Показано с 1 по 3 из 3.

На опознание гуру (заявка № 15583)

  1. #1
    Junior Member Репутация
    Регистрация
    23.12.2007
    Сообщений
    2
    Вес репутации
    60

    На опознание гуру

    Здравствуйте долго, уважаемые.
    Друг подкинул два винта из своего компа с диагнозом "Не грузится".
    На бутовом винте MBR цел, в секторе 32 (абс) нечто (пока не разбирался) длиной 508 байт,
    в секторе 62 (абс)
    0x00c0: 67 68 44 44 4b bc ca 42 00 00 00 00 32 6c 75 61 6e 00
    0x0109: 32 байта ASCIZ - 12 пробелов, серийник и модель винта

    в секторе 63 (абс) (BR активного раздела)
    0x0180: 71 03 31 0e 00 10 00 00 78 01 17 00 78 01 17 00

    остальное в 62 и 63 секторах забито 0x00.

    MFT активного раздела перепахан. Сначала решил, что после каждых 8 байт вставлен 0x00 (было видно на текстовых строках), потом заметил, что вставляются любые байты с произвольным смещением от места предыдущей вставки - системы не обнаружил. Реинкарнация onehalf'а на NT-обрАзных с поддержкой NTFS?
    Два других раздела (один на primary, другой на extended) на этом винте видны полностью, никакой заразы на них AVZ не обнаружил (проверял на своем компе, с которого и пишу).

    На втором винте MBR переписан непонятным мне образом, таблицу разделов не разобрать, у хозяина весьма смутные воспоминания о размере разделов (о типе - никаких), искать их на 500 ГБ винте врукопашную не стал. Прямо сейчас посмотреть на этот винт не могу - на моей мамке 2 SATA-шных интерфейса, могу подключить только один чужой SATA винт.

    Информация от AVZ или HiJackThis вряд ли чем-то сможет помочь, т.к. мои оси чисты и непорочны, и на доступных разделах одного из проблемных винтов никаких подсказок не нашлось.

    Подскажите, плз, если кто сталкивался, чем с этим бороться? Хозяин уже ищет предмет, из которого можно застрелиться - недавно купил 500 ГБ винт и перекинул на него всю свою хоббю (историей города и всего Северо-Запада интересуется).

    Добавлено через 1 час 15 минут

    UPD: с сектором 62 абс (63 rel) протормозил - это от Винды.
    Последний раз редактировалось avos; 23.12.2007 в 21:39. Причина: Добавлено

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    959
    -ни че не понял... все как-то сумбурно описано... где про MFA, а где про MFT и об MBR?.. и вообще, кто эти секторы таким образом(побайтно) читает
    -для восстановления главной загрузочной записи можно воспользоваться fixmbr или fdisk /mbr ...в зависимости от имеющихся инструментов, что касается файловых таблиц MFA и MFT, то тут не все так однозначно, т.е. они могут быть и не битые вовсе, а просто поврежден файл регистрации

    P.S. кроме того, Вы не в то раздел пишите... тут с вирями бороться пытаются, а не с железом

    Добавлено через 7 минут

    -вспомнил...
    убитые разделы умеет восстанавливать RecoveryExpert, причем практически в автоматическом режиме, т.е. не спрашивая ни о размере разделов ни о их типе, это бывает весьма кстати, особенно если "у хозяина весьма смутные воспоминания"
    Последний раз редактировалось Alex Plutoff; 23.12.2007 в 23:37. Причина: Добавлено
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  4. #3
    Junior Member Репутация
    Регистрация
    23.12.2007
    Сообщений
    2
    Вес репутации
    60
    Извините за сумбур - действительно, сложно представить это безобразие, не имея его перед глазами (правда, сейчас у меня его перед глазами тоже нет - отключил, ибо шумно). Попробую более иначе.
    Винт 500 ГБ - в таблице разделов каша, разбираться особо не стал.
    Винт 160 ГБ: два раздела primary (30 ГБ и 80 ГБ), остальное - extended с еще одном разделом (~40 ГБ). Все разделы в NTFS. С разделами 80 и 40 ГБ абсолютно никаких проблем. На разделе 30 ГБ стояла WinXP, но в секторе загрузчика вместо обычных
    0x0000: jmps $+52
    nop
    db "NTFS ", 0x0
    и т.д.
    видим только
    0x0180: 71 03 31 0e 00 10 00 00 78 01 17 00 78 01 17 00
    остальное 0x0.

    Предложенные Вами способы восстановления MBR мне известны.
    Что касается файловых таблиц, то т.к. я собирал и себе, и другу совершенно одинаковые компы, и ось была просто клонирована (создавался только первый 30 ГБ раздел), так что я могу просто сравнить начало MFT по секторам.

    Поверьте на слово - это не железные проблемы, с ними я разобрался бы самостоятельно.

    По-видимому, придется раскрутить загрузчик из 32 сектора. Т.к. от программизма под интелевые процы я отошел достаточно давно, у меня это займет несколько больше времени, чем хотелось бы. Надеялся, что по симптомам кому-нибудь удастся определить заразу и способ борьбы с ней.

  • Уважаемый(ая) avos, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01307 seconds with 19 queries