ลบไดเรกทอรี RECYCLER จากแฟลชไดรฟ์ที่ติดไวรัส


15

ก่อนที่คุณจะแนะนำฉันเกี่ยวกับตัวเลือกในการบันทึกไฟล์ของฉันและการฟอร์แมตไดรฟ์โดยใช้gpartedโปรดเข้าใจว่าฉันสามารถทำได้หลายชั่วโมงและอาจใช้เวลาเพียงไม่กี่นาที ที่จริงแล้วฉันต้องการเข้าใจสิ่งที่เกิดขึ้นจริงที่นี่ สถานการณ์กำลังทำลายประสบการณ์ทั้งหมดของฉันที่ได้รับในช่วงหลายปีที่ผ่านมา


ฉันรู้สึกว่าถ้าฉันใส่แฟลชไดรฟ์ที่ติดเชื้อไวรัสลงในเครื่อง Ubuntu ของฉันสิ่งที่ฉันต้องทำก็คือเพียงแค่ลบไฟล์ไวรัสและฉันก็พร้อมที่จะไป

วันนี้ฉันรวบรวมไฟล์บางไฟล์ในแฟลชไดรฟ์ที่ฟอร์แมต NTFS จากเครื่อง Windows อย่างสมบูรณ์โดยรู้ว่าเครื่องติดไวรัส เมื่อฉันเสียบแฟลชไดรฟ์เข้ากับเครื่องฉันพบว่ามันเก็บไฟล์และโฟลเดอร์ไว้มากมาย ฉันได้ลบพวกเขาส่วนใหญ่ หนึ่งเดียวที่แสดงความต้านทานอย่างหนักคือไดเรกทอรี RECYCLER (และไดเรกทอรีย่อย)


คุณสมบัติของไดเรกทอรีนี้

drwx------ 1 masroor masroor 4.0K May  7 16:01 RECYCLER/

ถ้าฉันรันrmคำสั่ง

sudo rm -rvf RECYCLER/

ฉันได้ผลลัพธ์ที่ยาวนานในสายของ

rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl': Input/output error
<rest snipped>

สิ่งที่น่าสนใจไฟล์ที่รายงานข้างต้นแสดงโดยlsคำสั่งพร้อมชุดคุณลักษณะจำนวนมาก

ls -l RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe: Input/output error
ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl: Input/output error
total 0
-????????? ? ? ? ?            ? OagFrAIX.exe
-????????? ? ? ? ?            ? viJbcvrJ.cpl

หากพยายามค้นหาคุณลักษณะของโฟลเดอร์ที่ละเมิดเหล่านั้น

ls -dl RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

ฉันเข้าใจ,

drwx------ 1 masroor masroor 4096 May  7 15:58 RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

คำสั่งchmodเพื่อทำให้โฟลเดอร์ RECYCLER ที่โลกเขียนได้ล้มเหลว

sudo chmod -vR ugo+w RECYCLER/

เอาต์พุตอยู่ในแนวของ

mode of `RECYCLER/' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
mode of `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
chmod: cannot access `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
<snipped>

โฟลเดอร์เหล่านี้มีไฟล์จำนวนมาก.exeและไฟล์อื่น ๆ ซึ่งส่วนใหญ่ฉันลบไปเรียบร้อยแล้ว (ยกเว้นที่มีการรายงานข้างต้น)

หากฉันตรวจสอบคุณสมบัติของหนึ่งในโฟลเดอร์เหล่านี้

lsattr -ad RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

ฉันเข้าใจ

lsattr: Inappropriate ioctl for device While reading flags on RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

ฉันได้ทำงานclamtkบนอุปกรณ์นี้เป็นข้อเสนอแนะที่นี่ อย่างไรก็ตามไม่พบภัยคุกคาม

ฉันเข้าใจว่าฉันสามารถบันทึกเนื้อหาแฟลชไดรฟ์ของฉันไว้ที่ใดที่หนึ่งแล้วจัดรูปแบบ อย่างไรก็ตามฉันสนใจที่จะค้นหาว่ามีการตั้งค่าแอตทริบิวต์ใดบ้างในโฟลเดอร์เหล่านี้ซึ่งต่อต้านการเปลี่ยนแปลงเพิ่มเติม (และแน่นอนฉันจะต้องการฆ่าเชื้อแฟลชไดรฟ์ของฉันด้วย)


อัพเดท 1

เพิ่มเติมความคิดเห็นจากPatro

  1. เมื่อมีการเยี่ยมชมโฟลเดอร์ไฟล์เหล่านั้นที่มีคุณสมบัติ myriad จะไม่ปรากฏแม้ว่าฉันจะพยายามดูว่าเป็นไฟล์ที่ซ่อนอยู่ก็ตาม
  2. การลบไฟล์เหล่านี้ล้มเหลว คำสั่งrm -rvf *ภายในไดเรกทอรีS-2-4-27-3777257131-1806073332-421880436-8537ล้มเหลวโดยมีข้อผิดพลาดอินพุต / เอาต์พุต

อัพเดท 2

หลังจากที่ความคิดเห็นจากsoulsourceและGirardengoฉันได้พยายามที่จะเรียกใช้ และntfsck ntfsfixนอกจากนี้คำถามนี้ช่วย

นี่คือผลลัพธ์

ntfsck

sudo ntfsck  /dev/sdc1

Unsupported: replay_log()
Unsupported: check_volume()
Checking 7796 MFT records.
Unsupported cases found.

ntfsfix

sudo ntfsfix -d /dev/sdc1

Mounting volume... OK
Processing of $MFT and $MFTMirr completed successfully.
NTFS volume version is 3.1.
NTFS partition /dev/sdc1 was processed successfully.

แต่สถานการณ์เริ่มต้นยังคงมีอยู่ ไม่มีการปรับปรุงใด ๆ


อัปเดต 3 (แก้ไขแล้ว)

ตามคำแนะนำในโพสต์นี้ฉันเสียบไดรฟ์ของฉันในเครื่อง Windows และดำเนินการ (จากเทอร์มินัล)

chkdsk <drive letter> /R

มีกิจกรรมที่วุ่นวายมากมายเกี่ยวกับการตรวจสอบและซ่อมแซม มีข้อความบางส่วนเกี่ยวกับเซกเตอร์ที่ไม่ดีเช่นกัน งานเสร็จในเวลาไม่ถึงนาที จากนั้นฉันก็พบว่ามีการสร้างโฟลเดอร์ใหม่สำหรับพื้นที่ที่ถูกกู้คืน

ฉันแทรกแฟลชไดรฟ์ไปยังเครื่อง Linux อีกครั้งและโฟลเดอร์ RECYCLER สามารถลบได้โดยไม่มีปัญหา

เป็นขั้นตอนเพิ่มเติมตอนนี้ฉันได้ฟอร์แมตไดรฟ์ (โดยใช้ gparted เป็น NTFS) เนื่องจากฉันคิดว่าฉันได้รับข้อมูลเชิงลึกแล้ว

ดูเหมือนว่าไวรัสสามารถทำให้เกิดปัญหาฮาร์ดแวร์(ชั่วคราว / อ่อน)ได้ โปรดดูโพสต์ดังกล่าวข้างต้นสำหรับคำอธิบายทางเทคนิคโดยละเอียด


drwx ------ 1 masroor masroor 4096 7 พฤษภาคม 15:58 RECYCLER / S-2-4-27-3777257131-1806073332-421880436-8537 /; ไดเรกทอรีระบุเฉพาะเจ้าของไฟล์ (ในกรณีนี้เจ้าของที่สร้างขึ้น) สามารถลบได้ ลองคลิกขวาที่โฟลเดอร์และคลิกคุณสมบัติจากนั้นตรวจสอบแท็บการอนุญาต
user220402

@ user220402 ฉันลองลบโฟลเดอร์ในฐานะผู้ใช้รูทโดยใช้ sudo ถ้าคุณสังเกตเห็น ฉันลองใช้ sudo เมื่อการลบผู้ใช้ล้มเหลว
Masroor

ลองเรียกดูโฟลเดอร์และลบแต่ละไฟล์แยกกันและดูว่าใช้งานได้หรือไม่ จากนั้นให้ลองลบโฟลเดอร์ในภายหลัง
Parto

3
ข้อผิดพลาด I / O มักจะหมายความว่ามีบางอย่างผิดปกติในระดับฮาร์ดแวร์ มีความเป็นไปได้ที่จะปรากฏภายในโฟลเดอร์หรือไฟล์เดียว (หาก inodes ที่เกี่ยวข้องถูกเก็บไว้ในเซลล์หน่วยความจำไม่ดี แต่เซลล์หน่วยความจำอื่นทั้งหมดนั้นใช้ได้) อย่างไรก็ตามการคาดเดาที่ดีที่สุดของฉันคือระบบไฟล์เสียหายจากไวรัสทำให้ไฟล์เหล่านี้อยู่นอกช่วงหน่วยความจำดิสก์ ฉันจะพยายามเรียกใช้ ntfsck บนระบบไฟล์ หากคุณมีการติดตั้ง Windows ที่คุณสามารถติดตั้งในกรณีที่เลวร้ายที่สุด (ของการติดเชื้อ) คุณสามารถลองใช้ chkdsk
Soulsource

1
ตามที่แนะนำให้ลองทำการสแกนอุปกรณ์ คุณสามารถใช้คำสั่งntfsfixเพื่อพยายามแก้ไขข้อผิดพลาด
girardengo

คำตอบ:


6

ตกลงฉันต้องล้างบางสิ่งที่นี่:

  1. ส่วนวิศวกรรมย้อนกลับเกี่ยวกับ NTFS ใช้ไม่ได้ที่นี่โดยเฉพาะอย่างยิ่งสำหรับแฟลชไดรฟ์ NTFS ที่จัดรูปแบบ แม้ว่ามันจะเป็นสิ่งที่ผิดปกติจริงๆ ฉันได้ทำงานกับแฟลชไดรฟ์ที่ฟอร์แมต NTFS หลายรูปแบบใน Windows XP, Vista, 7 และ 8

    ดังนั้นปัญหากับ Linux ที่ตรวจไม่พบ NTFS อย่างถูกต้องก็ไม่ได้ โปรแกรม NTFS-3G นั้นไม่ช้าหรือไม่เข้ากันกับระดับนั้นคุณจะเห็นได้ว่าการอัพเดทครั้งล่าสุดเมื่อสองเดือนที่แล้วในปีเดียวกันนี้ แน่นอนว่ามีปัญหาสองสามครั้งเช่นการสนับสนุนการแคชและการใช้งาน CPU ขนาดใหญ่ แต่อย่างที่ฉันบอกว่าสำหรับ Flash Drive มันจะเป็นสิ่งที่ไม่น่าจะเกิดขึ้นหรือมีโอกาสน้อยมาก ..

  2. ฉันมีปัญหาคล้ายกันกับแฟลชไดรฟ์แสดงทั้ง ????? สัญลักษณ์หรือสัญลักษณ์ที่ไม่ถูกต้องทั้งหมด (EG:! @ #% $ @% # @ แทนที่จะเป็นชื่อไฟล์) ผู้ใช้บางคนแนะนำให้ใช้ntfsfixหรือntfckแต่ถ้าคุณไม่สามารถแก้ไขได้ด้วยการรัน chkdsk บน Windows บนไดรฟ์ บันทึกการบูต / ระบบไฟล์อาจมีปัญหาบางอย่าง

  3. เจ้าของไฟล์ / sudoโฟลเดอร์ไม่สำคัญตราบใดที่เขาใช้ มันอาจเป็นผู้ใช้ใด ๆ แต่เมื่อเขาใช้sudoคำสั่งrmจะลบมันโดยไม่คำนึงว่าใครเป็นเจ้าของ สิ่งนี้ใช้กับแฟลชไดรฟ์ที่ฟอร์แมต NTFS อีกครั้ง

  4. เมื่อฉันเห็นคำถามครั้งแรกฉันจะขอให้เรียกใช้คำสั่งเหมือนsudoแต่ฉันอ่านคุณแล้ว จากนั้นจะแนะนำเครื่องมือซ่อมแซม ntfs แต่คุณได้ทำไปแล้ว จากนั้นฉันก็เห็นข้อผิดพลาดอินพุต / เอาท์พุตในตอนท้าย และการเห็นว่าชื่อของไฟล์นั้นเกิดความสับสนเพียงแค่บอกฉันว่ามีปัญหาของระบบไฟล์จริงซึ่งสามารถแก้ไขได้โดย:

    • ใช้ chkdsk บน Windows ทั้งntfsfixมิได้ntfsckจะแก้ไขคู่ของปัญหาที่สามารถแก้ไข chkdsk เท่านั้น

    • ในขณะนี้ดูเหมือนว่าปัญหาฮาร์ดแวร์จะมีปัญหากับระบบไฟล์มากกว่า หาก chkdsk ไม่ทำงานแสดงว่าโซลูชันเดียวคือฟอร์แมตแฟลชไดรฟ์อีกครั้ง (ไม่จำเป็นต้องมีระดับต่ำ) ในกรณีที่รูปแบบง่าย ๆ ไม่ได้ช่วย (และทดสอบใน Windows และ gparted) จากนั้นเรากำลังดูปัญหาระดับฮาร์ดแวร์

หากไวรัสต้องทำอะไรกับปัญหานี้จริง ๆ มันอาจเป็นเพราะมันได้รับผลกระทบ / ติดกับตารางระบบไฟล์ (MFT) สิ่งนี้จะสร้างปัญหาเช่นการเห็นบางส่วนของระบบไฟล์ OK และ BAD อื่น ๆ ไม่เห็นไฟล์ในระบบหนึ่งและเห็นในอีกระบบหนึ่ง ดูไฟล์ทั้งหมดหรือบางไฟล์เสียหาย (เช่น:! @ #! #! LOL! @ #!) และสิ่งแปลกประหลาดอื่น ๆ ที่อาจเกิดขึ้นหากตารางระบบไฟล์เสียหาย อาจเป็นเรื่องง่ายเพียงไวรัสเปลี่ยนหนึ่งในเขตข้อมูลในตารางระบบแฟ้มหรืออาจจะน่ากลัวเป็นไวรัสเปลี่ยนขนาดของ MFT หรือหลายไฟล์

คุณควรทราบไว้ด้วยว่าถ้าปัญหานั้นเลวร้ายจนคุณไม่สามารถฟอร์แมตไดรฟ์ (ระบบไฟล์ใหม่) ซึ่งหายากที่จะเห็นไวรัสทำเช่นนั้นมันน่าจะเป็นไปได้มากกว่าที่คุณมีปัญหาฮาร์ดแวร์แฟลชไดรฟ์ที่เกิดจาก ความร้อนผลกระทบ ฯลฯ

สำหรับความเสียหายของข้อมูลในแฟลชไดรฟ์หรือในหน่วยเก็บข้อมูลใด ๆ แต่โดยเฉพาะอย่างยิ่งแฟลชไดรฟ์สาเหตุในหลายกรณีคือการลบหน่วยก่อนที่ข้อมูลทั้งหมดจะถูกบันทึกอย่างถูกต้อง สิ่งนี้สามารถเกิดขึ้นได้ทั้งใน Windows และ Linux หากผู้ใช้ลบแฟลชไดรฟ์โดยไม่ทำให้แน่ใจว่าทุกอย่างเสร็จสิ้นการเขียนและเซสชันสำหรับอุปกรณ์ถูกปิด

ในกรณีของ Linux คุณจะเริ่มได้รับคำเตือนเกี่ยวกับการดำเนินการอ่าน / เขียนที่ไม่ได้รับอนุญาตในแฟลชไดรฟ์ทั้งหมดหรือไฟล์ (เช่นภาพยนตร์) หายไป 50% ของขนาดทั้งหมด (เช่นภาพยนตร์ 1.2GB น้ำหนัก 500MB เท่านั้นและทุกอย่างในนั้น เสียหาย) fsck สามารถแก้ไขได้ในกรณีส่วนใหญ่ ในกรณีของ Windows มันจะแสดงข้อผิดพลาดอินพุต / เอาท์พุตและสามารถไปไกลถึงการทำลายหน่วยทั้งหมดเนื่องจาก MFT ไม่ได้บันทึกข้อมูลอย่างถูกต้อง ดังนั้นขอแนะนำให้รอให้เซสชันปิดหรือใช้ตัวเลือก "ลบอย่างปลอดภัย" เมื่อมี


โปรดดูข้อมูลล่าสุดของฉัน 3. ดูเหมือนว่าฉันได้รับคำตอบแล้ว แต่ฉันจะรออีกสองสามวันก่อนที่ฉันจะให้รางวัลกับคำตอบที่ดีที่สุด :-)
Masroor

@MMA ยอดเยี่ยมมาก Chkdsk สร้างโฟลเดอร์เหล่านี้เพราะเป็นส่วนหนึ่งของระบบไฟล์ (ไฟล์หรือโฟลเดอร์) ที่ไม่ได้กำหนดให้กับสิ่งใดดังนั้นเขาจึงสร้างโฟลเดอร์ชั่วคราวนี้เพื่อให้คุณสามารถเลือกตำแหน่งที่จะนำไฟล์ที่กู้คืนมาได้ ฉันจะเพิ่มเคล็ดลับที่สามารถสร้างปัญหานี้นอกเหนือจากไวรัส
Luis Alvarado

5

ฉันคิดว่าปัญหาคือการใช้งาน NTFS ใน Linuxนั้นย้อนกลับวิศวกรรมและไม่สมบูรณ์ขอให้ Microsoft สำหรับซอร์สโค้ด ;-)

คุณมีคำแนะนำพร้อมคำเตือน "พบกรณีที่ไม่สนับสนุน" โปรแกรมป้องกันไวรัสของเครื่อง Windows อาจใช้คุณสมบัติระบบไฟล์ NTFS ขั้นสูง / ไม่ชัดเจนซึ่งไดรเวอร์ Linux ไม่สามารถเข้าใจได้

คุณควรทำการจัดการระบบไฟล์ในระดับต่ำในระบบเนทีฟเท่านั้น (ค้นหาที่นี่ว่ามีการปรับขนาดพาร์ติชัน NTFS ที่บ่อยครั้งเพียงใดเพื่อทำให้ระบบไม่สามารถบูตได้ ... )

เห็นแล้วยังหน้าหลัก NTFS-3Gและโดยเฉพาะคำถามที่พบบ่อย Q & A

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.