı flash sürücüdeki bazı dosyaları, makineye virüs bulaşmış olduğunu bilerek topladım. Flash sürücüyü makineme taktığımda, aslında birçok dosya ve klasör topladığını buldum. Çoğunu sildim. Sert direnç gösteren tek kişi bir RECYCLER dizinidir (ve alt dizinleri).

Bu dizinin özellikleri.

drwx------ 1 masroor masroor 4.0K May  7 16:01 RECYCLER/

Ben yürütmek durumunda rmkomutu,

sudo rm -rvf RECYCLER/

Uzun bir çıktı alıyorum,

rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl': Input/output error
<rest snipped>

İlginç olan, yukarıda bildirilen dosyalar lsçok sayıda öznitelik kümesiyle komutla gösterilir .

ls -l RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe: Input/output error
ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl: Input/output error
total 0
-????????? ? ? ? ?            ? OagFrAIX.exe
-????????? ? ? ? ?            ? viJbcvrJ.cpl

Sorun teşkil eden klasörlerin özelliklerini bulmaya çalışırsanız,

ls -dl RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Alırım,

drwx------ 1 masroor masroor 4096 May  7 15:58 RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

chmodRECYCLER klasörü dünyasını yazılabilir yapma komutu başarısız olur.

sudo chmod -vR ugo+w RECYCLER/

Çıktı satırında.

mode of `RECYCLER/' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
mode of `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
chmod: cannot access `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
<snipped>

Bu klasörler, .exebirçoğunu başarıyla sildiğim bir dizi ve diğer dosyaları içeriyordu (yukarıda bildirilenler hariç).

Bu klasörlerden birinin özelliklerini kontrol edersem,

lsattr -ad RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

alırım

lsattr: Inappropriate ioctl for device While reading flags on RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Buradaclamtk önerildiği gibi bu cihazda çalıştım . Ancak, tehdit bulamıyor.

Flash sürücü içeriklerimi bir yere kaydedip biçimlendirebileceğimi anlıyorum. Ancak, daha fazla değişikliklere direnen bu klasörlerde hangi özniteliklerin ayarlandığını bulmakla daha fazla ilgileniyorum. (Ve kesinlikle, flash sürücümü de dezenfekte etmek isteyeceğim.)

GÜNCELLEME 1

Patro'nun yorumuna ek olarak .

  1. Klasörler ziyaret edildiğinde, çok sayıda özniteliğe sahip dosyalar, gizli dosyalar olarak görüntülemeye çalışsam bile gösterilmez.
  2. Bu dosyaların silinmesi başarısız olur. rm -rvf *Dizin içindeki komut S-2-4-27-3777257131-1806073332-421880436-8537giriş / çıkış hatasıyla başarısız oluyor.

GÜNCELLEME 2

Soulsource ve girardengo'nun yorumlarından sonra koşmaya çalıştım ntfsckve ntfsfix. Ayrıca, bu soru yardımcı oldu.

İşte çıktılar.

ntfsck

sudo ntfsck  /dev/sdc1

Unsupported: replay_log()
Unsupported: check_volume()
Checking 7796 MFT records.
Unsupported cases found.

ntfsfix

sudo ntfsfix -d /dev/sdc1

Mounting volume... OK
Processing of $MFT and $MFTMirr completed successfully.
NTFS volume version is 3.1.
NTFS partition /dev/sdc1 was processed successfully.

Ancak ilk durum hala devam ediyor. Herhangi bir gelişme olmamıştır.

GÜNCELLEME 3 (ÇÖZÜLDÜ)

Bu yazıda önerildiği gibi , sürücümü bir Windows makinesine yerleştirdim ve (terminalden) yürüttüm,

chkdsk <drive letter> /R

Kontrol ve onarım ile ilgili bir faaliyet telaşı vardı. Kötü sektörlerle ilgili de bazı mesajlar vardı. Görev bir dakikadan az bir sürede tamamlandı. Sonra kurtarılan alanlar için bazı yeni klasörler oluşturulduğunu gördüm.

Flash sürücüyü bir Linux makinesine yeniden yerleştirdim ve RECYCLER klasörü sorunsuz bir şekilde silinebilir.

Ek bir adım olarak, şimdi içgörü kazandığımı düşündüğümden beri sürücüyü biçimlendirdim (gparted kullanarak, NTFS'ye).

Görünüşe göre virüs gerçekten (geçici / yumuşak) donanım sorununa neden olabilir. Ayrıntılı teknik açıklama için lütfen yukarıda belirtilen gönderiye bakın.

windows  usb-drive  ntfs  malware  ntfs-3g 
Masroor
kaynak
drwx ------ 1 masroor masroor 4096 7 Mayıs 15:58 RECYCLER / S-2-4-27-3777257131-1806073332-421880436-8537 /; Dizin yalnızca dosya sahibini (bu durumda, dosyayı oluşturan sahibi) silebileceğini gösterir. Klasörü sağ tıklayıp özellikleri tıklayın, ardından izin sekmesini kontrol edin.
user220402
@ user220402 Fark ettiyseniz sudo kullanarak klasörü kullanıcı kökü olarak silmeyi denedim. Kullanıcı silme başarısız olduğunda sudo kullanmayı denedim.
Masroor
Klasöre göz atmayı ve her dosyayı ayrı ayrı silmeyi deneyin ve çalışıp çalışmadığını kontrol edin. Ardından klasörün kendisini silmeyi deneyin.
Parto
3
G / Ç Hataları genellikle donanım düzeyinde bir şeyin yanlış olduğu anlamına gelir. Sadece tek bir klasör veya dosyada görünmeleri mümkündür (karşılık gelen inotlar kötü bellek hücrelerinde depolanmışsa, ancak diğer tüm bellek hücreleri TAMAM ise). Bununla birlikte, en iyi tahminim, dosya sisteminin virüs tarafından bozulmuş olması ve bu dosyaları disklerin bellek aralığının dışında bir yere koymasıdır. Bu nedenle dosya sisteminde ntfsck çalıştırmayı denerdim. En kötü durumda (bir enfeksiyonun) yeniden yükleyebileceğiniz bir Windows yüklemeniz varsa, chkdsk'yi kullanmayı da deneyebilirsiniz.
soulsource
1
önerildiği gibi cihazı taramaya çalışın. ntfsfixHataları düzeltmeye çalışmak için komutu kullanabilirsiniz .
girardengo

Yanıtlar:

6

Tamam, burada birkaç şeyi temizlemeliyim:

  1. NTFS hakkındaki ters mühendislik bölümü, özellikle biçimlendirilmiş bir NTFS flash sürücü için geçerli değildir. Olsa bile, bu normalin dışında bir şey olurdu. Windows XP, Vista, 7 ve 8'de biçimlendirilmiş birçok NTFS biçimli Flash sürücü ile çalıştım.

    Bu yüzden Linux'ta NTFS'yi doğru bir şekilde tespit etmeme sorunu değil. NTFS-3G proyect'i yavaş veya bu seviyeyle uyumsuz değil, hatta son güncellemenin aynı yıl birkaç ay önce olduğunu görebilirsiniz. . Önbellek desteği ve büyük CPU kullanımı gibi zaman zaman birkaç sorun var, ancak dediğim gibi, bir Flash Sürücü için olması çok olası bir şey olurdu veya çok küçük bir şansla olurdu.

  2. Ben de gösteren Flash sürücüler ile benzer sorunları yaşadım ????? semboller veya tamamen yanlış semboller (dosya adı yerine EG:! @ #% $ @% # @). Bazı kullanıcılar ntfsfixveya kullanmanızı önerir, ntfckancak bunları sürücüdeki Windows'ta çalışan chkdsk ile düzeltemiyorsanız. Önyükleme kaydı / dosya sisteminde bazı sorunlar olabilir.

  3. Dosya / klasörün sahibi kullandığı sürece önemli değildir sudo. Herhangi bir kullanıcı olabilir ama sudokomutu kullandığındarm kime sahip olduğuna bakılmaksızın onu kaldıracaktır. Bu yine bu NTFS biçimli Flash sürücü için geçerlidir.

  4. Soruyu ilk gördüğümde komutu çalıştırmayı isteyecektim sudoama zaten okudum. Sonra ntfs onarım araçları önerecekti, ama zaten yaptın. sonra giriş / çıkış hatasını gördüm . Bu ve dosyaların adının nasıl berbat göründüğünü görmek sadece bana sadece tarafından düzeltilebilen gerçek bir dosya sistemi sorunu olduğunu söyledi:

    • Windows'ta chkdsk kullanma. Ne ntfsfixne dentfsck chkdsk yalnızca çözebilirsinizs ilgili bir kaç çözecektir.

    • Şu anda bir donanım sorunu gibi görünmüyor, büyük olasılıkla bir dosya sistemi sorunu. Chkdsk çalışmazsa, tek çözüm flash sürücüyü tekrar biçimlendirmektir (Düşük seviyeye gerek yoktur). Basit bir biçim yardımcı olmazsa (ve Windows'ta test edildi ve gparted), o zaman bir donanım seviyesi sorununa bakıyoruz.

Bir virüsün aslında bu sorunla ilgili bir şey yapması gerekiyorsa, bunun nedeni dosya sistemi tablosunu (MFT) etkilemesi / ona bağlı olmasıdır. Bu, dosya sisteminin bazı bölümlerini TAMAM ve diğer BAD'leri görmek gibi sorunlar yaratacaktır. Dosyaları bir sistemde görmemek ve başka bir sistemde görmemek. Tüm dosyaları veya bazı bozuk dosyaları (ör:! @ #! #! LOL! @ #!) Ve dosya sistemi tablosu bozuksa olabilecek diğer garip şeyleri görmek. Dosya sistemi tablosundaki alanlardan birini değiştiren virüs kadar basit olabilir veya MFT veya birkaç dosyanın boyutunu değiştiren virüs kadar korkunç olabilir.

Virüs bir yana, sorun o kadar kötü ise, bunu yapmak için nadir görülen bir sürücüyü (Taze dosya sistemi) biçimlendiremeyeceğinizi bilmelisiniz, o zaman bir flash sürücü donanım sorununun neden olması daha olasıdır. ısı, darbe vb.

Flash sürücüdeki veya herhangi bir depolama birimindeki, ancak özellikle flash sürücülerdeki verilerin bozulması için, çoğu durumda tüm bilgiler doğru şekilde kaydedilmeden önce birimi çıkarmaktır. Bir kullanıcı, her şeyin yazmayı bitirdiğinden ve aygıt oturumunun kapalı olduğundan emin olmadan flash sürücüyü kaldırırsa, hem Windows hem de Linux'ta olabilir.

Linux söz konusu olduğunda, tüm flash sürücüde izin verilmeyen okuma / yazma işlemleri veya tüm boyutun% 50'sinden fazlasının eksik olduğu dosyalar (filmler gibi) hakkında uyarılar almaya başlayacaksınız (Yalnızca 500 MB ve içindeki her şey 1.2GB'lik bir film gibi ve her şey bozuk). fsck bunu çoğu durumda düzeltebilir. Windows durumunda, giriş / çıkış hataları gösterecek ve MFT bilgileri doğru şekilde kaydetmediği için tüm birimi bozabilecek kadar ileri gidebilir. Bu nedenle oturumun kapanmasını beklemeniz veya varsa "güvenli bir şekilde kaldır" seçeneğini kullanmanız önerilir.

Luis Alvarado
kaynak
Lütfen GÜNCEL 3'üme bakın. Görünüşe göre cevabım var. Ama en iyi yanıtı vermeden önce birkaç gün daha bekleyeceğim. :-)
Masroor
@MMA İyi iş çıkardın. Chkdsk bu klasörleri oluşturur, çünkü bu dosya sisteminin herhangi bir şeye atanmamış parçalarıdır (dosyalar veya klasörler), böylece kurtarılan dosyaları nereye koyacağınızı seçebilmeniz için bu geçici klasörleri oluşturur. Virüs dışında bu sorunu yaratabilecek bazı ipuçları ekleyeceğim.
Luis Alvarado
5

Bence sorun Linux'ta NTFS uygulaması tersine mühendislik ve tam değil --- Microsoft kaynak kodu ;-) isteyin.

"Desteklenmeyen vaka bulundu" uyarısıyla ilgili ipuçlarınız var. Muhtemelen Windows makine antivirüs yazılımı, Linux sürücüsünün kavrayamadığı bazı gelişmiş / belirsiz NTFS dosya sistemi özelliklerini kullandı.

Yalnızca yerel sistemdeki bir dosya sisteminin düşük düzeyli yönetimini yapmalısınız (burada, sistemin ne kadar önyüklenememesi için NTFS bölümünün ne sıklıkta yeniden boyutlandırıldığını burada arayın).

Ayrıca ana NTFS-3g sayfasına ve özellikle bu SSS Soru-Cevap bölümüne bakın .

Rmano
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.