Xóa thư mục RECYCLER khỏi ổ đĩa flash bị nhiễm virus

Trước khi bạn tư vấn cho tôi về tùy chọn lưu tệp của mình và định dạng ổ đĩa bằng gparted , xin vui lòng hiểu rằng tôi có thể thực hiện lại hàng giờ đó và việc đó chỉ mất vài phút. Thật ra, tôi muốn hiểu, những gì đang thực sự xảy ra ở đây. Tình hình là tất cả những kinh nghiệm của tôi có được trong những năm qua.

Tôi có ấn tượng rằng nếu tôi chèn một ổ đĩa flash bị nhiễm vi-rút vào máy Ubuntu của mình, tất cả những gì tôi cần làm là chỉ cần xóa các tệp vi-rút và tôi sẽ ổn.

Hôm nay, tôi đã thu thập một số tệp trong ổ đĩa flash có định dạng NTFS từ máy Windows hoàn toàn biết rằng máy bị nhiễm vi-rút. Khi tôi lắp ổ đĩa flash vào máy của mình, tôi thấy rằng thực sự, nó đã thu thập được nhiều tệp và thư mục. Tôi đã xóa hầu hết trong số họ. Người duy nhất thể hiện sức đề kháng cứng là thư mục RECYCLER (và thư mục con của nó).

Các thuộc tính của thư mục này.

drwx------ 1 masroor masroor 4.0K May  7 16:01 RECYCLER/

Nếu tôi thực thi rmlệnh,

sudo rm -rvf RECYCLER/

Tôi nhận được một đầu ra dài trong dòng,

rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl': Input/output error
<rest snipped>

Điều thú vị là, các tệp được báo cáo ở trên được hiển thị bằng lslệnh với một số bộ thuộc tính.

ls -l RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe: Input/output error
ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl: Input/output error
total 0
-????????? ? ? ? ?            ? OagFrAIX.exe
-????????? ? ? ? ?            ? viJbcvrJ.cpl

Nếu cố gắng tìm các thuộc tính của các thư mục vi phạm đó,

ls -dl RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Tôi có,

drwx------ 1 masroor masroor 4096 May  7 15:58 RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Lệnh chmodđể làm cho thư mục RECYCLER thế giới có thể ghi không thành công.

sudo chmod -vR ugo+w RECYCLER/

Đầu ra là trong dòng của.

mode of `RECYCLER/' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
mode of `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
chmod: cannot access `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
<snipped>

Các thư mục này chứa một số .exevà các tệp khác mà hầu hết tôi đã xóa thành công (ngoại trừ các tệp được báo cáo ở trên).

Nếu tôi kiểm tra các thuộc tính của một trong những thư mục này,

lsattr -ad RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

tôi có

lsattr: Inappropriate ioctl for device While reading flags on RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Tôi đã chạy clamtktrên thiết bị này như đề xuất ở đây . Tuy nhiên, nó không tìm thấy một mối đe dọa.

Tôi hiểu rằng tôi chỉ có thể lưu nội dung ổ đĩa flash của mình ở đâu đó và sau đó định dạng nó. Tuy nhiên, tôi quan tâm hơn đến việc tìm ra các thuộc tính nào đã được đặt trong các thư mục này chống lại các thay đổi tiếp theo. (Và chắc chắn, tôi cũng sẽ muốn khử trùng ổ đĩa flash của mình.)

CẬP NHẬT 1

Thêm vào nhận xét từ Patro .

1. Khi các thư mục được truy cập, các tệp có vô số thuộc tính sẽ không được hiển thị, ngay cả khi tôi cố gắng xem chúng dưới dạng các tệp ẩn.
2. Xóa các tập tin này không thành công. Lệnh rm -rvf *bên trong thư mục S-2-4-27-3777257131-1806073332-421880436-8537bị lỗi với lỗi đầu vào / đầu ra.

CẬP NHẬT 2

Sau khi nhận xét từ soulsource và girardengo, tôi đã cố gắng chạy ntfsckvà ntfsfix. Ngoài ra, câu hỏi này đã giúp.

Dưới đây là kết quả đầu ra.

ntfsck

sudo ntfsck  /dev/sdc1

Unsupported: replay_log()
Unsupported: check_volume()
Checking 7796 MFT records.
Unsupported cases found.

ntfsfix

sudo ntfsfix -d /dev/sdc1

Mounting volume... OK
Processing of $MFT and $MFTMirr completed successfully.
NTFS volume version is 3.1.
NTFS partition /dev/sdc1 was processed successfully.

Nhưng tình hình ban đầu vẫn tồn tại. Không có bất kỳ cải thiện.

CẬP NHẬT 3 (GIẢI QUYẾT)

Theo lời khuyên trong bài đăng này , tôi đã chèn ổ đĩa của mình vào máy Windows và thực thi (từ thiết bị đầu cuối),

chkdsk <drive letter> /R

Có một loạt các hoạt động về kiểm tra và sửa chữa. Có một số tin nhắn liên quan đến các lĩnh vực xấu là tốt. Nhiệm vụ đã hoàn thành trong vòng chưa đầy một phút. Sau đó, tôi thấy rằng một số thư mục mới đã được tạo cho các khu vực phục hồi.

Tôi đã gắn lại ổ đĩa flash vào máy Linux và thư mục RECYCLER có thể bị xóa mà không gặp vấn đề gì.

Là một bước bổ sung, bây giờ tôi đã định dạng ổ đĩa (sử dụng gparted, sang NTFS) vì tôi nghĩ rằng tôi đã đạt được cái nhìn sâu sắc của mình.

Có vẻ như virus thực sự có khả năng gây ra sự cố phần cứng (tạm thời / mềm) . Xin vui lòng xem bài viết được đề cập ở trên để được giải thích kỹ thuật chi tiết.

Ok tôi phải làm rõ một vài điều ở đây:

1. Phần kỹ sư đảo ngược về NTFS không áp dụng ở đây, đặc biệt là đối với ổ flash NTFS được định dạng. Ngay cả khi nó đã làm điều đó sẽ là một cái gì đó thực sự khác thường. Tôi đã làm việc với nhiều ổ Flash được định dạng NTFS, được định dạng trong Windows XP, Vista, 7 và 8.

   Vì vậy, một vấn đề với Linux là không phát hiện NTFS chính xác phải không. proyect NTFS-3G không chậm và cũng không tương thích với mức đó, bạn thậm chí có thể thấy rằng bản cập nhật cuối cùng là một vài tháng trước cùng năm . Nó chắc chắn có một số vấn đề theo thời gian như hỗ trợ bộ nhớ đệm và sử dụng CPU rất lớn, nhưng như tôi đã nói, đối với Flash Drive, đó sẽ là một điều rất khó xảy ra hoặc sẽ có cơ hội rất nhỏ ..

2. Tôi cũng gặp vấn đề tương tự với các ổ Flash hiển thị ????? các ký hiệu hoặc đơn giản là các ký hiệu sai hoàn toàn (EG :! @ #% $ @% # @ thay vì tên tệp). Một số người dùng khuyên bạn nên sử dụng ntfsfixhoặc ntfcknhưng nếu bạn không thể sửa chúng bằng chkdsk chạy trên Windows trên ổ đĩa. Bản ghi khởi động / hệ thống tập tin cho nó có thể có một số vấn đề.

3. Chủ sở hữu của tập tin / thư mục không quan trọng miễn là anh ta sử dụng sudo. Nó có thể là bất kỳ người dùng nào nhưng khi anh ta sử dụng sudolệnh rmsẽ xóa nó bất kể ai sở hữu nó. Một lần nữa điều này áp dụng cho ổ Flash định dạng NTFS này.

4. Khi tôi lần đầu tiên nhìn thấy câu hỏi tôi sẽ yêu cầu chạy lệnh như sudonhưng tôi đã đọc bạn đã làm. Sau đó sẽ đề xuất các công cụ sửa chữa ntfs, nhưng bạn đã làm. sau đó tôi thấy lỗi đầu vào / đầu ra ở cuối. Điều đó và thấy tên của các tập tin xuất hiện như thế nào, chỉ đơn giản là nói với tôi rằng có một vấn đề hệ thống tập tin thực sự chỉ có thể được sửa chữa bằng cách:

   • Sử dụng chkdsk trên Windows. Cả ntfsfixcũng ntfscksẽ sửa chữa một vài vấn đề mà chkdsk chỉ có thể sửa chữa.

   • Tại thời điểm này, nó không giống như một vấn đề phần cứng, nhiều khả năng là một vấn đề hệ thống tập tin. Nếu chkdsk không hoạt động, thì giải pháp duy nhất là định dạng lại ổ flash (Không cần mức thấp). Trong trường hợp một định dạng đơn giản không giúp ích (và được thử nghiệm trong Windows và gparted), thì chúng tôi đang xem xét một vấn đề ở cấp độ phần cứng.

Nếu một virus thực sự phải làm bất cứ điều gì với vấn đề này, thì đó là do nó bị ảnh hưởng / gắn vào bảng hệ thống tập tin (MFT). Điều này sẽ tạo ra các vấn đề như nhìn thấy các phần của hệ thống tập tin OK và các BAD khác. Không nhìn thấy các tập tin trên một hệ thống và nhìn thấy chúng trong một hệ thống khác. Xem tất cả các tệp hoặc một số tệp bị hỏng (ví dụ :! @ #! #! LOL! @ #!) Và các nội dung kỳ lạ khác có thể xảy ra nếu bảng hệ thống tệp bị hỏng. Nó có thể đơn giản như vi-rút thay đổi một trong các trường trong bảng hệ thống tệp hoặc có thể khủng khiếp như vi-rút thay đổi kích thước của MFT hoặc một số tệp.

Vi-rút sang một bên bạn nên biết rằng nếu sự cố nghiêm trọng đến mức bạn không thể định dạng ổ đĩa (Hệ thống tệp mới), điều hiếm khi thấy vi-rút làm điều đó, thì có nhiều khả năng bạn gặp sự cố phần cứng ổ đĩa flash do nhiệt, tác động, vv ..

Đối với sự hỏng dữ liệu trên ổ đĩa flash, hoặc trong bất kỳ đơn vị lưu trữ nào, đặc biệt là ổ đĩa flash, nguyên nhân trong nhiều trường hợp là xóa thiết bị trước khi tất cả thông tin được lưu chính xác. Điều này có thể xảy ra ở cả Windows và Linux nếu người dùng xóa ổ flash mà không đảm bảo rằng mọi thứ đã viết xong và phiên cho thiết bị được đóng lại.

Trong trường hợp Linux, bạn sẽ bắt đầu nhận được cảnh báo về các thao tác đọc / ghi không được phép trong toàn bộ ổ đĩa flash hoặc các tệp (như phim) thiếu 50% toàn bộ kích thước (Giống như một bộ phim 1,2 GB chỉ nặng 500 MB và mọi thứ trong đó hỏng). fsck có thể khắc phục điều này trong hầu hết các trường hợp. Trong trường hợp của Windows, nó sẽ hiển thị các lỗi đầu vào / đầu ra và có thể làm hỏng toàn bộ thiết bị vì MFT không lưu chính xác thông tin. Vì vậy, nên chờ phiên đóng cửa hoặc sử dụng tùy chọn "xóa an toàn" khi khả dụng.

Tôi nghĩ rằng vấn đề là việc triển khai NTFS trong Linux được thiết kế ngược và không hoàn thành --- yêu cầu Microsoft cung cấp mã nguồn ;-).

Bạn có gợi ý với cảnh báo "Không tìm thấy trường hợp được hỗ trợ". Có lẽ phần mềm chống vi-rút máy Windows đã sử dụng một số đặc điểm hệ thống tệp NTFS tiên tiến / tối nghĩa mà trình điều khiển Linux không thể nắm bắt được.

Bạn chỉ nên thực hiện quản lý cấp thấp hệ thống tệp trên hệ thống gốc (tìm kiếm ở đây tần suất thay đổi kích thước phân vùng chỉ để phân chia hệ thống NTFS để làm cho hệ thống không thể khởi động được ...).

Xem thêm trang NTFS-3g chính và đặc biệt là Câu hỏi thường gặp này .