Вирусы

[T_Vlad]

Вчера вирус сожрал компьютер. Почти сожрал, тоесть больше чем на половину.

Решил прогнать касперского (у меня 6.0). На диске С десяток крутых вирусов, которые не лечатся. Удалил. Дальше на втором логическом диске первого физического ещё 3 вируса. Тоже удалил. Уже заканчивалась проверка первого физического диска, когда комп пошёл на перезагрузку. Запуск не прошёл повреждены загрузочные файлы.
Зашёл под второй операционкой. Она у меня на первом логическом второго физического. Диск С в нуле. Ругается что не отформатирован. В свойствах - "0" байт. В диспетчере дисков (панель управления) диск виден полным объёмом, как исправный системный, но без файловой системы.
Пробую восстановление через консоль. Загрузчик видит только вторую операционку.
Теперь вопрос:- откуда в загрузке системы виден выбор операционок? Я названия сам писал в бутини. Они явно берутся оттуда. Как то загрузчик этот файл находит. Чем можно посмотреть осталось на диске что то или нет? Всё нужное у меня в архивах. Не страшно, но хотелось бы попробовать разобраться.

[Marrenoloth]

PartedMagic иногда помогает и вообще его приятно иметь на флешке на всякие "мало ли что".
Что видится - зависит от того, как ставились операционки, в каком порядке и что конкретно за ОС.

[T_Vlad]

Партишен меджик видит собственно наличие информации. Отдельные файлы им не посмотреть. Скинул на диск дистрибутив. Вечером попробую. Он вообще то сохраняет информацию.
Акронис тоже видит пустой диск.
Операционки (обе) ХР. Ставилась сначала на диск "С" (первый логический первого физического), а потом на "Е" (первый логический второго физического).
Тоесть сейчас захожу операционкой на диске "Е". В диспетчере дисков диск "С" отмечен как "системный", а этот признак пишется в загрузочную область. Тем не менее файловая система не видна.

В отношении переноса темы сюда. Модераторам конечно виднее, но в системах периодически приходится бороться с вирусами. Последний раз проверяли системы в пятницу, а в четверг переустанавливал образы на инженерной станции.

[Jackson]

Теперь вопрос:- откуда в загрузке системы виден выбор операционок? Я названия сам писал в бутини. Они явно берутся оттуда. Как то загрузчик этот файл находит. Чем можно посмотреть

Дык, значит MBR (Master Boot Record) на диске жива и цела, в ней как раз и содержится ссылка boot loader, а уже в последнем хранится список операционок и ссылки на их конкретные обработчики команд. Любимое дело для вируса - прописаться в boot loader или в MBR, правда это какой-то старый вирус, сейчас таким уже не балуются - виндовс проще сломать её же штатными средствами :)

"Чем посмотреть" - а смысл? Я бы прибил на винчестере все разделы и заново создал бы их - так будет убита и заново создана Partition Table и выделены новые места для MBR. Затем при установке новой ОС будет установлен новый boot loader. И всё будет чисто. Ибо такие вирусы обычно пишут себя куда только можно (в PT, в MBR, в таблицы FAT), и на другие физические диски в том числе.

[Marrenoloth]

откуда в загрузке системы виден выбор операционок?

Ибо диск Е остался - все в нем.

В PartedMagic'е (http://partedmagic.com/ это НЕ Пиртишен Меджик!) есть утилиты для восстановления, но не факт, что помогут. И отдельные файлы очень даже видит. Но не все просмотреть можно.

[T_Vlad]

Я бы прибил на винчестере все разделы и заново создал бы их - так будет убита и заново создана Partition Table и выделены новые места для MBR. Затем при установке новой ОС будет установлен новый boot loader. И всё будет чисто. Ибо такие вирусы обычно пишут себя куда только можно (в PT, в MBR, в таблицы FAT), и на другие физические диски в том числе.

От всех бед один резет! Формат "С" рулит.
Это конечно решение, но как быть с архивами? Не всё можно убить.
План конечно уже есть. Действительно отформатирую "С". Установлю операционку, все программы и сделаю образ, но к архивам то придётся обращаться.
Может сначала ещё раз прогнать касперского из под другой операционки, а потом переустанавливаться?

[T_Vlad]

откуда в загрузке системы виден выбор операционок?

Ибо диск Е остался - все в нем.

На диске "Е" нет загрузочных файлов.

[Marrenoloth]

Ставилась сначала на диск "С" (первый логический первого физического), а потом на "Е" (первый логический второго физического).
Тоесть сейчас захожу операционкой на диске "Е".

Как на Е не может быть бут-файлов, если там стоит винда? И т.к. она ставилась второй, то бур-рекорд должно ссылаться именно на нее.

Это конечно решение, но как быть с архивами? Не всё можно убить.

Еще раз: Качаете ParetegMagic, пишете на болванку или делаете загрузочную флешку, грузитесь с нее и сохраняете то, что надо на другие диски или ни USB носители. Потом им же можно и форматнуть так, что не останется ничего и хрен какой вирус останется.

[VADR]

Есть софтинка у runtime.org GetDataBack for NTFS. По описанию на сайте: Recover your files from an NTFS drive when the data is no longer accessible due to formatting, fdisk, virus attack, power or software failure.. Софтинка небесплатная.

[T_Vlad]

Как на Е не может быть бут-файлов, если там стоит винда? И т.к. она ставилась второй, то бур-рекорд должно ссылаться именно на нее.

Она прописывается в бутовские файлы диска "С".

Еще раз: Качаете ParetegMagic, пишете на болванку или делаете загрузочную флешку, грузитесь с нее и сохраняете то, что надо на другие диски или ни USB носители. Потом им же можно и форматнуть так, что не останется ничего и хрен какой вирус останется.

Тоесть собственно нарушенная файловая система не важна?
Я запускал загрузку с диска ХР. Загрузчик нашёл только одну операционку. Диск "С" тоже показал не отформатированным. Тем не менее советом воспользуюсь. Это домашний комп. Ни кто меня не гонит. Хочется разобраться для собственного развития. В ноябре был на очередном обучении в Софт Джойсе (в Питере) тем не мение "Нет лучшей теории чем хорошая практика".

[T_Vlad]

Есть софтинка у runtime.org GetDataBack for NTFS.

Здесь триаловская версия.

[Marrenoloth]

Еще раз: Если Вы ставили на диск С винду, потом на диск Е винду и дописывали на диске С вторую операционку, то это не значит, что бут-файлы на диске Е от этого куда-то делись.
Нарушенная файловая система важна, но, если сбилась только начальная разметка, то много файлов еще можно восстановить. А т.к PartedMagic на линухе сделан - есть шанс, что он нормально диск воспримет и с него все можно будет забрать.

[T_Vlad]

Еще раз: Если Вы ставили на диск С винду, потом на диск Е винду и дописывали на диске С вторую операционку, то это не значит, что бут-файлы на диске Е от этого куда-то делись.

Вообще то всегда пользуюсь несколькими операционками. Доходило до 4х. Для TPDS нужна была даже 98. Изначально в системе стояли NT, 2000, XP. Вот и ставил на ноут всё. Все новые операционки автоматически прописывались в бутовский файл диска "С". Позже только менял имена чтобы легче было ориентироваться при запуске.
Ставил на разные диски. Ни когда не видел бутовских файлов где то кроме "С".

[Marrenoloth]

Тогда это чудо!

[Jackson]

Как на Е не может быть бут-файлов, если там стоит винда? И т.к. она ставилась второй, то бур-рекорд должно ссылаться именно на нее.

MBR есть на каждом физическом диске - это только ссылка на bootloader, а не он сам. Кроме того, у MBR есть резервная копия. BootLoader может храниться где угодно и ОС может поставить собственный bootloader в тот же раздел, в который устанавливается сама, а может и в первый основной раздел (то есть в С), а может найти ранее существовавший bootloader и поставить собственный вместо него или рядом с ним с заменой ссылки в MBR - зависит от операционки и от того как именно ставилась. Так что в том что разделы убиты но bootloader жив нет ничего удивительного.
Другое дело, что явно какой-то бардак был с расположением разных ОС на разных разделах, и коль уж оно всё грохнулось - есть смысл унести куда-нибудь данные (проверив и поубивав в них вирусы) и заново поставить нужные ОС упорядоченно.
Для разных операционок лучше выделять физически разные диски.

[Marrenoloth]

Один хрен, если ставить 2 одинаковых винды, то вторая своим лоадером все перекроет, при этом в первой винде он останется, но вторую винду не увидит и будет валяться в "пассивном" режиме. Бардак и разруха! Вся власть пингвинам!!!!!

[T_Vlad]

Для разных операционок лучше выделять физически разные диски.

Выше у меня написано, что операционки на разных физических.
Опрерационки всегда ставил с фирменных лицензионных дисков.
Вторая операционка (и последующие) всегда дописывали себя в бутовский файл диска "С". Ни когда не сталкивался с запросом об иной организации. В загрузчике создавал новый раздел (иногда с форматированием). После установки действительно ни когда не видел других загрузочных файлов, кроме диска "С". На этом компе тоже 2 системы. Вторая на диске "Е". Ну нет там системных файлов.
Поначалу попадался с форматированием диска "С", а потом пытался найти вторую операционку...
Сейчас всегда пользуюсь двумя одинаковыми операционками именно для того чтобы вытащить что то нужное если одна накрылась. Просто за 9 лет ещё ни разу не сталкивался с тем чтобы не увидеть файлы из другой операционки в формате NTFS.

[Jackson]

Один хрен, если ставить 2 одинаковых винды, то вторая своим лоадером все перекроет

Ничего подобного. Даже если ОС лежат на одном физическом диске но в разных разделах - в bootloader'е будет два соответствующих пункта. Полный швах будет если две ОС в один и тот же раздел попытаться поставить - но это означает бардак не в компьютере, а в голове. А так - две ОС на разных разделах одного винта прекрасно могут ужиться, но лучше так всё-таки не делать.

[Jackson]

Сейчас всегда пользуюсь двумя одинаковыми операционками именно для того чтобы вытащить что то нужное если одна накрылась.

Может поступить проще? После установки ОС просто сделать образ диска (и делать это периодически), тогда если умирает ОС - просто достаётся самый свежий образ диска и всё.
Хотя, убить ОС при работе - довольно сложная задача, ИМХО.

[VADR]

Есть софтинка у runtime.org GetDataBack for NTFS.

Здесь триаловская версия.

Это официальный сайт. Триалку можно скачать и попробовать. Рабочую версию можно купить.

ЗЫ: лично я в подобной ситуации находил взломанные версии, но где - не скажу :) (ибо правила форума)

[T_Vlad]

Полный швах будет если две ОС в один и тот же раздел попытаться поставить - но это означает бардак не в компьютере, а в голове.

Тоже работает если имя папки разное. Просто пробовал для интереса. Долго так не работал поэтому с конфликтами не сталкивался.
В отношении разных физических дисков не всегда реально. В частности у меня одна из инженерных станций - ноутбук.

В отношении образа.
Так всё и делается. Имеются образы всех рабочих станций. Периодически обновляются. Хранятся на переносных USB дисках. Это давно не самодеятельность, а концепция отдела.
Просто на домашнем компе долго собирался, да так и не собрался. Здесь вопрос именно по этой ситуации такой какая есть. Говорю же - не проблема. Хочется разобраться для собственного развития. Посмотреть всё, что можно там посмотреть.

[Pashkevich]

Мне в похожей ситуации очень помог Partition Find and Mount. Восстанавливает потеряный раздел "виртуально". Восстановленный раздел не сохраняется, но с него можно переписать в другой раздел сохранившиеся данные.

[T_Vlad]

Вобщем не стал я заморачиваться. Пришёл вчера домой и стал переустанавливаться. Но и тут оказалось не всё просто. Загрузчик не форматирует раздел. Повторно удалил (раздел) создал новый, форматирование доходит до 3% и зависает. Пришлось отформатировать раздел акронисом, потом ещё раз быстрое форматирование загрузчиком и только после этого пошла установка.

[Marrenoloth]

Таки с LiveCD с PartedMagic'ом не грузились? Интересно, что бы он показал, а то было пару раз, что он помогал хоть данные сохранить...

[T_Vlad]

Таки с LiveCD с PartedMagic'ом не грузились? Интересно, что бы он показал, а то было пару раз, что он помогал хоть данные сохранить...

Спасибо за совет. Я программы скачал себе в архив.
Вчера закрутился и уже не было желания тратить время. Важною информацию всегда дублирую в архиве. Просто жена уже требовала срочно восстановить ей инет.

У меня однажды был случай (может кому пригодится) с порчей областей разметки на дисках.
Компьютер был слабенький. Запустил разметку партишен меджиком. Очень медленно не хватило терпения. Взял и перезапустил компьютер. После этого партишен видит весь диск но после форматирования делает только 2 гига. Сделал парагоном клон аналогичного диска и только после этого смог отформатировать.