Поймал вирус?

[Иван123]

Вчера произошёл интересный инцидент. Скачивал очередную ОС с торрента и вдруг прямо на папке Загрузки в боковой панели Nemo появился красный треугольник с восклицательным знаком. В первый раз увидел такое чудо. Папка перестала открываться и все файлы, что в ней были, включая скачиваемый, пропали. Торрент прерывать не стал, так как он куда-то скачивался, хотя количество файлов в загрузках в менеджере файлов показывало 0, запустил testdisk и попробовал восстановить файлы, но testdisk их не нашёл. В testdisk папка Загрузки также имела размер 0, числилась удалённой - была выделена красным цветом - в ней ни одного файла. После перезагрузки значок треугольника с восклицательным знакоми исчез, и доступ к папке восстановился, но все файлы из неё исчезли с диска.
Правильно ли я понимаю, что это был вирус? Попав в папку, он заблокировал доступ к ней и затёр без возможности восстановления все файлы в ней, но дальше этой папки проникнуть не смог из-за отсутствия прав.

[slant]

Правильно ли я понимаю, что это был вирус? Попав в папку, он заблокировал доступ к ней и затёр без возможности восстановления все файлы в ней, но дальше этой папки проникнуть не смог из-за отсутствия прав.

Нет, неправильно.
Скорее всего с самим диском проблемы, хотя причин может быть много. Но на вирус оно не похоже вообще.

[Иван123]

Проверял chkrootkit и rkhunter чисто, aide показала всё цело, ничего лишнего. Диск и ОС без проблем 100%. Во время закачки ничего открыто не было, кроме Transmission. Убеждён, что-то все же с торрента прилетело. Астру СЕ 2.12.43 качал https://ivbt.net/viewtopic.php?t=250924
И что это за значок такой в LM _ красный восклицательный знак в красном треугольнике?

[slant]

Убеждён, что-то сторрента прилетело.

Ну убеждайтесь дальше тогда. Но зачем мнения опытных людей спрашивать в таком случае?

Описанное вами выше - невозможно в принципе на линукс системе если подозревать вирус как источник. Ничего приходящее через торрент или даже веб броузер само запустится не может по определению. Это не винда. Чтобы запустить что-то, надо для начала этому чему-то права на выполнение дать. А броузер (т.е. никакие скрипты исполняемые в нем) этого сделать не может, у него просто нету в API такой функции, для такого обращения к FS. И тем более торрент клиент, который контент получаемый через него вообще никак не обрабатывает - просто пишет в файл(ы) на диск "как есть".

[slant]

И что это за значок такой в LM _ красный восклицательный знак в красном треугольнике?

Если это то, что я подозреваю - здесь оно обозначало "потеря доступа к носителю данных". Т.е. внезапно вывалился диск или раздел из доступа. Но вообще - иконка то универсальная. С дорожного знака "прочие опасности" списанная, и применяется соответственно.

[Иван123]

Но зачем мнения опытных людей спрашивать в таком случае?

Обидеть вас не хотел и именно ваше мнение ценю. Спрашиваю потому, что голова хорошо, а несколько лучше)) В первый раз видел на названии папки такой значок. Мнение всегда должно опираться на факты, а убеждение - последовательность фактов. Пока ещё сопоставляю факты и делаю выводы. Значит, знак это известный. Ладно. Остался вопрос, куда же все файлы из папки подевались, да так, что testdisk их не находит?

[rogoznik]

Остался вопрос, куда же все файлы из папки подевались, да так, что testdisk их не находит?

А что бы ответить на этот вопрос - придется тебе заняться самообразованием. А именно изучить мат.часть и узнать что такое ФС, как в ней хранятся данные, и как эти данные удаляются, а еще узнать как хранится информация о данных в ФС, и что произойдет с данным, если будет повреждена информация о том как эти данные хранятся.

[slant]

Обидеть вас не хотел и именно ваше мнение ценю.

Дело не в обиде. Просто выглядит глупо. Зачем спрашивать, если уже "уверен"?

Остался вопрос, куда же все файлы из папки подевались, да так, что testdisk их не находит?

rogoznik, ответил так, как было возможно с подобной формулировкой вопроса. Ибо звучит оно "у меня сегодня утром машина не завелась, не знаете почему?" - гадать можно долго. Я лишь добавлю, что искать удаленные файлы в каталоге где работает torrent - это надо быть ну очень большим оптимистом. Там и на всем разделе в других каталогах что-то удаленное найти шансов не много будет, если мгновенно питание не вырубить сразу после. А если диск SSD - то вообще этим заниматься смысла нет никакого в принципе.

[madesta]

так как он куда-то скачивался...
...папка Загрузки также имела размер 0, числилась удалённой - была выделена красным цветом

Если в торрент-клиенте специально не настраивалось иное местоположение незавершённых загрузок, то должно было скачиваться в папку Загрузки. Однако, по вашим словам, папка числилась удалённой, поэтому скачивалось в "никуда". В боковой панели красный значок был, так как значки на боковой панели, по большому счёту, ссылки на папки. А поскольку ссылка указывала на несуществующий объект, то система её и покрасила. Если не чистили Корзину, то, м.б. в ней стоило посмотреть наличие папки Загрузки, если, конечно, не было произведено удаление мимо Корзины?

После перезагрузки значок треугольника с восклицательным знаком исчез, и доступ к папке восстановился ...

Не факт. Система при сеансе загрузки профиля пользователя могла сама воссоздать эту папку, так как она "почти системная", только для пользователя. А так как она была воссоздана, то это как новый объект, соответственно с нулевым содержанием. Не знаю как в Cinnamon, а в xfce такие папки перечислены в файле ~/.config/user-dirs.dirs Предположил бы, что SMART каким-то образом нашла битые блоки и как-то перестроила структуру файловой системы. Откровенно признаться, такого не встречал, но всякое может быть.

Не по теме

А на вопрос причины, то тут только ваши действия поминутно и посекундно вспоминать. Как курьёзный пример, мой знакомый товарищ заснул над ноутбуком и так то ли носом, то ли локтями развлёкся, что потом возмущался: "ничего же не делал, а тут такое ..."

[slant]

Предположил бы, что SMART каким-то образом нашла битые блоки и как-то перестроила структуру файловой системы. Откровенно признаться, такого не встречал, но всякое может быть.

SMART в частности, и прошивка диска в целом, не имеет ни малейшего понятия о файловой системе. Она работает на более низком уровне - с секторами/блоками. Если бы там выпал блок с метаданными о каталоге - так просто диск бы не отделался. Разве что btrfs на hdd - там на разделе обычно две копии метаданных в разных местах. Но там бы и пропажи содержимого каталога не было бы.