Avant de me conseiller sur la possibilité d'enregistrer mes fichiers et de formater le disque à l'aide de gparted , veuillez comprendre que j'aurais pu faire ces heures en arrière et que cela n'aurait pris que quelques minutes. En fait, je veux comprendre ce qui se passe vraiment ici. La situation sape toutes mes expériences acquises au fil des ans.
J'avais l'impression que si j'insère un lecteur flash infecté par un virus sur ma machine Ubuntu, tout ce que je dois faire est de simplement supprimer les fichiers de virus et je suis prêt à partir.
Aujourd'hui, j'ai collecté certains fichiers dans un lecteur flash au format NTFS à partir d'une machine Windows sachant parfaitement que la machine est infectée par un virus. Lorsque j'ai inséré le lecteur flash dans ma machine, j'ai constaté qu'en effet, il avait collecté de nombreux fichiers et dossiers. J'ai supprimé la plupart d'entre eux. Le seul qui présente une résistance dure est un répertoire RECYCLER (et ses sous-répertoires).
Les attributs de ce répertoire.
drwx------ 1 masroor masroor 4.0K May 7 16:01 RECYCLER/
Si j'exécute la rm
commande,
sudo rm -rvf RECYCLER/
J'obtiens une longue sortie dans la ligne de,
rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl': Input/output error
<rest snipped>
Ce qui est intéressant, les fichiers rapportés ci-dessus sont affichés par la ls
commande avec une myriade d'attributs.
ls -l RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe: Input/output error
ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl: Input/output error
total 0
-????????? ? ? ? ? ? OagFrAIX.exe
-????????? ? ? ? ? ? viJbcvrJ.cpl
Si vous essayez de trouver les attributs de ces dossiers incriminés,
ls -dl RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
Je reçois,
drwx------ 1 masroor masroor 4096 May 7 15:58 RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
La commande chmod
pour rendre le monde du dossier RECYCLER accessible en écriture échoue.
sudo chmod -vR ugo+w RECYCLER/
La sortie est dans la ligne de.
mode of `RECYCLER/' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
mode of `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
chmod: cannot access `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
<snipped>
Ces dossiers contenaient un certain nombre de .exe
fichiers et d'autres dont la plupart ont déjà été supprimés avec succès (à l'exception des fichiers signalés ci-dessus).
Si je vérifie les attributs de l'un de ces dossiers,
lsattr -ad RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
Je reçois
lsattr: Inappropriate ioctl for device While reading flags on RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
J'ai exécuté clamtk
sur cet appareil comme suggéré ici . Cependant, il ne parvient pas à trouver une menace.
Je comprends que je peux simplement enregistrer le contenu de mon lecteur flash quelque part, puis le formater. Cependant, je suis plus intéressé à découvrir quels attributs ont été définis dans ces dossiers qui résistent à d'autres modifications. (Et certainement, je veux également désinfecter mon lecteur flash.)
MISE À JOUR 1
Suite au commentaire de Patro .
- Lorsque les dossiers sont visités, ces fichiers avec une myriade d'attributs ne sont pas affichés, même lorsque j'essaie de les afficher en tant que fichiers masqués.
- La suppression de ces fichiers échoue. La commande
rm -rvf *
à l'intérieur du répertoireS-2-4-27-3777257131-1806073332-421880436-8537
échoue avec une erreur d'entrée / sortie.
MISE À JOUR 2
Après les commentaires de soulsource et girardengo, j'ai essayé de courir
ntfsck
et ntfsfix
. De plus, cette question a aidé.
Voici les sorties.
ntfsck
sudo ntfsck /dev/sdc1
Unsupported: replay_log()
Unsupported: check_volume()
Checking 7796 MFT records.
Unsupported cases found.
ntfsfix
sudo ntfsfix -d /dev/sdc1
Mounting volume... OK
Processing of $MFT and $MFTMirr completed successfully.
NTFS volume version is 3.1.
NTFS partition /dev/sdc1 was processed successfully.
Mais la situation initiale persiste. Il n'y a eu aucune amélioration.
MISE À JOUR 3 (RÉSOLU)
Comme conseillé dans cet article , j'ai inséré mon lecteur dans une machine Windows et exécuté (à partir d'un terminal),
chkdsk <drive letter> /R
Il y avait une multitude d'activités sur la vérification et la réparation. Il y avait également des messages concernant les secteurs défectueux. La tâche s'est terminée en moins d'une minute. Ensuite, j'ai constaté que de nouveaux dossiers ont été créés pour les zones récupérées.
J'ai réinséré le lecteur flash sur une machine Linux et le dossier RECYCLER a pu être supprimé sans aucun problème.
Comme étape supplémentaire, maintenant j'ai formaté le disque (en utilisant gparted, en NTFS) depuis que je pense avoir acquis ma perspicacité.
On dirait que le virus est en effet capable de provoquer un problème matériel (temporaire / logiciel ) . Veuillez consulter l'article mentionné ci-dessus pour une explication technique détaillée.
ntfsfix
pour essayer de corriger les erreurs.