Stránka 2 z 2
Re: Backdoor.Win32.Sinowal i po placeném odvirování
Napsal: 14 čer 2012 18:08
od Dr.Honza
Ahoj,
1. systém nainstalován nikdy nebyl, jen jsou tam předinstalované nástroje Seagate
2. 120GB, reálně ukazuje Seagate File Recovery 111.79GB, typ souborů NTFS
3. pokud vím HDD nebyl nijak rozdělen
4. přikládám export klíčů a dumpy z přenosného disku sektory 0-100 z MBRscan (MBRscan disk vidí i dumpuje bez problémů ze systému)
Jen doplňuji, k datům se lze dostat přes Seagate File Recovery, WinXP disk nenačítá, PartitionMagic hlásí poškozenou partition, 0 sektor přenosného disku jsem zatím v testdisku na stand. kod XP nefixoval
Re: Backdoor.Win32.Sinowal i po placeném odvirování
Napsal: 14 čer 2012 18:51
od Dr.Honza
Ahoj,
vždy se načítá jako L:
Funguje zde na fóru nějakým způsobem cosi jako personal message?
Re: Backdoor.Win32.Sinowal i po placeném odvirování
Napsal: 14 čer 2012 20:15
od Dr.Honza
Provedl jsem a fixnul daty ze souboru test. Změna - po připojení disku už XP nehlásí poškozený disk,
ale "jen" že disk není naformátovaný a zda chci naformátovat - obdobně se choval po fixnutí celého sektoru na 00. Partitionmagic stále ukazuje BAD partition. Seagate File Recovery žádná změna...
Re: Backdoor.Win32.Sinowal i po placeném odvirování
Napsal: 14 čer 2012 20:26
od Dr.Honza
Zrovna si v Seagate DiskWizard vytvářím raději i backup.bin celého disku sector-by-sector k sobě na PC...
Děkuji moc, na viděnou.
Re: Backdoor.Win32.Sinowal i po placeném odvirování
Napsal: 16 čer 2012 07:50
od Dr.Honza
Fixnut 63 i 0 sektor, stále stejné - win XP hlásí L: jako nenafromátovaný, PartitionMagic hlásí chybu viz. screenshot.
Re: Backdoor.Win32.Sinowal i po placeném odvirování
Napsal: 16 čer 2012 10:44
od Dr.Honza
Provedeno - Partitionmagic už vidí L: se správnou velikostí a jako NTFS (viz. screenshoty), Win pořád hlásí nenaformátovaný a ani FileBrowser Partitionmagicu se k souborům nedostanou.
Re: Backdoor.Win32.Sinowal i po placeném odvirování
Napsal: 16 čer 2012 10:53
od Dr.Honza
Když Partitionmagic zkontroluji disk, najde jedinou chybu: FRS not in any directory, File 18502-18502.
Tohle by možná šlo výhledově zpravit z cmd - CHKDSK /F
Re: Backdoor.Win32.Sinowal i po placeném odvirování
Napsal: 16 čer 2012 17:55
od cernohous13
Zdravím, po dohodě s Naughty-m ti nabídnu stav mého externího Seagate (možná byla v jeho radách malá nepřesnost)
Kód: Vybrat vše
Sektor 0
EB 52 90 4E 54 46 53 20 20 20 20 00 02 08 00 00 00 00 00 00 00 F8 00 00 3F 00 FF 00 3F 00 00 00 00 00 00 00 80 00 80 00 40 4C 38 3A 00 00 00 00 04 00 00 00 00 00 00 00 C4 84 A3 03 00 00 00 00 F6 00 00 00 01 00 00 00 C4 0E 88 9C 30 88 9C 94 00 00 00 00 FA 33 C0 8E D0 BC 00 7C FB B8 C0 07 8E D8 E8 16 00 B8 00 0D 8E C0 33 DB C6 06 0E 00 10 E8 53 00 68 00 0D 68 6A 02 CB 8A 16 24 00 B4 08 CD 13 73 05 B9 FF FF 8A F1 66 0F B6 C6 40 66 0F B6 D1 80 E2 3F F7 E2 86 CD C0 ED 06 41 66 0F B7 C9 66 F7 E1 66 A3 20 00 C3 B4 41 BB AA 55 8A 16 24 00 CD 13 72 0F 81 FB 55 AA 75 09 F6 C1 01 74 04 FE 06 14 00 C3 66 60 1E 06 66 A1 10 00 66 03 06 1C 00 66 3B 06 20 00 0F 82 3A 00 1E 66 6A 00 66 50 06 53 66 68 10 00 01 00 80 3E 14 00 00 0F 85 0C 00 E8 B3 FF 80 3E 14 00 00 0F 84 61 00 B4 42 8A 16 24 00 16 1F 8B F4 CD 13 66 58 5B 07 66 58 66 58 1F EB 2D 66 33 D2 66 0F B7 0E 18 00 66 F7 F1 FE C2 8A CA 66 8B D0 66 C1 EA 10 F7 36 1A 00 86 D6 8A 16 24 00 8A E8 C0 E4 06 0A CC B8 01 02 CD 13 0F 82 19 00 8C C0 05 20 00 8E C0 66 FF 06 10 00 FF 0E 0E 00 0F 85 6F FF 07 1F 66 61 C3 A0 F8 01 E8 09 00 A0 FB 01 E8 03 00 FB EB FE B4 01 8B F0 AC 3C 00 74 09 B4 0E BB 07 00 CD 10 EB F2 C3 0D 0A 41 20 64 69 73 6B 20 72 65 61 64 20 65 72 72 6F 72 20 6F 63 63 75 72 72 65 64 00 0D 0A 4E 54 4C 44 52 20 69 73 20 6D 69 73 73 69 6E 67 00 0D 0A 4E 54 4C 44 52 20 69 73 20 63 6F 6D 70 72 65 73 73 65 64 00 0D 0A 50 72 65 73 73 20 43 74 72 6C 2B 41 6C 74 2B 44 65 6C 20 74 6F 20 72 65 73 74 61 72 74 0D 0A 00 00 00 00 00 00 00 00 00 00 00 00 00 00 83 A0 B3 C9 00 00 55 AA
Sektor 63
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00
Re: Backdoor.Win32.Sinowal i po placeném odvirování
Napsal: 16 čer 2012 19:52
od Dr.Honza
Zkusil jsem fixnout tímto kódem 0 a 63 a WinXP vůbec disk nenačtou + PartitionMagic hlásí poškozenou
partition, tedy jsem se zatím vrátil na poslední hodnoty od Naughtyho, kde se sektor 63 tvářil jako
původní a ok a 0 se v partitionmagic načítal jako NTFS, správná veliskot disku a lze s ním pracovat.
Re: Backdoor.Win32.Sinowal i po placeném odvirování
Napsal: 16 čer 2012 19:55
od Dr.Honza
Resp. lze s ním pracovat v Partitionmagicu, k souborům se zatím přes nic nedostanu.
Re: Backdoor.Win32.Sinowal i po placeném odvirování
Napsal: 17 čer 2012 19:05
od Dr.Honza
Ještě před projetím testdiskem jsem zkusil několikrát fixnout 0 a 63 sektor znova dle cernohouse, následně jsem fixnul 63 na mé původní a 0 na hodnoty, které jsi tu vytvořil - a disk najednou naskočil. XP ho načtou, zkoušel jsem i na jiném PC, běží dobře (viz screenshot Partitionmagic-píše tam, že 1. fyzický sektor je sektor 63:). Jen nejde odebrat příkazem a musí se vytáhnout z USB natvrdo, jinak funguje. A hlavně data z něj už jsem si odzálohoval. Když jsem přetestoval PartitionMagicem je ok, jen 1 chyba: FRS not in any directory, File 18502-18502. Tohle by možná šlo výhledově zpravit příkazem z cmd - CHKDSK /F.
Jinak moc děkuji za veškerou podporu, čas a trpělivost. Pokud jsi někde ze středu či západu, máš u mě nejedno pivo... pošli kdyžtak kontakt PM
Re: Backdoor.Win32.Sinowal i po placeném odvirování
Napsal: 17 čer 2012 20:26
od Dr.Honza
V příloze jsou dumpy z MBRscan:
My zas pivo na X způsobů.
Re: Backdoor.Win32.Sinowal i po placeném odvirování
Napsal: 17 čer 2012 21:13
od Dr.Honza
Také je mi záhadou co se stalo s 0 sektorem...
CHKDSK L: /F se zdárně vydařilo - obnovení osamoceného souboru (18502) v souboru adresáře 26889-
Partitionmagic už žádnou chybu nehlásí. Disk se chová dosud normálně
Re: Backdoor.Win32.Sinowal i po placeném odvirování
Napsal: 17 čer 2012 22:22
od Dr.Honza
Vyřešeno, uzavřeno, děkuji moc, ahoj.