Сегодня ко мне попал системник с интересной заразой.
Зараза прописалась в загрузчик, завалила таблицу размещения файлов (NTFS) и пугала пользователя страшными белыми буквами на черном фоне.
Текст следующего содержания: «Зачем шастал по садо-мазо-зоо-педо?
За это перечисли дегней на мегафоновский номер. А не перечислишь, мы инициируем формат всего, что есть у тебя и сообщим куда надо, о том какой ты плохой!»
Отвлекусь от темы, не могу удержаться…
Каким чертом на чеке, выдаваемым автоматом по приему платежей на сотовые, появится код разблокировки? Может мне кто нибудь ответит?
А то я уже устал объяснять пациентам, что это развод и кидалово. Ну ни как, все видящее око вымогателей не пропишет код разблокировки на чеке для страждущих и вопиющих.
Ну даладно...
Загрузился я с WinXPE и что вижу — раздел с Windows как корова слизала.
Я почувствовал гордость за наших ломателей-вымогателей. Они уже не поперед эксплорера лезут, они уже в бутах пишутся :).
Для чего пишу всё это?
Для себя, как памятку, по использованным средствам. И для тебя, чтобы не приумножать боязнь и трепет перед этими варварами от АйТи-индустрии.
Так вот, грузимся с использованием WinXPE (Bart или сборки на его основе: SonyaPE — рекомендую) и смотрим в устройствах наш винчестер, павший смертью храбрых. Если так и есть, то винт или раздел стал неразмеченной областью, значит беремся за его восстановление.
Восстановит нам таблицу размещения файлов и загрузочную область маленькая программка — TestDisk
Качаем нужную версию, исходя из версии операционной системы, под которой потом её будем запускать.
Распаковываем и кидаем на флешку. Флешку подключаем к реанимируемуму компьютеру и запускаем файл testdisk_win.exe.
Появилось окошко сеанса MS-DOS, в нем навигацию совершаем стрелками, и смотрим на пояснения для горячих клавиш.
Выбираем пункт [Create] и жмем Enter.
Стрелками выбираем нужный нам HDD (в моём случае SeaGate ST380817AS 80Gb, первая строка) и жмем Enter, тем самым инициируя действие по кнопке [Proceed]
В следующем окне видим список предлагаемых таблиц разделов. Для Windows-систем выбираем первый пункт [Intel].
Далее жмем [Analyse]
Далее [Quick Search].
Не смотрите на то, что у меня есть запись в строке «Current partition structure», т.к. я это делаю на своей рабочей машине.
На вопрос о том какая винда создавала разделы, отвечаем «Yes», т.к. этот ответ означает, что мы не знаем кто был в доме хозяином :).
Далее видим найденную таблицу, у меня она NTFS.
Жмем Enter. В следующем окне я вам советую нажать на [Deeper Search], для более тщательного анализа найденной таблицы.
После того, как закончится скан, появится окно где будет строка с найденной таблицей. Выбираем её и жмем [Write]. Мы запишем таблицу на винчестер.
Потом нас попросят перезагрузиться. Перезагружаемся опять в WinXPE, т.к. ещё надо перезаписать MBR (ту гадость мы еще не победили :)), это так же сделаем при помощи TestDisk.
Запускаем TestDisk, выбираем винчестер, потом выбираем пункт [MBR Code], для перезаписи загрузочного сектора.
На вопрос о том, «записать новую загрузочную запись в первый сектор?», отвечаем «Yes».
Выходим из программы, перезагружаем компьютер и облегченно видим загрузку и запуск нашей винды.
Всё, победили!
P.S. Если есть желание поглубже разобраться в устройстве и архитектуре записей, партиций, таблиц размещений, то почитайте статью Криса Касперски, Восстановление данных на NTFS-разделах.
Умнейший, скажу я вам, человек.
P.S.S. И ещё. Есть хороший диск, от Лаборатории Касперского (не путать с Крисом Каперски), «Kaspersky Rescue Disk».
Это линуксовая сборка. Грузитесь с этого диска и в развернувшейся операционке работаете с повреждённой виндой.
Банеры снимает очень хорошо :).
Желательно качнуть свежую версию: http://support.kaspersky.ru/viruses/rescuedisk
Прямая ссылка, на сегодняшний день, такая: http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso
Вы должны авторизоваться, чтобы оставлять комментарии.
Комментарии ()