바이러스에 감염된 플래시 드라이브에서 RECYCLER 디렉토리를 제거

파일을 저장하고 gparted를 사용하여 드라이브를 포맷하는 옵션에 대해 조언하기 전에 , 그 시간을 되돌릴 수 있었고 단지 몇 분 밖에 걸리지 않았다는 것을 이해하십시오. 실제로, 나는 여기서 실제로 일어나는 일을 이해하고 싶습니다. 상황은 수년에 걸쳐 얻은 모든 경험을 버리고 있습니다.

바이러스에 감염된 플래시 드라이브를 Ubuntu 시스템에 삽입하면 바이러스 파일을 삭제하기 만하면됩니다.

오늘은 컴퓨터가 바이러스에 감염된 것을 완전히 알고있는 Windows 컴퓨터에서 NTFS로 포맷 된 플래시 드라이브에 일부 파일을 수집했습니다. 플래시 드라이브를 컴퓨터에 넣었을 때 실제로 많은 파일과 폴더를 수집했습니다. 나는 그들의 대부분을 삭제했습니다. 딱딱한 저항을 나타내는 유일한 것은 RECYCLER 디렉토리 (및 해당 서브 디렉토리)입니다.

이 디렉토리의 속성

drwx------ 1 masroor masroor 4.0K May  7 16:01 RECYCLER/

rm명령을 실행하면

sudo rm -rvf RECYCLER/

나는 라인에서 긴 출력을 얻습니다.

rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl': Input/output error
<rest snipped>

흥미롭게도, 위에보고 된 파일은 ls여러 가지 속성 세트와 함께 명령으로 표시됩니다 .

ls -l RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe: Input/output error
ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl: Input/output error
total 0
-????????? ? ? ? ?            ? OagFrAIX.exe
-????????? ? ? ? ?            ? viJbcvrJ.cpl

문제가되는 폴더의 속성을 찾으려고하면

ls -dl RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

나는 얻다,

drwx------ 1 masroor masroor 4096 May  7 15:58 RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

chmodRECYCLER 폴더를 월드 쓰기 가능으로 만드는 명령 이 실패합니다.

sudo chmod -vR ugo+w RECYCLER/

출력은 라인에 있습니다.

mode of `RECYCLER/' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
mode of `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
chmod: cannot access `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
<snipped>

이 폴더에는 .exe내가 이미 성공적으로 삭제 한 많은 파일과 기타 파일이 포함되어 있습니다 (위의보고 된 파일 제외).

이 폴더 중 하나의 속성을 확인하면

lsattr -ad RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

나는 얻다

lsattr: Inappropriate ioctl for device While reading flags on RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

여기에clamtk 제안 된 대로이 장치를 실행 했습니다 . 그러나 위협을 찾지 못했습니다.

플래시 드라이브 내용을 어딘가에 저장 한 다음 포맷 할 수 있음을 이해합니다. 그러나 이러한 폴더에 어떤 속성이 설정되어 추가 변경에 영향을 미치는지 알아내는 데 더 관심이 있습니다. (그리고 확실히 내 플래시 드라이브도 소독하고 싶습니다.)

업데이트 1

Patro 의 의견에 더 .

1. 폴더를 방문하면 숨겨진 속성으로 보려고해도 무수한 속성을 가진 파일이 표시되지 않습니다.
2. 이 파일을 삭제하지 못했습니다. rm -rvf *디렉토리 내 명령 S-2-4-27-3777257131-1806073332-421880436-8537이 입 / 출력 오류와 함께 실패합니다.

업데이트 2

에서 코멘트 후 soulsource 및 girardengo 나는 실행하려고 노력 ntfsck하고 ntfsfix. 또한 이 질문이 도움 이 되었습니다.

출력은 다음과 같습니다.

ntfsck

sudo ntfsck  /dev/sdc1

Unsupported: replay_log()
Unsupported: check_volume()
Checking 7796 MFT records.
Unsupported cases found.

ntfsfix

sudo ntfsfix -d /dev/sdc1

Mounting volume... OK
Processing of $MFT and $MFTMirr completed successfully.
NTFS volume version is 3.1.
NTFS partition /dev/sdc1 was processed successfully.

그러나 초기 상황은 여전히 ​​지속됩니다. 개선되지 않았습니다.

업데이트 3 (해결됨)

이 게시물 에서 알 수 있듯이 Windows 시스템에 드라이브를 넣고 (터미널에서) 실행했습니다.

chkdsk <drive letter> /R

점검 및 수리에 관한 많은 활동이있었습니다. 불량 섹터에 관한 메시지도있었습니다. 작업은 1 분 안에 완료되었습니다. 그런 다음 복구 된 영역에 대해 새로운 폴더가 생성되었음을 알았습니다.

플래시 드라이브를 Linux 시스템에 다시 삽입했으며 RECYCLER 폴더를 아무 문제없이 삭제할 수 있습니다.

추가 단계로, 이제 통찰력을 얻은 것으로 생각하여 드라이브를 포맷했습니다 (gparted를 사용하여 NTFS로).

바이러스가 실제로 (임시 / 소프트) 하드웨어 문제 를 일으킬 수있는 것 같습니다 . 자세한 기술 설명 은 위에서 언급 한 게시물 을 참조하십시오 .

좋아, 여기 몇 가지를 분명히해야합니다.

1. NTFS에 대한 리버스 엔지니어 부분은 특히 포맷 된 NTFS 플래시 드라이브에 적용되지 않습니다. 그렇게하더라도 실제로는 정상이 아닐 수 있습니다. Windows XP, Vista, 7 및 8로 포맷 된 많은 NTFS 포맷 플래시 드라이브로 작업했습니다.

   따라서 Linux가 NTFS를 올바르게 감지하지 못하는 문제는 아닙니다. NTFS-3G proyect는 속도가 느리거나 해당 수준과 호환되지 않습니다 . 같은 해 몇 달 전에 마지막 업데이트가 있음을 알 수 있습니다 . 캐싱 지원 및 막대한 CPU 사용과 같이 때때로 두 가지 문제가 있지만 플래시 드라이브의 경우 발생할 가능성이 거의 없거나 아주 적은 기회가 있습니다.

2. 플래시 드라이브와 비슷한 문제가 있었습니까 ????? 기호 또는 단순히 잘못된 기호를 모두 사용합니다 (예 : 파일 이름 대신! @ # % $ @ % # @). 일부 사용자는 ntfsfix또는 사용을 권장 ntfck하지만 드라이브에서 Windows에서 chkdsk를 실행하여 문제를 해결할 수없는 경우. 부트 레코드 / 파일 시스템에 문제가있을 수 있습니다.

3. 파일 / 폴더의 소유자는 사용하는 한 중요하지 않습니다 sudo. 모든 사용자가 될 수 있지만 sudo명령 을 사용하면 명령 rm을 소유 한 사람에 관계없이 명령 이 제거됩니다. 이것은 NTFS 포맷 플래시 드라이브에도 적용됩니다.

4. 처음 질문을 보았을 때 명령을 실행하도록 요청 sudo했지만 이미 읽은 것을 읽었습니다. 그런 다음 ntfs 복구 도구를 제안하려고했지만 이미 수행했습니다. 그런 다음 끝에 입출력 오류 가 나타났습니다. 파일 이름이 어떻게 엉망이되었는지 확인하면 실제 파일 시스템 문제가 있다고 말하면 다음과 같이 해결할 수 있습니다.

   • Windows에서 chkdsk 사용 chkdsk가 해결할 수있는 몇 가지 문제 ntfsfix도 ntfsck해결 하지도 않습니다 .

   • 현재로서는 하드웨어 문제, 파일 시스템 문제 일 가능성이 없습니다. chkdsk가 작동하지 않으면 유일한 해결책은 플래시 드라이브를 다시 포맷하는 것입니다 (낮은 레벨 필요 없음). 간단한 형식이 도움이되지 않는 경우 (Windows에서 테스트하여 gparted) 하드웨어 수준 문제를 찾고 있습니다.

바이러스가 실제로이 문제와 관련이있는 경우 파일 시스템 테이블 (MFT)에 영향을 주거나 첨부 되었기 때문입니다. 이로 인해 파일 시스템의 일부를 확인하는 것과 같은 문제가 발생할 수 있습니다. 한 시스템에서 파일을 보지 않고 다른 시스템에서 파일을 보지 못합니다. 모든 파일 또는 손상된 파일 (예 :! @ #! #! LOL! @ #!) 및 파일 시스템 테이블이 손상된 경우 발생할 수있는 다른 이상한 항목보기 바이러스가 파일 시스템 테이블의 필드 중 하나를 변경하는 것만 큼 간단하거나 바이러스가 MFT 또는 여러 파일의 크기를 변경하는 것만 큼 끔찍할 수 있습니다.

바이러스를 제외하고는 문제가 너무 심해서 바이러스를보기 어려운 드물게 드라이브 (Fresh 파일 시스템)를 포맷 할 수없는 경우 다음과 같은 원인으로 인해 플래시 드라이브 하드웨어 문제가있을 가능성이 높습니다. 열, 충격 등

플래시 드라이브 나 저장 장치, 특히 플래시 드라이브의 데이터가 손상된 경우 모든 정보가 올바르게 저장되기 전에 장치를 제거하는 경우가 많습니다. 사용자가 모든 작업을 마치고 장치 세션을 닫지 않은 상태에서 플래시 드라이브를 제거하면 Windows와 Linux 모두에서 발생할 수 있습니다.

Linux의 경우 전체 플래시 드라이브 또는 파일 (예 : 영화)에서 허용되지 않는 읽기 / 쓰기 작업에 대한 경고가 전체 크기의 50 % 이상 누락되었습니다 (1.2MB 영화의 무게는 500MB에 불과 함) 손상됨). fsck는 대부분의 경우이 문제를 해결할 수 있습니다. Windows의 경우 입력 / 출력 오류가 표시되며 MFT가 정보를 올바르게 저장하지 않았기 때문에 전체 장치가 손상 될 수 있습니다. 따라서 세션이 닫힐 때까지 기다리거나 사용 가능한 경우 "안전하게 제거"옵션을 사용하는 것이 좋습니다.

문제는 리눅스 에서 NTFS 구현 이 리버스 엔지니어링되고 완전하지 않다는 것입니다. --- Microsoft에 소스 코드를 요청하십시오 ;-).

"지원되지 않는 사례를 찾았습니다"경고가 표시됩니다. 아마도 Windows 시스템 바이러스 백신은 Linux 드라이버가 파악할 수없는 일부 고급 / 불확실한 NTFS 파일 시스템 특성을 사용했을 것입니다.

네이티브 시스템에서만 파일 시스템의 저수준 관리를 수행해야합니다 (여기서 시스템을 부팅 할 수 없도록 NTFS 파티션 크기를 얼마나 자주 조정했는지 검색).

또한 참조 주요 NTFS-3g 페이지를 , 특히 이 FAQ Q & A .