Remover o diretório RECYCLER da unidade flash infectada por vírus

15

Antes de me avisar sobre a opção de salvar meus arquivos e formatar a unidade usando gparted , por favor, entenda que eu poderia ter feito isso horas atrás e isso levaria apenas alguns minutos. Na verdade, eu quero entender, o que está realmente acontecendo aqui. A situação está destruindo todas as minhas experiências adquiridas ao longo dos anos.

Fiquei com a impressão de que, se eu inserir uma unidade flash infectada com vírus na minha máquina Ubuntu, tudo o que eu preciso fazer é simplesmente excluir os arquivos de vírus e estou pronto.

Hoje, coletei alguns arquivos em uma unidade flash formatada em NTFS de uma máquina Windows, sabendo que a máquina está infectada por vírus. Quando inseri o flash drive na minha máquina, descobri que, de fato, ele coletou muitos arquivos e pastas. Eu apaguei a maioria deles. O único que mostra resistência é um diretório RECYCLER (e seus subdiretórios).

Os atributos deste diretório.

drwx------ 1 masroor masroor 4.0K May  7 16:01 RECYCLER/

Se eu executar o comando rm ,

sudo rm -rvf RECYCLER/

Eu obtenho uma saída longa na linha de

rm: cannot remove 'RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
rm: cannot remove 'RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl': Input/output error
<rest snipped>

O que é interessante, os arquivos relatados acima são mostrados pelo comando ls com alguns miríade de atributos.

ls -l RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe: Input/output error
ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl: Input/output error
total 0
-????????? ? ? ? ?            ? OagFrAIX.exe
-????????? ? ? ? ?            ? viJbcvrJ.cpl

Se você tentar encontrar os atributos dessas pastas ofensivas,

ls -dl RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Eu recebo

drwx------ 1 masroor masroor 4096 May  7 15:58 RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

O comando chmod para tornar o mundo da pasta RECYCLER gravável falha.

sudo chmod -vR ugo+w RECYCLER/

A saída está na linha de.

mode of 'RECYCLER/' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
mode of 'RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
chmod: cannot access 'RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
<snipped>

Essas pastas continham um número de .exe e outros arquivos, a maioria dos quais eu já deletei com sucesso (exceto os reportados acima).

Se eu verificar os atributos de uma dessas pastas,

lsattr -ad RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Eu obtenho

lsattr: Inappropriate ioctl for device While reading flags on RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Eu executei clamtk neste dispositivo como sugerido aqui . No entanto, não consegue encontrar uma ameaça.

Eu entendo que posso simplesmente salvar meu conteúdo da unidade flash em algum lugar e formatá-lo. No entanto, estou mais interessado em descobrir quais atributos foram definidos nessas pastas que estão resistindo a outras alterações. (E definitivamente, eu vou querer desinfetar meu pen drive também.)

UPDATE 1

Além do comentário de Patro .

  1. Quando as pastas são visitadas, esses arquivos com miríade de atributos não são exibidos, mesmo quando tento visualizá-los como arquivos ocultos.
  2. A exclusão desses arquivos falha. O comando rm -rvf * dentro do diretório S-2-4-27-3777257131-1806073332-421880436-8537 falha com erro de entrada / saída.

UPDATE 2

Após os comentários de soulsource e girardengo Eu tentei correr ntfsck e ntfsfix . Além disso, esta questão ajudou.

Aqui estão as saídas.

ntfsck

sudo ntfsck  /dev/sdc1

Unsupported: replay_log()
Unsupported: check_volume()
Checking 7796 MFT records.
Unsupported cases found.

ntfsfix

sudo ntfsfix -d /dev/sdc1

Mounting volume... OK
Processing of $MFT and $MFTMirr completed successfully.
NTFS volume version is 3.1.
NTFS partition /dev/sdc1 was processed successfully.

Mas a situação inicial ainda persiste. Não houve qualquer melhoria.

ATUALIZAÇÃO 3 (RESOLVIDO)

Como recomendado em esta postagem , inseri minha unidade em uma máquina Windows e executado (a partir de um terminal),

chkdsk <drive letter> /R

Houve uma série de atividades sobre verificação e reparo. Havia algumas mensagens sobre setores defeituosos também. A tarefa terminou em menos de um minuto. Então descobri que algumas novas pastas foram criadas para áreas recuperadas.

Reinseri o flash drive em uma máquina Linux e a pasta RECYCLER pode ser excluída sem nenhum problema.

Como uma etapa adicional, agora eu formatei a unidade (usando o gparted, para NTFS), pois acho que obtive meu conhecimento.

Parece que o vírus é realmente capaz de causar hardware (temporário / suave) problema. Por favor, veja o post acima mencionado para uma explicação técnica detalhada.

    
por Masroor 07.05.2014 / 13:54

2 respostas

6

Ok, tenho que esclarecer algumas coisas aqui:

  1. A parte de engenharia reversa sobre NTFS não se aplica aqui, especialmente para uma unidade flash NTFS formatada. Mesmo se isso acontecesse, seria algo realmente fora do normal. Eu tenho trabalhado com muitos drives Flash formatados em NTFS, formatados no Windows XP, Vista, 7 e 8.

    Então, um problema com o Linux não detectar o NTFS corretamente não é. o projeto NTFS-3G não é lento nem incompatível com esse nível, você pode até ver que a última atualização foi há alguns meses atrás neste mesmo ano . Com certeza tem alguns problemas de tempos em tempos, como suporte a cache e uso enorme de CPU, mas como eu disse, para um Flash Drive seria algo muito improvável de acontecer ou seria com uma chance muito pequena ..

  2. Eu tive problemas semelhantes com flash drives mostrando ????? símbolos ou simplesmente símbolos errados (EG:! @ #% $ @% # @ em vez do nome do arquivo). Alguns usuários recomendam usar ntfsfix ou ntfck , mas se você não conseguir corrigi-los com esse chkdsk executado no Windows na unidade. O registro / sistema de arquivos de inicialização pode estar com alguns problemas.

  3. O proprietário do arquivo / pasta não importa, desde que ele use sudo . Pode ser qualquer usuário, mas quando ele usa o sudo command rm irá removê-lo independentemente de quem seja o proprietário. Novamente, isso se aplica a esta unidade flash formatada em NTFS.

  4. Quando eu vi a pergunta pela primeira vez eu ia pedir para executar o comando como sudo , mas eu li que você já fez. Então ia sugerir as ferramentas de reparo NTFS, mas você já fez. então vi o erro de entrada / saída no final. Isso e ver como o nome dos arquivos apareceu todo bagunçado simplesmente me disse que havia um problema real no sistema de arquivos que só pode ser corrigido por:

    • Usando o chkdsk no Windows. Nem ntfsfix nem ntfsck consertarão alguns problemas que o chkdsk só pode corrigir.

    • Neste momento, não parece um problema de hardware, mais provavelmente um problema no sistema de arquivos. Se o chkdsk não funcionar, a única solução é formatar o flash drive novamente (sem necessidade de nível baixo). No caso de um formato simples não ajudar (e testado no Windows e no gparted), estamos analisando um problema de nível de hardware.

Se um vírus realmente tivesse que fazer alguma coisa com esse problema, seria porque ele afetou / anexou à tabela do sistema de arquivos (MFT). Isso criaria problemas como ver partes do sistema de arquivos OK e outros BAD. Não vendo arquivos em um sistema e vendo-os em outro. Ver todos os arquivos ou alguns corrompidos (por exemplo:! @ #! #! LOL! @ #!) E outras coisas estranhas que podem acontecer se a tabela do sistema de arquivos estiver corrompida. Pode ser tão simples quanto o vírus que está alterando um dos campos da tabela do sistema de arquivos ou pode ser tão horrível quanto o vírus alterando o tamanho da MFT ou de vários arquivos.

Vírus de lado, você deve saber que se o problema é tão ruim que você não pode formatar a unidade (sistema de arquivos Fresh) que seria raro ver um vírus fazer isso, então é mais provável que você tenha um hardware de unidade flash problema causado pelo calor, impacto, etc.

Para a corrupção de dados na unidade flash, ou em qualquer unidade de armazenamento, mas especialmente unidades flash, a causa em muitos casos é remover a unidade antes de todas as informações serem salvas corretamente. Isso pode acontecer em ambos, Windows e Linux, se um usuário remover a unidade flash sem ter certeza de que tudo terminou de ser gravado e a sessão do dispositivo está fechada.

No caso do Linux, você começará a receber avisos sobre operações de leitura / gravação não permitidas em toda a unidade flash ou arquivos (como filmes) sem metade do tamanho total (como um filme de 1,2 GB pesando apenas 500 MB e tudo nele corrompido). O fsck pode consertar isso na maioria dos casos. No caso do Windows, ele mostrará erros de entrada / saída e poderá corromper toda a unidade, porque a MFT não salvou corretamente a informação. Portanto, é recomendável aguardar o fechamento da sessão ou usar a opção "remover com segurança" quando disponível.

    
por Luis Alvarado 09.05.2014 / 19:12
5

Eu acho que o problema é que a implementação NTFS no Linux tem engenharia reversa e não está completa --- peça à Microsoft pelo código fonte ;-).

Você tem dicas com o aviso "Caso não suportado encontrado". Provavelmente, o antivírus da máquina do Windows usou algumas características de sistema de arquivos NTFS avançadas / obscuras que o driver do Linux não é capaz de entender.

Você deve fazer o gerenciamento de baixo nível de um sistema de arquivos apenas no sistema nativo (pesquise aqui com que frequência o gparted redimensionou uma partição NTFS apenas para tornar o sistema não inicializável ...).

Veja também a página principal do NTFS-3g , e especialmente esta FAQ P & A .

    
por Rmano 08.05.2014 / 17:54