Supprimer le répertoire RECYCLER du lecteur flash infecté par le virus
Avant de me conseiller sur l’option de sauvegarder mes fichiers et de formater le disque avec gparted , comprenez bien que j’aurais pu le faire en quelques heures et que cela n’aurait pris que quelques minutes. En fait, je veux comprendre ce qui se passe vraiment ici. La situation détruit toutes mes expériences acquises au fil des ans.
J'avais l'impression que si j'insère un lecteur flash infecté par un virus sur ma machine Ubuntu, tout ce que j'ai à faire est simplement de supprimer les fichiers de virus et je suis prêt à partir.
Aujourd'hui, j'ai collecté certains fichiers sur un lecteur flash au format NTFS à partir d'une machine Windows, tout en sachant que cette machine est infectée par un virus. Lorsque j’ai inséré le lecteur flash dans ma machine, j’ai constaté qu’il avait effectivement collecté de nombreux fichiers et dossiers. J'ai supprimé la plupart d'entre eux. Le seul qui présente une résistance dure est un répertoire RECYCLER (et ses sous-répertoires).
Les attributs de ce répertoire.
drwx------ 1 masroor masroor 4.0K May 7 16:01 RECYCLER/
Si j'exécute la commande rm,
Sudo rm -rvf RECYCLER/
Je reçois une longue sortie dans la ligne de,
rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl': Input/output error
<rest snipped>
Ce qui est intéressant, les fichiers rapportés ci-dessus sont montrés par la commande ls avec une myriade d’attributs.
ls -l RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe: Input/output error
ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl: Input/output error
total 0
-????????? ? ? ? ? ? OagFrAIX.exe
-????????? ? ? ? ? ? viJbcvrJ.cpl
Si essayer de trouver les attributs de ces dossiers incriminés,
ls -dl RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
Je reçois,
drwx------ 1 masroor masroor 4096 May 7 15:58 RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
La commande chmod pour rendre le dossier RECYCLER accessible en écriture, en écriture, échoue.
Sudo chmod -vR ugo+w RECYCLER/
La sortie est dans la ligne de.
mode of `RECYCLER/' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
mode of `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
chmod: cannot access `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
<snipped>
Ces dossiers contenaient un certain nombre de .exe et d’autres fichiers que j’ai déjà supprimés pour la plupart (à l’exception de ceux mentionnés ci-dessus).
Si je vérifie les attributs de l'un de ces dossiers,
lsattr -ad RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
Je reçois
lsattr: Inappropriate ioctl for device While reading flags on RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
J'ai exécuté clamtk sur cet appareil comme suggéré ici . Cependant, il ne parvient pas à trouver une menace.
Je comprends que je peux simplement sauvegarder le contenu de mon lecteur flash quelque part, puis le formater. Cependant, je suis plus intéressé par savoir quels attributs ont été définis dans ces dossiers et qui résistent aux modifications ultérieures. (Et définitivement, je voudrai aussi désinfecter mon lecteur flash.)
UPDATE 1
Suite au commentaire de Patro .
- Lorsque les dossiers sont visités, les fichiers avec une myriade d'attributs ne sont pas affichés, même lorsque j'essaie de les afficher en tant que fichiers masqués.
- La suppression de ces fichiers échoue. La commande
rm -rvf *à l'intérieur du répertoireS-2-4-27-3777257131-1806073332-421880436-8537échoue avec une erreur d'entrée/sortie.
UPDATE 2
Après les commentaires de soulsource et girardengo j'ai essayé de lancer ntfsck et ntfsfix. En outre, cette question aidé.
Voici les sorties.
ntfsck
Sudo ntfsck /dev/sdc1
Unsupported: replay_log()
Unsupported: check_volume()
Checking 7796 MFT records.
Unsupported cases found.
ntfsfix
Sudo ntfsfix -d /dev/sdc1
Mounting volume... OK
Processing of $MFT and $MFTMirr completed successfully.
NTFS volume version is 3.1.
NTFS partition /dev/sdc1 was processed successfully.
Mais la situation initiale persiste encore. Il n'y a pas eu d'amélioration.
UPDATE 3 (RESOLU)
Comme conseillé dans cet article , j'ai inséré mon lecteur dans une machine Windows et exécuté (depuis un terminal),
chkdsk <drive letter> /R
Il y avait une foule d'activités sur la vérification et la réparation. Certains messages concernaient également les secteurs défectueux. La tâche était terminée en moins d'une minute. Ensuite, j'ai découvert que de nouveaux dossiers avaient été créés pour les zones récupérées.
J'ai réinséré le lecteur flash sur une machine Linux et le dossier RECYCLER pourrait être supprimé sans problème.
En guise d’ajout, j’ai maintenant formaté le disque (avec gparted, en NTFS), car je pense avoir acquis mes connaissances.
On dirait que le virus est en effet capable de causer un problème matériel (temporaire/logiciel) . S'il vous plaît voir le post mentionné ci-dessus pour une explication technique détaillée.
Ok je dois clarifier quelques points ici:
La partie sur l'ingénierie inverse relative à NTFS ne s'applique pas ici, en particulier pour un lecteur flash NTFS formaté. Même si cela se produisait, ce serait vraiment inhabituel. J'ai travaillé avec de nombreux lecteurs Flash au format NTFS, au format Windows XP, Vista, 7 et 8.
Donc, un problème avec Linux ne détectant pas NTFS correctement n'est-ce pas. le projet NTFS-3G n’est ni lent ni incompatible à ce niveau, vous pouvez même voir que la dernière mise à jour date de quelques mois auparavant cette même année . Il y a certes de temps en temps quelques problèmes comme la prise en charge de la mise en cache et l'utilisation intensive du processeur, mais comme je l'ai dit, pour une clé USB, il serait très peu probable que cela se produise ou avec très peu de chance.
J'ai eu des problèmes similaires avec les lecteurs flash montrant soit ????? symboles ou tout simplement faux symboles (EG:! @ # # $ $ @% # @ au lieu du nom de fichier). Certains utilisateurs recommandent d'utiliser
ntfsfixountfckmais si vous ne pouvez pas les réparer, exécutez chkdsk sous Windows sur le lecteur. L'enregistrement de démarrage/le système de fichiers correspondant à ce problème peut avoir quelques problèmes.Le propriétaire du fichier/dossier n'a pas d'importance tant qu'il utilise
Sudo. Ce peut être n'importe quel utilisateur, mais lorsqu'il utilisera la commandeSudo,rmle supprimera, quel que soit le propriétaire. Encore une fois, cela s’applique à ce lecteur Flash formaté NTFS.Lorsque j'ai vu la question pour la première fois, j'allais demander d'exécuter la commande en tant que
Sudo, mais je vous ai déjà lu. Nous allions ensuite suggérer les outils de réparation NTFS, mais vous l’avez déjà fait. alors j'ai vu le erreur d'entrée/sortie à la fin. Cela et voir comment le nom des fichiers est apparu tout foiré m'a tout simplement dit qu'il y avait un problème réel de système de fichiers qui ne peut être corrigé que par:Utilisation de chkdsk sous Windows. Ni
ntfsfixnintfsckne résoudront qu'un ou deux problèmes que chkdsk ne peut que résoudre.Pour le moment, cela ne ressemble pas à un problème matériel, mais plutôt à un problème de système de fichiers. Si chkdsk ne fonctionne pas, la seule solution consiste à reformater le lecteur flash (pas besoin de bas niveau). Dans le cas où un format simple n'aide pas (et testé sous Windows et gparted), nous examinons un problème de niveau matériel.
Si un virus devait réellement faire quelque chose avec ce problème, c'est qu'il était affecté/attaché à la table du système de fichiers (MFT). Cela créerait des problèmes, comme voir certaines parties du système de fichiers OK et d’autres BAD. Ne pas voir les fichiers sur un système et les voir dans un autre. Voir tous les fichiers ou certains fichiers corrompus (par exemple:! @ #! #! LOL! @ #!) Et d’autres choses étranges qui pourraient se produire si la table du système de fichiers est corrompue. Cela peut être aussi simple que le virus qui modifie l’un des champs de la table des systèmes de fichiers ou aussi horrible que le virus qui modifie la taille de la MFT ou de plusieurs fichiers.
Virus mis à part, sachez que si le problème est si grave que vous ne pouvez pas formater le lecteur (système de fichiers Fresh), ce qui serait rare si un virus le faisait, il est alors plus probable que vous rencontriez un problème matériel lié au lecteur flash. chaleur, impact, etc.
En cas de corruption de données sur le lecteur flash ou dans une unité de stockage, mais en particulier des lecteurs flash, la cause en est souvent la suppression de l'unité avant que toutes les informations aient été correctement enregistrées. Cela peut se produire sous Windows et Linux si un utilisateur retire le lecteur flash sans s’assurer que tout est bien terminé et que la session du périphérique est fermée.
Dans le cas de Linux, vous recevrez des avertissements concernant les opérations de lecture/écriture interdites dans tout le lecteur flash ou dans les fichiers (tels que les films) dont la taille est manquante (50% de plus de la taille totale) (comme un film de 1,2 Go pesant seulement 500 Mo et tout le contenu) corrompu). fsck peut résoudre ce problème dans la plupart des cas. Dans le cas de Windows, cela affichera des erreurs d'entrée/sortie et peut aller jusqu'à corrompre l'ensemble de l'unité car la MFT n'a pas enregistré correctement les informations. Il est donc recommandé d'attendre la fermeture de la session ou d'utiliser une option "Supprimer en toute sécurité" lorsqu'elle est disponible.
Je pense que le problème vient du fait que implémentation de NTFS sous Linux est désossé et non complet --- demandez à Microsoft le code source ;-).
Vous avez des indices avec l'avertissement "Affaire non prise en charge trouvée". L'antivirus de la machine Windows utilisait probablement des caractéristiques de système de fichiers NTFS avancées/obscures que le pilote Linux n'est pas en mesure de saisir.
Vous devez effectuer la gestion de bas niveau d’un système de fichiers sur le système natif uniquement (recherchez ici la fréquence à laquelle gparted redimensionne une partition NTFS uniquement pour rendre le système impossible à démarrer ...).
Voir aussi le page principale de NTFS-3g , et en particulier this FAQ Q & A .