Антивірусні завантажувальні диски для аварійного відновлення системи комп’ютера
Panda SafeCD - безкоштовний антивірусний завантажувальний диск, який використовується для виявлення і видалення шкідливих програм без завантаження операційної системи Windows.
Panda SafeCD - рятувальний диск, допомагає видаляти з комп'ютера шкідливі програми: віруси, трояни, інтернет-черв'яки, програми-шпигуни. Скачуємий файл містить ISO-образ, який може бути записаний на CD/DVD носій. Також можна створити більш зручну завантажувальну USB флешку. За допомогою даного завантажувального диска можна проводити повну антивірусну перевірку комп'ютера без завантаження ОС Windows. Це корисно, наприклад, коли операційна система пошкоджена шкідливим ПЗ. Для того, щоб використовувати більш нові вірусні бази, Panda SafeCD шукає в реєстрі встановлені антивірусні програми Panda, які використовують pav.sig файли вірусних сигнатур. Якщо Ви хочете використовувати останні оновлення, просто переконайтеся, що на комп'ютері встановлений продукт Panda (зазвичай в C://Program Files/Panda Security) з файлом оновлення pav.sig. Деякі головні функції Panda SafeCD: 1. Автоматичне виявлення і видалення всіх типів шкідливих програм 2. Завантажити з CD/DVD носія або USB флешки 3. Оновлення за допомогою файлів вірусних сигнатур 4. Підтримка 13 мов, у тому числі російського 5. Підтримка FAT і NTFS
Розробник: Panda Security Офіційний сайт: research.pandasecurity.com Ліцензія: Freeware (безкоштовно) Останнє оновлення: 2010.06.07 Операційна система Windows: 7, Vista, XP, 2003, 2k Інтерфейс: Англійський, Російський Формат файлу: .iso
Norton Bootable Recovery Tool -безкоштовна програма, яка створює антивірусний завантажувальний диск, котрий відновлює роботу ПК у випадках зараження шкідливим ПЗ, якщо система працює неправильно або не завантажується.
Norton Bootable Recovery Tool створюється завантажувальний диск аварійного відновлення, що дозволяє швидко відновити працездатність комп'ютера, якщо операційна система настільки заражена, що її не вдається завантажити, чи якщо не вдається встановити або запустити антивірус Norton. Головні завдання Norton Bootable Recovery Tool: 1. Допомагає створити завантажувальний диск аварійного відновлення (на диску CD/DVD чи накопичувачі USB) до зараження системи; 2. Допомагає відновити нормальну роботу системи у випадку дуже серйозного зараження вірусом, коли комп'ютер не вдається завантажити. Створіть за допомогою антивірусної утиліти завантажувальний диск аварійного відновлення, і в разі сильного зараження комп'ютера, користувальницький диск аварійного відновлення дозволить завантажити комп'ютер у безпечному середовищі, даючи можливість усунути загрози, що викликали неполадки; після цього можна відразу повернутися до нормальної роботи. Головні можливості Norton Bootable Recovery Tool: 1. Створює антивірусний завантажувальний диск Norton на компакт-диску чи диску DVD 2. Створює файл ISO з можливістю додавання драйверів 3. Створює завантажувальний диск Norton на накопичувачі USB 4. Оновлює вірусні бази на накопичувачі USB Розробник: Symantec Офіційний сайт: security.symantec.com Ліцензія: Freeware (безкоштовно) Останнє оновлення: 2010.10.07 Операційна система Windows: XP, Vista, 7 Інтерфейс: Англійський, Російський Формат файлу: .exe
Kaspersky USB Rescue Disk Maker - безкоштовна антивірусна утиліта для запису iso-образа Kaspersky Rescue Disk на USB носій даних (флешка, USB-диск) без використання Антивіруса Касперського 2011 або Kaspersky Internet Security 2011.
Скачайте безкоштовний iso-образ Kaspersky Rescue Disk і за допомогою даної антивірусної утиліти запишіть його на USB-носій, наприклад флешку, USB-диск і так далі. Запис Kaspersky Rescue Disk на USB-носій: 1. Запустіть файл rescue2usb.exe 2. У вікні Kaspersky USB Rescue Disk Maker задайте місце розташування завантаженого образу Kaspersky Rescue Disk 10 за допомогою кнопки Огляд.... 3. Виберіть зі списку потрібний USB-носій 4. Натисніть кнопку СТАРТ і дочекайтеся завершення запису 5. У вікні з інформацією про успішне завершення запису натисніть ОК. Завантаження комп'ютера з USB-носія Для завантаження комп'ютера з USB-носія виконайте наступні дії: 1. У параметрах BIOS на закладці Boot виберіть завантаження з Removable Device, тобто зі знімного диска (докладну інформацію можна отримати з документації до материнської плати Вашого комп'ютера); 2. Підключіть USB-носій із записаним образом Kaspersky Rescue Disk до комп'ютера. Kaspersky USB Rescue Disk готовий до роботи. Ви можете завантажити з нього комп'ютер і почати перевірку системи. Розробник: Kaspersky Lab Офіційний сайт: support.kaspersky.ru Ліцензія: Freeware (безкоштовно) Останнє оновлення: 2011.03.04 Операційна система Windows: XP 32/64-bit, Vista, 7 Інтерфейс: Англійський, Російський Формат файлу: .exe
AVG Rescue CD/USB - безкоштовний антивірусний завантажувальний диск на базі Linux з пакетом антивірусного ПЗ для видалення шкідливих програм та відновлення ОС Windows, від компанії AVG Technologies.
Антивірусний завантажувальний диск AVG Rescue CD призначений для видалення шкідливих програм з зараженої системи та відновлення Windows-систем, не здатних завантажитися самостійно або втративших таку здатність у результаті зараження вірусом або шкідливим програмним забезпеченням. Головні функції AVG Rescue CD: 1. Завантажувальна система, заснована на ОС Linux 2. Можливість підключення до Інтернету, використовуючи DHCP або за допомогою ручної настройки мережі 3. Наявність антивіруса і антишпигуна з оновлюваними вірусними базами 4. Видалення шкідливих програм із зараженої системи. Підтримуються ОС Windows 2000, Windows XP, Windows Vista та Windows 7 5. Підтримка FAT і NTFS файлових систем 6. Можливість відновлювати файли 7. Різні системні утиліти: File manager, Ping, Windows registry editor, Command line (linux shell) і Fdisk Інструкція по використанню AVG Rescue CD 1. Скачайте ISO-образ антивірусного завантажувального диска. 2. Запишіть ISO-образ на CD/DVD носій. 3. Перезавантажтеся і завантажте комп'ютер за допомогою записаного диска. 4. Дотримуйтесь інструкцій на екрані. Нове в AVG Rescue CD 2012: - Новий антивірусний сканер AVG 2012 - Можливість застосувати онлайн виправлення від AVG - Текстовий інтерфейс користувача для сканування/оновлення - Множинне відновлення з вірусного карантину Virus Vault - Фільтрація файлів в Virus Vault - Швидше запуск сканування - Покращене виявлення мережевих з'єднань - Вдосконалений пошук локальних вірусних баз Розробник: AVG Technologies Офіційний сайт: www.avg.com.au Ліцензія: Freeware (безкоштовно) Останнє оновлення: 2011.10.05 Операційна система Windows: XP 32/64-bit, 2003, 2008, Vista, 7 Інтерфейс: Англійський Формат файлу: .iso
Vba32 Rescue - рятувальний антивірусний диск, який являє собою завантажувальний ISO-образ від компанії «ВірусБлокАда», що дозволяє виявити і видалити шкідливі програми та відновити систему після їх впливу.
Цей антивірусний продукт дозволяє знешкоджувати шкідливе (і підозріле) ПЗ на комп'ютері користувача з найбільшим ефектом. Процеси сканування і лікування здійснюються незалежно від операційної системи, встановленої на комп'ютері. Завдяки цьому, шкідливе ПЗ не зможе протидіяти процесу знешкодження. Увага! Даний антивірусний продукт Vba32 Rescue не захищає систему від виникнення подібних ситуацій у майбутньому. Для запобігання випадків зараження комп'ютера, необхідно скористатися всим комплексом рішень, що надаються компанією «ВірусБлокАда». Рятувальний образ Vba32 Rescue являє собою завантажувальний ISO-образ, який може бути записаний на компакт-диск або USB-носій. В основі антивірусного образу лежить ядро на базі операційної системи Linux, завантажувача grub2, консольного сканера Vba32.CS.L під Linux та інших модулів роботи з файловою системою, мережевим оточенням, графічним інтерфейсом користувача та інших. Переваги рятувального образу Vba32 Rescue: 1. Висока швидкість завантаження образу; 2. Режим звільнення носія, з якого здійснювалося завантаження образу; 3. Автоматична настройка мережевого оточення дозволяє швидко налаштовувати з'єднання з сервером оновлень; 4. Можливість оновлення антивірусного сканера та баз дозволяє підтримувати образ завжди в актуальному стані і не потребує щоденного викачування образу в цілому; 5. Збереження оновленого образу на USB-носій; 6. Можливість створення завантажувальних USB-носіїв в ОС Windows, Linux і в оточенні Vba32 Rescue; 7. Використання файлів підкачки на «слабких» комп'ютерах дозволяє робити повноцінне обслуговування навіть дуже старих комп'ютерів; 8. Наявність утиліт "mhdd" та "memtest" дає можливість перевірки на апаратні помилки оперативної пам'яті і жорсткого диска; 9. Підтримка великої кількості файлових систем; 10. Використання сканера Vba32.CS.L дозволяє використовувати всі можливості антивірусного ядра Vba32; 11. Можливість завдання індивідуальної конфігурації сканування; 12. Копіювання інфікованих і підозрілих файлів в "Карантин" дозволяє уникнути втрати даних у результаті помилкових спрацьовувань в антивірусних базах; 13. Ведення файлів-звітів дозволяє проводити аналіз результатів перевірки системи та підтримувати зворотний зв'язок із "Службою Технічної Підтримки" компанії. Рятувальний образ Vba32 Rescue працює в наступних двох режимах: 1. vba32rescue - стандартний режим; 2. vba32rescue2ram - режим завантаження образу в пам'ять. Перший режим надає стандартні можливості рятувального образу і викликається за замовчуванням. Даний антивірусний режим менш вимогливий до апаратних ресурсів комп'ютера. Другий режим, крім стандартних можливостей, надає функцію звільнення носія, з якого даний образ був завантажений. Це дозволяє виконувати паралельну перевірку декількох комп'ютерів, використовуючи один завантажувальний компакт-диск або USB-носій. Більш докладно робота в кожному з режимів розглянута в даному керівництві. Розробник: ВірусБлокАда Офіційний сайт: www.anti-virus.by Ліцензія: Freeware (безкоштовно) Останнє оновлення: Оновлюється щодня Операційна система Windows: Всі версії Інтерфейс: Англійський, Російський Формат файлу: .iso
Kaspersky Rescue Disk 10 - антивірусний завантажувальний диск на базі Gentoo Linux і Антивіруса Касперського, дозволяє відновити систему і дані, що знаходяться на жорсткому диску, після вірусної атаки, виявити і безпечно видалити абсолютно будь-які віруси, включаючи такі, які не дозволяють дійти до завантаження Windows.
Kaspersky Rescue Disk 10 - антивірусний завантажувальний диск, що дозволяє безкоштовно відновити систему і дані, що знаходяться на жорсткому диску, після вірусної атаки. Програма дозволяє виявити і безпечно видалити абсолютно будь-які віруси, включаючи такі, які не дозволяють дійти до завантаження Windows. Побудований на базі Gentoo Linux і Антивіруса Касперського. Рекомендуємо: Антивірусна утиліта для запису Kaspersky Rescue Disk 10 на USB-носій Завантажтеся за допомогою антивірусного диска Kaspersky Rescue Disk 10, щоб виявити і видалити з зараженого комп'ютера шкідливі програми та інші загрози без ризику зараження інших файлів і комп'ютерів. Скачайте ISO-образ, запишіть його на диск, вставте в CD/DVD-ROM комп'ютера, увійдіть в BIOS та встановіть завантаження з CD, після чого перезавантажте ПК. По завершенню завантаження буде запущена остання версія Антивіруса Касперського 2011. Виберіть диск, який Ви хочете перевірити і виконайте сканування.
Kaspersky Rescue Disk 10 дозволяє більш ефективно справлятися з вірусами, так як даний диск не вимагає завантаження ОС Windows, а отже шкідливі програми не будуть діяти. Головні можливості Kaspersky Rescue Disk 10: 1. Завантаження комп'ютера з CD/DVD-носіїв 2. Завантаження комп'ютера з USB-носіїв 3. Завантаження комп'ютера в графічному і текстовому режимі 4. Збереження інформації про апаратне забезпечення системи в електронному вигляді з метою передачі її в Лабораторію Касперського в разі невдалого завантаження 5. Пошук шкідливих програм в об'єктах автозапуску і лікування об'єктів автозапуску 6. Пошук і знищення шкідливих об'єктів в завантажувальних секторах підключених дисків 7. Пошук шкідливих програм і лікування файлів на диску 8. Перевірка наступних видів носіїв: • внутрішні жорсткі диски, • зовнішні USB-жорсткі диски, • flash-носії даних 9. Підтримка MS Dynamics Volumes і Hardware RAID 10. Підтримка таких файлових систем: • NTFS, • FAT32, • FAT16, • Ext2, • Ext3, • ReiserFS Нове в Kaspersky Rescue Disk 10:
1. Реалізовано лікування об'єктів автозапуску. 2. Додано евристичний аналізатор. 3. Оновлені програмні модулі продукту. 4. Додана підтримка RAID-масивів. 5. Додана можливість налаштування мережі, в тому числі і Wi-Fi. 6. Змінена робота текстового режиму. 7. Змінений завантажувач операційної системи. 8. Оновлено ядро операційної системи. 9. Оновлені програмні пакети сторонніх виробників. 10. Додано ряд програмних пакетів сторонніх виробників. Розробник: Kaspersky Lab Офіційний сайт: support.kaspersky.ru Ліцензія: Freeware (безкоштовно) Останнє оновлення: 2011.10.16 Операційна система Windows: XP 32/64-bit, Vista, 7 Інтерфейс: Англійський, Російський Формат файлу: .iso
Dr.Web LiveUSB - безкоштовна антивірусна програма для створення диска аварійного відновлення операційної системи на USB-накопичувачі (флешці, USB-диску).
Dr.Web LiveUSB дозволяє відновити систему, коли завантаження комп'ютера в звичайному режимі неможливе через дії вірусів або інших шкідливих програм. Dr.Web LiveUSB - це утиліта, що дозволяє створити завантажувальну флеш-карту з переносною операційною системою на базі Linux і вбудованим програмним забезпеченням, призначеним для перевірки та лікування комп'ютера, роботи з файловою системою, перегляду і редагування текстових файлів, перегляду веб-сторінок і ведення електронного листування. За допомогою завантажувальної флеш-карти можна відновити систему в тих випадках, коли внаслідок вірусної активності не представляється можливим зробити завантаження комп'ютера з жорсткого диска звичайним способом. Антивірусний продукт Dr.Web LiveUSB, призначений для роботи в операційних системах Windows (32 - і 64-бітові версії). Створення диска аварійного відновлення LiveUSB: Щоб створити диск аварійного відновлення на USB-накопичувачі: 1. Підключіть флеш-карту. Реєстрація події підключення займає максимум десять секунд. 2. Запустіть додаток drwebliveusb.exe. 3. Антивірусна програма сама визначить доступні USB-пристрої і запропонує вам вибрати потрібне. При бажанні Ви зможете відформатувати вибраний пристрій (перед форматуванням буде виведено вікно з попередженням). 4. Для створення завантажувальної флеш-карти натисніть кнопку Створити Dr.Web LiveUSB. 5. Копіювання файлів почнеться автоматично. 6. Після закінчення процесу натисніть кнопку Вихід для виходу з програми. Розробник: Doctor Web Офіційний сайт: www.freedrweb.com Ліцензія: Freeware (безкоштовно) Останнє оновлення: Оновлюється щодня Операційна система Windows: XP, Vista, 7 Інтерфейс: Англійський, Російський Формат файлу: .exe
Dr.Web LiveCD - безкоштовний завантажувальний диск для відновлення операційної системи, приведеної в неробочий стан в результаті дії вірусів або будь-якого шкідливого ПЗ.
Dr.Web LiveCD - це оригінальний програмний продукт, оснований на стандартному антивірусному сканері Dr.Web. Dr.Web LiveCD - диск швидкої антивірусної допомоги, який дозволяє відновити працездатність системи, ураженої діями шкідливих програм, на комп'ютерах і серверах під управлінням Windows/Unix. У випадку, коли неможливо зробити завантаження комп'ютера з жорсткого диска, Dr.Web LiveCD допоможе не лише очистити комп'ютер від вірусів, інфікованих і підозрілих файлів, але і спробує вилікувати заражені об'єкти. Dr.Web LiveCD поставляється у вигляді антивірусного завантажувального диска з переносною операційною системою на базі Linux і вбудованим програмним забезпеченням, призначеним для перевірки і лікування комп'ютерів, роботи з файловою системою, перегляду і редагування текстових файлів, перегляду веб-сторінок і ведення електронного листування. Порядок роботи із завантажувальним диском Dr.Web LiveCD: 1. Скачайте ISO-образ Dr.Web LiveCD і запишіть його на СD/DVD носій. 2. Встановіть у BIOS ПК завантаження з CD/DVD приводу. 3. При завантаженні, на екран виводиться діалогове вікно, в якому надається можливість вибрати між звичайним і безпечним (debug) режимом запуску програми. Виберіть потрібний пункт меню і натисніть [Enter]: • Звичайний режим завантаження DrWeb-LiveCD - версія сканера з графічним інтерфейсом. • Безпечний режим DrWeb-LiveCD (Safe Mode) - запуск антивірусного сканера з інтерфейсом командного рядка (консольний сканер) • Режим Local HDD - завантаження комп'ютера з жорсткого диска. Оcобливий інтерес Dr.Web LiveCD представляє для користувачів, що часто стикаються з проблемою зараження комп'ютера вірусами, а також компаній, що надають послуги комп'ютерної допомоги та діагностики. Розробник: Doctor Web Офіційний сайт: www.freedrweb.com Ліцензія: Freeware (безкоштовно) Останнє оновлення: Оновлюється щодня Операційна система Windows: Всі версії Інтерфейс: Англійський, Російський Формат файлу: .iso
Kaspersky Registry Editor Beta - безкоштовний інструмент для редагування реєстру на базі завантажувального диска Kaspersky Rescue Disk 10.
Головні можливості Kaspersky Registry Editor: 1. Пошук та завантаження кущів реєстру для всіх встановлених ОС (у тому числі і для встановлених у довільні папки) на змонтованих розділах (кущі SAM, SECURITY, SOFTWARE, SYSTEM) 2. Пошук та завантаження всіх користувальницьких кущів реєстру для кожного користувача кожної виявленої ОС 3. Пошук та завантаження кущів з даними для BootMgr-а (BCD - Boot Configuration Data) 4. Завантаження / Вивантаження зазначених користувачем кущів реєстру (File-> Load Hive / File-> Unload Hive) 5. Експорт в reg-файл зазначених користувачем ключів та кущів реєстру (тільки для автоматично знайдених гілок реєстру) 6. Можливість повноцінної роботи з використанням тільки клавіатури (для часто виникають випадків, коли KRD не хоче працювати з мишею) 7. Створення / видалення / перейменування ключів і значень 8. Редагування всіх типів значень, в тому числі і з використанням hex-редактора Розробник: Kaspersky Lab Офіційний сайт: www.kaspersky.ru Ліцензія: Freeware (безкоштовно) Останнє оновлення: 2011.09.19 Операційна система Windows: XP/XP x64, Vista/Vista64, 7/7 x64 Інтерфейс: Англійський, Російський Формат файлу: .exe
ESET NOD32 LiveCD- безкоштовний антивірусний завантажувальний диск, що включає Антивірус NOD32, за допомогою якого Ви зможете швидко запустити комп'ютер, виконати повну перевірку комп'ютера на шкідливі програми і відновити працездатність виведеної з ладу операційної системи Windows після впливу вірусів і збоїв.
ESET NOD32 LiveCD - антивірусний завантажувальний диск на основі ОС Linux і Антивіруса NOD32. Антивірусний завантажувальний диск ESET NOD32 LiveCD, дозволить гарантовано видалити віруси, потенційно небезпечні файли і складне шкідливе ПЗ, яке не вдалося знешкодити в звичайному режимі роботи операційної системи Windows Інструкції для ESET NOD32 LiveCD:
1. Для створення LiveCD ESET NOD32 необхідно скачати ISO-образ диска і записати його на CD-диск або USB flash-накопичувач, послідовно виконуючи кроки відповідно до інструкції «Створення LiveCD ESET NOD32 (RU)». 2. Для завантаження комп'ютера за допомогою LiveCD ESET NOD32 необхідно зробити перезавантаження, попередньо змінивши налаштування BIOS відповідно до інструкції «Завантаження комп'ютера за допомогою LiveCD ESET NOD32 (RU)». Розробник: ESET Офіційний сайт: www.esetnod32.ru Ліцензія: Freeware (безкоштовно) Останнє оновлення: Оновлюється щодня Операційна система Windows: Всі версії Інтерфейс: Англійський, Російський Формат файлу: .iso
Microsoft Security LiveCD 2011 -безкоштовний антивірусний завантажувальний диск на базі безкоштовного антивіруса Microsoft Security Essentials. ISO-образ MSSS Media дозволяє перевірити заражену систему на наявність шкідливих програм, у тому числі руткітів і потенційно небезпечного програмного забезпечення.
Microsoft Security LiveCD - це ISO-образ Standalone System Sweeper, який містить антивірусний сканер Microsoft, працює з завантажувального CD/DVD диска. Microsfot Standalone System Sweeper використовується в системах, заражених руткітами і специфічними шкідливими загрозами, що перешкоджають роботі антивіруса в системі Windows блокуючих доступ до веб-сайтів з безпеки і т.д. Антивірусний завантажувальний диск від Microsoft дозволить запустити заражений комп'ютер, просканує систему на наявність зловмисних програм та руткітів і видалить сліди виявлених загроз. Ви також можете скористатися допомогою онлайн-спільноти Microsoft SpyNet для виявлення і видалення шпигунських програм. Антивірусний завантажувальний диск Microsoft Security LiveCD не є заміною повноцінного антивірусного захисту Вашого комп'ютера в режимі реального часу. Використовуйте завантажувальний диск в ситуаціях, коли неможливо запустити ОС Windows через зараження вірусами або іншими шкідливими програмами. Розробник: Microsoft Офіційний сайт: www.microsoft.com Ліцензія: Freeware (безкоштовно) Останнє оновлення: Оновлюється щодня Операційна система Windows: XP/XP x64, Vista/Vista64, 7/7 x64 Інтерфейс: Англійський Формат файлу: .exe
Avast! Rescue CD- антивірусний завантажувальний диск порятунку, який призначений для повного очищення комп'ютера від вірусів.
Головні можливості avast! Rescue CD: - Антивірусний та антишпигунський сканер Інноваційний механізм сканування захищає від вірусів, шпигунів і інших шкідливих програм. - Чистильник реєстру Допомагає знайти і усунути проблеми, а також виправити неефективність даних реєстру Windows. Надає можливість відновити реєстр після вірусних атак. - Видалення непотрібних файлів Знаходить і видаляє непотрібні файли, які займають місце на жорсткому диску. Компонент також видаляє системний кеш, наприклад, тимчасові інтернет-файли, історію веб-браузера IE. Інструмент надає швидке сканування і надійне виправлення виявлених неполадок. - Знищувач даних Забезпечує безповоротне видалення конфіденційних даних, так що навіть спеціальні утиліти не виявлять сліди важливих файлів. - Редактор реєстру Сканує всі локальні жорсткі диски і намагається знайти встановлену операційну систему, а також файли реєстру. Пошук системи позбавляє від необхідності знати точне розташування (специфічне для різних ОС) файлів реєстру. - Перегляд подій системи Дозволяє переглядати журнал подій системи Windows. - Служби / Драйвери Компонент допомагає керувати службами та драйверами системи Windows, надаючи можливість контролювати основні параметри, наприклад, тип запуску. - Інтерпретатор командного рядка - Простий текстовий редактор - Avast! Rescue CD Shell Розробник: AVAST Software Офіційний сайт: www.avast.com Ліцензія: Пробна версія Останнє оновлення: 2011.09.17 Операційна система Windows: XP, Vista, 7 Інтерфейс: Англійський Формат файлу: .exe
Kaspersky WindowsUnlocker - антивірусна утиліта, яка призначена для боротьби з програмами-вимагачами. Допоможе видалити рекламний банер блокуючий ОС Windows і що вимагає відправки смс.
Kaspersky WindowsUnlocker - антивірусна утиліта, яка призначена для боротьби з програмами-вимагачами. Допоможе видалити рекламний банер блокуючий ОС Windows і що вимагає відправки смс. Якщо при роботі з комп'ютером була заблокована ОС Windows - на екрані з'явився банер з вимогою відправити смс на вказаний номер, це означає, що Ви стали жертвою вимагача-блокера Trojan.Winlock. Програми-вимагачі блокують доступ користувачам до даних або обмежують можливість роботи на комп'ютері, вимагаючи грошовий викуп для розблокування системи. Для боротьби з такими погрозами Лабораторія Касперського розробила спеціальну антивірусну утиліту Kaspersky WindowsUnlocker, яка входить до складу антивірусного завантажувального диска Kaspersky Rescue Disk 10. За допомогою цієї антивірусної утиліти Ви можете в автоматичному режимі виконати лікування реєстру всіх операційних систем Windows, встановлених на комп'ютері, а також лікування користувальницьких гілок реєстру. Це дозволить позбавитись від загрози Trojan.Winlock і розблокувати Windows. Для роботи з утилітою WindowsUnlocker необхідно:
1. Скачати файл-образ KWU_1.0.3.upd.iso; 2. Записати на CD / DVD-носій або скористатися Kaspersky USB Rescue Disk Maker для створення завантажувального USB-носія (флешки); 3. Завантажити комп'ютер за допомогою завантажувальної флешки або диска і запустити утиліту WindowsUnlocker в графічному або текстовому режимі; 4. Утиліта автоматично запуститься і проведе лікування реєстру. Розробник: Kaspersky Lab Офіційний сайт: support.kaspersky.ru Ліцензія: Freeware (безкоштовно) Останнє оновлення: 2011.09.27 Операційна система Windows: XP, Vista, 7 Інтерфейс: Англійський, Російський Формат файлу: .exe
Вчора на ноутбук прямо з інтернету після клацання кнопки на DepositFile прошмигнув блокувальник (тільки за клавішами я не сидів, а стояв поруч). Ноут швиденько перезавантажився і видав чорний екран з червоними написами приблизно такого змісту "Ви переглядали всяку фігню. Дайте нам 610 грн і побачите, що буде". У мене це перший досвід такого зараження МОГО комп'ютера. AVG Free + Outpost Security 7.1 Free не відреагували :(
Рятувався Kaspersky WindowsUnlocker - успішно.
Можна якось змінити налаштування згаданих програм, щоб уникнути такого в майбутньому?
Можна якось змінити налаштування згаданих програм, щоб уникнути такого в майбутньому?
Немає можливості так як дані фукти нашпарені як правило на мові низького рівня і виконуюця пеззаперечно ннезалежно від ОС яка встановлена . І прописуються як правило в MBR вінчестера.
Главная Загрузочная Запись - Master Boot Record (MBR)
Для начала давайте определимся с терминологией. Под словами, вынесенными в заголовок статьи, зачастую понимают две разные вещи, которые в некоторых случаях могут быть эквивалентны, а в некоторых - нет. Первое понятие - собственно Master Boot Record. Это запись (программный код и данные), которая загружается в память с винчестера и обеспечивает опознание логических разделов на нем, определяет активный раздел и загружает из него загрузочную запись (Boot Record - BR), которая продолжит запуск операционной системы (ОС). И второе понятие - Загрузочный Сектор, Master Boot Sector (MBS) - это сектор, располагающийся на цилиндре 0, плоскости (головка) 0 и имеющий номер 1. В большинстве случаев MBS содержит весь необходимый код и все данные, поэтому его содержимое и есть MBR, однако бывают случаи (которые мы рассмотрим в конце статьи), когда код и данные не помещаются в одном секторе (просто не хватает места или по соображениям безопасности), и тогда код этого сектора обеспечивает загрузку в память остальных секторов. В этом случае MBR - это совокупность всех секторов, которые должны быть загружены, а MBS - всего лишь первый сектор. Однако начнем мы со случая, когда MBR и MBS - одно и то же, и будем называть их более привычным и широко распространённым термином MBR. Слегка отступая от темы, замечу, что такой MBR (обеспечивающий загрузку любой ОС и занимающий только MBS) обычно называют термином Generic MBR. Вообще MBR появился на жестких дисках начиная с MS DOS версии 3.0, в более ранних версиях жёсткий диск форматировался как дискета, и в первом секторе располагался BR. Соответственно диск представлял из себя один раздел и не мог быть разбит на логические части - правда, при тех размерах дисков, которые тогда выпускались, это было неактуально. Размер сектора на жестком диске - 512 байт. Этого пространства вполне хватает для размещения там всего необходимого - и кода, и данных. Однако только одна структура должна там присутствовать обязательно - это сигнатура. Этим словом называется специальная, строго установленная, последовательность из 2 байт с шестнадцатеричными значениями 55h AAh, которая записывается в последние 2 байта сектора и соответственно имеет смещение от начала сектора 1FEh. Если хотя бы один из двух последних байтов отличается по значению, считается, что первый сектор не является MBR и не содержит осмысленной информации. Если компьютер при старте, прочитав первый сектор, не обнаружит правильной сигнатуры, он не будет передавать управление располагающемуся там коду, даже если он правильный, а выдаст сообщение о том, что главная загрузочная запись не найдена. Или будет пробовать найти её на других устройствах - например, на дискете. Слегка отклоняясь от темы, замечу, что BR также содержит сигнатуру 55h AAh в последних двух байтах. Ну уж коли начали с хвоста, то пойдём от него к началу сектора. Перед сигнатурой, вплотную к ней, расположены 4 блока данных по 16 байтов каждый (соответственно со смещением от начала сектора 1BEh, 1CEh, 1DEh, 1EEh). Совокупность этих блоков называется Таблица Разделов, Partition Table (PT), а каждая отдельная запись - элементом таблицы разделов (Partition Table Entry) или просто разделом (Partition). Этих 16 байтов вполне достаточно, чтобы указать все необходимые характеристики раздела, а именно: тип раздела, признак активности раздела, начальный и конечный сектора раздела в формате Цилиндр (дорожка) - Головка (сторона) - Сектор (Cylinder - Head - Sector, CHS), относительный номер первого сектора (относительно MBR) и количество секторов в разделе. Всё остальное пространство сектора занято программным кодом, который обеспечивает разбор PT, поиск активного раздела, загрузку в память BR этого раздела и передачу ему управления. Как легко подсчитать, на код остаётся 512 - 4 * 16 - 2 = 446 байт. Этого пространства с избытком хватает для выполнения указанных действий. Итак, общая структура MBR может быть представлена следующей таблицей:
Смещение Длина Описание 000h 446 Код загрузчика 1BEh 64 Таблица разделов 16 Раздел 1 1CEh 16 Раздел 2 1DEh 16 Раздел 3 1EEh 16 Раздел 4 1FEh 2 Сигнатура (55h AAh) Каждый 16-байтный блок, описывающий один раздел, имеет следующую структуру: Смещение Длина Описание 00h 1 Признак активности раздела 01h 1 Начало раздела - головка 02h 1 Начало раздела - сектор (биты 0-5), дорожка (биты 6,7) 03h 1 Начало раздела - дорожка (старшие биты 8,9 хранятся в байте номера сектора) 04h 1 Код типа раздела 05h 1 Конец раздела - головка 06h 1 Конец раздела - сектор (биты 0-5), дорожка (биты 6,7) 07h 1 Конец раздела - дорожка (старшие биты 8,9 хранятся в байте номера сектора) 08h 4 Смещение первого сектора 0Ch 4 Количество секторов раздела Код типа раздела представляет собой однобайтовый идентификатор. Если его значение - 00h, то считается, что в данном элементе PT не содержатся данные о разделе, и его содержимое игнорируется. Любое ненулевое значение означает, что в указанном пространстве находится раздел определённого типа. Некоторые значения однозначно указывают тип раздела, некоторым соответствуют несколько возможных типов, и определение конкретного типа возлагается на операционную систему, остальные зарезервированы для будущего использования. Код Тип раздела 01h 12-битная FAT 04h 16-битная FAT до 32 Мбайт 05h Расширенный раздел 06h 16-битная FAT свыше 32 Мбайт 07h Windows NT NTFS (и некоторые другие - тип определяется по содержимому BR) 0Bh 32-битная FAT 0Ch 32-битная FAT с использованием расширенного управления INT13 0Eh LBA VFAT (то же что и 06h, с использованием расширенного управления INT13) 0Fh LBA VFAT (то же что и 05h, с использованием расширенного управления INT13) 17h Скрытый раздел NTFS 1Bh Скрытый раздел 32-битной FAT (то же что 0Bh) 1Ch Скрытый раздел 32-битной FAT с использованием расширенного управления INT13 (то же что 0Ch) 1Eh Скрытый раздел LBA VFAT (то же что и 06h, с использованием расширенного управления INT13) 86h Раздел FAT-16 stripe-массива Windows NT 87h Раздел NTFS stripe-массива Windows NT B6h Зеркальный master-раздел FAT-16 Windows NT B7h Зеркальный master-раздел NTFS Windows NT С6h Зеркальный slave-раздел FAT-16 Windows NT С7h Зеркальный slave-раздел NTFS Windows NT Признак активности раздела - т.е. признак того, что операционную систему следует загружать именно из этого раздела - может иметь значения 80h (раздел активен) и 00h (раздел не активен). В общем случае количество активных разделов должно быть не более 1 (иначе как сделать выбор?). Если активных разделов нет - значит с этого жёсткого диска ОС не может быть загружена. Другие значения считаются ошибочными и игнорируются. Впрочем, решение о передаче управления принимает код загрузчика, поэтому значение байта признака загрузочности - аксиома только для стандартных загрузчиков. Трёхбайтный блок адреса начала и адреса конца раздела имеют идентичный формат. Здесь фактически используется упаковка значений с тем, чтобы они имели минимальный объём. Формат упаковки полностью соответствует тому, как эти данные передаются процедурам работы с жёстким диском (Int 13h), находящимся в BIOS компьютера, поэтому и накладные вычислительные расходы получаются минимальными. При этом цилиндры и дорожки нумеруются, начиная с нулевого значения, а сектора - почему-то с первого. Уж и не знаю почему - так сложилось исторически. Сектор, на который указывает адрес начала раздела, содержит в себе специальную запись, которая называется загрузочной записью (BR). Её назначение и состав мы рассмотрим в отдельной статье. Смещение первого сектора раздела - это фактически номер этого сектора если все сектора жёсткого диска перенумеровать начиная с 0 (в соответствии с нумерацией, применяемой Int 25h/26h) в порядке возрастания сперва по секторам одной дорожки, далее в порядке увеличения номеров головок и, наконец, цилиндров. А что такое количество секторов в разделе - понятно без объяснений. Естественно, что все эти значения связаны простыми зависимостями, ведь содержащаяся в них информация избыточна. Потому приведу формулы зависимости между ними. Итак, если обозначить: CM - цилиндр, на котором располагается MBR; HM - дорожка, на которой располагается MBR; SM - сектор, в котором располагается MBR; CS, HS, SS, CE, HE, SE - то же, для секторов начала (S) и конца (E) раздела; HH - количество дорожек у жёсткого диска; SH - количество секторов на одной дорожке у жёсткого диска, то: Абсолютный номер сектора, в котором находится PT: NumPT = CM * HH * SH + HM * SH + SM -1 Абсолютный номер сектора начала раздела: NumS = CS * HH * SH + HS * SH + SS -1 Абсолютный номер сектора конца раздела: NumE = CE * HH * EH + HE * EH + EE -1 Смещение первого сектора раздела: OffsetS = NumS - NumPT Количество секторов раздела: Amount = NumE - NumS +1 Из приведённых формул, кроме того, видно, что важное значение имеет то, сколько дорожек имеет один цилиндр жёсткого диска и сколько на каждой дорожке секторов. Эти значения зависят как от геометрии жёсткого диска, так и от выбранного в установках BIOS режима трансляции. Поэтому диск, поделённый на разделы в одном режиме трансляции, может оказаться нечитаемым при изменении режима трансляции. Для IDE-накопителей существуют несколько режимов трансляции: CHS (Cylinder-Head-Sector) - при этом геометрия диска считается такой, какой он её сообщает компьютеру. Не обольщайтесь - у большинства накопителей реальная геометрия совсем не такая. Однако контроллер, входящий в состав жёсткого диска, производит необходимые преобразования самостоятельно, и то, как он это делает, для нас несущественно. При этом максимальное количество цилиндров - 1024 (от 0 до 1023), дорожек - 16 (от 0 до 15), секторов - 63 (от 1 до 63), а максимальный объём диска, доступный в данной трансляции без применения специальных программ - 504 Мбайт. При дисковых операциях адрес сектора передается BIOS компьютера контроллеру жёсткого диска без изменения. LBA (Logical Block Addressing) - при этом режиме трансляции используется не та геометрия диска, которую он сообщает BIOS компьютера. Производится приведение к формату, когда количество цилиндров не превышает 1024, а количество секторов на дорожку равно 63. Приведённое количество дорожек при этом зависит от BIOS компьютера и объёма жёсткого диска и может быть равно 16, 64 , 128 или 255, последние версии BIOS как правило используют приведение к 255 (0-254) дорожкам независимо от объёма накопителя. При обращении к диску переданные в LBA-трансляции номер цилиндра, головки и сектора пересчитываются в абсолютный номер сектора, и именно он передаётся BIOS компьютера контроллеру жёсткого диска для выполнения операции. При объёме накопителя свыше 8 Гбайт количество цилиндров получается более 1024, потому на компьютерах, которые не поддерживают работу расширенного режима Int 13h, без установки специального программного обеспечения пространство за границами 8 Гбайт недоступно (независимо от режима трансляции). Иногда, впрочем, помогает обновление BIOS компьютера. LARGE, или ECHS (Extended CHS) - при этом режиме трансляции производится приведение числа цилиндров к значению менее 1024 за счёт кратного увеличения количества дорожек. Приведённое количество дорожек строго кратно реальному количество секторов на дорожку не изменяется. Впрочем, у большинства современных накопителей количество секторов на дорожку (по уверениям контроллера накопителя) равно 63. Максимально доступный объём на компьютерах, которые не поддерживают работу расширенного режима Int 13h, зависит от реального количества дорожек, но не более 8 Гбайт (например, если диск имеет 16 дорожек, то в LARGE трансляции их может быть 16, 32, 48… 240, но не 255, т.к. 255 не кратно 16, а максимальный доступный объём - 1024 * 240 * 63 * 512 / (10243) = 7.38 Гб). При использовании трансляции LBA или LARGE за счёт округления до целых значений несколько секторов в конце накопителя могут "выпасть" из описанного пространства и стать недоступными. Впрочем, потери обычно невелики. Что же касательно SCSI-накопителей, то они всегда работают в режиме LBA-трансляции. Вернее, контроллер SCSI представляет геометрию накопителя в соответствии с требованиями LBA-трансляции, а сам при обращении к диску передаёт ему абсолютный адрес сектора. Естественно, что именно на BIOS SCSI-контроллера возлагается обязанность производить необходимые пересчёты. Вернёмся к MBR. Как уже сказано, он содержит 4 блока данных об элементах таблицы разделов. Это означает, что максимальное количество разделов, которое может быть описано в MBR, равно четырём. Однако это отнюдь не означает, что максимальное число разделов, на которые может быть разделён накопитель, равно четырём. Для преодоления этого барьера был введён специальный тип раздела с кодом 05h - расширенный раздел (Extended Partition). Расширенный раздел сильно отличается от всех остальных типов разделов. Во-первых, он описывает не раздел, а область пространства накопителя, в которой расположены другие разделы. При этом количество находящихся в нём разделов теоретически не ограничено. Правда, те разделы, которые расположены в этой области, несколько "ограничены в правах", самым существенным ограничением является то, что они не могут быть активными (вернее, можно сделать так, что из такого раздела ОС будет загружена, но штатные средства большинства существующих ОС этого не позволяют, придётся использовать специальные средства). Во-вторых, в MBR должна присутствовать только одна запись о расширенном разделе. Вернее, их можно сделать и больше (хоть все четыре), но как поведёт себя ОС, встретив такое, предсказать трудно. Например MS-DOS 6.20 просто игнорирует все расширенные разделы, кроме первого в списке, как будто их вообще нет. В третьих, в отличие от остальных типов разделов в том секторе, который прописан в структуре как сектор начала раздела, содержится отнюдь не BR. Там находится фактически еще один MBR, который имеет сигнатуру и таблицу разделов, но обычно не содержит программного кода (обычно сектор, содержащий таблицу разделов, но не содержащий кода начальной загрузки, называют Abstract MBR). Впрочем, поскольку там нет активных разделов, то и код ни к чему. В таблице разделов такого сектора имеется обычно одна или две записи. Первая описывает обычный раздел (Partition), причём этот раздел должен полностью находиться внутри пространства Extended Partition. Если обычный раздел занимает не всё пространство, в таблице разделов появляется второй элемент, который описывает оставшееся пространство как Extended Partition. В следующем секторе точно также описывается один раздел и, если место осталось, еще запись об Extended Partition. И так продолжается до тех пор, пока пространство не закончится. Фактически все записи о расширенных разделах представляют собой связанную цепь (Extended Partition Chain), в которой от дискового пространства отщипываются кусочки на обычные разделы, пока место не кончится. Ошибка в любом элементе этой цепи приведёт к её рассыпанию, в результате все записи после разрыва не будут найдены ОС, а занимаемое ими пространство ОС будет считать незанятым. При заполнении цепи обычно ОС придерживается нескольких правил. Во-первых, описанный в очередном "звене" цепи обычный раздел не должен располагаться в середине, поскольку тогда для описания получившихся двух кусков незанятого пространства потребуется в PT этого элемента ввести две записи о двух разных расширенных разделах а, как я говорил ранее, ОС обычно игнорируют все такие записи кроме первой, и в результате часть дискового пространства выпадет из разбиения. Во-вторых, как правило запись об обычном разделе делается так, чтобы она занимала начальную область расширенного раздела, а следующий элемент цепи разделов - остаток. Какие же проблемы могут возникнуть с содержимым MBR? Во-первых, физическое или логическое разрушение, т.е. повреждение поверхности или иная механическая проблема либо разрушение сервометки, что не даёт возможности прочитать этот сектор с диска. Однако подобные случаи выходят за рамки нашего рассмотрения. И вторая, наиболее часто встречающаяся проблема - это разрушение всей или части информации, содержащейся в секторе, в результате чего разделы либо не могут быть найдены операционной системой, либо их параметры определяются неверно. Самый лёгкий случай - это разрушение сигнатуры. При этом ОС считает, что в секторе содержится некая случайная информация, "мусор", а сам накопитель вообще не поделён на разделы и никакой информации на нём нет. Для восстановления достаточно всего лишь любым средством прямого доступа к секторам диска (наиболее популярен DISKEDIT из пакета NORTON UTILITIES) восстановить сигнатуру. Большинство ОС, правда, нужно перезагрузить, поскольку ОС как правило при старте считывают информацию о разбиении диска на разделы и далее в процессе работы её изменения не учитывают. Более сложный случай - это разрушение кода. При этом теряется возможность произвести загрузку операционной системы с накопителя, а попытка загрузки как правило заканчивается "зависанием" компьютера. В то же время если загрузиться с другого накопителя (другой жесткий диск, дискета, загрузочный CD-ROM и т.п.), то вся информация на накопителе доступна для использования. В этом случае рекомендуется использовать штатные средства восстановления кода загрузчика, которые имеются в каждой ОС. Например, в ОС Windows 9x для этой цели используется программа FDISK.EXE, запускаемая с ключом /MBR. Разрушение кода - не столь редкий случай, как может показаться. Как правило, подобная неприятность происходит, когда на один накопитель последовательно устанавливаются разные ОС в один или разные разделы. Любая ОС при установке желает иметь в MBR собственный код, но далеко не все заботятся о сохранении того кода, который был в секторе ранее. Например ОС Windows 9x переписывают код загрузчика, не ставя в известность пользователя и безвозвратно уничтожая старое содержимое. Впрочем, такой случай как раз не очень страшен, поскольку все загрузчики ОС очень похожи. Проблема возникает, если для разбиения накопителя на разделы использовались программные средства третьих фирм, такие как EZ-drive, ODM или например SpeedStore, для которых как раз понятия MBR и MBS не эквивалентны. Из-за другой идеологии загрузки (которую мы рассмотрим позднее) код, находящийся в MBS, выполняет другую функцию, а именно поиск и загрузку части кода MBR, располагающейся в других секторах диска. Замена кода приводит к тому, что эта функция утрачивается, и соответственно возникают проблемы различного характера. Пользователь должен быть весьма осторожен, если использует подобные программные средства - восстановление кода в таких случаях может оказаться весьма непростым делом. И наиболее тяжёлый и неприятный случай - это разрушение самой таблица разделов. Впрочем, как известно, беда никогда не приходит одна, и чаще всего разрушаются все три компонента MBR, но именно разрушение PT приводит к наиболее тяжёлым последствиям, поскольку при этом теряется возможность доступа к хранящейся на накопителе информации. PT может быть разрушена полностью, а может и частично - т.е. часть элементов разрушена, а остальные целы. Бывают случаи, когда PT, находящаяся в MBR, цела, а разрушена запись о разделах в одном из звеньев цепи Extended Partition. Однако поскольку структура MBR и структура абсолютно идентичны (за исключением того что в элементах Extended Partition отсутствует код), методика восстановления в обоих случаях одна и та же. Существует достаточное количество программ, умеющих восстанавливать разрушенные PT. Качество их работы различно и зависит главным образом от того, насколько сложным было разбиение диска на разделы, все ли типы разделов, которые были на диске, известны программе и нет ли кроме разрушения PT еще каких повреждений информации в других секторах, особенно в BR разделов. Однако мы не ищем лёгких путей, и если у Вас над душой не висит начальник с криками "скорее, быстрее, прыжками распечатай мне бланк, я в отпуск опаздываю!", Вы получите гораздо большее удовольствие, если самостоятельно, без всяких программ-автоматов, пользуясь только своими знаниями, сможете восстановить всю информацию. Вы даже можете просто провести все необходимые исследования, получить все цифры, которые нужно записать в PT, а потом запустить программу восстановления и после её работы убедиться, что всё посчитали верно. А может, даже и поправить результаты её работы, если она отработала не на 100%. Итак, для работы нам потребуется: загрузочная дискета с любым DOS, на которую скопирован файл DISKEDIT.EXE, карандаш, бумага, калькулятор (впрочем, калькулятор есть в DISKEDIT) и немного мозгов. Желательно, конечно, чтобы и DOS, и DISKEDIT были посвежее. Я использую DOS 7.10 от Windows 98 SE и DISKEDIT из пакета NORTON UTILITIES 2002. Никакие драйверы нам на этом этапе не нужны, ну кроме тех случаев, когда накопитель подключен к старому SCSI-контроллеру и без загрузки драйвера просто не виден. Можно загрузить драйвер мышки - будет немного удобнее. Теперь главная мелочь - кроме указанных файлов на дискете не должно быть ничего! Это важно - если на дискете нет конфигурационного файла, DISKEDIT.EXE запустится в режиме только чтения (Read-Only) и никакие данные на диске не будут изменены, пока мы этого явно не попросим. А дискету вообще бы закрыть от записи. Загружаемся с дискеты. Запускаем DISKEDIT.EXE. После загрузки нажимаем клавиши Alt-D (или через меню Object - Drive). Выводится окно с доступными дисковыми устройствами. Сперва укажем, что нам нужны физические устройства (Physical disks), а потом выберем нужный диск (допустим, Hard Disk 1) и нажмем ОК. При этом в качестве диапазона просмотра будут выбраны все сектора диска от первого до последнего. Это нам и нужно. Сначала мы попросим программу выполнить просмотр диска и найти все сектора, которые могут быть элементами цепи Extended Partition или BR. И хотя при этом DISKEDIT будет просто искать сектора, имеющие сигнатуру, а не анализировать содержимое (это мы берём на себя) - результаты могут здорово облегчить работу. Правда придётся запастись терпением - процесс это не быстрый, да к тому же каждый найденный сектор нужно будет брать на карандаш, но овчинка выделки стоит. Итак, Tools - Find Object - Partition/Boot. Поехали. Каждый раз, когда попадается сектор с сигнатурой, поиск останавливается, на экран выводится дамп сектора, а в правом нижнем углу - номер сектора. Именно эти адреса и нужно брать на карандаш. Впрочем, если при разбиении диска на разделы не использовались особо изощрённые методы, все интересующие нас сектора будут располагаться на нулевой или первой стороне в первом секторе, т.е. Side 0 или 1, Sector 1. Остальные сектора, например какой-нибудь Cyl 12, Side 4, Sector 52 можно смело проигнорировать - это случайно. Правда, мы получаем абсолютный номер сектора, но это не страшно, для "правильных" секторов номер будет нацело делиться на количество секторов на дорожку, обычно 63 (другие значения встречаются сейчас гораздо реже - 17, 26, 40, 56, поэтому далее по тексту везде где я буду говорить о числе секторов 63, имейте в виду, что на Вашем конкретном накопителе возможно придётся использовать другое число). А эту цифру мы можем посмотреть через меню (Info - Drive Info). К сожалению, количество сторон и цилиндров там может оказаться неправильным (не соответствующим используемой трансляции), но и это не страшно. Записав номер очередного сектора, продолжаем поиск (можно через меню Tools - Find Again, можно просто Ctrl-G). И так пока не получим сообщение что объект не найден. В этот момент у нас на руках (вернее, на бумаге) все номера секторов, в которых присутствует сигнатура. Теперь обрабатываем список, отсеивая явно случайные номера (это которые не делятся на 63), и особо выделяя пары номеров, которые различаются на 63. Эти пары - не что иное как пара из элемента Extended Partition и BR описанного в нём раздела. Теперь отложим на минутку листок с цифрами и попытаемся вспомнить, какого размера разделы были на диске. Так, крупными мазками, 600 мегабайт, 12 гигабайт… запишем всё что помним. Если сумма не равна объёму накопителя - либо что-то забылось, либо неверно вспомнилось, либо было пространство, не принадлежавшее ни одному разделу (а что, бывает… знаю не один случай, когда десятигигабайтный жёсткий диск разбивался на компьютере, материнская плата которого не понимала более восьми гигабайт, а при апгрейде это как-то не вспомнилось… вот так 2 гигабайта и зависли). На этом этапе желательно вспомнить ещё и типы файловых систем в каждом из разделов. Теперь возьмём оба листка и попытаемся совместить полученные данные. Мегабайт - две тысячи секторов, гигабайт - два миллиона… приблизительно. Но обычно удаётся совершенно однозначно наложить одно на другое. Полезно бывает нарисовать длинный прямоугольник, расставить на нём границы, соответствующие найденным секторам, и поделить на кусочки, соответствующие размерам разделов. Даже если однозначности нет - не беда. Разберёмся. При совмещении данных рекомендую помнить, что некоторые BR и элементы цепи Extended Partition могут быть разрушены (и соответственно не будут найдены), причём наиболее часто разрушаются BR первого (по положению на накопителе) раздела и BR активного раздела. Впрочем, на данном этапе, пожалуй, всё… и не потому, что дальше некуда, а по другой причине - для дальнейшей работы по восстановлению требуется анализ других структур, которые располагаются уже в "найденных" разделах - это BR, FAT/MFT, каталоги и пр… мы их пока не рассматривали. Впрочем, иногда и найденной и вспомненной информации достаточно. В конце статьи приведен пример такого восстановления (пока не написан). Иногда знание структуры разделов применяют совершенно для других целей - например, для создания своего собственного разбиения диска на разделы. Пример такого применения также есть в конце статьи. При создании нестандартного разбиения диска на разделы, кроме требований, описанных ранее (один расширенный раздел и пр.), рекомендую также учитывать то, в каком порядке ОС MS-DOS и Windows назначают разделам буквы логических дисков (Q51978 - Order in Which MS-DOS and Windows Assign Drive Letters). Буквы присваиваются, начиная с C: (A: и B: зарезервированы для дисководов гибких дисков, возможно виртуальных). Порядок подключения таков: Раздел, с которого загружается ОС (при загрузке с жёсткого диска). Первые первичные разделы остальных жёстких дисков в порядке их нумерования (инициализации) BIOS компьютера. Разделы в Extended Partition жёстких дисков в порядке их нумерования (инициализации) BIOS компьютера, в порядке их записи в Partition Table дисков. Остальные первичные разделы дисков, в порядке их записи в Partition Table по порядку их нумерования (инициализации) BIOS компьютера. Устройства, формируемые драйверами, запускаемыми в файлах config.sys и autoexec.bat, в порядке их формирования и инициализации, если формируемому устройству не назначается в явной форме определённая буква или диапазон букв. Для ОС, которые могут опознавать и подключать накопители, не инициализируемые BIOS компьютера (не описанные в установках CMOS накопители) - разделы этих накопителей в соответствии с правилами 3 и 4 в порядке инициализации накопителей операционной системой. Разделы не известных ОС типов не инициализируются и буквы им не присваиваются. Следует помнить, что ОС семейства Windows NT имеют штатные средства переопределения букв логических дисков. Пример 1. Ручное разбиение на разделы.
Параметры накопителя в LBA-трансляции (взяты из BIOS - Autodetect Hard Disk) - Cylinders 1216, Heads 255, Sectors 63, Capacity 10 Gb. Желаемое разбиение: система 2 Гбайт, данные - 2 Гбайт, игры и дистрибутивы - остальное. Желательно разместить системный раздел в конце диска (по тестам там самая быстрая область), игры - в начале диска (по заверениям специалистов, наиболее часто данные повреждаются именно там). Операционная система - Windows 98 SE rus, все разделы - FAT-32. Исходя из желаемого разбиения, видится следующая схема: сначала расширенный раздел с двумя логическими дисками в нём - 6 и 2 Гбайт, потом первичный активный раздел 2 Гбайт, либо 3 первичных раздела в указанном порядке и с указанными размерами. Последний вариант нам не подходит (неважно по каким соображениям). Особенности работы программы FDISK выбранной ОС не позволяют выполнить разбиение штатно: если сначала мы создадим первичный раздел, он будет находиться в начале накопителя, если же мы сначала создадим расширенный раздел, то программа отказывается создавать первичный. Принимаем решение провести разбиение с помощью FDISK насколько возможно, а затем доделать вручную. Первый этап: создать расширенный раздел с двумя дисками; второй: вручную добавить запись о первичном разделе. Первый этап проблем не вызывает: загружаемся с дискеты, создаём extended partition размером 8 Гбайт, и в ней два логических диска - 6 Гбайт и 2 Гбайт. Перезагружаемся с дискеты, убеждаемся, что на диске появились (но недоступны - ведь мы не форматировали разделы!) диски C: и D:. Форматируем их при помощи стандартного FORMAT и в процессе форматирования убеждаемся, что диск C: имеет размер 6 Гбайт, диск D: - 2 Гбайт. Запускаем DISKEDIT и смотрим содержимое MBR. В нём имеется следующая запись: Starting location Ending location Relative Number of System Boot Side Cylinder Sector Side Cylinder Sector Sectors Sectors EXTEND No 1 0 1 254 972 63 63 15631182 unused No 0 0 0 0 0 0 0 0 unused No 0 0 0 0 0 0 0 0 unused No 0 0 0 0 0 0 0 0 Нам нужно добавить запись о первичном разделе. Тип (System) будет 0Ch (FAT32x), признак загрузки установлен, начало раздела по адресу 973/0/1, конец раздела по адресу 1215/254/63, относительный сектор начала раздела 15631245 (973*255*63+0*63+1-1), относительный сектор конца раздела 19535039 (1215*255*63+254*63+63-1), количество секторов 3903795 (19535039-15631245+1). Весьма существенная тонкость - если номер цилиндра более 1023, в соответствующее поле вносится значение 1023 - увы, это максимальное значение, которое можно туда записать - а правильное значение ОС рассчитает исходя из заданного количества секторов. Переводим DISKEDIT в режим Read-Write (Tools-Configuration) и во второй строке вписываем рассчитанные данные. После ввода и проверки всех значений выходим из DISKEDIT клавишей Esc, а на вопрос, что делать с изменениями, отвечаем - записать (write). Перезагружаем компьютер. Убеждаемся, что на диске теперь три раздела - C: - недоступен, D: - 6 Гбайт, E: - 2 Гбайт. Форматируем диск C: с переносом на него системных файлов, в процессе форматирования убеждаемся, что диск C: имеет размер 2 Гбайт. Обновляем код MBR командой FDISK /MBR, вынимаем дискету, перезагружаем компьютер, убеждаемся, что ОС загрузилась, диски C:, D: и E: доступны и имеют размеры 2, 6 и 2 Гбайт. Запускаем NDD и убеждаемся, что ошибок ни в таблице разделов, ни на дисках нет. Разбиение закончено. Теперь таблица разделов при просмотре через DISKEDIT выглядит так: Starting location Ending location Relative Number of System Boot Side Cylinder Sector Side Cylinder Sector Sectors Sectors EXTEND No 1 0 1 254 972 63 63 15631182 ; Расширенный раздел FAT32x Yes 0 973 1 254 1023 63 15631245 3903795 ; Первичный раздел (C:) unused No 0 0 0 0 0 0 0 0 unused No 0 0 0 0 0 0 0 0 Если поставить курсор на строку с записью о расширенном разделе и нажать Enter, то DISKEDIT автоматически перенесёт просмотр в сектор, на который указывает адрес начала раздела (для первичного раздела это будет BR, для расширенного - элемент цепи разделов). В нашем случае мы увидим такое содержимое элемента цепи разделов: Starting location Ending location Relative Number of System Boot Side Cylinder Sector Side Cylinder Sector Sectors Sectors FAT32x No 2 0 1 254 728 63 63 11711259 ; Логический раздел (D:) EXTEND No 0 729 1 254 972 63 11711322 3919923 ; Расширенный раздел unused No 0 0 0 0 0 0 0 0 unused No 0 0 0 0 0 0 0 0 Продолжим движение по цепи разделов в следующий элемент: Starting location Ending location Relative Number of System Boot Side Cylinder Sector Side Cylinder Sector Sectors Sectors FAT32x No 1 729 1 254 972 63 63 3919860 ; Логический раздел (E:) unused No 0 0 0 0 0 0 0 0 unused No 0 0 0 0 0 0 0 0 unused No 0 0 0 0 0 0 0 0 Очередной элемент цепи не содержит записи о расширенном разделе. Цепь закончилась.
Дякую. З ностальгією згадав часи, коли вчив самотужки асемблер, працював з 5-ти дюймовими дискетами на Корветах на рівні секторів і байтів і т.п. Що робиться на комп'ютері я уявляю досить добре. Цікаво, як шкідник прошмигнув мимо антивіруса і брандмауера... В налаштуваннях BIOS ноута не знайшов опцію, що вмикає захист від вірусоподібної поведінки - запису до MBR. Може погано шукав?
В налаштуваннях BIOS ноута не знайшов опцію, що вмикає захист від вірусоподібної поведінки - запису до MBR. Може погано шукав?
Відкрию вам таємницю добре що тільки бут перезаписало а неперепрошило біос повністтю що зараз зустрічається доволі часто А сама повна інфа тут http://thestarman.narod.ru/index.html мова сайту аля інгліш хоча ретранслітори гугле в поміч
Бонуси!
Корисні сайти
Увійдіть
зареєструйтесь
Правила форуму
Оновлення
Учасники
Пошук
У мене це перший досвід такого зараження МОГО комп'ютера. AVG Free + Outpost Security 7.1 Free не відреагували :( 
добре що тільки бут перезаписало а неперепрошило біос повністтю