ウイルスに感染したフラッシュドライブからRECYCLERディレクトリを削除する

ファイルを保存し、gpartedを使用してドライブをフォーマットするオプションについてアドバイスする前に、その数時間前に行うことができ、数分しかかからなかったことを理解してください。実際、ここで実際に何が起こっているのかを理解したいと思います。この状況は、長年にわたって得た私のすべての経験を破壊しています。

ウイルスに感染したフラッシュドライブをUbuntuマシンに挿入したら、ウイルスファイルを削除するだけでいいという印象を受けました。

今日、私は、Windowsマシンがウイルスに感染していることを完全に知っているWindowsマシンから、NTFSフォーマットのフラッシュドライブにいくつかのファイルを収集しました。フラッシュドライブをマシンに挿入すると、実際に多くのファイルとフォルダーが収集されていることがわかりました。それらのほとんどを削除しました。ハードレジスタンスを示すのは、RECYCLERディレクトリ（およびそのサブディレクトリ）のみです。

このディレクトリの属性。

drwx------ 1 masroor masroor 4.0K May  7 16:01 RECYCLER/

rmコマンドを実行すると、

sudo rm -rvf RECYCLER/

次の行で長い出力が得られます。

rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl': Input/output error
<rest snipped>

興味深いことに、上記の報告されたファイルはls、無数の属性セットを持つコマンドによって表示されます。

ls -l RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe: Input/output error
ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl: Input/output error
total 0
-????????? ? ? ? ?            ? OagFrAIX.exe
-????????? ? ? ? ?            ? viJbcvrJ.cpl

これらの問題のあるフォルダーの属性を見つけようとすると、

ls -dl RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

ええ、

drwx------ 1 masroor masroor 4096 May  7 15:58 RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

chmodRECYCLERフォルダーを書き込み可能にするコマンドは失敗します。

sudo chmod -vR ugo+w RECYCLER/

出力は次の行にあります。

mode of `RECYCLER/' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
mode of `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
chmod: cannot access `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
<snipped>

これらのフォルダーには多く.exeのファイルが含まれており、他のファイルのほとんどは既に正常に削除されています（上記のレポートを除く）。

これらのフォルダーのいずれかの属性を確認すると、

lsattr -ad RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

私は得る

lsattr: Inappropriate ioctl for device While reading flags on RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

ここでclamtk提案されているように、このデバイスで実行しました。ただし、脅威を見つけることができません。

フラッシュドライブの内容をどこかに保存してからフォーマットすることができることを理解しています。ただし、これらのフォルダに設定されている属性のうち、さらに変更に抵抗しているものを見つけることにもっと興味があります。（そして間違いなく、私はフラッシュドライブも消毒したいと思うでしょう。）

更新1

パトロからのコメントにさらに。

1. フォルダにアクセスすると、隠しファイルとして表示しようとしても、無数の属性を持つファイルは表示されません。
2. これらのファイルの削除は失敗します。rm -rvf *ディレクトリ内のコマンドは、S-2-4-27-3777257131-1806073332-421880436-8537入出力エラーで失敗します。

更新2

soulsourceとgirardengoからのコメントの後、私は実行しよう ntfsckとしましたntfsfix。また、この質問は役に立ちました。

出力は次のとおりです。

ntfsck

sudo ntfsck  /dev/sdc1

Unsupported: replay_log()
Unsupported: check_volume()
Checking 7796 MFT records.
Unsupported cases found.

ntfsfix

sudo ntfsfix -d /dev/sdc1

Mounting volume... OK
Processing of $MFT and $MFTMirr completed successfully.
NTFS volume version is 3.1.
NTFS partition /dev/sdc1 was processed successfully.

しかし、最初の状況はまだ続いています。改善はありません。

更新3（解決済み）

この投稿でアドバイスしたように、私はドライブをWindowsマシンに挿入して実行しました（ターミナルから）、

chkdsk <drive letter> /R

チェックと修復に関する活動が急増しました。不良セクタに関するメッセージもいくつかありました。タスクは1分以内に終了しました。その後、回復した領域用にいくつかの新しいフォルダが作成されていることがわかりました。

フラッシュドライブをLinuxマシンに再挿入しましたが、RECYCLERフォルダーは問題なく削除できました。

追加の手順として、洞察を得たと思うので、ドライブをフォーマットしました（gpartedを使用して、NTFSに）。

ウイルスが実際に（一時的/ソフト）ハードウェアの問題を引き起こす可能性があるようです。詳細な技術説明については、上記の投稿をご覧ください。

ここでいくつかのことを明確にしなければなりません。

1. NTFSに関するリバースエンジニアリングの部分は、特にフォーマットされたNTFSフラッシュドライブには適用されません。たとえそれが行われたとしても、それは本当に普通のことではないでしょう。私は、Windows XP、Vista、7、および8でフォーマットされた多くのNTFSフォーマットのフラッシュドライブを使用しました。

   したがって、LinuxがNTFSを正しく検出しないという問題はそうではありません。NTFS-3Gのプロジェクトは遅くなく、そのレベルと互換性がありません。最後の更新がこの同じ年の数か月前であったことさえわかります。キャッシュのサポートや膨大なCPU使用率など、時々問題が発生することは確かですが、私が言ったように、フラッシュドライブの場合、発生する可能性は非常に低いか、非常に小さい可能性があります。

2. フラッシュドライブで同様の問題が発生しましたか????? シンボルまたは単に間違ったシンボル（例：ファイル名の代わりに！@＃％$ @％＃@）。一部のユーザーは、ntfsfixまたはを使用することをお勧めしntfckますが、それで修正できない場合は、ドライブ上のWindowsでchkdskを実行します。ブートレコード/ファイルシステムに問題がある可能性があります。

3. ファイル/フォルダの所有者は、を使用する限り重要ではありませんsudo。どのユーザーでもかまいませんが、ユーザーがsudoコマンドを使用すると、rm所有者に関係なくコマンドが削除されます。これも、このNTFSフォーマットのフラッシュドライブに適用されます。

4. 私が最初に質問を見たとき、私はコマンドを実行するように頼むつもりでしたsudoが、私はあなたがすでにしたように読みました。その後、NTFS修復ツールを提案するつもりでしたが、あなたはすでにやっていました。その後、最後に入出力エラーが表示されました。それとファイルの名前がす​​べて台無しになっているのを見ると、実際にファイルシステムの問題があり、それを修正できるのは次の方法だけであることがわかりました。

   • Windowsでchkdskを使用します。また、chkdskでしか修正できない問題ntfsfixもntfsck修正しません。

   • 現時点では、ハードウェアの問題ではなく、ファイルシステムの問題のようです。chkdskが機能しない場合、唯一の解決策はフラッシュドライブを再度フォーマットすることです（低レベルの必要はありません）。単純な形式では解決できない場合（およびWindowsでテストされ、gparted）、ハードウェアレベルの問題を調べています。

ウイルスが実際にこの問題で何かをしなければならなかった場合、それはファイルシステムテーブル（MFT）に影響を与えた/アタッチされたためです。これにより、ファイルシステムの一部が正常に表示され、その他が不良であるなどの問題が発生します。あるシステムでファイルを表示せず、別のシステムでそれらを表示しない。すべてのファイルまたはいくつかの破損（例：！@＃！＃！LOL！@＃！）およびファイルシステムテーブルが破損した場合に発生する可能性のあるその他の奇妙な現象を確認します。ウイルスがファイルシステムテーブルのフィールドの1つを変更するのと同じくらい簡単な場合もあれば、MFTまたは複数のファイルのサイズを変更するウイルスのように恐ろしい場合もあります。

ウイルスは別として、問題があまりにもひどいためドライブをフォーマットできない場合（Freshファイルシステム）、ウイルスがそれを行うことはめったにない場合は、フラッシュドライブのハードウェアの問題が原因である可能性が高いことを知っておく必要があります熱、衝撃など。

フラッシュドライブ、またはストレージユニット、特にフラッシュドライブのデータが破損した場合、多くの場合、原因はすべての情報が正しく保存される前にユニットを削除することです。これは、すべてが書き込みを終了し、デバイスのセッションが閉じられていることを確認せずにユーザーがフラッシュドライブを取り外した場合、WindowsとLinuxの両方で発生する可能性があります。

Linuxの場合、フラッシュドライブ全体またはファイル（映画など）で許可されていない読み取り/書き込み操作について、全体のサイズの50％以上が欠落しているという警告が表示され始めます破損）。ほとんどの場合、fsckはこれを修正できます。Windowsの場合、入力/出力エラーが表示され、MFTが情報を正しく保存しなかったため、ユニット全体が破損する可能性があります。そのため、セッションが閉じるのを待つか、利用可能な場合は「安全に削除」オプションを使用することをお勧めします。

問題は、LinuxでのNTFS実装がリバースエンジニアリングされており、完全ではないことだと思います--- Microsoftにソースコードを要求してください;-)。

「サポートされていないケースが見つかりました」という警告のヒントがあります。おそらく、Windowsマシンのウイルス対策は、Linuxドライバーが把握できないいくつかの高度な/不明瞭なNTFSファイルシステムの特性を使用していました。

ネイティブシステムでのみファイルシステムの低レベル管理を行う必要があります（システムを起動できないようにするために、NTFSパーティションのサイズ変更の頻度をここで検索してください）。

NTFS-3gのメインページ、特にこのFAQ Q＆Aも参照してください。