Supprimer le répertoire RECYCLER du lecteur flash infecté par un virus

15

Avant de me conseiller sur la possibilité d'enregistrer mes fichiers et de formater le disque à l'aide de gparted , veuillez comprendre que j'aurais pu faire ces heures en arrière et que cela n'aurait pris que quelques minutes. En fait, je veux comprendre ce qui se passe vraiment ici. La situation sape toutes mes expériences acquises au fil des ans.

J'avais l'impression que si j'insère un lecteur flash infecté par un virus sur ma machine Ubuntu, tout ce que je dois faire est de simplement supprimer les fichiers de virus et je suis prêt à partir.

Aujourd'hui, j'ai collecté certains fichiers dans un lecteur flash au format NTFS à partir d'une machine Windows sachant parfaitement que la machine est infectée par un virus. Lorsque j'ai inséré le lecteur flash dans ma machine, j'ai constaté qu'en effet, il avait collecté de nombreux fichiers et dossiers. J'ai supprimé la plupart d'entre eux. Le seul qui présente une résistance dure est un répertoire RECYCLER (et ses sous-répertoires).

Les attributs de ce répertoire.

drwx------ 1 masroor masroor 4.0K May  7 16:01 RECYCLER/

Si j'exécute la rmcommande,

sudo rm -rvf RECYCLER/

J'obtiens une longue sortie dans la ligne de,

rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl': Input/output error
<rest snipped>

Ce qui est intéressant, les fichiers rapportés ci-dessus sont affichés par la lscommande avec une myriade d'attributs.

ls -l RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe: Input/output error
ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl: Input/output error
total 0
-????????? ? ? ? ?            ? OagFrAIX.exe
-????????? ? ? ? ?            ? viJbcvrJ.cpl

Si vous essayez de trouver les attributs de ces dossiers incriminés,

ls -dl RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Je reçois,

drwx------ 1 masroor masroor 4096 May  7 15:58 RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

La commande chmodpour rendre le monde du dossier RECYCLER accessible en écriture échoue.

sudo chmod -vR ugo+w RECYCLER/

La sortie est dans la ligne de.

mode of `RECYCLER/' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
mode of `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
chmod: cannot access `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
<snipped>

Ces dossiers contenaient un certain nombre de .exefichiers et d'autres dont la plupart ont déjà été supprimés avec succès (à l'exception des fichiers signalés ci-dessus).

Si je vérifie les attributs de l'un de ces dossiers,

lsattr -ad RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

Je reçois

lsattr: Inappropriate ioctl for device While reading flags on RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

J'ai exécuté clamtksur cet appareil comme suggéré ici . Cependant, il ne parvient pas à trouver une menace.

Je comprends que je peux simplement enregistrer le contenu de mon lecteur flash quelque part, puis le formater. Cependant, je suis plus intéressé à découvrir quels attributs ont été définis dans ces dossiers qui résistent à d'autres modifications. (Et certainement, je veux également désinfecter mon lecteur flash.)

MISE À JOUR 1

Suite au commentaire de Patro .

  1. Lorsque les dossiers sont visités, ces fichiers avec une myriade d'attributs ne sont pas affichés, même lorsque j'essaie de les afficher en tant que fichiers masqués.
  2. La suppression de ces fichiers échoue. La commande rm -rvf *à l'intérieur du répertoire S-2-4-27-3777257131-1806073332-421880436-8537échoue avec une erreur d'entrée / sortie.

MISE À JOUR 2

Après les commentaires de soulsource et girardengo, j'ai essayé de courir ntfscket ntfsfix. De plus, cette question a aidé.

Voici les sorties.

ntfsck

sudo ntfsck  /dev/sdc1

Unsupported: replay_log()
Unsupported: check_volume()
Checking 7796 MFT records.
Unsupported cases found.

ntfsfix

sudo ntfsfix -d /dev/sdc1

Mounting volume... OK
Processing of $MFT and $MFTMirr completed successfully.
NTFS volume version is 3.1.
NTFS partition /dev/sdc1 was processed successfully.

Mais la situation initiale persiste. Il n'y a eu aucune amélioration.

MISE À JOUR 3 (RÉSOLU)

Comme conseillé dans cet article , j'ai inséré mon lecteur dans une machine Windows et exécuté (à partir d'un terminal),

chkdsk <drive letter> /R

Il y avait une multitude d'activités sur la vérification et la réparation. Il y avait également des messages concernant les secteurs défectueux. La tâche s'est terminée en moins d'une minute. Ensuite, j'ai constaté que de nouveaux dossiers ont été créés pour les zones récupérées.

J'ai réinséré le lecteur flash sur une machine Linux et le dossier RECYCLER a pu être supprimé sans aucun problème.

Comme étape supplémentaire, maintenant j'ai formaté le disque (en utilisant gparted, en NTFS) depuis que je pense avoir acquis ma perspicacité.

On dirait que le virus est en effet capable de provoquer un problème matériel (temporaire / logiciel ) . Veuillez consulter l'article mentionné ci-dessus pour une explication technique détaillée.

windows usb-drive ntfs malware ntfs-3g Masroor
la source
drwx ------ 1 masroor masroor 4096 7 mai 15:58 RECYCLER / S-2-4-27-3777257131-1806073332-421880436-8537 /; Le répertoire indique que seul le propriétaire du fichier (dans ce cas, le propriétaire qui l'a créé) peut le supprimer. Essayez avec le bouton droit de la souris sur le dossier et cliquez sur Propriétés, puis vérifiez l'onglet d'autorisation.
user220402
@ user220402 J'ai essayé de supprimer le dossier en tant qu'utilisateur root en utilisant sudo si vous l'avez remarqué. J'ai essayé d'utiliser sudo lorsque la suppression de l'utilisateur a échoué.
Masroor
Essayez de parcourir le dossier et de supprimer chaque fichier individuellement et voyez si cela fonctionne. Ensuite, essayez de supprimer le dossier lui-même.
Parto
3
Les erreurs d'E / S signifient généralement que quelque chose ne va pas au niveau matériel. Il est certainement possible qu'ils n'apparaissent que dans un seul dossier ou fichier (si les inodes correspondants sont stockés dans des cellules de mémoire incorrectes, mais que toutes les autres cellules de mémoire sont OK). Néanmoins, ma meilleure supposition est que le système de fichiers a été corrompu par le virus, plaçant ces fichiers quelque part en dehors de la plage de mémoire des disques. J'essaierais donc d'exécuter ntfsck sur le système de fichiers. Si vous disposez d'une installation Windows que vous pouvez réinstaller dans le pire des cas (d'une infection), vous pouvez également essayer d'utiliser chkdsk.
soulsource
1
comme suggéré, essayez de scanner l'appareil. Vous pouvez utiliser la commande ntfsfixpour essayer de corriger les erreurs.
girardengo

Réponses:

6

Ok, je dois clarifier deux ou trois choses ici:

  1. La partie de rétro-ingénierie sur NTFS ne s'applique pas ici, en particulier pour un lecteur flash NTFS formaté. Même si c'était le cas, ce serait quelque chose de vraiment hors de la normale. J'ai travaillé avec de nombreux lecteurs Flash formatés NTFS, formatés sous Windows XP, Vista, 7 et 8.

    Donc, un problème avec Linux ne détectant pas correctement NTFS n'est pas celui-ci. le projet NTFS-3G n'est pas lent ni incompatible à ce niveau, vous pouvez même voir que la dernière mise à jour remonte à il y a quelques mois cette même année . Il a certainement quelques problèmes de temps en temps, comme la prise en charge de la mise en cache et l'utilisation énorme du processeur, mais comme je l'ai dit, pour un lecteur flash, ce serait très peu probable ou se produirait avec une très petite chance ..

  2. J'ai eu des problèmes similaires avec des lecteurs Flash montrant soit ????? symboles ou tout simplement de mauvais symboles (EG:! @ #% $ @% # @ au lieu du nom de fichier). Certains utilisateurs recommandent d'utiliser ntfsfixou ntfckmais si vous ne pouvez pas les corriger avec ce chkdsk exécuté sur Windows sur le lecteur. L'enregistrement de démarrage / système de fichiers pour lui pourrait avoir quelques problèmes.

  3. Le propriétaire du fichier / dossier n'a pas d'importance tant qu'il l'utilise sudo. Il peut s'agir de n'importe quel utilisateur, mais lorsqu'il utilise la sudocommande, rmil la supprime, quel qu'en soit le propriétaire. Encore une fois, cela s'applique à ce lecteur Flash au format NTFS.

  4. Quand j'ai vu pour la première fois la question que j'allais poser pour exécuter la commande, sudomais j'ai lu que vous l'aviez déjà fait. Il allait ensuite proposer les outils de réparation ntfs, mais vous l'avez déjà fait. puis j'ai vu l' erreur d'entrée / sortie à la fin. Cela et voir comment le nom des fichiers est apparu tout simplement foiré m'a simplement dit qu'il y avait un problème de système de fichiers réel qui ne peut être corrigé que par:

    • Utilisation de chkdsk sous Windows. Ni ntfsfixne ntfsckcorrigera quelques problèmes qui chkdsk ne peut corriger.

    • En ce moment, cela ne ressemble pas à un problème matériel, plus probablement à un problème de système de fichiers. Si chkdsk ne fonctionne pas, la seule solution est de formater à nouveau le lecteur flash (pas besoin de bas niveau). Dans le cas où un format simple n'aide pas (et testé sous Windows et gparted), alors nous examinons un problème de niveau matériel.

Si un virus devait réellement faire quoi que ce soit avec ce problème, ce serait parce qu'il affecterait / serait attaché à la table du système de fichiers (MFT). Cela créerait des problèmes comme voir des parties du système de fichiers OK et d'autres MAUVAISES. Ne pas voir les fichiers sur un système et les voir dans un autre. Voir tous les fichiers ou certains corrompus (par exemple:! @ #! #! LOL! @ #!) Et d'autres choses étranges qui pourraient se produire si la table du système de fichiers est corrompue. Cela peut être aussi simple que le virus qui change l'un des champs de la table du système de fichiers ou cela peut être aussi horrible que le virus qui change la taille de la MFT ou de plusieurs fichiers.

Mis à part les virus, vous devez savoir que si le problème est si grave que vous ne pouvez pas formater le lecteur (nouveau système de fichiers), ce qui serait rare de voir un virus faire cela, il est plus probable que vous ayez un problème matériel de lecteur flash provoqué par chaleur, impact, etc.

Pour la corruption des données sur le lecteur flash ou dans n'importe quelle unité de stockage, mais en particulier les lecteurs flash, la cause dans de nombreux cas est de retirer l'unité avant que toutes les informations aient été correctement enregistrées. Cela peut se produire dans Windows et Linux si un utilisateur supprime le lecteur flash sans s'assurer que tout est terminé d'écriture et que la session du périphérique est fermée.

Dans le cas de Linux, vous commencerez à recevoir des avertissements sur les opérations de lecture / écriture non autorisées dans l'ensemble du lecteur flash ou des fichiers (comme les films) manquant de 50% de plus de toute la taille (comme un film de 1,2 Go ne pesant que 500 Mo et tout ce qu'il contient) corrompu). fsck peut résoudre ce problème dans la plupart des cas. Dans le cas de Windows, il affichera des erreurs d'entrée / sortie et peut aller jusqu'à corrompre l'unité entière car le MFT n'a pas enregistré correctement les informations. Il est donc recommandé d'attendre la fermeture de la session ou d'utiliser une option "supprimer en toute sécurité" lorsqu'elle est disponible.

Luis Alvarado
la source
Veuillez consulter ma MISE À JOUR 3. On dirait que j'ai ma réponse. Mais j'attendrai encore quelques jours avant de l'attribuer à la meilleure réponse. :-)
Masroor
@MMA Excellent travail. Chkdsk crée ces dossiers car il s'agissait de parties du système de fichiers (fichiers ou dossiers) qui n'étaient affectées à rien, il crée donc ces dossiers temporaires afin que vous puissiez choisir où placer les fichiers récupérés. J'ajouterai quelques conseils qui pourraient créer ce problème en dehors d'un virus.
Luis Alvarado
5

Je pense que le problème est que l' implémentation NTFS sous Linux est rétroconçue et n'est pas complète --- demandez à Microsoft le code source ;-).

Vous avez des indices avec l'avertissement "Cas non pris en charge trouvé". L'antivirus de la machine Windows a probablement utilisé certaines caractéristiques avancées / obscures du système de fichiers NTFS que le pilote Linux n'est pas en mesure de saisir.

Vous devez faire une gestion de bas niveau d'un système de fichiers sur le système natif uniquement (recherchez ici la fréquence à laquelle gparted a redimensionné une partition NTFS uniquement pour rendre le système non amorçable ...).

Voir aussi la page principale NTFS-3g , et surtout cette FAQ Q&R .

Rmano
la source