-
Junior Member
- Вес репутации
- 48
MBRLocker - не удается восстановить загрузчик Win7 после удаления вируса
Здравствуйте! Проблема следующая:
Нетбук Samsung NC-110 с лицензионной Win7 Starter x86 был заражен MBRLocker'ом Trojan-Ransom.Boot.Mbro.d. Вирус был успешно и без проблем удален при помощи утилиты Kaspersky Rescue Disk 10. Беда в том, что после этого никак не удается восстановить загрузчик системы. При запуске появляется сообщение об ошибке "Operating System not found".
Первым делом попытался восстановиться из заводского образа по F4 при запуске. Бук нажатие этой клавиши просто игнорирует (выдает то же собщение об ошибке). При этом скрытый рекавери-раздел на диске наблюдается. Насколько я помню, изменения в разметку диска никакие не вносились. Саппорт Самсунга посоветовал восстановиться с RecoveryCD, который шел в комплекте. Но во первых, я никак не могу его найти, во-вторых USB-DVD у меня под рукой тоже нет (хотя главная загвоздка именно в диске - его образ можно было бы закатать на флэшку).
Неоднократно пытался восстановить загрузчик штатными средствами Win7 (закидывал образы лицензионных Ultimate и Pro x86 версий на флэшку при помощи утилиты WinSetupFromUSB_1-0-beta7, в саппорте самсунга сказали, что загрузчик ОС на нетбуке стандартный). Консоль восстановления запустить удавалось, но команды "Bootrec.exe /FixMbr" и "Bootrec.exe /FixBoot" видимого результата не приносили. А команды
Код:
bcdedit /export F:\BCDcfg.bak
attrib -s -h -r
f:\boot\bcd
del f:\boot\bcd
bootrec /RebuildBcd
приводили к тому, что инсталлятор windows прекращал грузиться с флэшки, выдавая сообщение об ошибке:
Код:
Windows failed to start...
File: \windows\system32\winload.exe
Status:0xc000000e
Info: The selected entry could not be loaded because the application is missing or corrupt
(а если флэшку вытащить, то снова ошибка "Operating System not found").
Команда "bcdboot.exe e:\windows /v" завершалась с ошибкой:
"BFSVC: BcdOpenSystemStore failed with unexpected error code, Status = [c0000098]".
Я ничего не пойму... то ли консоль восстановления Ultimate версии несовместима со Starter'ом, то ли на использованных мной образах версии утилит слишком старые, то ли они просто глючат, то ли я делаю что-то не так.
Очень прошу помочь с восстановлением загрузчика!
Спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Rampager, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Junior Member
- Вес репутации
- 48
Сообщение от
Rampager
то ли они просто глючат, то ли я делаю что-то не так
Просто очень похоже по симптомам, что при восстановлении bcd происходят какие-то косяки с путями.
-
-
-
Junior Member
- Вес репутации
- 48
Скопировал программу на загрузочную флэшку с образом RAM WinXp LiveCD-USB Edition. Запустил на нетбуке, сделал лог согласно инструкции. Не уверен, что она создала нужный отчет, т.к. в нем фигурировал в основном диск X:\ (рам-диск Live системы).
Если этот отчет не содержит необходимых данных, пожалуйста, посоветуйте, каким Live-образом лучше воспользоваться или как настроить программу для проверки конкретных систем на нетбуке. Спасибо!
Последний раз редактировалось Rampager; 12.02.2013 в 13:59.
-
Rampager, Сделайте образ автозапуска uVS из под LiveCD! Если LiveCD уже есть, то просто начинайте с п.4!
-
-
Junior Member
- Вес репутации
- 48
Попытался сохранить отчет под другим LiveCD, утилите не удалось установить подписи. В результате - целый ворох файлов в отчете (объем ~47мб).
Скачать "WinPE с uVS" по указанной ссылке http://dl.dropbox.com/u/23461204/winpe_x86%26uvs.iso не удается, выдает:
Error (509)
This account's public links are generating too much traffic and have been temporarily disabled!
Отчет сейчас залью на файлообменник и выложу ссылку. Если он снова неподходящий, прошу Вас подсказать, где еще можно скачать штатный LiveCD образ.
-
Rampager,
Хорошо, тогда сделайте так:
1. На флешку сбросьте папку с uVS
2. Загрузитесь с вашего LiveCD
3. Запустите с флешки uVS
4. Выполните все, начиная с п.4 (http://virusinfo.info/showthread.php?t=121985)
-
-
Junior Member
- Вес репутации
- 48
Поправка: незаархивированный отчет получился объемом 3,2 Мб, но в сообщении утилиты uVS фигурировали объем 47 мб и ошибка загрузки подписей.
- - - Добавлено - - -
> 1. На флешку сбросьте папку с uVS
> 2. Загрузитесь с вашего LiveCD
> 3. Запустите с флешки uVS
Я именно так сейчас и сделал, систему выбрал. Через минуту залью отчет.
- - - Добавлено - - -
Вот он. Если с ним что-то снова не так, жду Ваших рекомендаций.
Спасибо!
- - - Добавлено - - -
Будут ли еще какие-нибудь рекомендации? Благодарю!
-
Junior Member
- Вес репутации
- 48
Сегодня все-таки нашел в интернете загрузочный образ с uVS:
http://rutracker.org/forum/viewtopic.php?t=3650177
Еще раз сделал образ автозапуска. На этот раз ошибок в процессе не возникло. На всякий случай выкладываю и его.
-
Выполните скрипт в uVS
Код:
;uVS v3.77.5 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
fixmbr MBR#0 [298,1GB]
fixvbr C: 6
отпишитесь, что с проблемой ?
Последний раз редактировалось regist; 13.02.2013 в 15:28.
-
-
Junior Member
- Вес репутации
- 48
Выполнить скрипт не удалось. Сообщение об ошибке: "Текст скрипта содержит ошибки, либо не содержт команд uVS, выполнение таких скриптов запрещено!"
Отдельно отмечу, что скачать LiveCD образ с uVS по ссылке, указанной на вашем ресурсе ( http://dl.dropbox.com/u/23461204/winpe_x86%26uvs.iso ) не удается. Ошибка:
Error (509)
This account's public links are generating too much traffic and have been temporarily disabled!
Я нашел другой образ с вшитым uVS, но там версия программы 3.77.2, а не v3.77.5, указанная в скрипте.
Пожалуйста, подскажите, где можно скачать образ с актуальной версией программы или каким образом изменить скрипт, чтобы он запустился на моей текущей версии. Спасибо!
-
Скачайте текстовый файл отсюда http://rghost.ru/43765228 и попробуйте выполнить скрипт из него (выполнить скрипт из файла).
Сообщение от
Rampager
но там версия программы 3.77.2, а не v3.77.5, указанная в скрипте.
у меня тестовая версия - поэтому такой номер, используйте для выполнения образ, который вы скачали с рутрекера.
Последний раз редактировалось regist; 13.02.2013 в 15:39.
-
-
Junior Member
- Вес репутации
- 48
Скрипт выполнил. В итоге все та же ошибка: "Operating system not found".
Сегодня мне удалось раздобыть штатный диск восстановления системы (который шел в комплекте с нетбуком). Как раз сейчас записываю образ на USB. Попробую переустановить систему, так будет быстрее и надежнее (бук уже срочно нужен). Если опять будут проблемы - отпишу здесь.
Всем большое спасибо за помощь!
- - - Добавлено - - -
Установить систему со штатного (идущего в комплекте с нетбуком) диска не удается!
Проблема вылезает на шаге выбора раздела. Установщик сообщает, что "Невозможно установить Windows на диск 0 раздел 2". Пробовал разные режимы SATA (AHCI/IDE Emulation) - без толку. Пробовал удалить все разделы (кроме Recovery) и создать заново - без толку!
"Установка Windows на данный диск невозможна. Возможно, оборудование данного компьютера не поддерживает загрузку с данного диска. Убедитесь, что контроллер данного диска включен в меню BIOS компьютера".
Ну не может же быть такого, чтобы драйверы контроллера ЖД не были встроены в дистриб установочного диска, поставляемого с нетбуком?..
Так в чем же может быть дело? Это вызвано порчей MBR, BIOS запорот зловредом или все-таки дистриб такой кривой?
- - - Добавлено - - -
Не помогла даже полная переразметка диска Partition Manager'ом (
-
Rampager, Попробуйте сбросить BIOS (батарейку вытащите на 5сек и заново вставьте)
-
-
Сообщение от
Rampager
Пробовал удалить все разделы (кроме Recovery) и создать заново - без толку!
Насколько я понимаю, раздел Recovery теперь уже не пригодится. Попробуйте и его тоже удалить.
I am not young enough to know everything...
-