» Windows заблокирован!

wsadneg
не, я эстет), доса-фаровские штуки нипринимайн.

bootice хороша, там можно отлить сразу помимо мбр, 255 секторов сверху.
DMDE (disk editor and data recovery) вообще не имеет ограничений на захват секторов
HDhacker, тоже может, но зажата в возможностях.

в том же uVS'е можно конкретные загрузчики забекапить, или наконец winhex'ом отрубить нужный шмат. это не вопрос.
меня интересует, что практически более безболезненно и не подвержено разным косякам, когда делаешь restore.
то, чем практически пользуются и могут сказать, что да, нармуль, все путем, рекомендую.

ребята..так что дальше ??? что делать ???

Sanek ru
Файл, который вы выложили называется lba_1_99.bin, а я просил lba_0_100.bin. Т.е. вы выложили файл без начального сектора винта (MBR).
Внимательно прочтите мой предыдущий пост.

сделано

Ссылка

Сегодня был удивлен, отсутствию системного раздела, после вчерашней жалобы на вирус блокиратор, но фотке блокиратора был обычный синий вымогатель 500р. при загрузке винды, не бутовый! Загрузился с флешки в акронисе удостоверился, что неразмеченная часть диска на месте С и диск D вполне себе исправный. Сразу запустил Testdisk который быстро обнаружил удаленный раздел и я его тут же восстановил. Перезагрузил. По привычке сразу обнаружил в автозагрузке файл ms.exe в папке профиля в автозагрузке ключ explorer, но в ключе пользовательском HKLU. Вполне стандартный блокиратор один из 90 % за последние две недели. Но факт удаления системного раздела обнаружил впервые, никогда не верил в том что написано на экране блокиратора внизу (Ваш системный раздел будет очищен через 12 часов.) Печально все это. Со слов хозяина компа появился при чтении станицы о шершнях (проверил по журналу Мозиллы да так и было запрос в яндексе, далее было ткнуто в первые две верхние ссылки, сам второй раз я уже не отважился)
PS: Детект на вирустотал: 11 из 42 на 11 часов утра 23 мая.
Могу выложить тушку на исследования любителям поковыряться в теле вируса.

IvANANvI
давайте

Sanek ru
МБР у вас в порядке (код стандартный от Win XP), единственно, в таблице разделов разбивка диска не стандартная. Т.е. начало раздела у вас начинается с 19 сектора (по-видимому, использовалась сторонняя программа для переразметки винта), вместо положенного 63. Но на появление фразы "Press any key to continue" это вряд ли влияет. В чем проблема? ХЗ-не сталкивался. Судя по последнему фильму, вы можете выходить по F8 в меню "Вариантов восстановления". т.е. там где фраза "Безопасный режим", стало-быть начальная загрузка с винта идет. Скорее всего, что-то навернулось в самой системе. Вот только что-не ведаю.

Цитата:

Скорее всего, что-то навернулось в самой системе

то есть в хр проблема ??может переустановить винду..???

еще мнения есть ??до переустановки ..

Sanek ru
я ужо честно говоря заё..опечалился повторять.
вы вставите установочный диск окн и попробуете наконец штатное восстановление системы, или нет?
ну, хватит мудрить. от простого к сложному нужно идти.
вон и тема под вас пляшет:
Проблема с загрузкой WinXP

Sanek ru
В любом случае, надо приводить разбивку винта в нормальное состояние. Т.е. сохранить нужные данные на сторонний носитель и удалить все разделы. После чего создать разделы по новой используя для этого только стандартные средства системы. Или при пере-установке системы, также все убиваем и создаем по новой.

Цитата:

только стандартные средства системы

то есть акроником нельзя ???

обидно, поймал локера пролечил а система рухнула..

Цитата:

то есть акроником нельзя ???

Почему нельзя ? Очень даже можно.

Цитата:

то есть акроником нельзя ???

Долго рассказывать... откройте тему Версия для печати и вбейте в поиск по странице АКРОНИС, потом ACRONIS. Обратите внимание на сообщения участников форума 9285 и Antech. Много нового узнаете.
Так же вот тут я наглядно рассказывал, что происходит с разделами, когда используются сторонние программы для пере-разметки винта.
У вас на данный момент (я выше уже говорил об этом) вообще раздел начинается с 19 сектора нулевой дорожки, что ни в какие ворота не лезет.
Можно забить конечно на это, но как показывает практика, восстановление разделов и данных в случае каких-либо осложнений, гораздо легче осуществить, если винт был разбит и отформатирован стандартными средствами. Ну, а выбор как всегда за вами.

sasherb Выкладываю. Пароль стандартный.
Ссылка

IvANANvI
Спасибо.

Sanek ru
Может я не заметил, а может здесь это не котируется, но не пробовал откатиться к точкам восстановления системы?

IvANANvI
Может удаление раздела это последствие чего либо другого? Та же система и без вирусов, но глючная может отдампиться в любое место (в том числе и в начальный сектор). А может и какой то ещё бутовый вирус, которому не хватило места в начальных байтах и он прихватил часть РТ?
Ковыряться во внутренностях не умею, но простой запуск зверька не приводит к столь деструктивным действиям (удаление раздела).
ИМХО, но вся эта вирусня сделана конструкторами, и те, кто ими пользуются (злобные макаки) не в состоянии сделать чуть больше чем позволяет сам конструктор. А тот, кто может сделать такое - имено уничтожение информации (причём реальное а не смещение таблицы раздело), наверняка не дурак и понимает что это более тяжёлое преступление, и последствия будут соотвествующие.
Вспомним тот же пенетратор - автора нашли очень быстро.

я тут UVScreenCamer'ой балуюсь)
http://rghost.ru/38274837
флешка сравнения вызовов обыкновенного mbr-lockera и ms.exe от IvANANvI'ff. вобщем, не утруждая просмотром, у обоих мания впереться в нулевой сектор винта. у ms.exe она есть, но не знаю насколько прямо она реализованна.

если есть что сказать по функциям и опровергнуть, говорите. я уже задолбся наощупь изучать. все сидят как сычи и никто развернутых примеров по IDA не делает, а другие умничают, где ноги поломаешь в их словесах.

кстати, он уже пробегал.
http://rghost.ru/38276843
пасс стандартный.
я его 3 апреля туточки видел, никто не пенял его сильно. обыкновенный локер.
только раздутый, upx, ну и телефончик другой)
оба работают через командную строку и в автозагрузку run* пишут рандомное название начиная с "S".
в MD палится как и положено.
вобщем, если допустить, что под оболочку локера добавили мбр, то да.
а на практике, он не срабатывает. локер и все. так как запускаю на системе, перезагружаться не даю. убиваю, смотрю, ничего с загрузочными разделами не делает, тупо лочит экран и пугает
Окна 7 x86

Цитата:

так как запускаю на системе, перезагружаться не даю.

Так как запускал на тестовой системе, то неоднократно перезагружал. И неоднократно контролировал содержимое MBR - никаких изменений.

Как уже писал ранее, я не знаком с IDA и ковырянием исходнков, но прекрасно знаю по другим вещам, что в теле встречаюся различные вещи (которые возможно и будут реализованы в дальнейшем). Но наверное важно не что есть в теле, или что оно напоминает, а то, что имеем в результате.

Цитата:

а на практике, он не срабатывает

да, не работает ms.exe
я ужо и перезагружался пару раз, так как мое прибитие клавишами win+tab+стрелочки и энтер не сработало, скрылось вобщем. наощуп не смог.
итог, как и сказали выше, не прокатило.
обычный локер со своим странным кодом.

тут пугают убийцами таблиц разделов, но что-то ни одну красавицу никто не принес. ну дайте же, дайте этого ассасина партион табле

folta
Я вот тоже всё надеюсь найти реального киллера таблиц.

Системный раздел пропал не сразу, а спустя некоторое время, совпадением назвать это сложно. Может часы попереводить в биосе и он отработает?

Цитата:

тут пугают убийцами таблиц разделов

Цитата:

Я вот тоже всё надеюсь найти реального киллера таблиц

Было же в теме... просмотрели?
http://rghost.ru/37880252 пасс 2012

Добавлено:
9285

Цитата:

Та же система и без вирусов, но глючная может отдампиться в любое место (в том числе и в начальный сектор).

Приведи пример, пожалуйста.

IvANANvI
запуск был, время тикает, так шо посмотрим
хотя наврядли что-то будет, тишина и спокойствие.
а 12 часов выдерживать локер и ждать что потом, не могу. техника, одна единица, а где мне сидеть?)
хотя если допустить, что ms.exe не заточен под седьмые окна, или ему надо определенные условия, то да, возможно. но это гадания на кофейной гуще.
так что, пока это просто винлокер, который не трогает первые сектора винта и кроме автозагрузки, никуда не лезет. даже не дублирует свое тело вкуда нибудь.
минимум действий(2: добавить в автозагрузку, залочить), поэтому изначально многими и не ловился.
пропажи разделов и раньше случались, в чем можно убедиться в теме по их восстановлению, но теперь все списывают на киллеров таблиц разделов.
говорят-говорят-говорят,но что-то ни одного пока не несут.
это не значит, что их и нет, просто скорее: „у страха глаза велики”
вобщем, ждем)

надо было популярно изучить всю прелюдию пропажи разделов, например RSIT, по дате, кто-чего-куда. а если бы скопировали первых секторов 100 и притянули, то тут бы точно если не нашли, так выявили подозреваемого.

Добавлено:
KLASS
да, спасибо)
я недавно в тему вывалился, сильно не листал.
пойду, потягаю. что-то он крупненький, наверное к чему нибудь присобачили ироды))

Добавлено:
http://rghost.ru/37880252
ввожу пасс: 2012

Цитата:

404

надеюсь что опять глюк ргхоста, обождем

Добавлено:
KILLer mbr.exe
сам код 46 строк, остальное форма делфи и два backup.bin, которые вызываются и вписываются, начиная с 0 сектора. еще есть 1.exe, но суть не понятна. вернее, не интересно.
но идея зачотная)
если бы было возможно зарядить своими бинами и пользовать, как именную восстановлялку, то в хозяйстве пригодилось бы.
вобщем замер. пророчу, скоро такую слепят. что-то вроде очередного конструктора, вкладываешь бины, компилишь в экзешник и вместо мороки со сторонними программами восстановления загрузочных секторов чх, вуаля! легким движкнием руки, превращается...нувыпонели))
дарю идею, разгребайте.

Цитата:

что-то вроде очередного конструктора, вкладываешь бины, компилишь в экзешник и вместо мороки со сторонними программами восстановления загрузочных секторов чх, вуаля!

Дешевле держать копии MBR всех винтов, минутное дело.
Да и говорилось уже здесь, таблицу восстановить без копии тоже не головная боль.

Добавлено:
Интересно другое, видел (слышал) ли кто тело, после запуска которого шифровалась бы не только МБР, но и бутсектор, $MFT
Вот тогда бы репу чесали...

Цитата:

Да и говорилось уже здесь, таблицу восстановить без копии тоже не головная
боль

ну не всякий идущий осилит)
товарищи с uVS справиться не могут, молчу уже про bootice. научатся конечно когда прижмет, но двухкнопочный конструктор, который нажатием первой кнопки, отработает сектора и выдаст экзешник с зашитыми бинами, который в случае чего надо будет просто запустить на системе и вуаля, мбры, иже с ними как и росло.
вобщем, опять мечтаю.

Цитата:

..встаньте в круг, возмитесь за поручни..

Цитата:

ну не всякий идущий осилит

Согласен... скажи бухгалтеру слово МБР и задержка по зарплате обеспечена

Цитата:

но двухкнопочный конструктор, который нажатием первой кнопки, отработает сектора и выдаст экзешник с зашитыми бинами

Зачем, все одно копии МБР делать надо ДО того как (бухгалтер, милый мой бухгалтер)...
так для этого уже все есть в избытке.

KLASS

Цитата:

Было же в теме... просмотрели?

Я здесь наверное второй раз за всё время.

Цитата:

Приведи пример, пожалуйста.

Если ещё попадётся свежачок, то постараюсь не забыть. А рыться в нескольких сотнях (и это не все что сохранено) кейсов нет желания.
Впрочем, на скорую руку нашёл. Дамп из приведённого случая.

9285
Вряд ли ересь в нулевом секторе, можно отнести к глюкам системы. Как минимум, для этого надо залезть в системный код. В любом случае тема выходит за рамки данного топа.

Приветствую аборигенов.

Цитата:

товарищи с uVS справиться не могут, молчу уже про bootice

Для таких надо напомнить про AntySMS Всё двумя щелчками делается и ни каких гексов...