वायरस से संक्रमित फ्लैश ड्राइव से RECYCLER निर्देशिका निकालें

इससे पहले कि आप मुझे अपनी फ़ाइलों को सहेजने और gparted का उपयोग करके ड्राइव को प्रारूपित करने के विकल्प पर सलाह दें , कृपया समझें कि मैं उस घंटे पहले कर सकता था और इसमें कुछ ही मिनट लगे होंगे। दरअसल, मैं समझना चाहता हूं कि वास्तव में यहां क्या हो रहा है। स्थिति वर्षों से प्राप्त मेरे सभी अनुभवों को चकमा दे रही है।

मैं इस धारणा के अधीन था कि अगर मैं अपने उबंटू मशीन में वायरस से संक्रमित फ्लैश ड्राइव डालता हूं, तो मुझे बस वायरस फ़ाइलों को हटाने की जरूरत है और मैं जाने के लिए अच्छा हूं।

आज, मैंने पूरी तरह से यह जानते हुए कि मशीन वायरस से संक्रमित है, ने एक एनटीएफएस स्वरूपित फ्लैश ड्राइव में कुछ फाइलों को विंडोज मशीन से एकत्र किया। जब मैंने अपनी मशीन में फ्लैश ड्राइव डाला, तो मैंने पाया कि वास्तव में, इसने कई फाइलें और फ़ोल्डर्स एकत्र किए हैं। मैंने उनमें से अधिकांश को हटा दिया है। केवल एक कठोर प्रतिरोध दिखाने वाला एक RECYCLER निर्देशिका (और इसके उपनिर्देशिका) है।

इस निर्देशिका की विशेषताएँ।

drwx------ 1 masroor masroor 4.0K May  7 16:01 RECYCLER/

यदि मैं rmकमांड निष्पादित करता हूं ,

sudo rm -rvf RECYCLER/

की लाइन में मुझे एक लंबा आउटपुट मिलता है,

rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl': Input/output error
<rest snipped>

क्या दिलचस्प है, उपरोक्त रिपोर्ट की गई फाइलें lsकुछ असंख्य विशेषताओं के साथ कमांड द्वारा दिखाई गई हैं ।

ls -l RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe: Input/output error
ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl: Input/output error
total 0
-????????? ? ? ? ?            ? OagFrAIX.exe
-????????? ? ? ? ?            ? viJbcvrJ.cpl

यदि उन अपमानजनक फ़ोल्डरों की विशेषताओं को खोजने की कोशिश करें,

ls -dl RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

मुझे मिला,

drwx------ 1 masroor masroor 4096 May  7 15:58 RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

chmodRECYCLER फ़ोल्डर को वर्ल्ड रिऐलिटिव बनाने की कमांड विफल रहती है।

sudo chmod -vR ugo+w RECYCLER/

आउटपुट की लाइन में है।

mode of `RECYCLER/' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
mode of `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
chmod: cannot access `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
<snipped>

इन फ़ोल्डरों में बहुत सारी .exeऔर अन्य फाइलें थीं जिनमें से मैंने पहले ही सफलतापूर्वक हटा दिया है (ऊपर दी गई रिपोर्ट को छोड़कर)।

यदि मैं इनमें से किसी एक फ़ोल्डर की विशेषताओं की जांच करता हूं,

lsattr -ad RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

मुझे मिला

lsattr: Inappropriate ioctl for device While reading flags on RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/

मैं clamtkइस उपकरण पर चला गया हूँ जैसा कि यहाँ सुझाया गया है । हालांकि, यह एक खतरा खोजने में विफल रहता है।

मैं समझता हूं कि मैं अपनी फ्लैश ड्राइव सामग्री को बस कहीं बचा सकता हूं और फिर इसे प्रारूपित कर सकता हूं। हालाँकि, मुझे यह पता लगाने में अधिक दिलचस्पी है कि इन फ़ोल्डरों में कौन सी विशेषताएँ निर्धारित की गई हैं जो आगे के परिवर्तनों का विरोध कर रही हैं। (और निश्चित रूप से, मैं अपने फ्लैश ड्राइव को भी कीटाणुरहित करना चाहूंगा।)

अद्यतन १

पैट्रो से टिप्पणी के लिए आगे ।

1. जब फ़ोल्डर का दौरा किया जाता है, तो असंख्य विशेषताओं वाली फाइलें नहीं दिखाई जाती हैं, तब भी जब मैं उन्हें छिपी हुई फाइलों के रूप में देखने की कोशिश करता हूं।
2. इन फ़ाइलों को हटाने में विफल रहता है। rm -rvf *निर्देशिका के अंदर कमांड S-2-4-27-3777257131-1806073332-421880436-8537इनपुट / आउटपुट त्रुटि के साथ विफल हो जाता है।

अद्यतन २

आत्माओं और girardengo से टिप्पणियों के बाद मैंने चलाने की कोशिश की है ntfsckऔरntfsfix । साथ ही, इस सवाल से मदद मिली।

यहाँ आउटपुट हैं।

ntfsck

sudo ntfsck  /dev/sdc1

Unsupported: replay_log()
Unsupported: check_volume()
Checking 7796 MFT records.
Unsupported cases found.

ntfsfix

sudo ntfsfix -d /dev/sdc1

Mounting volume... OK
Processing of $MFT and $MFTMirr completed successfully.
NTFS volume version is 3.1.
NTFS partition /dev/sdc1 was processed successfully.

लेकिन प्रारंभिक स्थिति अभी भी बनी हुई है। कोई सुधार नहीं हुआ है।

अद्यतन 3 (हल)

जैसा कि इस पोस्ट में बताया गया है , मैंने अपनी ड्राइव को विंडोज मशीन में डाला और निष्पादित किया (टर्मिनल से),

chkdsk <drive letter> /R

जाँच और मरम्मत के बारे में गतिविधियों की सुगबुगाहट थी। खराब क्षेत्रों के बारे में भी कुछ संदेश थे। कार्य एक मिनट से भी कम समय में समाप्त हो गया था। तब मैंने पाया कि बरामद क्षेत्रों के लिए कुछ नए फ़ोल्डर बनाए गए हैं।

मैंने एक लिनक्स मशीन में फ्लैश ड्राइव को फिर से स्थापित किया, और RECYCLER फ़ोल्डर को बिना किसी समस्या के हटाया जा सकता है।

एक अतिरिक्त कदम के रूप में, अब मुझे लगता है कि मैंने अपनी अंतर्दृष्टि प्राप्त कर ली है, इसलिए मैंने ड्राइव (gparted का उपयोग करते हुए NTFS तक) को स्वरूपित कर लिया है।

ऐसा लगता है कि वायरस वास्तव में (अस्थायी / नरम) हार्डवेयर समस्या पैदा करने में सक्षम है। कृपया विस्तृत तकनीकी स्पष्टीकरण के लिए उपर्युक्त पोस्ट देखें ।

ठीक है मैं यहाँ कुछ चीजें स्पष्ट करूँगा:

1. NTFS के बारे में रिवर्स-इंजीनियर भाग यहाँ लागू नहीं होता है, विशेष रूप से एक स्वरूपित NTFS फ्लैश ड्राइव के लिए। यहां तक ​​कि अगर यह किया है कि वास्तव में सामान्य से बाहर कुछ होगा। मैंने विंडोज एक्सपी, विस्टा, 7 और 8 में प्रारूपित कई NTFS स्वरूपित फ्लैश ड्राइव के साथ काम किया है।

   तो लिनक्स के साथ NTFS का सही ढंग से पता नहीं लगाने वाली समस्या यह नहीं है। NTFS-3G प्रॉजेक्ट धीमा नहीं है और न ही उस स्तर पर असंगत है, आप यह भी देख सकते हैं कि आखिरी अपडेट इसी साल कुछ महीने पहले था । यह निश्चित रूप से समय-समय पर कैशिंग समर्थन और विशाल सीपीयू उपयोग जैसे मुद्दों की एक जोड़ी है, लेकिन जैसा कि मैंने कहा, एक फ्लैश ड्राइव के लिए यह बहुत कम होने की संभावना नहीं होगी या बहुत कम संभावना के साथ होगी।

2. मैं इसी तरह की समस्याओं के साथ फ्लैश ड्राइव या तो दिखा रहा है ????? प्रतीकों या बस गलत प्रतीकों को पूरी तरह से (ईजी:! @ फ़ाइल नाम के बजाय #% $ @% # @)। कुछ उपयोगकर्ता उपयोग करने की सलाह देते हैं ntfsfixया ntfckयदि आप उन्हें ड्राइव पर विंडोज़ पर उस रन चाकस्क के साथ ठीक नहीं कर सकते हैं। इसके लिए बूट रिकॉर्ड / फाइल सिस्टम कुछ समस्याएँ हो सकती हैं।

3. फ़ाइल / फ़ोल्डर का स्वामी तब तक कोई फर्क नहीं पड़ता जब तक वह उपयोग करता है sudo। यह कोई भी उपयोगकर्ता हो सकता है, लेकिन जब वह sudoकमांड का उपयोग rmकरेगा, तो इसे हटा देगा चाहे वह इसका मालिक क्यों न हो। फिर से यह इस NTFS स्वरूपित फ्लैश ड्राइव पर लागू होता है।

4. जब मैंने पहली बार प्रश्न देखा, तो मैं कमांड चलाने के लिए पूछने जा रहा था, sudoलेकिन मैंने पढ़ा कि आपने पहले से ही किया था। तब ntfs रिपेयर टूल्स का सुझाव देने जा रहा था, लेकिन आपने पहले ही कर दिया। तब मैंने अंत में इनपुट / आउटपुट त्रुटि देखी । वह और यह देखते हुए कि फाइलों का नाम कैसे दिखाई दिया, सब गड़बड़ हो गया बस मुझे बताया कि एक वास्तविक फाइल सिस्टम समस्या थी जिसे केवल ठीक किया जा सकता है:

   • विंडोज पर चॉक का उपयोग करना। न तो ntfsfixहै और न ही ntfsckमुद्दों की एक जोड़ी है कि chkdsk केवल ठीक कर सकते हैं ठीक कर देंगे।

   • इस समय यह एक हार्डवेयर समस्या की तरह नहीं दिखता है, अधिक संभावना है कि एक फाइल सिस्टम समस्या। यदि चेडस्क काम नहीं करता है, तो एकमात्र समाधान फ्लैश ड्राइव को फिर से प्रारूपित करना है (निम्न स्तर की कोई आवश्यकता नहीं)। मामले में एक सरल प्रारूप मदद नहीं करता है (और विंडोज में जांच की और gparted), तो हम एक हार्डवेयर स्तर की समस्या देख रहे हैं।

यदि किसी वायरस को वास्तव में इस समस्या के साथ कुछ भी करना था, तो यह इसलिए होगा क्योंकि यह फाइल सिस्टम टेबल (एमएफटी) से प्रभावित / जुड़ा हुआ है। यह फाइलसिस्टम के कुछ हिस्सों को देखने और ओके और बीएडी जैसी समस्याओं को पैदा करेगा। एक सिस्टम पर फाइल्स न देखकर उन्हें दूसरे में देखना। सभी फाइलें या कुछ दूषित देखकर (जैसे:! @ #! #! LOL! @ #!) और अन्य अजीब चीजें जो तब हो सकती हैं यदि फ़ाइल सिस्टम तालिका भ्रष्ट है। यह वायरस के रूप में सरल हो सकता है जैसे कि फाइल सिस्टम टेबल में से किसी एक क्षेत्र को बदलने वाला वायरस या यह उतना ही भयानक हो सकता है जितना कि वायरस एमएफटी या कई फाइलों के आकार को बदल देता है।

वायरस एक तरफ आपको पता होना चाहिए कि यदि समस्या इतनी खराब है कि आप ड्राइव (ताजा फाइलसिस्टम) को प्रारूपित नहीं कर सकते हैं जो कि वायरस को देखने के लिए दुर्लभ होगा, तो यह अधिक संभावना है कि आपको फ्लैश ड्राइव हार्डवेयर की समस्या के कारण गर्मी, प्रभाव, आदि।

फ्लैश ड्राइव पर डेटा के भ्रष्टाचार के लिए, या किसी भी भंडारण इकाई में लेकिन विशेष रूप से फ्लैश ड्राइव में, कई मामलों में कारण सभी जानकारी को सही ढंग से सहेजने से पहले यूनिट को हटा रहा है। यह विंडोज और लिनक्स दोनों में हो सकता है यदि कोई उपयोगकर्ता यह सुनिश्चित किए बिना फ्लैश ड्राइव को हटा देता है कि सब कुछ लिखना समाप्त हो गया है और डिवाइस के लिए सत्र बंद हो गया है।

लिनक्स के मामले में आपको पूरे फ्लैश ड्राइव या फाइलों (जैसे फिल्मों) में पढ़ने / लिखने के संचालन के बारे में चेतावनी मिलनी शुरू हो जाएगी, पूरे आकार का 50% अधिक लापता (जैसे 1.2 जीबी की फिल्म का वजन केवल 500 एमबी है और इसमें सब कुछ है भ्रष्ट)। fsck ज्यादातर मामलों में इसे ठीक कर सकता है। विंडोज के मामले में यह इनपुट / आउटपुट त्रुटियों को दिखाएगा और पूरी यूनिट को दूषित करने के रूप में दूर तक जा सकता है क्योंकि एमएफटी ने जानकारी को सही ढंग से सहेजा नहीं था। इसलिए जब उपलब्ध हो तो सत्र को बंद करने या "सुरक्षित रूप से हटाने" विकल्प का उपयोग करने की सलाह देते हैं।

मुझे लगता है कि समस्या यह है कि लिनक्स में NTFS कार्यान्वयन रिवर्स-इंजीनियर है और पूर्ण नहीं है --- स्रोत कोड के लिए Microsoft से पूछें; ;-)।

आपके पास "असमर्थित मामला पाया" चेतावनी के साथ संकेत हैं। संभवतः विंडोज मशीन एंटीवायरस ने कुछ उन्नत / अस्पष्ट NTFS फाइलसिस्टम विशेषताओं का उपयोग किया है जो कि लिनक्स ड्राइवर को समझ नहीं पा रहा है।

आपको केवल मूल प्रणाली पर एक फाइलसिस्टम के निम्न-स्तरीय प्रबंधन को करना चाहिए (यहां खोजें कि कितनी बार gparted ने NTFS विभाजन का आकार बदल दिया है केवल सिस्टम को अनबूटेबल बनाने के लिए ...)।

यह भी देखें मुख्य NTFS-3 जी पेज , और विशेष रूप से इस FAQ क्यू एंड ए ।