» RollBack RX / EAZ-FIX и Drive Cloner Rx

emil9
Надо сделать дамп MBR с помощью DMDE и выложить сюда. Его вручную поправить можно, там в шапке все есть. Надеюсь, повезет.))

2 дня назад сканер Emsisoft нашел Heuristic.Possible.MBR.Rootkit (A). Вчера пересканировал комп сканерами: CCE (Comodo), Cureit, MBAM, Kaspersky, TDSS kileer, портативным Nod32 плюс антивирус Norton 360 ( просканировал с репутацией и без нее )- и нечего не нашел. Подозреваю что ложное срабатывание на загрузчик Rollback 9.1, но не знаю как проверить.
Можно ли как то скопировать MBR , чтобы передать его на анализ.
Если кто- нибудь просканирует систему с Rollback сканером Emsisoft Emergency Kit http://www.emsisoft.ru/ru/software/eek/ буду очень признателен.

allex9999
Ответ от Emsisoft:
If Rollback RX modifies the MBR, like many utilities of this type, then this is very likely a False Positive.

Спасибо за ответ! А не можете подсказать как в системе с Rollback скопировать MBR для анализа

allex9999
Можно так.

В общем ничего не помогло. Сделал по инструкции gavana, посекторно снял образ и парагоном и стореджкрафтом, восстановил мбр, установил роллбек , сохранил мбр, потом вернул все из бекапа далее восстаноновил мбр роллбековский. В случае с стореджкрафтом система завелась и даже роллбековская консоль при загрузке появилась, но после консоли черный экран и мигающая палочка вверху и все. Зашел кнопкой хоум в консоль , на всякий глянул в снепшоты , там только свежие.В случае с парагоном система вообще не завелась после бекапа и наката мбр , так же показала миссинг бутмгр. Также тупо поставить на другой машине роллбек и его мбр-ом переписать свою машину чисто логически было бредом, так как партиции разные , но я попытался и так же безуспешно. Вобщем для меня вопрос с использованием программы решен, лучше ее вообще не ставить . Не представляю что должно было случиться чтобы вот так вот в моем случае я потерял большинство данных, ни один вирус да и бед блок так не напакостят , программа чисто для тестеров с отдельной машиной и без важных данных в иных случаях бекап по расписанию например утилитой viceversa более предпочтительней.
Кстати может уважаемый gavana подскажет если я сейчас сделаю после стольких манипуляций снова посекторный возврат до первоначального крашнутого состояния чисто теоретически это предпочтительней для программ восстановления данных? И еще если создать рекавери диск рстудио на другом компе он подхватиться на другом или там привяззка к машине идет?

emil9

Цитата:

Зашел кнопкой хоум в консоль , на всякий глянул в снепшоты , там только свежие.

Так а что мешает откатиться на любой снимок, загрузится и проверить целостность нужных данных? Или это свежие от второй установки роллбека?

Цитата:

теоретически это предпочтительней для программ восстановления данных?

Совершенно одинаково.

Цитата:

он подхватиться на другом или там привяззка к машине идет?

На другой диск в пределах одного компьютера переносится успешно, на другой компьютер не пойдет.

И все-таки лучше попробовать правку mbr в профильной теме.

gavana
Свежие от повторной установки, да. По поводу правки скину туда в темку, авось и получится. Спасибо gavana. Насчет что лучше или хуже даже не знаю.. Просто без роллбека уже 40 лет никому и ничему не удавалость так меня уделать)) причем без варианта восстановления

emil9
Я считаю, что стоит переговорить с Димой,автором DMDE.
И сбросьте мне в пм обе копии мбр, посмотрю на досуге.
С одной стороны, сложно решать, когда разработчики отказали. С другой стороны, я логически понимаю, что все данные на диске, диск сам целый и поврежден только мбр. А это значит, что хотя бы только важные данные вытащить реально, только вот какой ценой. В крайнем случае, в любом приличном сервисе нужные файлы соберут по частям.

gavana
спасибо большое, сейчас буду делать по инструкции в теме восстановления и дам линк , насчет данных мне тоже кажется что все на месте, когда проверяю программами восстановления, тем же дмде , всплывают папки и даже часть файлов удается восстановить. обе копии мбр в смысле поврежденной машины до восстановления загрузки и той что после установки роллбек на той же машине после восстановления загрузки?

emil9

Цитата:

обе копии мбр в смысле поврежденной машины до восстановления загрузки и той что после установки роллбек на той же машине после восстановления загрузки?

Да, гляну пока эти. А лучше три версии- 1.поврежденный, 2.восстановленный чистый и 3.после установки роллбек.

В теме восстановления есть хорошие спецы.
А с автором DMDE тоже пообщаться стоит. Меня DMDE уже несколько раз серьезно выручал, теперь рстудио и другие только на подхвате.

gavana
да , DMDE хорошая программа , я ею тоже восстанавливал и себе и знакомым, даже лицензия есть, для такой программы не жалко, щас поставил поиск ntfs, вроде рекомендуется при форматировании и серьезных проблемах, а автора как-то неудобно беспокоить.

Народ, помогите. У знакомых комп вис до загрузки винды. Они сделали fixboot/fixmbr и теперь вся система, оба раздела с данными, находятся в состоянии на 2 года назад и самой RollbackRx нет. Установленная по новой программа бекапов не видит. Что делать?

adobryn

Цитата:

У знакомых комп вис до загрузки винды.

1. Диск мог быть забит снимками роллбека. Надо было войти в консоль восстановления по клавише "Home" и удалить пару снимков.
2. Протестировать железо.

Цитата:

оба раздела с данными, находятся в состоянии на 2 года назад и самой RollbackRx нет.

Я в каждую сборку ROllBack RX кладу специально написанную инструкцию по установке, в которой есть четкие рекомендации:
1. Ставить под защиту только системный раздел и 2. Переносить данные пользователя на другой раздел.
Да, конечно же, это всего лишь рекомендации, но они рождены опытом и позволяют избегать таких ситуаций.

Цитата:

Установленная по новой программа бекапов не видит. Что делать?

Теперь уже ничего.

Какая замечательная деструктивная программа И зачем, спрашивается, держать в mbr-е свою информацию без возможности восстановления - это же хрупкая штука, любой boot-вирус, и всё! А так - интересно, почему это в baseline в папке программы был только unistaller, а при установке по новой программа даже не обнаружила остатков себя и установилась начисто. Совершенно никакой логики. По идее, если уж оно удалилось, то не должны быть доступны старые снепшоты, а тут наоборот.

Добавлено:

Цитата:

Я в каждую сборку ROllBack RX кладу специально написанную инструкцию по установке, в которой есть четкие рекомендации:
1. Ставить под защиту только системный раздел и 2. Переносить данные пользователя на другой раздел.
Да, конечно же, это всего лишь рекомендации, но они рождены опытом и позволяют избегать таких ситуаций.

теперь я это знаю, но работа программы вообще никакой логике не поддаётся, и если с ней не сталкиваться до этого, то вообще никто бы не догадался, что это в ней дело. Зачем хранить себя в mbr'е и даже после установки не сделать зеркала mbr'a? Почему нельзя было вообще вывести сообщение перед загрузкой винды, что это rollback rx пытается что-то сделать? Почему вообще rollback rx не мог определить, что места нет? Неужели так сложно? Зачем все эти извращения с файловой системой? Mbr слетел - всё, капец вашим данным, вот их девиз, по-видимому.

adobryn
вот еще один товарищ по несчастью, я тоже теперь локти кусаю что не сохранил с лив сд парагоновского мбр, можно было восстановить все. со своей стороны посоветую с компом больше ничего не делать, записать все посекторно на внешний носитель весь образ системы снятый посекторно и видимо спецам по восстановлению нести комп. вчера звонил в одну контору с проф оборудованием по снятию инфы, цена 5-6 тыщ , это в Москве . говорят судя по описанию проблема решаема.

emil9,
ага, ничего не делаем. Послала товарища пока что скопировать остатки данных с Д, будем потом мучить винт. Ведьданные где-то там, вот только как их откопать - пока не знаю, надеюсь, там хотя бы нет шифрования. Читаю форум их местный, встречала упоминание некоего snapshot scavenger cd, типа оттуда можно снепшоты поискать, только что это и откуда это брать, не знаю. Еще тестдиском надо попробовать, мало ли. Ладно хоть разделы все на месте.

adobryn
Каждая установка ROllBack RX уникальна и снимки предыдущей не воспринимает. ROllBack RX работает на уровне физических секторов диска. Создает свою карту секторов.
Так у вас был слет мбр, а не зависание загрузки? Тут без резервной копии мбр не обойтись.

gavana
сначала зависание, потом юзер восстановил mbr в консоли восстановления. Бекапа mbr нет


Цитата:

Каждая установка ROllBack RX уникальна и снимки предыдущей не воспринимает

это самое ужасное. Проиводитель программы явно не головой думал, а другим местом - хранить что-то в mbr

Добавлено:
У них на сайте написано

Цитата:

We have a Utility that will attempt to recover data from for you - but it is not guaranteed to work. The "Snapshot Scavenger", as well the instructions for its use, is downloadable from here: http://support.horizondatasys.com/FileManagement/Download/c3e597a5233a4bb693f946438a47fc8f. If there is any hope of getting the data back, this is it. We wish you the best of luck.

но ссылка недоступна

adobryn

Цитата:

Проиводитель программы явно не головой думал, а другим местом

Можете привести примеры где по вашему мнению думали головой? А может просто пользователю нужно правильным местом думать?

Цитата:

но ссылка недоступна

Так вроде-бы все понятно написано:
Цитата:

Вы не авторизованы для доступа к веб-странице по адресу http://support.horizondatasys.com/FileManagement/Download/c3e597a5233a4bb693f946438a47fc8f. Может понадобиться выполнить вход

Вы там зарегистрированы?

AnVn

Цитата:

Можете привести примеры где по вашему мнению думали головой? А может просто пользователю нужно правильным местом думать?

откуда пользователю знать про всю эту хрень с mbr? мало ли что могло произойти - бэд на винче, бут-вирус, много вариантов, когда mbr страдает. Какого фига сделали так, чтобы не было дешифратора этой фигни? Зачем оставлять открытым только baseline? Какой в этом смысл? Вот у человека полетел комп, он отнес винт товарищу слить инфу - а хрен там! Там только baseline и делайте что хотите.


Цитата:

Вы там зарегистрированы?

Мне этого не показывает, наверное потому что я под проксей. Зарегестрирована только на форуме, а ссылку давно из паблика убрали. Пусть пользователи и дальше рыдают о потерянных данных. А в ответ им только - нуну, ну потеряли, ну что же делать, мы вам сочувствуем (почитайте форум). restore technologies, ага, тоже мне.

Всем привет!
Оказывается последняя сборка Rollback работает под Windows 8
Прочитал , попробовал на виртуалке, попробовал на реальной машине - работает Только не совсем понял о каких условиях, ограничениях они говорят, gavana может Вы расскажете?

dstor
Да, все верно, можно ставить текущий билд ROllBack RX на Windows 8 при соблюдении следующих условий:

To run the current build of Rollback on Windows 8, you must have the following:
1. If your PC is running the new UEFI BIOS must changed to Legacy mode
2. Hard drive must be running MBR partition not GPT and you can check that under Disk Management under control panel -> Administrative Tools.


Суть в том, что в Windows 8 добавлена поддержка UEFI BIOS и GPT-дисков. Если у вас ни того ни другого, то можно смело ставить. Кстати, из-за этого и задержка с выходом ROllBack RX 10, хотят все тщательно протестировать.

gavana
Ага, спасибо

gavana
кстати, вспомнил одну немаловажную деталь, незадолго до краха системы некоторые папки добавил в исключения роллбека, чтобы они не затрагивались при откате. так вот их тоже не было когда вернул загрузку.

emil9
это потому что ролбек скажем после загрузки какова либо снимка. восстанавливает файлы прямо в системе.похоже просто вытаскивает их октуда то

emil9
А это погоды не делает.
ROllBack RX работает на уровне физических секторов диска, а Windows- на уровне кластеров логических разделов.
Кстати,где обещанные копии мбр? Хочу одну мысль быстро проверить. Сработает- хорошо, не сработает-однозначно в сервис.

gavana
извиняюсь что задерживаю , просто чтобы дать мбр в момент краха системы надо ее откатить из посекторного бекапа)) а это 3-4 часа . скоро все сделаю в лучшем виде .

Теперь в случае повреждения MBR мы имеем возможность получить доступ ко всем снимкам ROllBack RX с загрузочного диска.

Ссылка

gavana
Початился я немного в Live Chat на их сайте - сказали, что официально текущий билд не поддерживает Windows 8 - все мол на свой страх и риск, ждите v10. Но работает нормально и какие-то получаются расхождения в инфе между их страницей в Facebook, форумом и Live Chat