Antes de que me aconseje sobre la opción de guardar mis archivos y formatear la unidad usando gparted , comprenda que podría haberlo hecho hace unas horas y que me habría llevado solo unos minutos. En realidad, quiero entender lo que realmente está sucediendo aquí. La situación está destrozando todas mis experiencias adquiridas a lo largo de los años.
Tenía la impresión de que si inserto una unidad flash infectada con virus en mi máquina Ubuntu, todo lo que necesito hacer es simplemente eliminar los archivos de virus y estoy listo para comenzar.
Hoy, recopilé algunos archivos en una unidad flash con formato NTFS de una máquina Windows sabiendo que la máquina está infectada con virus. Cuando inserté la unidad flash en mi máquina, descubrí que, de hecho, ha recopilado muchos archivos y carpetas. He eliminado la mayoría de ellos. El único que muestra resistencia dura es un directorio RECYCLER (y sus subdirectorios).
Los atributos de este directorio.
drwx------ 1 masroor masroor 4.0K May 7 16:01 RECYCLER/
Si ejecuto el rm
comando,
sudo rm -rvf RECYCLER/
Obtengo una salida larga en la línea de,
rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl': Input/output error
<rest snipped>
Lo que es interesante, el ls
comando muestra los archivos informados anteriormente con una miríada de atributos.
ls -l RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe: Input/output error
ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl: Input/output error
total 0
-????????? ? ? ? ? ? OagFrAIX.exe
-????????? ? ? ? ? ? viJbcvrJ.cpl
Si intenta encontrar los atributos de esas carpetas ofensivas,
ls -dl RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
Yo obtengo,
drwx------ 1 masroor masroor 4096 May 7 15:58 RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
El comando chmod
para hacer que la carpeta RECYCLER sea editable mundial falla.
sudo chmod -vR ugo+w RECYCLER/
La salida está en la línea de.
mode of `RECYCLER/' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
mode of `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
chmod: cannot access `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
<snipped>
Estas carpetas contenían varios .exe
y otros archivos, la mayoría de los cuales ya he eliminado con éxito (excepto los mencionados anteriormente).
Si verifico los atributos de una de estas carpetas,
lsattr -ad RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
yo obtengo
lsattr: Inappropriate ioctl for device While reading flags on RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
He corrido clamtk
en este dispositivo como se sugiere aquí . Sin embargo, no puede encontrar una amenaza.
Entiendo que simplemente puedo guardar el contenido de mi unidad flash en algún lugar y luego formatearlo. Sin embargo, estoy más interesado en descubrir qué atributos se han establecido en estas carpetas que resisten cambios adicionales. (Y definitivamente, también querré desinfectar mi unidad flash).
ACTUALIZACIÓN 1
Además del comentario de Patro .
- Cuando se visitan las carpetas, esos archivos con una miríada de atributos no se muestran, incluso cuando trato de verlos como archivos ocultos.
- La eliminación de estos archivos falla. El comando
rm -rvf *
dentro del directorioS-2-4-27-3777257131-1806073332-421880436-8537
falla con un error de entrada / salida.
ACTUALIZACIÓN 2
Después de los comentarios de soulsource y girardengo , he tratado de correr
ntfsck
y ntfsfix
. Además, esta pregunta ayudó.
Aquí están las salidas.
ntfsck
sudo ntfsck /dev/sdc1
Unsupported: replay_log()
Unsupported: check_volume()
Checking 7796 MFT records.
Unsupported cases found.
ntfsfix
sudo ntfsfix -d /dev/sdc1
Mounting volume... OK
Processing of $MFT and $MFTMirr completed successfully.
NTFS volume version is 3.1.
NTFS partition /dev/sdc1 was processed successfully.
Pero la situación inicial aún persiste. No ha habido ninguna mejora.
ACTUALIZACIÓN 3 (RESUELTO)
Como se aconseja en esta publicación , inserté mi unidad en una máquina con Windows y ejecuté (desde una terminal),
chkdsk <drive letter> /R
Hubo una avalancha de actividades sobre verificación y reparación. También hubo algunos mensajes sobre sectores defectuosos. La tarea se terminó en menos de un minuto. Luego descubrí que se han creado algunas carpetas nuevas para las áreas recuperadas.
Volví a insertar la unidad flash en una máquina Linux, y la carpeta RECYCLER podría eliminarse sin ningún problema.
Como paso adicional, ahora he formateado la unidad (usando gparted, a NTFS) ya que creo que he obtenido mi conocimiento.
Parece que el virus es capaz de causar un problema de hardware (temporal / suave) . Consulte la publicación mencionada anteriormente para obtener una explicación técnica detallada.
ntfsfix
para intentar corregir errores.