Прежде чем вы посоветуете мне возможность сохранить мои файлы и отформатировать диск с помощью gparted , пожалуйста, поймите, что я мог бы сделать это несколько часов назад, и это заняло бы всего несколько минут. На самом деле, я хочу понять, что на самом деле здесь происходит. Ситуация разрушает весь мой опыт, накопленный за эти годы.
У меня сложилось впечатление, что, если я вставлю зараженную вирусом флешку на мою машину с Ubuntu, все, что мне нужно сделать, это просто удалить файлы вируса, и я готов.
Сегодня я собрал некоторые файлы на флэш-накопителе в формате NTFS с машины Windows, полностью зная, что машина заражена вирусом. Вставив флешку в мою машину, я обнаружил, что в ней собрано много файлов и папок. Я удалил большинство из них. Единственное, что демонстрирует жесткое сопротивление - это каталог RECYCLER (и его подкаталоги).
Атрибуты этого каталога.
drwx------ 1 masroor masroor 4.0K May 7 16:01 RECYCLER/
Если я выполню rm
команду,
sudo rm -rvf RECYCLER/
Я получаю длинный вывод в строке,
rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl': Input/output error
<rest snipped>
Что интересно, представленные выше файлы отображаются ls
командой с множеством наборов атрибутов.
ls -l RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe: Input/output error
ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl: Input/output error
total 0
-????????? ? ? ? ? ? OagFrAIX.exe
-????????? ? ? ? ? ? viJbcvrJ.cpl
Если попытаться найти атрибуты этих оскорбительных папок,
ls -dl RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
Я получил,
drwx------ 1 masroor masroor 4096 May 7 15:58 RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
Команда chmod
для создания доступной для записи папки RECYCLER не выполняется.
sudo chmod -vR ugo+w RECYCLER/
Выход находится в строке.
mode of `RECYCLER/' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
mode of `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
chmod: cannot access `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
<snipped>
Эти папки содержали ряд .exe
и других файлов, большинство из которых я уже успешно удалил (кроме указанных выше).
Если я проверю атрибуты одной из этих папок,
lsattr -ad RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
я получил
lsattr: Inappropriate ioctl for device While reading flags on RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
Я работал clamtk
на этом устройстве, как предложено здесь . Тем не менее, он не может найти угрозу.
Я понимаю, что могу просто сохранить содержимое своего флэш-накопителя где-нибудь, а затем отформатировать его. Тем не менее, меня больше интересует, какие атрибуты были установлены в этих папках, которые сопротивляются дальнейшим изменениям. (И, безусловно, я тоже захочу вылечить мою флешку.)
ОБНОВЛЕНИЕ 1
В дополнение к комментарию от Патро .
- Когда папки посещаются, эти файлы с множеством атрибутов не отображаются, даже когда я пытаюсь просмотреть их как скрытые файлы.
- Удалить эти файлы не удается. Команда
rm -rvf *
внутри каталогаS-2-4-27-3777257131-1806073332-421880436-8537
завершается с ошибкой ввода / вывода.
ОБНОВЛЕНИЕ 2
После комментариев от soulsource и girardengo я попытался бежать
ntfsck
и ntfsfix
. Также этот вопрос помог.
Вот результаты.
ntfsck
sudo ntfsck /dev/sdc1
Unsupported: replay_log()
Unsupported: check_volume()
Checking 7796 MFT records.
Unsupported cases found.
ntfsfix
sudo ntfsfix -d /dev/sdc1
Mounting volume... OK
Processing of $MFT and $MFTMirr completed successfully.
NTFS volume version is 3.1.
NTFS partition /dev/sdc1 was processed successfully.
Но первоначальная ситуация все еще сохраняется. Там не было никакого улучшения.
ОБНОВЛЕНИЕ 3 (решено)
Как советовали в этом посте , я вставил свой диск в машину с Windows и выполнил (из терминала),
chkdsk <drive letter> /R
Был целый ряд мероприятий по проверке и ремонту. Были также сообщения о плохих секторах. Задание было выполнено менее чем за минуту. Затем я обнаружил, что для восстановленных областей были созданы новые папки.
Я вставил флешку в компьютер с Linux, и папку RECYCLER можно было удалить без каких-либо проблем.
В качестве дополнительного шага, теперь я отформатировал диск (используя gparted, для NTFS), так как я думаю, что получил свое понимание.
Похоже, что вирус действительно способен вызвать (временную / программную) проблему с оборудованием. Пожалуйста, смотрите вышеупомянутый пост для подробного технического объяснения.
ntfsfix
чтобы попытаться исправить ошибки.