Sebelum Anda memberi tahu saya opsi untuk menyimpan file saya dan memformat drive menggunakan gparted , harap dipahami bahwa saya bisa melakukan itu beberapa jam lalu dan itu akan memakan waktu hanya beberapa menit. Sebenarnya, saya ingin mengerti, apa yang sebenarnya terjadi di sini. Situasi ini menghancurkan semua pengalaman saya selama bertahun-tahun.
Saya mendapat kesan bahwa jika saya memasukkan flash drive yang terinfeksi virus ke mesin Ubuntu saya, yang perlu saya lakukan hanyalah menghapus file virus dan saya baik-baik saja.
Hari ini, saya mengumpulkan beberapa file dalam flash drive yang diformat NTFS dari mesin Windows sepenuhnya mengetahui bahwa mesin tersebut terinfeksi virus. Ketika saya memasukkan flash drive ke mesin saya, ternyata memang sudah mengumpulkan banyak file dan folder. Saya telah menghapus sebagian besar dari mereka. Satu-satunya yang menunjukkan resistensi keras adalah direktori RECYCLER (dan subdirektori).
Atribut direktori ini.
drwx------ 1 masroor masroor 4.0K May 7 16:01 RECYCLER/
Jika saya menjalankan rm
perintah,
sudo rm -rvf RECYCLER/
Saya mendapatkan output panjang di garis,
rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
rm: cannot remove `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl': Input/output error
<rest snipped>
Yang menarik, file yang dilaporkan di atas ditunjukkan oleh ls
perintah dengan beberapa set atribut.
ls -l RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe: Input/output error
ls: cannot access RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/viJbcvrJ.cpl: Input/output error
total 0
-????????? ? ? ? ? ? OagFrAIX.exe
-????????? ? ? ? ? ? viJbcvrJ.cpl
Jika mencoba menemukan atribut folder yang menyinggung itu,
ls -dl RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
Saya mendapat,
drwx------ 1 masroor masroor 4096 May 7 15:58 RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
Perintah chmod
untuk membuat folder RECYCLER dunia dapat ditulis gagal.
sudo chmod -vR ugo+w RECYCLER/
Outputnya ada di baris.
mode of `RECYCLER/' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
mode of `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537' changed from 0700 (rwx------) to 0722 (rwx-w--w-)
chmod: cannot access `RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/OagFrAIX.exe': Input/output error
<snipped>
Folder-folder ini berisi sejumlah .exe
file dan lainnya yang sebagian besar telah saya hapus dengan sukses (kecuali yang dilaporkan di atas).
Jika saya memeriksa atribut dari salah satu folder ini,
lsattr -ad RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
saya mendapat
lsattr: Inappropriate ioctl for device While reading flags on RECYCLER/S-2-4-27-3777257131-1806073332-421880436-8537/
Saya telah menjalankan clamtk
perangkat ini seperti yang disarankan di sini . Namun, gagal menemukan ancaman.
Saya mengerti bahwa saya bisa menyimpan konten flash drive saya di suatu tempat dan kemudian memformatnya. Namun, saya lebih tertarik untuk mencari tahu atribut mana yang telah ditetapkan dalam folder ini yang menolak perubahan lebih lanjut. (Dan tentunya, saya juga ingin mendisinfeksi flash drive saya.)
PEMBARUAN 1
Selanjutnya komentar dari Patro .
- Ketika folder dikunjungi, file-file dengan atribut segudang tidak ditampilkan, bahkan ketika saya mencoba melihatnya sebagai file tersembunyi.
- Menghapus file-file ini gagal. Perintah
rm -rvf *
di dalam direktoriS-2-4-27-3777257131-1806073332-421880436-8537
gagal dengan kesalahan input / output.
PEMBARUAN 2
Setelah komentar dari soulsource dan girardengo saya mencoba menjalankan
ntfsck
dan ntfsfix
. Juga, pertanyaan ini membantu.
Berikut ini hasilnya.
ntfsck
sudo ntfsck /dev/sdc1
Unsupported: replay_log()
Unsupported: check_volume()
Checking 7796 MFT records.
Unsupported cases found.
ntfsfix
sudo ntfsfix -d /dev/sdc1
Mounting volume... OK
Processing of $MFT and $MFTMirr completed successfully.
NTFS volume version is 3.1.
NTFS partition /dev/sdc1 was processed successfully.
Namun situasi awal masih berlanjut. Belum ada perbaikan.
UPDATE 3 (ASK)
Seperti yang disarankan dalam posting ini , saya memasukkan drive saya ke mesin Windows dan mengeksekusi (dari terminal),
chkdsk <drive letter> /R
Ada banyak kegiatan tentang pemeriksaan dan perbaikan. Ada beberapa pesan tentang bad sector juga. Tugas selesai dalam waktu kurang dari satu menit. Kemudian saya menemukan bahwa beberapa folder baru telah dibuat untuk area yang dipulihkan.
Saya memasukkan kembali flash drive ke mesin Linux, dan folder RECYCLER dapat dihapus tanpa masalah.
Sebagai langkah tambahan, sekarang saya telah memformat drive (menggunakan gparted, ke NTFS) karena saya pikir saya telah mendapatkan wawasan saya.
Sepertinya virus ini memang mampu menyebabkan masalah perangkat keras (sementara / lunak) . Silakan lihat posting yang disebutkan di atas untuk penjelasan teknis terperinci.
ntfsfix
untuk mencoba memperbaiki kesalahan.Jawaban:
Ok, saya harus membersihkan beberapa hal di sini:
Bagian reverse-engineer tentang NTFS tidak berlaku di sini, terutama untuk drive flash NTFS yang diformat. Bahkan jika itu terjadi, itu akan menjadi sesuatu yang benar-benar tidak normal. Saya telah bekerja dengan banyak Flash drive yang diformat NTFS, yang diformat dalam Windows XP, Vista, 7 dan 8.
Jadi masalah dengan Linux tidak mendeteksi NTFS dengan benar bukan. Proyeksi NTFS-3G tidak lambat atau tidak kompatibel dengan tingkat itu, Anda bahkan dapat melihat bahwa pembaruan terakhir adalah beberapa bulan yang lalu di tahun yang sama . Ini memang memiliki beberapa masalah dari waktu ke waktu seperti dukungan caching dan penggunaan CPU yang besar, tetapi seperti yang saya katakan, untuk Flash Drive itu akan menjadi sesuatu yang sangat tidak mungkin terjadi atau akan dengan peluang yang sangat kecil ..
Saya memiliki masalah yang sama dengan Flash drive yang menunjukkan ????? simbol atau simbol yang salah sama sekali (EG:! @ #% $ @% # @ bukan nama file). Beberapa pengguna merekomendasikan untuk menggunakan
ntfsfix
atauntfck
tetapi jika Anda tidak dapat memperbaikinya dengan menjalankan chkdsk di Windows pada drive. Boot record / filesystem untuk itu mungkin mengalami beberapa masalah.Pemilik file / folder tidak masalah selama dia menggunakan
sudo
. Bisa saja pengguna mana pun tetapi ketika dia menggunakansudo
perintahrm
akan menghapusnya terlepas dari siapa pemiliknya. Sekali lagi ini berlaku untuk drive Flash yang diformat NTFS ini.Ketika saya pertama kali melihat pertanyaan, saya akan meminta untuk menjalankan perintah
sudo
tetapi saya sudah membaca Anda sudah melakukannya. Kemudian akan menyarankan alat perbaikan ntfs, tetapi Anda sudah melakukannya. kemudian saya melihat kesalahan input / output di akhir. Itu dan melihat bagaimana nama file muncul semua kacau hanya mengatakan kepada saya ada masalah sistem file yang sebenarnya yang dapat diperbaiki hanya dengan:Menggunakan chkdsk di Windows. Tidak
ntfsfix
juga tidakntfsck
akan memperbaiki beberapa masalah yang hanya bisa diperbaiki oleh chkdsk.Pada saat ini tidak terlihat seperti masalah perangkat keras, lebih mungkin masalah sistem file. Jika chkdsk tidak berfungsi, maka satu-satunya solusi adalah memformat flash drive lagi (Tidak perlu untuk level rendah). Dalam hal format sederhana tidak membantu (dan diuji pada Windows dan gparted), maka kita melihat masalah tingkat perangkat keras.
Jika virus benar-benar harus melakukan sesuatu dengan masalah ini, itu karena itu mempengaruhi / melekat pada tabel sistem file (MFT). Ini akan membuat masalah seperti melihat bagian dari filesystem OK dan yang lainnya BAD. Tidak melihat file di satu sistem dan melihatnya di yang lain. Melihat semua file atau beberapa yang rusak (misalnya:! @ #! #! LOL! @ #!) Dan hal-hal aneh lainnya yang dapat terjadi jika tabel sistem file rusak. Itu bisa sesederhana virus mengubah salah satu bidang dalam tabel sistem file atau bisa sama mengerikannya dengan virus mengubah ukuran MFT atau beberapa file.
Selain virus, Anda harus tahu bahwa jika masalahnya sangat buruk sehingga Anda tidak dapat memformat drive (Fresh filesystem) yang jarang terjadi melihat virus melakukan hal itu, maka kemungkinan besar Anda memiliki masalah perangkat keras flash drive yang disebabkan oleh panas, benturan, dll.
Untuk kerusakan data pada flash drive, atau di unit penyimpanan apa pun tetapi terutama flash drive, penyebabnya dalam banyak kasus adalah melepas unit sebelum semua informasi disimpan dengan benar. Ini dapat terjadi pada Windows dan Linux jika pengguna menghapus flash drive tanpa memastikan bahwa semuanya telah selesai menulis dan sesi untuk perangkat ditutup.
Dalam kasus Linux Anda akan mulai mendapatkan peringatan tentang operasi baca / tulis yang tidak diizinkan di seluruh flash drive atau file (seperti film) kehilangan 50% dari seluruh ukuran (Seperti film 1.2GB dengan berat hanya 500MB dan semua yang ada di dalamnya) rusak). fsck dapat memperbaiki ini dalam banyak kasus. Dalam kasus Windows, ia akan menampilkan kesalahan input / output dan dapat merusak seluruh unit karena MFT tidak menyimpan informasi dengan benar. Jadi disarankan untuk menunggu sesi ditutup atau menggunakan opsi "hapus aman" saat tersedia.
sumber
Saya pikir masalahnya adalah bahwa implementasi NTFS di Linux direkayasa ulang dan tidak lengkap --- tanyakan pada Microsoft untuk kode sumber ;-).
Anda memiliki petunjuk dengan peringatan "Kasus yang tidak didukung ditemukan". Mungkin antivirus mesin Windows menggunakan beberapa karakteristik sistem file NTFS canggih / tidak jelas yang tidak dapat dipahami oleh driver Linux.
Anda harus melakukan manajemen tingkat rendah dari sistem file hanya pada sistem asli (cari di sini seberapa sering gparted mengubah ukuran partisi NTFS hanya untuk membuat sistem tidak dapat di-boot ...).
Lihat juga halaman utama NTFS-3g , dan terutama T&J FAQ ini .
sumber