it-swarm.com.de

Entfernen Sie das RECYCLER-Verzeichnis vom vireninfizierten Flash-Laufwerk

Bevor Sie mich über die Option zum Speichern meiner Dateien und zum Formatieren des Laufwerks mit gparted informieren, sollten Sie sich darüber im Klaren sein, dass ich diese Stunden früher hätte arbeiten können und dies nur einige Minuten in Anspruch genommen hätte. Eigentlich möchte ich verstehen, was hier wirklich passiert. Die Situation zerstört all meine Erfahrungen, die ich im Laufe der Jahre gesammelt habe.


Ich hatte den Eindruck, dass ich nur die Virendateien löschen muss, wenn ich ein mit Viren infiziertes Flash-Laufwerk in meinen Ubuntu-Computer einsetze.

Heute habe ich einige Dateien in einem NTFS-formatierten Flash-Laufwerk von einem Windows-Computer gesammelt, in dem Wissen, dass der Computer mit Viren infiziert ist. Als ich das Flash-Laufwerk in meinen Computer einfügte, stellte ich fest, dass tatsächlich viele Dateien und Ordner gesammelt wurden. Ich habe die meisten von ihnen gelöscht. Der einzige, der einen harten Widerstand zeigt, ist ein RECYCLER-Verzeichnis (und seine Unterverzeichnisse).


Die Attribute dieses Verzeichnisses.

drwx------ 1 masroor masroor 4.0K May  7 16:01 RECYCLER/

Wenn ich den Befehl rm ausführe,

Sudo rm -rvf RECYCLER/

Ich bekomme eine lange Ausgabe in der Zeile,

rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl': Input/output error
<rest snipped>

Interessanterweise werden die oben angegebenen Dateien vom Befehl ls mit einer Vielzahl von Attributen angezeigt.

ls -l RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe: Input/output error
ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl: Input/output error
total 0
-????????? ? ? ? ?            ? OagFrAIX.exe
-????????? ? ? ? ?            ? viJbcvrJ.cpl

Wenn Sie versuchen, die Attribute dieser fehlerhaften Ordner zu finden,

ls -dl RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Ich bekomme,

drwx------ 1 masroor masroor 4096 May  7 15:58 RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Der Befehl chmod, um den RECYCLER-Ordner schreibgeschützt zu machen, schlägt fehl.

Sudo chmod -vR ugo+w RECYCLER/

Die Ausgabe erfolgt in der Zeile von.

mode of `RECYCLER/' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
mode of `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
chmod: cannot access `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
<snipped>

Diese Ordner enthielten eine Reihe von .exe und andere Dateien, von denen ich die meisten bereits erfolgreich gelöscht habe (mit Ausnahme der oben genannten).

Wenn ich die Attribute eines dieser Ordner überprüfe,

lsattr -ad RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Ich bekomme

lsattr: Inappropriate ioctl for device While reading flags on RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Ich habe clamtk auf diesem Gerät wie vorgeschlagen ausgeführt hier . Es findet jedoch keine Bedrohung.

Ich verstehe, dass ich den Inhalt meines Flash-Laufwerks einfach irgendwo speichern und dann formatieren kann. Ich bin jedoch mehr daran interessiert herauszufinden, welche Attribute in diesen Ordnern festgelegt wurden, die weiteren Änderungen widerstehen. (Und auf jeden Fall möchte ich auch mein Flash-Laufwerk desinfizieren.)


UPDATE 1

Auf den Kommentar von Patro .

  1. Wenn die Ordner besucht werden, werden diese Dateien mit unzähligen Attributen nicht angezeigt, auch wenn ich versuche, sie als versteckte Dateien anzuzeigen.
  2. Das Löschen dieser Dateien schlägt fehl. Der Befehl rm -rvf * im Verzeichnis S-2-4-27-3777257131-1806073332-421880436-8537 schlägt mit Eingabe-/Ausgabefehler fehl.

UPDATE 2

Nach den Kommentaren von soulsource und girardengo habe ich versucht, ntfsck und ntfsfix auszuführen. Auch diese Frage hat geholfen.

Hier sind die Ausgänge.

ntfsck

Sudo ntfsck  /dev/sdc1

Unsupported: replay_log()
Unsupported: check_volume()
Checking 7796 MFT records.
Unsupported cases found.

ntfsfix

Sudo ntfsfix -d /dev/sdc1

Mounting volume... OK
Processing of $MFT and $MFTMirr completed successfully.
NTFS volume version is 3.1.
NTFS partition /dev/sdc1 was processed successfully.

Die Ausgangslage bleibt aber bestehen. Es hat keine Verbesserung gegeben.


UPDATE 3 (Gelöst)

Wie in dieser Beitrag empfohlen, habe ich mein Laufwerk in einen Windows-Computer eingelegt und ausgeführt (von einem Terminal aus),

chkdsk <drive letter> /R

Es gab eine Vielzahl von Aktivitäten zum Überprüfen und Reparieren. Es gab auch einige Meldungen bezüglich fehlerhafter Sektoren. Die Aufgabe war in weniger als einer Minute erledigt. Dann stellte ich fest, dass einige neue Ordner für wiederhergestellte Bereiche erstellt wurden.

Ich habe das Flash-Laufwerk erneut auf einem Linux-Computer installiert, und der RECYCLER-Ordner konnte problemlos gelöscht werden.

Als zusätzlichen Schritt habe ich jetzt das Laufwerk (unter Verwendung von gparted für NTFS) formatiert, da ich denke, dass ich meine Einsicht gewonnen habe.

Es sieht so aus, als ob der Virus tatsächlich (temporär/soft) Hardwareprobleme verursachen kann. Eine ausführliche technische Erklärung finden Sie in oben genannter Beitrag .

15
Masroor

Ok, ich muss ein paar Dinge klären:

  1. Der Reverse-Engineering-Teil zu NTFS gilt hier nicht, insbesondere für ein formatiertes NTFS-Flash-Laufwerk. Selbst wenn es so wäre, wäre das etwas wirklich Ungewöhnliches. Ich habe mit vielen NTFS-formatierten Flash-Laufwerken gearbeitet, die unter Windows XP, Vista, 7 und 8 formatiert wurden.

    Ein Problem mit dem Linux, das NTFS nicht richtig erkennt, ist es also nicht. Das NTFS-3G-Projekt ist weder langsam noch inkompatibel zu dieser Version. Sie können sogar feststellen, dass das letzte Update vor ein paar Monaten durchgeführt wurde im selben Jahr . Es hat sicher von Zeit zu Zeit ein paar Probleme wie Caching-Unterstützung und enorme CPU-Auslastung, aber wie gesagt, für ein Flash-Laufwerk wäre es etwas sehr unwahrscheinliches oder mit sehr geringer Chance.

  2. Ich hatte ähnliche Probleme mit Flash-Laufwerken, die entweder ????? Symbole oder einfach nur falsche Symbole (zB! @ #% $ @% # @ anstelle des Dateinamens). Einige Benutzer empfehlen die Verwendung von ntfsfix oder ntfck, aber wenn Sie sie damit nicht beheben können, führen Sie chkdsk unter Windows auf dem Laufwerk aus. Der Boot Record/das Dateisystem dafür weist möglicherweise einige Probleme auf.

  3. Der Eigentümer der Datei/des Ordners spielt keine Rolle, solange er Sudo verwendet. Es kann jeder Benutzer sein, aber wenn er den Befehl Sudorm verwendet, wird er entfernt, unabhängig davon, wem er gehört. Dies gilt auch für dieses NTFS-formatierte Flash-Laufwerk.

  4. Als ich die Frage zum ersten Mal sah, wollte ich den Befehl als Sudo ausführen, aber ich habe gelesen, dass Sie es bereits getan haben. Dann wollte ntfs die Reparaturwerkzeuge vorschlagen, aber du hast es bereits getan. dann habe ich am ende den eingabe/ausgabefehler gesehen. Das und die Tatsache, dass der Name der Dateien völlig durcheinander geraten ist, hat mir einfach gesagt, dass ein tatsächliches Dateisystemproblem vorliegt, das nur durch Folgendes behoben werden kann:

    • Verwenden von chkdsk unter Windows. Weder ntfsfix noch ntfsck werden einige Probleme beheben, die chkdsk nur beheben kann.

    • Derzeit sieht es nicht nach einem Hardwareproblem aus, sondern eher nach einem Dateisystemproblem. Wenn chkdsk nicht funktioniert, besteht die einzige Lösung darin, das Flash-Laufwerk erneut zu formatieren (kein niedriger Pegel erforderlich). Für den Fall, dass ein einfaches Format nicht hilft (und in Windows und gparted getestet wurde), handelt es sich um ein Problem auf Hardwareebene.

Wenn ein Virus tatsächlich irgendetwas mit diesem Problem zu tun hätte, wäre dies darauf zurückzuführen, dass er die Dateisystemtabelle (MFT) betroffen/an diese angehängt hat. Dies würde Probleme verursachen, wie Teile des Dateisystems in Ordnung zu sehen und andere BAD. Dateien auf einem System und auf einem anderen System werden nicht angezeigt. Anzeigen aller oder einiger beschädigter Dateien (z. B.! @ #! #! LOL! @ #!) Und anderer seltsamer Dinge, die auftreten können, wenn die Dateisystemtabelle beschädigt ist. Es kann so einfach sein, dass der Virus eines der Felder in der Dateisystemtabelle ändert, oder es kann so schrecklich sein, dass der Virus die Größe der MFT oder mehrerer Dateien ändert.

Abgesehen von Viren sollten Sie wissen, dass, wenn das Problem so schlimm ist, dass Sie das Laufwerk (Fresh-Dateisystem) nicht formatieren können, was bei einem Virus selten der Fall ist, es wahrscheinlicher ist, dass Sie ein Hardwareproblem mit dem Flash-Laufwerk haben Hitze, Stöße usw.

Die Ursache für die Beschädigung von Daten auf dem Flash-Laufwerk oder in einem Speichergerät, insbesondere Flash-Laufwerken, ist in vielen Fällen das Entfernen des Geräts, bevor alle Informationen korrekt gespeichert wurden. Dies kann sowohl unter Windows als auch unter Linux der Fall sein, wenn ein Benutzer das Flash-Laufwerk entfernt, ohne sicherzustellen, dass der Schreibvorgang abgeschlossen ist und die Sitzung für das Gerät geschlossen ist.

Unter Linux erhalten Sie Warnungen zu Lese-/Schreibvorgängen, die auf dem gesamten Flash-Laufwerk nicht zulässig sind, oder zu Dateien (z. B. Filme), bei denen 50% der Gesamtgröße fehlen (z. B. ein 1,2-GB-Film mit nur 500 MB und allem, was darin enthalten ist) beschädigt). fsck kann dies in den meisten Fällen beheben. Im Fall von Windows werden Eingabe-/Ausgabefehler angezeigt, und es kann bis zur Beschädigung des gesamten Geräts gehen, da die MFT die Informationen nicht korrekt gespeichert hat. Es wird daher empfohlen, entweder auf das Schließen der Sitzung zu warten oder, falls verfügbar, die Option "Sicher entfernen" zu verwenden.

6
Luis Alvarado

Ich denke, das Problem ist, dass NTFS-Implementierung in Linux rückentwickelt und nicht vollständig ist --- Microsoft nach dem Quellcode fragen ;-).

Sie haben Hinweise mit der Warnung "Nicht unterstützter Fall gefunden". Wahrscheinlich hat das Windows-Virenschutzprogramm einige erweiterte/unbekannte NTFS-Dateisystemmerkmale verwendet, die der Linux-Treiber nicht erfassen kann.

Sie sollten die Verwaltung eines Dateisystems auf niedriger Ebene nur auf dem nativen System durchführen (suchen Sie hier, wie oft gparted die Größe einer NTFS-Partition geändert hat, um das System nicht mehr zu booten ...).

Siehe auch die NTFS-3g-Hauptseite und insbesondere diese FAQ Q & A .

5
Rmano