Użytkownik "MrK" <SY06913@rejestracje.pl> napisał w wiadomości
news:Xns963ED08A9B5DDsy06913rejestracjepl@193.42.231.152...
> Michal Kawecki napisał(a):
>
> >A ja zapomniałem napisać, czemu właściwie poprzednio proponowałem
> >zapis standardowego kodu startowego w MBR albo jego wyzerowanie (po
> >uruchomieniu komputera z czystej, niezawirusowanej dyskietki). Po
> >pierwsze niczym Ci to już teraz nie grozi, bo dane o położeniu
> >partycji extended już znasz i możesz je ręcznie wklepać do tabeli
> >partycji. Po drugie - bo może masz wirusa....
>
> Napisze co dzis odkrylem - moze bedziesz wiedzial (Ty lub ktos
> inny) czy to wirus. W kazdym razie jest to dosc dziwne...
>
> Otoz sektor pierwszy JEST zapisywany, ale z przesunieciem o 14
> pozycji w prawo (?). Czyli jesli wpisze w edytorze w offsecie
> 0X00 np. AA i zapisze, to po ponownym zaladowaniu pierwszego
> sektora to AA z offsetu 0X00 znajdzie sie w offsecie 0X0E. Dzieje
> sie tak ZA KAZDYM RAZEM, zarowno przy edycji WinHEX'em jak i
> DskProbe. Czyli kiedy ja przez caly czas probowalem wpisac na
> koncu sygnature partycji (55AA), zaczynajac od offsetu 0X1FE, to
> po zapisaniu ladowala ona przesunieta o 14 pozycji w prawo, czyli
> w offsecie 0x20C w sektorze drugim (!). Na poczatku pierwszego
> sektora, na miejscu tych przesunietych - wstawiaja sie po prostu
> same zera. Zglupialem. Ponizej podaje link do screena z WinHEX'a.
> Widac, ze sygnatura zostala przesunieta do drugiego sektora.
> Dalej w drugim sektorze widac tez, ile razy probowalem ja zapisac :)
> - za kazdym razem zostala przesunieta o 14 pozycji...
>
> http://sx1.pl/mrk/winhex.gif
Wygląda to dokładnie na działanie wirusa.
> Pomyslalem wiec, ze wyzeruje MBR, recznie wpisze dane partycji +
> sygnature, ale z przesunieciem o 14 pozycji w lewo, czyli po
> zapisaniu, kiedy wszystko znowu przesunie sie o 14 pozycji w
> prawo - znajda sie one na wlasciwym miejscu. I tak sie stalo -
> Partition Magic po takiej operacji zobaczyl partycje jako
> unformatted (a nie unallocated, jak wczesniej), ale niestety
> nadal nie da sie jej sformatowac. Przy probie formatu (restartuje
> najpierw winde) wyswietla blad i znowu MBR zostaje przesuniety o
Słuchaj, ten wątek obrósł już w wiele postów, A MNIE JUŻ RĘCE
OPADAJĄ... Zauważ może, że w niemal każdym poście sugerowałem usilnie
_pracę_spod_DOS-a_, a nie spod Windows. Po prostu - uruchamiasz
zarażony system i wirus wraca. Przede wszystkim nie używaj PM spod
systemu, a wyłącznie z dyskietki. I to czystej - sporządzonej na
innym, niezarażonym komputerze, a dodatkowo włącz na niej protekcję
zapisu. Windows zaś wymaga gruntownego czyszczenia dobrym antywirusem,
ale znowu - nie spod tego systemu, tylko z dyskietek bądź z CD
utworzonego na niezarażonej maszynie, bo problem wróci.
> 14 pozycji w prawo i wracam do punktu wyjscia... Dodam jeszcze,
> ze kiedy PM pokazuje unformatted, BootIt nadal nie widzi partycji
BootIt działa z własnej dyskietki i dla niego tabela partycji nie
istnieje (nie ma jej w zerowym sektorze jak wiesz). PM zaś uruchamiasz
spod zarażonego systemu, więc wirus przemapowuje odwołania do tabeli
partycji kierując je do swojej własnej tabeli, najpewniej
zaszyfrowanej.
> i pokazuje opcje Create, podczas gdy w PM mozna kliknac na
> Format. Tyle ze co z tego, skoro sformatowac nie mozna... W
Prawdopodobnie wirus blokuje format, celowo.
> zasadzie dane uznalem juz za stracone... Te przesuniecia raczej
> tego nie ulatwiaja. Ale moze chociaz dysk uda sie uratowac? Jakies
> pomysly co to moze byc? Bo ja slysze o tym pierwszy raz w
> zyciu... Wirus? ;) Sorry za przydlugiego posta, ale chcialem
> opisac jak najdokladniej.
Dane IMVHO odzyskasz, jak tylko doprowadzisz do porządku tabelę
partycji i bootsektor partycji. Pomoże Ci w tym TestDisk. Można nim
odtworzyć bootsektor partycji z kopii zapasowej albo wygenerować go od
zera (co niekoniecznie może się udać) - w trakcie tego ostatniego
TestDisk sam wyszuka nowe położenie MFT.
> >P.S. Tak mi jeszcze do głowy przyszło, że o ile system widzi duże
> >dyski, to ten Partition Magic wcale niekoniecznie. Sprawdź, czy
> >producent gwarantuje obsługę 48-bitowego LBA przez ten program.
> Te 40% to przecież jakby właśnie okolica 128 GiB...
>
> Na stronie producenta pisze, ze obsluguje partycje do 300GB. Na
> temat 48-bit LBA nic nie znalazlem, ale z pierwszego chyba jakby
> wynika drugie...
Może i widzi, ale zapewne tylko spod Windows bądź wykonując skrypty w
trybie natywnym, ale po uruchomieniu go z dyskietki będzie widział
tylko tyle ile BIOS zobaczy. Masz więc kolejny problem - uaktualnienie
BIOS-u.
> Powiem jeszcze, ze rece mi juz opadaja... I dzieki za dotychczasowa
> pomoc!
>
> PS. Program diagnostyczny z maxtora nie wykryl zadnych usterek.
> Wszystkie testy PASSED.
Najpierw usuń wirusa z systemu. Zaś co do partycji - użyj "Undelete" w
BootIt, być może będzie ją w stanie odszukać i odtworzyć tabelę
partycji. A jeśli nie zależy Ci na danych, to po prostu wyzeruj nim
MBR i będziesz miał dysk jak nowy.
-- M. [MVP] "Use Google, stupid!" /odpowiadając zmień px na pl/Received on Wed Apr 20 23:40:13 2005
To archiwum zostało wygenerowane przez hypermail 2.1.8 : Wed 20 Apr 2005 - 23:42:04 MET DST
