[solved] "Read-only file system" Usunięcie syfu (trojana/wirusa) z pendriva

[nithathak]

Witam z domu przywlokłem jakiegoś wirusa i nie mogę go usunąć z pendriva z poziomu ubuntu.
Wszyscy od góry do dołu mają red only w tym Grupa root a przy próbie zmiany uprawnień wali błędem

Kod: Zaznacz cały

"nie można zmienić uprawnień do `autorun.inf': Read-only file system

Próbowałem też ręcznie zmontować w innym folderze
przy pomocy

Kod: Zaznacz cały

mount -t vfat

Efekt taki sam.

Pocieszenie jest takie, że w ów autorunie znajduje się

Kod: Zaznacz cały

[autorun]
open=RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\lin32.exe
shell\open\default=1

Jakieś pomysły jak go usunąć?

Druga kwestia jak się na ubu przed czymś takim zabezpieczyć. Jakieś antywirusy godne polecenia?? Mi może nic nie będzie ale wstyd jak u kogokolwiek użyję pendriva i ich antywirusy alertami rzucają, albo co gorsza ich zarażam.

[vtr]

Spróbuj odmontować pendriva i następnie go sformatować na jaki tam chcesz system plików, powinno zadziałać.

[nithathak]

Chodziło mi bardziej o skalpel niż o armatę.

[fnord]

Kod: Zaznacz cały

sudo rm autorun.inf

nie pomaga?

[nithathak]

Nie. Jak pisałem wyżej
właściciel na prawach read only
grupa root na prawach read only
inni brak uprawnień (automatyczne montowanie)/read only(ręczne)

Bez możliwości zmiany uprawnień.

[fnord]

wobec tego jedyne co mi przychodzi teraz do głowy to:

1 odpalić Live CD lub
2

Kod: Zaznacz cały

sudo chmod -R 777 /media/pendrive

spróbować pogrzebać i przywrócić potem na nowo prawa

[Nadril]

sprawdź czy na pendrive'ie nie jest przypadkiem jakiś przycisk tylko do odczytu wciśnięty, jeśli nie to:

Kod: Zaznacz cały

sudo mount -rw -t vfat <TWOJE_URZĄDZENIE> <KATALOG_DOCELOWY>

jeśli nie ma błędów to na przykład:

Kod: Zaznacz cały

ls -l <KATALOG_DOCELOWY> | head -3

i pochwal się wynikiem

[nithathak]

Przy okazji sprawdzenia twojej rady okazało się, że wszystkie pliki mają grupe root na read only przez co nie mogę modyfikować danych na penie. Może coś jest nie tak z samym montowaniem.


edit

fizycznie na penie nie mam takiego przycisku.

zamontowanie dało standardowe rezultaty

Opisywanego wcześniej autoruna niema ale pozostał inny nie usuwalny syf.

Kod: Zaznacz cały

-r-xr-xr-x 1 root root   114191 2009-10-23 19:24 b00ijwpu.exe
-rwxr-xr-x 1 root root  2058746 2009-10-11 14:44 Bez nazwy 1.psd

Kod: Zaznacz cały

-r-xr-xr-x 1 root root   114191 2009-10-23 19:24 b00ijwpu.exe
-rwxr-xr-x 1 root root  2058746 2009-10-11 14:44 Bez nazwy 1.psd
drwxr-xr-x 3 root root     4096 2009-10-20 00:40 div
-r-xr-xr-x 1 root root   115549 2009-10-25 13:56 eexyv.exe
drwxr-xr-x 2 root root    16384 2009-10-25 13:51 Fonts
drwxr-xr-x 7 root root     4096 2009-10-23 17:53 Kopia photo_gallery
drwxr-xr-x 6 root root     4096 2009-10-22 15:49 Kopia SCJP
drwxr-xr-x 3 root root     4096 2009-10-10 22:47 kopie - 1500
drwxr-xr-x 4 root root     4096 2009-10-25 13:52 KOwalczyk
-rwxr-xr-x 1 root root 12548942 2009-10-23 17:53 kowalczyk.psd
drwxr-xr-x 3 root root     4096 2009-10-10 23:03 restore
-rwxr-xr-x 1 root root    31349 2009-10-05 00:59 rezygacja.pdf
-rwxr-xr-x 1 root root    11268 2009-10-03 14:31 rezygnacja.odt
drwxr-xr-x 5 root root     4096 2009-10-22 12:40 scjp

/restore/S-1-5-21-1482476501-1644491937-682003330-1013/

Kod: Zaznacz cały

-rwxr-xr-x 1 root root     62 2009-10-25 13:56 Desktop.ini
-r-xr-xr-x 1 root root 122368 2008-10-01 11:10 lin32.exe

Zastanawia mnie data lin32.exe wydaje mi się mało prawdopodobne abym nosił go już ponad rok.
Czy jest możliwe zafałszowanie daty ostatniej modyfikacji?

[newJack]

1. viewtopic.php?t=95792 post #11
2. Skan przez ClamAV ?

[nithathak]

Metody z postu 11 nie przyniosły efektu ale podejrzewam że problem się zgadzał. Dzisiaj spiesząc się na pociąg nie odmontowałem pendriva.

Myślałem że uda się uniknąć formata ale cóż za nieroztropność trzeba płacić.
Po formacie pendrive działa poprawnie.