Niewidoczny dysk w diskmgmt.msc

[wojto]

Witam. Jakiś czas temu spolszczyłem swojego Gateway t-series Vistalizatorem. Wszystko byłoby pięknie, gdyby nie to, ze teraz nie mogę przywrócić systemu. Narzędzie do jego przywracania nie wykrywa partycji, mimo iż w programie EASEUS PM jest widoczna. Również w menadżerze zarządzania dyskami cały dysk jest nie widoczy(nie tylko recovery). Próbowałem pobrać wersję ang i ponownie ją zainstalować lecz wyskakuje komunikat "nie można zainstalować tego języka, ponieważ jest on już zainstalowany". Proszę o jakieś rady.

Są jakieś sposoby na nagranie zawartości partycji recovery na płytkę. Znalazłem dzisiaj jakiś program, jednak ta funkcja była dostępna dopiero po wykupieniu licencji. Za jego pomocą można było jedynie "wejść" do zawartości partycji ale nie dało się dokonać żadnych zmian. Proszę o jakieś rady, jeżeli potrzeba więcej informacji lub coś napisałem niejasno z chęcią napiszę więcej. Pozdrawiam, Wojtek

[marcinkowski]

Nie jestem pewien czy to że nie wykrywa partycji powoduje zmiana języka. Język angielski możesz przywrócić Vistalizatorem.

[wojto]

Nie jestem pewien czy to że nie wykrywa partycji powoduje zmiana języka. Język angielski możesz przywrócić Vistalizatorem.

 

Masz rację. Zmiana języka nic nie dała. W związku z tym jest jakiś sposób przywrócenia ustawień fabrycznych z dysku recovery?

[picasso]

No tak, ale ściągając paczkę angielską wyświetla się, że ten język jest już zainstalowany i nie wiem gdzie to zmienić.

 

Nie tak się postępuje przy odwracaniu skutków Vistalizatora. Język angielski jest wbudowany "na stałe", jako natywny język jest nieusuwalny (i oczywiście jako istniejący już nie może być doinstalowany w dublu). Vistalizator tylko doinstalowuje drugi język poboczny i przestawia go na domyślny. Czyli należy posłużyć się ponownie Vistalizatorem i zmienić który język jest domyślny.

 

Ja także szczerze wątpię, by zmiana języka miała cokolwiek wspólnego z brakiem odczytu partycji. I może pokaż nam zrzuty z diskmgmt.msc i EASEUS.

 

 

 

.

Edytowane 14 Listopada 2011 przez picasso
Edytowałeś wcześniejszy post, niejako anulując moją odpowiedź.

[wojto]

Wyczytałem jeszcze gdzieś, że w biosie trzeba jakąś opcje d2d włączyć w main, jednak niczego takiego nie widziałem.

Zrzuty w załączniku.

[picasso]

Hmmm, sprawdź czy tu nie ma jakiegoś bootkita.... Kompletny zanik dysku (który ma predyspozycje startowe) w menedżerze urządzeń + wszystkich jego partycji w diskmgmt.msc jest charakterystyczny dla infekcji w MBR dysku. Uruchom Kaspersky TDSSKiller, nie reaguj na żadne potencjalne zgłoszenia (wszystkim wynikom przyznaj Skip) i tylko przedstaw raport do oceny.

[wojto]

Raport poniżej. Znalazło 2 błędy, ale je zeskipowałem zgodnie z zaleceniem.

qw.txt

[picasso]

I wszystko wiadomo, przemieszczam temat do działu analityki infekcji. Infekcja w MBR dysku:

 

17:57:20.0631 2752	\Device\Harddisk0\DR0 ( Rootkit.Win32.TDSS.tdl4 ) - skipped by user
17:57:20.0631 2752	\Device\Harddisk0\DR0 ( Rootkit.Win32.TDSS.tdl4 ) - User select action: Skip

 

1. Uruchom TDSSKiller ponownie i dla wyniku Rootkit.Win32.TDSS.tdl4 przyznaj akcję Cure. Zresetuj system. Uruchom Kasperskiego ponownie, by potwierdzić, że nic poza nieszkodliwym zablokowanym SPTD nie widzi. Jeśli się wszystko uda, dysk się uwidoczni z powrotem i partycje będą listowane jak powinny być.

 

2. W związku z zaistnieniem infekcji poproszę również o standardowe logi z OTL.

 

 

 

.

[wojto]

2. W związku z zaistnieniem infekcji poproszę również o standardowe logi z OTL.

Przed czy po zrestartowaniu?

[picasso]

Oczywiście po. Przecież masz rozpisane dokładnie punkty, które same narzucają kolejność czynności. Krok 1: leczenie MBR w Kasperskym + restart systemu + ponowny skan w Kasperskym dla potwierdzenia sukcesu. Krok 2: dopiero po wszystkich wymienionych czynnościach tworzysz dodatkowe logi z OTL.

 

 

.

[wojto]

1. Czynność wykonana. Ponowne skanowanie w Kasperskim niczego nie wykazało.

2. Logi z OTL

 

Wszystko śmiga jak należy!

Dziękuję za pomoc!

OTL.Txt

Extras.Txt

[picasso]

To jeszcze nie koniec czyszczenia. Jest zainstalowane adware oraz mapowanie dysków ma ślady podpinania zainfekowanego urządzenia USB typu pendrive.

 

1. Krok pierwszy, czyli deinstalacja śmieci:

- Otwórz Firefox i w menedżerze rozszerzeń odinstaluj: DAEMON Tools Toolbar, RelevantKnowledge, vShare Plugin i Zynga Toolbar.

- Przejdź do Panelu sterowania do modułu deinstalacji programów i pozbądź się RelevantKnowledge + DAEMON Tools Toolbar.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"{6E19037A-12E3-4295-8915-ED48BC341614}"=-
"{3C5F0F00-683D-4847-89C8-E7AF64FD1CFB}"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
"{115C0709-8492-405E-B107-974E8088A40E}"=-
"{210F279B-A8F1-4232-B368-120D66F11AC6}"=-
"{3B975825-8B6D-4792-A3FC-6DE1598F1A3D}"=-
"{3F28D3B2-8C7A-43AF-BFA2-ED79C15CAABC}"=-
"{3F7745DF-AE9B-45A0-83D7-F797E225FCF4}"=-
"{4589B037-BFA1-4E91-AF47-C6BE6C5B18A0}"=-
"{7FDC1456-2CF4-4D98-8F0E-22BD3836F691}"=-
"{830A153F-E2FA-49F3-98E9-D3B41B18BA5C}"=-
"{94B1FA49-8D59-4EAF-A3EC-526C448BD9ED}"=-
"{B7FF46FB-98A0-445A-A563-0BE98EC08173}"=-
"{D020880E-226D-4808-8BFF-77E74C99521C}"=-
"{ED3CEB8B-49A0-4E4E-8375-C55AFFA7976E}"=-
"TCP Query User{94C372D2-AFCD-4CF4-95B2-2E6701EF6353}C:\program files\sopcast\adv\sopadver.exe"=-
"TCP Query User{E76DAEA1-8795-434C-8B9A-6D72CF05B59C}C:\program files\sopcast\adv\sopadver.exe"=-
"UDP Query User{70B2912B-34F7-4E7B-A16F-CF40D7DB05F0}C:\program files\sopcast\adv\sopadver.exe"=-
"UDP Query User{AC4AD9FF-5926-4DF4-B585-0C6A4A281463}C:\program files\sopcast\adv\sopadver.exe"=-
 
:Files
C:\Users\Wojtek\AppData\Roaming\ypgmjw.dat
C:\Users\Wojtek\AppData\Roaming\avdrn.dat
 
:OTL
FF - prefs.js..browser.search.defaultengine: "Ask.com"
FF - prefs.js..browser.search.defaultenginename: "Ask.com"
FF - prefs.js..browser.search.order.1: "Ask.com"
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - No CLSID value found.
O2 - BHO: (IEPluginBHO Class) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - C:\Users\Wojtek\AppData\Roaming\Nowe Gadu-Gadu\_userdata\ggbho.1.dll File not found
O4 - HKLM..\Run: [sXe Injected] C:\Program Files\sXe Injected\sXe Injected.exe File not found
O4 - HKU\S-1-5-21-699923459-1462160667-771819599-1000..\Run: [HEXelon MAX] "C:\Program Files\HEXelon MAX 6\hexelon.exe" /auto File not found
O4 - HKU\S-1-5-21-699923459-1462160667-771819599-1000..\Run: [Power2GoExpress] NA File not found
 
:Commands
[emptytemp]

 

Rozpocznij usuwanie przyciskiem Wykonaj skrypt. System zostanie zrestartowany i automatycznie otworzy się log z wynikami usuwania.

 

3. System nie ma pliku HOSTS:

 

Hosts file not found

 

Włącz pokazywanie rozszerzeń odznaczając w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > Ukrywaj rozszerzenia znanych typów plików. Otwórz Notatnik i wklej w nim:

 

127.0.0.1	   localhost

::1		   localhost

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz pod nazwą hosts bez żadnego rozszerzenia

 

Plik wstaw do folderu C:\Windows\System32\drivers\etc.

 

4. Przedstawiasz do oceny: log z OTL z opcji Skanuj (Extras już nie potrzebuję)zrobiony po wykonaniu wszystkich powyższych zadań + log z wynikami usuwania pozyskany w punkcie 2 + log z AD-Remover z opcji Scan.

 

 

 

 

 

.

Edytowane 15 Grudnia 2011 przez picasso
16.12.2011 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso