Hapus direktori RECYCLER dari flash drive yang terinfeksi virus

15

Sebelum Anda memberi tahu saya opsi untuk menyimpan file saya dan memformat drive menggunakan gparted , harap dipahami bahwa saya bisa melakukan itu beberapa jam lalu dan itu akan memakan waktu hanya beberapa menit. Sebenarnya, saya ingin mengerti, apa yang sebenarnya terjadi di sini. Situasi ini menghancurkan semua pengalaman saya selama bertahun-tahun.

Saya mendapat kesan bahwa jika saya memasukkan flash drive yang terinfeksi virus ke mesin Ubuntu saya, yang perlu saya lakukan hanyalah menghapus file virus dan saya baik-baik saja.

Hari ini, saya mengumpulkan beberapa file dalam flash drive yang diformat NTFS dari mesin Windows sepenuhnya mengetahui bahwa mesin tersebut terinfeksi virus. Ketika saya memasukkan flash drive ke mesin saya, ternyata memang sudah mengumpulkan banyak file dan folder. Saya telah menghapus sebagian besar dari mereka. Satu-satunya yang menunjukkan resistensi keras adalah direktori RECYCLER (dan subdirektori).

Atribut direktori ini.

drwx------ 1 masroor masroor 4.0K May  7 16:01 RECYCLER/

Jika saya menjalankan rmperintah,

sudo rm -rvf RECYCLER/

Saya mendapatkan output panjang di garis,

rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl': Input/output error
<rest snipped>

Yang menarik, file yang dilaporkan di atas ditunjukkan oleh lsperintah dengan beberapa set atribut.

ls -l RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe: Input/output error
ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl: Input/output error
total 0
-????????? ? ? ? ?            ? OagFrAIX.exe
-????????? ? ? ? ?            ? viJbcvrJ.cpl

Jika mencoba menemukan atribut folder yang menyinggung itu,

ls -dl RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Saya mendapat,

drwx------ 1 masroor masroor 4096 May  7 15:58 RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Perintah chmoduntuk membuat folder RECYCLER dunia dapat ditulis gagal.

sudo chmod -vR ugo+w RECYCLER/

Outputnya ada di baris.

mode of `RECYCLER/' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
mode of `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
chmod: cannot access `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
<snipped>

Folder-folder ini berisi sejumlah .exefile dan lainnya yang sebagian besar telah saya hapus dengan sukses (kecuali yang dilaporkan di atas).

Jika saya memeriksa atribut dari salah satu folder ini,

lsattr -ad RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

saya mendapat

lsattr: Inappropriate ioctl for device While reading flags on RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Saya telah menjalankan clamtkperangkat ini seperti yang disarankan di sini . Namun, gagal menemukan ancaman.

Saya mengerti bahwa saya bisa menyimpan konten flash drive saya di suatu tempat dan kemudian memformatnya. Namun, saya lebih tertarik untuk mencari tahu atribut mana yang telah ditetapkan dalam folder ini yang menolak perubahan lebih lanjut. (Dan tentunya, saya juga ingin mendisinfeksi flash drive saya.)

PEMBARUAN 1

Selanjutnya komentar dari Patro .

  1. Ketika folder dikunjungi, file-file dengan atribut segudang tidak ditampilkan, bahkan ketika saya mencoba melihatnya sebagai file tersembunyi.
  2. Menghapus file-file ini gagal. Perintah rm -rvf *di dalam direktori S-2-4-27-3777257131-1806073332-421880436-8537gagal dengan kesalahan input / output.

PEMBARUAN 2

Setelah komentar dari soulsource dan girardengo saya mencoba menjalankan ntfsckdan ntfsfix. Juga, pertanyaan ini membantu.

Berikut ini hasilnya.

ntfsck

sudo ntfsck  /dev/sdc1

Unsupported: replay_log()
Unsupported: check_volume()
Checking 7796 MFT records.
Unsupported cases found.

ntfsfix

sudo ntfsfix -d /dev/sdc1

Mounting volume... OK
Processing of $MFT and $MFTMirr completed successfully.
NTFS volume version is 3.1.
NTFS partition /dev/sdc1 was processed successfully.

Namun situasi awal masih berlanjut. Belum ada perbaikan.

UPDATE 3 (ASK)

Seperti yang disarankan dalam posting ini , saya memasukkan drive saya ke mesin Windows dan mengeksekusi (dari terminal),

chkdsk <drive letter> /R

Ada banyak kegiatan tentang pemeriksaan dan perbaikan. Ada beberapa pesan tentang bad sector juga. Tugas selesai dalam waktu kurang dari satu menit. Kemudian saya menemukan bahwa beberapa folder baru telah dibuat untuk area yang dipulihkan.

Saya memasukkan kembali flash drive ke mesin Linux, dan folder RECYCLER dapat dihapus tanpa masalah.

Sebagai langkah tambahan, sekarang saya telah memformat drive (menggunakan gparted, ke NTFS) karena saya pikir saya telah mendapatkan wawasan saya.

Sepertinya virus ini memang mampu menyebabkan masalah perangkat keras (sementara / lunak) . Silakan lihat posting yang disebutkan di atas untuk penjelasan teknis terperinci.

windows  usb-drive  ntfs  malware  ntfs-3g 
Masroor
sumber
drwx ------ 1 masroor masroor 4096 7 Mei 15:58 RECYCLER / S-2-4-27-3777257131-1806073332-421880436-8537 /; Direktori hanya menunjukkan pemilik file (dalam hal ini, pemilik yang membuatnya) dapat menghapusnya. Coba klik kanan folder dan klik properti, lalu periksa tab izin.
user220402
@ user220402 Saya mencoba menghapus folder sebagai root pengguna menggunakan sudo jika Anda perhatikan. Saya mencoba menggunakan sudo ketika penghapusan pengguna gagal.
Masroor
Coba jelajahi folder dan hapus setiap file satu per satu dan lihat apakah itu berhasil. Kemudian coba hapus folder itu sendiri.
Parto
3
Kesalahan I / O biasanya memang berarti ada sesuatu yang salah pada tingkat perangkat keras. Sangat mungkin bahwa mereka hanya muncul dalam satu folder atau file (jika inode yang sesuai disimpan dalam sel memori yang buruk, tetapi semua sel memori lainnya OK). Namun demikian, tebakan terbaik saya adalah bahwa sistem file telah rusak oleh virus, menempatkan file-file ini di suatu tempat di luar kisaran memori disk. Karena itu saya akan mencoba menjalankan ntfsck pada sistem file. Jika Anda memiliki instalasi Windows yang dapat Anda instal ulang dalam kasus terburuk (infeksi), Anda juga dapat mencoba menggunakan chkdsk.
soulsource
1
seperti yang disarankan coba lakukan pemindaian perangkat. Anda dapat menggunakan perintah ntfsfixuntuk mencoba memperbaiki kesalahan.
girardengo

Jawaban:

6

Ok, saya harus membersihkan beberapa hal di sini:

  1. Bagian reverse-engineer tentang NTFS tidak berlaku di sini, terutama untuk drive flash NTFS yang diformat. Bahkan jika itu terjadi, itu akan menjadi sesuatu yang benar-benar tidak normal. Saya telah bekerja dengan banyak Flash drive yang diformat NTFS, yang diformat dalam Windows XP, Vista, 7 dan 8.

    Jadi masalah dengan Linux tidak mendeteksi NTFS dengan benar bukan. Proyeksi NTFS-3G tidak lambat atau tidak kompatibel dengan tingkat itu, Anda bahkan dapat melihat bahwa pembaruan terakhir adalah beberapa bulan yang lalu di tahun yang sama . Ini memang memiliki beberapa masalah dari waktu ke waktu seperti dukungan caching dan penggunaan CPU yang besar, tetapi seperti yang saya katakan, untuk Flash Drive itu akan menjadi sesuatu yang sangat tidak mungkin terjadi atau akan dengan peluang yang sangat kecil ..

  2. Saya memiliki masalah yang sama dengan Flash drive yang menunjukkan ????? simbol atau simbol yang salah sama sekali (EG:! @ #% $ @% # @ bukan nama file). Beberapa pengguna merekomendasikan untuk menggunakan ntfsfixatau ntfcktetapi jika Anda tidak dapat memperbaikinya dengan menjalankan chkdsk di Windows pada drive. Boot record / filesystem untuk itu mungkin mengalami beberapa masalah.

  3. Pemilik file / folder tidak masalah selama dia menggunakan sudo. Bisa saja pengguna mana pun tetapi ketika dia menggunakan sudoperintah rmakan menghapusnya terlepas dari siapa pemiliknya. Sekali lagi ini berlaku untuk drive Flash yang diformat NTFS ini.

  4. Ketika saya pertama kali melihat pertanyaan, saya akan meminta untuk menjalankan perintah sudotetapi saya sudah membaca Anda sudah melakukannya. Kemudian akan menyarankan alat perbaikan ntfs, tetapi Anda sudah melakukannya. kemudian saya melihat kesalahan input / output di akhir. Itu dan melihat bagaimana nama file muncul semua kacau hanya mengatakan kepada saya ada masalah sistem file yang sebenarnya yang dapat diperbaiki hanya dengan:

    • Menggunakan chkdsk di Windows. Tidak ntfsfixjuga tidak ntfsckakan memperbaiki beberapa masalah yang hanya bisa diperbaiki oleh chkdsk.

    • Pada saat ini tidak terlihat seperti masalah perangkat keras, lebih mungkin masalah sistem file. Jika chkdsk tidak berfungsi, maka satu-satunya solusi adalah memformat flash drive lagi (Tidak perlu untuk level rendah). Dalam hal format sederhana tidak membantu (dan diuji pada Windows dan gparted), maka kita melihat masalah tingkat perangkat keras.

Jika virus benar-benar harus melakukan sesuatu dengan masalah ini, itu karena itu mempengaruhi / melekat pada tabel sistem file (MFT). Ini akan membuat masalah seperti melihat bagian dari filesystem OK dan yang lainnya BAD. Tidak melihat file di satu sistem dan melihatnya di yang lain. Melihat semua file atau beberapa yang rusak (misalnya:! @ #! #! LOL! @ #!) Dan hal-hal aneh lainnya yang dapat terjadi jika tabel sistem file rusak. Itu bisa sesederhana virus mengubah salah satu bidang dalam tabel sistem file atau bisa sama mengerikannya dengan virus mengubah ukuran MFT atau beberapa file.

Selain virus, Anda harus tahu bahwa jika masalahnya sangat buruk sehingga Anda tidak dapat memformat drive (Fresh filesystem) yang jarang terjadi melihat virus melakukan hal itu, maka kemungkinan besar Anda memiliki masalah perangkat keras flash drive yang disebabkan oleh panas, benturan, dll.

Untuk kerusakan data pada flash drive, atau di unit penyimpanan apa pun tetapi terutama flash drive, penyebabnya dalam banyak kasus adalah melepas unit sebelum semua informasi disimpan dengan benar. Ini dapat terjadi pada Windows dan Linux jika pengguna menghapus flash drive tanpa memastikan bahwa semuanya telah selesai menulis dan sesi untuk perangkat ditutup.

Dalam kasus Linux Anda akan mulai mendapatkan peringatan tentang operasi baca / tulis yang tidak diizinkan di seluruh flash drive atau file (seperti film) kehilangan 50% dari seluruh ukuran (Seperti film 1.2GB dengan berat hanya 500MB dan semua yang ada di dalamnya) rusak). fsck dapat memperbaiki ini dalam banyak kasus. Dalam kasus Windows, ia akan menampilkan kesalahan input / output dan dapat merusak seluruh unit karena MFT tidak menyimpan informasi dengan benar. Jadi disarankan untuk menunggu sesi ditutup atau menggunakan opsi "hapus aman" saat tersedia.

Luis Alvarado
sumber
Silakan lihat UPDATE saya 3. Sepertinya saya sudah mendapatkan jawaban saya. Tetapi saya akan menunggu beberapa hari lagi sebelum saya memberikannya pada jawaban terbaik. :-)
Masroor
@ MAMA Kerja bagus. Chkdsk memang membuat folder itu karena ini adalah bagian dari sistem file (file atau folder) yang tidak ditugaskan untuk apa pun, jadi dia membuat folder temp ini sehingga Anda dapat memilih tempat untuk meletakkan file yang dipulihkan. Saya akan menambahkan beberapa tips yang bisa membuat masalah ini terlepas dari virus.
Luis Alvarado
5

Saya pikir masalahnya adalah bahwa implementasi NTFS di Linux direkayasa ulang dan tidak lengkap --- tanyakan pada Microsoft untuk kode sumber ;-).

Anda memiliki petunjuk dengan peringatan "Kasus yang tidak didukung ditemukan". Mungkin antivirus mesin Windows menggunakan beberapa karakteristik sistem file NTFS canggih / tidak jelas yang tidak dapat dipahami oleh driver Linux.

Anda harus melakukan manajemen tingkat rendah dari sistem file hanya pada sistem asli (cari di sini seberapa sering gparted mengubah ukuran partisi NTFS hanya untuk membuat sistem tidak dapat di-boot ...).

Lihat juga halaman utama NTFS-3g , dan terutama T&J FAQ ini .

Rmano
sumber
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.