Backdoor.Win32.Sinowal i po placeném odvirování

Zpráva

Dr.Honza · #16 Příspěvek od **Dr.Honza** » 14 čer 2012 18:08

Ahoj,
1. systém nainstalován nikdy nebyl, jen jsou tam předinstalované nástroje Seagate
2. 120GB, reálně ukazuje Seagate File Recovery 111.79GB, typ souborů NTFS
3. pokud vím HDD nebyl nijak rozdělen
4. přikládám export klíčů a dumpy z přenosného disku sektory 0-100 z MBRscan (MBRscan disk vidí i dumpuje bez problémů ze systému)

Jen doplňuji, k datům se lze dostat přes Seagate File Recovery, WinXP disk nenačítá, PartitionMagic hlásí poškozenou partition, 0 sektor přenosného disku jsem zatím v testdisku na stand. kod XP nefixoval

Dr.Honza · #17 Příspěvek od **Dr.Honza** » 14 čer 2012 18:51

Ahoj,
vždy se načítá jako L:
Funguje zde na fóru nějakým způsobem cosi jako personal message?

Dr.Honza · #18 Příspěvek od **Dr.Honza** » 14 čer 2012 20:15

Provedl jsem a fixnul daty ze souboru test. Změna - po připojení disku už XP nehlásí poškozený disk,
ale "jen" že disk není naformátovaný a zda chci naformátovat - obdobně se choval po fixnutí celého sektoru na 00. Partitionmagic stále ukazuje BAD partition. Seagate File Recovery žádná změna...

Dr.Honza · #19 Příspěvek od **Dr.Honza** » 14 čer 2012 20:26

Zrovna si v Seagate DiskWizard vytvářím raději i backup.bin celého disku sector-by-sector k sobě na PC...
Děkuji moc, na viděnou.

Dr.Honza · #20 Příspěvek od **Dr.Honza** » 16 čer 2012 07:50

Fixnut 63 i 0 sektor, stále stejné - win XP hlásí L: jako nenafromátovaný, PartitionMagic hlásí chybu viz. screenshot.

Dr.Honza · #21 Příspěvek od **Dr.Honza** » 16 čer 2012 10:44

Provedeno - Partitionmagic už vidí L: se správnou velikostí a jako NTFS (viz. screenshoty), Win pořád hlásí nenaformátovaný a ani FileBrowser Partitionmagicu se k souborům nedostanou.

Dr.Honza · #22 Příspěvek od **Dr.Honza** » 16 čer 2012 10:53

Když Partitionmagic zkontroluji disk, najde jedinou chybu: FRS not in any directory, File 18502-18502.
Tohle by možná šlo výhledově zpravit z cmd - CHKDSK /F

#23 Příspěvek od **cernohous13** » 16 čer 2012 17:55

Zdravím, po dohodě s Naughty-m ti nabídnu stav mého externího Seagate (možná byla v jeho radách malá nepřesnost)

Kód: Vybrat vše

Sektor 0
EB 52 90 4E 54 46 53 20 20 20 20 00 02 08 00 00 00 00 00 00 00 F8 00 00 3F 00 FF 00 3F 00 00 00 00 00 00 00 80 00 80 00 40 4C 38 3A 00 00 00 00 04 00 00 00 00 00 00 00 C4 84 A3 03 00 00 00 00 F6 00 00 00 01 00 00 00 C4 0E 88 9C 30 88 9C 94 00 00 00 00 FA 33 C0 8E D0 BC 00 7C FB B8 C0 07 8E D8 E8 16 00 B8 00 0D 8E C0 33 DB C6 06 0E 00 10 E8 53 00 68 00 0D 68 6A 02 CB 8A 16 24 00 B4 08 CD 13 73 05 B9 FF FF 8A F1 66 0F B6 C6 40 66 0F B6 D1 80 E2 3F F7 E2 86 CD C0 ED 06 41 66 0F B7 C9 66 F7 E1 66 A3 20 00 C3 B4 41 BB AA 55 8A 16 24 00 CD 13 72 0F 81 FB 55 AA 75 09 F6 C1 01 74 04 FE 06 14 00 C3 66 60 1E 06 66 A1 10 00 66 03 06 1C 00 66 3B 06 20 00 0F 82 3A 00 1E 66 6A 00 66 50 06 53 66 68 10 00 01 00 80 3E 14 00 00 0F 85 0C 00 E8 B3 FF 80 3E 14 00 00 0F 84 61 00 B4 42 8A 16 24 00 16 1F 8B F4 CD 13 66 58 5B 07 66 58 66 58 1F EB 2D 66 33 D2 66 0F B7 0E 18 00 66 F7 F1 FE C2 8A CA 66 8B D0 66 C1 EA 10 F7 36 1A 00 86 D6 8A 16 24 00 8A E8 C0 E4 06 0A CC B8 01 02 CD 13 0F 82 19 00 8C C0 05 20 00 8E C0 66 FF 06 10 00 FF 0E 0E 00 0F 85 6F FF 07 1F 66 61 C3 A0 F8 01 E8 09 00 A0 FB 01 E8 03 00 FB EB FE B4 01 8B F0 AC 3C 00 74 09 B4 0E BB 07 00 CD 10 EB F2 C3 0D 0A 41 20 64 69 73 6B 20 72 65 61 64 20 65 72 72 6F 72 20 6F 63 63 75 72 72 65 64 00 0D 0A 4E 54 4C 44 52 20 69 73 20 6D 69 73 73 69 6E 67 00 0D 0A 4E 54 4C 44 52 20 69 73 20 63 6F 6D 70 72 65 73 73 65 64 00 0D 0A 50 72 65 73 73 20 43 74 72 6C 2B 41 6C 74 2B 44 65 6C 20 74 6F 20 72 65 73 74 61 72 74 0D 0A 00 00 00 00 00 00 00 00 00 00 00 00 00 00 83 A0 B3 C9 00 00 55 AA

Sektor 63
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00

Dr.Honza · #24 Příspěvek od **Dr.Honza** » 16 čer 2012 19:52

Zkusil jsem fixnout tímto kódem 0 a 63 a WinXP vůbec disk nenačtou + PartitionMagic hlásí poškozenou
partition, tedy jsem se zatím vrátil na poslední hodnoty od Naughtyho, kde se sektor 63 tvářil jako
původní a ok a 0 se v partitionmagic načítal jako NTFS, správná veliskot disku a lze s ním pracovat.

Dr.Honza · #25 Příspěvek od **Dr.Honza** » 16 čer 2012 19:55

Resp. lze s ním pracovat v Partitionmagicu, k souborům se zatím přes nic nedostanu.

Dr.Honza · #26 Příspěvek od **Dr.Honza** » 17 čer 2012 19:05

Ještě před projetím testdiskem jsem zkusil několikrát fixnout 0 a 63 sektor znova dle cernohouse, následně jsem fixnul 63 na mé původní a 0 na hodnoty, které jsi tu vytvořil - a disk najednou naskočil. XP ho načtou, zkoušel jsem i na jiném PC, běží dobře (viz screenshot Partitionmagic-píše tam, že 1. fyzický sektor je sektor 63:). Jen nejde odebrat příkazem a musí se vytáhnout z USB natvrdo, jinak funguje. A hlavně data z něj už jsem si odzálohoval. Když jsem přetestoval PartitionMagicem je ok, jen 1 chyba: FRS not in any directory, File 18502-18502. Tohle by možná šlo výhledově zpravit příkazem z cmd - CHKDSK /F.
Jinak moc děkuji za veškerou podporu, čas a trpělivost. Pokud jsi někde ze středu či západu, máš u mě nejedno pivo... pošli kdyžtak kontakt PM

Dr.Honza · #27 Příspěvek od **Dr.Honza** » 17 čer 2012 20:26

V příloze jsou dumpy z MBRscan:

My zas pivo na X způsobů.

Dr.Honza · #28 Příspěvek od **Dr.Honza** » 17 čer 2012 21:13

Také je mi záhadou co se stalo s 0 sektorem...
CHKDSK L: /F se zdárně vydařilo - obnovení osamoceného souboru (18502) v souboru adresáře 26889-
Partitionmagic už žádnou chybu nehlásí. Disk se chová dosud normálně

Dr.Honza · #29 Příspěvek od **Dr.Honza** » 17 čer 2012 22:22

Vyřešeno, uzavřeno, děkuji moc, ahoj.

VIRY.CZ

Backdoor.Win32.Sinowal i po placeném odvirování

Re: Backdoor.Win32.Sinowal i po placeném odvirování

Re: Backdoor.Win32.Sinowal i po placeném odvirování

Re: Backdoor.Win32.Sinowal i po placeném odvirování

Re: Backdoor.Win32.Sinowal i po placeném odvirování

Re: Backdoor.Win32.Sinowal i po placeném odvirování

Re: Backdoor.Win32.Sinowal i po placeném odvirování

Re: Backdoor.Win32.Sinowal i po placeném odvirování

Re: Backdoor.Win32.Sinowal i po placeném odvirování

Re: Backdoor.Win32.Sinowal i po placeném odvirování

Re: Backdoor.Win32.Sinowal i po placeném odvirování

Re: Backdoor.Win32.Sinowal i po placeném odvirování

Re: Backdoor.Win32.Sinowal i po placeném odvirování

Re: Backdoor.Win32.Sinowal i po placeném odvirování

Re: Backdoor.Win32.Sinowal i po placeném odvirování