Entfernen Sie das RECYCLER-Verzeichnis vom vireninfizierten Flash-Laufwerk

15

Bevor Sie mich über die Option zum Speichern meiner Dateien und zum Formatieren des Laufwerks mit gparted informieren , sollten Sie sich darüber im Klaren sein , dass ich diese Stunden hätte zurücklegen können und dies nur einige Minuten in Anspruch genommen hätte. Eigentlich möchte ich verstehen, was hier wirklich passiert. Die Situation zerstört all meine Erfahrungen, die ich im Laufe der Jahre gesammelt habe.

Ich hatte den Eindruck, dass ich nur die Virendateien löschen muss, wenn ich ein mit Viren infiziertes Flash-Laufwerk in meinen Ubuntu-Computer einsetze, und es kann losgehen.

Heute habe ich einige Dateien in einem NTFS-formatierten Flash-Laufwerk von einem Windows-Computer gesammelt, in dem Wissen, dass der Computer mit Viren infiziert ist. Als ich das Flash-Laufwerk in meinen Computer einfügte, stellte ich fest, dass tatsächlich viele Dateien und Ordner gesammelt wurden. Ich habe die meisten von ihnen gelöscht. Der einzige, der einen harten Widerstand zeigt, ist ein RECYCLER-Verzeichnis (und seine Unterverzeichnisse).

Die Attribute dieses Verzeichnisses.

drwx------ 1 masroor masroor 4.0K May  7 16:01 RECYCLER/

Wenn ich den rmBefehl ausführen ,

sudo rm -rvf RECYCLER/

Ich bekomme eine lange Ausgabe in der Zeile,

rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl': Input/output error
<rest snipped>

Interessanterweise werden die oben angegebenen Dateien vom lsBefehl mit einer Vielzahl von Attributen angezeigt .

ls -l RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe: Input/output error
ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl: Input/output error
total 0
-????????? ? ? ? ?            ? OagFrAIX.exe
-????????? ? ? ? ?            ? viJbcvrJ.cpl

Wenn Sie versuchen, die Attribute dieser fehlerhaften Ordner zu finden,

ls -dl RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Ich bekomme,

drwx------ 1 masroor masroor 4096 May  7 15:58 RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Der Befehl chmod, den RECYCLER-Ordner schreibgeschützt zu machen, schlägt fehl.

sudo chmod -vR ugo+w RECYCLER/

Die Ausgabe erfolgt in der Zeile von.

mode of `RECYCLER/' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
mode of `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
chmod: cannot access `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
<snipped>

Diese Ordner enthielten eine Reihe von .exeund andere Dateien, von denen ich die meisten bereits erfolgreich gelöscht habe (mit Ausnahme der oben genannten).

Wenn ich die Attribute eines dieser Ordner überprüfe,

lsattr -ad RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Ich bekomme

lsattr: Inappropriate ioctl for device While reading flags on RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Ich habe clamtkauf diesem Gerät wie hier vorgeschlagen ausgeführt . Es findet jedoch keine Bedrohung.

Ich verstehe, dass ich den Inhalt meines Flash-Laufwerks einfach irgendwo speichern und dann formatieren kann. Ich bin jedoch mehr daran interessiert herauszufinden, welche Attribute in diesen Ordnern festgelegt wurden, die weiteren Änderungen widerstehen. (Und auf jeden Fall möchte ich auch mein Flash-Laufwerk desinfizieren.)

UPDATE 1

Auf den Kommentar von Patro .

  1. Wenn die Ordner besucht werden, werden diese Dateien mit unzähligen Attributen nicht angezeigt, auch wenn ich versuche, sie als versteckte Dateien anzuzeigen.
  2. Das Löschen dieser Dateien schlägt fehl. Der Befehl rm -rvf *im Verzeichnis S-2-4-27-3777257131-1806073332-421880436-8537schlägt mit einem Eingabe- / Ausgabefehler fehl.

UPDATE 2

Nach den Kommentaren von soulsource und Girardengo Ich habe versucht , zu laufen ntfsckund ntfsfix. Auch diese Frage hat geholfen.

Hier sind die Ausgänge.

ntfsck

sudo ntfsck  /dev/sdc1

Unsupported: replay_log()
Unsupported: check_volume()
Checking 7796 MFT records.
Unsupported cases found.

ntfsfix

sudo ntfsfix -d /dev/sdc1

Mounting volume... OK
Processing of $MFT and $MFTMirr completed successfully.
NTFS volume version is 3.1.
NTFS partition /dev/sdc1 was processed successfully.

Die Ausgangslage bleibt aber bestehen. Es hat keine Verbesserung gegeben.

UPDATE 3 (Gelöst)

Wie in diesem Beitrag empfohlen , habe ich mein Laufwerk in einen Windows-Computer eingelegt und ausgeführt (von einem Terminal aus),

chkdsk <drive letter> /R

Es gab eine Vielzahl von Aktivitäten zum Überprüfen und Reparieren. Es gab auch einige Meldungen zu fehlerhaften Sektoren. Die Aufgabe war in weniger als einer Minute erledigt. Dann stellte ich fest, dass einige neue Ordner für wiederhergestellte Bereiche erstellt wurden.

Ich habe das Flash-Laufwerk erneut auf einem Linux-Computer installiert, und der RECYCLER-Ordner konnte problemlos gelöscht werden.

Als zusätzlichen Schritt habe ich jetzt das Laufwerk (unter Verwendung von gparted für NTFS) formatiert, da ich denke, dass ich meine Einsicht gewonnen habe.

Es sieht so aus, als ob der Virus tatsächlich (vorübergehende / weiche) Hardwareprobleme verursachen kann. Bitte lesen Sie den oben genannten Beitrag für eine detaillierte technische Erklärung.

windows  usb-drive  ntfs  malware  ntfs-3g 
Masroor
quelle
drwx ------ 1 masroor masroor 4096 7. Mai 15:58 RECYCLER / S-2-4-27-3777257131-1806073332-421880436-8537 /; Das Verzeichnis gibt an, dass nur der Dateieigentümer (in diesem Fall der Eigentümer, der es erstellt hat) es löschen kann. Klicken Sie mit der rechten Maustaste auf den Ordner, und klicken Sie auf Eigenschaften. Überprüfen Sie dann die Registerkarte Berechtigung.
user220402
@ user220402 Ich habe versucht, den Ordner als Benutzer root mit sudo zu löschen, wenn Sie dies bemerkt haben. Ich habe versucht, sudo zu verwenden, als das Löschen des Benutzers fehlgeschlagen ist.
Masroor
Durchsuchen Sie den Ordner und löschen Sie jede Datei einzeln. Prüfen Sie, ob dies funktioniert. Versuchen Sie später, den Ordner selbst zu löschen.
Parto
3
E / A-Fehler bedeuten in der Regel tatsächlich, dass auf Hardwareebene etwas nicht stimmt. Es ist sicher möglich, dass sie nur in einem einzigen Ordner oder einer einzigen Datei erscheinen (wenn die entsprechenden Inodes in fehlerhaften Speicherzellen gespeichert sind, aber alle anderen Speicherzellen in Ordnung sind). Ich vermute jedoch, dass das Dateisystem durch den Virus beschädigt wurde und diese Dateien außerhalb des Speicherbereichs der Festplatte liegen. Ich würde daher versuchen, ntfsck auf dem Dateisystem auszuführen. Wenn Sie eine Windows-Installation haben, die Sie im schlimmsten Fall (bei einer Infektion) erneut installieren können, können Sie auch versuchen, chkdsk zu verwenden.
Quelle:
1
Versuchen Sie wie vorgeschlagen, einen Scan des Geräts durchzuführen. Mit dem Befehl können Sie ntfsfixversuchen, Fehler zu korrigieren.
Girardengo

Antworten:

6

Ok, ich muss ein paar Dinge klären:

  1. Der Reverse-Engineering-Teil zu NTFS gilt hier nicht, insbesondere für ein formatiertes NTFS-Flash-Laufwerk. Selbst wenn es so wäre, wäre das etwas wirklich Ungewöhnliches. Ich habe mit vielen NTFS-formatierten Flash-Laufwerken gearbeitet, die unter Windows XP, Vista, 7 und 8 formatiert wurden.

    Ein Problem mit dem Linux, das NTFS nicht richtig erkennt, ist es also nicht. Das NTFS-3G-Projekt ist weder langsam noch inkompatibel zu diesem Level. Sie können sogar feststellen, dass das letzte Update vor ein paar Monaten im selben Jahr durchgeführt wurde . Es hat sicher von Zeit zu Zeit ein paar Probleme, wie Caching-Unterstützung und enorme CPU-Auslastung, aber wie gesagt, für ein Flash-Laufwerk wäre es sehr unwahrscheinlich, dass etwas passiert, oder es hätte nur eine sehr geringe Chance.

  2. Ich hatte ähnliche Probleme mit Flash-Laufwerken, die entweder ????? Symbole oder einfach nur falsche Symbole (zB! @ #% $ @% # @ anstelle des Dateinamens). Einige Benutzer empfehlen die Verwendung von ntfsfixoder, ntfckaber wenn Sie dies nicht beheben können, führen Sie chkdsk unter Windows auf dem Laufwerk aus. Der Boot Record / das Dateisystem dafür weist möglicherweise einige Probleme auf.

  3. Der Eigentümer der Datei / des Ordners spielt keine Rolle, solange er verwendet sudo. Es kann jeder Benutzer sein, aber wenn er den sudoBefehl verwendet, rmwird er entfernt, unabhängig davon, wem er gehört. Dies gilt auch für dieses NTFS-formatierte Flash-Laufwerk.

  4. Als ich die Frage zum ersten Mal sah, wollte ich den Befehl ausführen, sudoaber ich habe gelesen, dass Sie es bereits getan haben. Dann wollte ntfs die Reparaturwerkzeuge vorschlagen, aber du hast es bereits getan. dann habe ich am ende den eingabe / ausgabefehler gesehen . Das und die Tatsache, dass der Name der Dateien völlig durcheinander geraten ist, hat mir einfach gesagt, dass es ein tatsächliches Dateisystemproblem gibt, das nur durch Folgendes behoben werden kann:

    • Verwenden von chkdsk unter Windows. Weder ntfsfixnoch ntfsckwerden ein paar Probleme behoben, die chkdsk nur beheben kann.

    • Derzeit sieht es nicht nach einem Hardwareproblem aus, sondern eher nach einem Dateisystemproblem. Wenn chkdsk nicht funktioniert, besteht die einzige Lösung darin, das Flash-Laufwerk erneut zu formatieren (kein niedriger Pegel erforderlich). Für den Fall, dass ein einfaches Format nicht hilft (und in Windows und gparted getestet wurde), handelt es sich um ein Problem auf Hardwareebene.

Wenn ein Virus tatsächlich irgendetwas mit diesem Problem zu tun hätte, wäre dies darauf zurückzuführen, dass er die Dateisystemtabelle (MFT) betroffen / an diese angehängt hat. Dies würde Probleme verursachen, wie Teile des Dateisystems in Ordnung zu sehen und andere BAD. Dateien auf einem System und auf einem anderen System werden nicht angezeigt. Anzeigen aller oder einiger beschädigter Dateien (z. B.! @ #! #! LOL! @ #!) Und anderer seltsamer Dinge, die auftreten können, wenn die Dateisystemtabelle beschädigt ist. Es kann so einfach sein, dass der Virus eines der Felder in der Dateisystemtabelle ändert, oder es kann so schrecklich sein, dass der Virus die Größe der MFT oder mehrerer Dateien ändert.

Abgesehen von Viren sollten Sie wissen, dass, wenn das Problem so schlimm ist, dass Sie das Laufwerk (Fresh-Dateisystem) nicht formatieren können, was bei einem Virus selten der Fall ist, es wahrscheinlicher ist, dass Sie ein Hardwareproblem mit dem Flash-Laufwerk haben Hitze, Stöße usw.

Die Ursache für die Beschädigung von Daten auf dem Flash-Laufwerk oder in einem Speichergerät, insbesondere Flash-Laufwerken, ist in vielen Fällen das Entfernen des Geräts, bevor alle Informationen korrekt gespeichert wurden. Dies kann sowohl unter Windows als auch unter Linux der Fall sein, wenn ein Benutzer das Flash-Laufwerk entfernt, ohne sicherzustellen, dass der Schreibvorgang abgeschlossen ist und die Sitzung für das Gerät geschlossen ist.

Im Falle von Linux erhalten Sie Warnungen zu Lese- / Schreibvorgängen, die auf dem gesamten Flash-Laufwerk nicht zulässig sind, oder zu Dateien (z. B. Filme), bei denen 50% der Gesamtgröße fehlen (wie bei einem 1,2-GB-Film mit nur 500 MB und allem, was darin enthalten ist) beschädigt). fsck kann dies in den meisten Fällen beheben. Im Falle von Windows werden Eingabe- / Ausgabefehler angezeigt und es kann bis zur Beschädigung des gesamten Geräts gehen, da die MFT die Informationen nicht korrekt gespeichert hat. Es wird daher empfohlen, entweder auf das Schließen der Sitzung zu warten oder, falls verfügbar, die Option "Sicher entfernen" zu verwenden.

Luis Alvarado
quelle
Bitte sehen Sie sich mein UPDATE 3 an. Sieht so aus, als hätte ich meine Antwort. Aber ich werde noch ein paar Tage warten, bis ich die beste Antwort erhalte. :-)
Masroor
@MMA Großartige Arbeit. Chkdsk erstellt diese Ordner, weil dies Teile des Dateisystems (Dateien oder Ordner) waren, denen nichts zugewiesen wurde. Daher erstellt er diese temporären Ordner, damit Sie auswählen können, wo die wiederhergestellten Dateien abgelegt werden sollen. Ich werde einige Tipps hinzufügen, die neben einem Virus dieses Problem verursachen könnten.
Luis Alvarado
5

Ich denke, das Problem ist, dass die NTFS-Implementierung in Linux rückentwickelt und nicht vollständig ist - fragen Sie Microsoft nach dem Quellcode ;-).

Sie haben Hinweise mit der Warnung "Nicht unterstützter Fall gefunden". Wahrscheinlich hat das Windows-Virenschutzprogramm einige erweiterte / unbekannte NTFS-Dateisystemmerkmale verwendet, die der Linux-Treiber nicht erfassen kann.

Sie sollten die Verwaltung eines Dateisystems auf niedriger Ebene nur auf dem nativen System durchführen (suchen Sie hier, wie oft gparted die Größe einer NTFS-Partition geändert hat, um das System nicht mehr zu booten ...).

Siehe auch die Hauptseite von NTFS-3g und insbesondere diese FAQ-Fragen und Antworten .

Rmano
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.