| Предыдущая тема :: Следующая тема |
| Автор |
Сообщение |
grf
Зарегистрирован: 05.04.2005
Сообщения: 1242
Откуда: Москва
|
 Добавлено: Пн Ноя 26 2007 10:02 Заголовок сообщения: удаление скрытого раздела в ноутбуке |
 |
|
В организации случилась неприятная история. был инсайдер. который под видом админа, работая, сливал инфу на сторону. СБ его вычислила, взяла, сдала, ну в общем отработала. Теперь надо разгребать что он натворил. Ну с инфой, понятно, но помимо прочего наставил руткитов и прочей дряни, сливающей все и вся! Вычеслено было по сетевой активносити. С обычными компами - просто отформатировали винт, по новой поставили винду и все встало на свои места. А вот с ноутбуками возникли проблемы.
Есть два ноутбука, оба под ХР, оба в рабочей группе. Антивирус говорит, что все чисто!!! Но активность есть. Также наблюдаются странности. Например после установки драйверов видеокарты, появляется новая пользовательская учетка, типа ASP.NET.что-то еще такое.... После после установки дров на мать, появляется неизвестная учетка пользователя: sysroot.asp.... обе учетки защищены паролем и удаляются админом легко
ноутбуки ASUS Точную модель сейчас не назову, чуть позже.
Не спасает даже полный формат харда, если загрузиться с ДОС диска, то виден один раздел, единственный, винда так же при установке видит один раздел.
Винда ставилась как с родных дисков, так и со сторонних.
Партишен майджиг говорит, что есть еще раздел, объемом 7Мб в котором используется 2Гб (именно так общий размер 7 Мб, а используется в нем Гигабайты!!) Я так думаю, что это скрытый раздел винды, ноутбучной, на котором хранится диск восстановления и прочая лабуда. Т.к. бяки вылезают и после установки с неродного диска и форматирования видных при установки разделов, а так же скаченных дров непосредственно с сайта производителя, то думаю бяка зарылась именно в этих скрытых разделах!
По идее их можно удалить, на винду и гарантию можно забить полностью. (По словам руководства))))))))) ) с дровами под ASUS мне казалось проблем быть не должно, чай не SONY 
Вопрос как это сделать.
Пробовал поставить Linux, и из под него дорваться до разделов.
Пока не удалось. Гружусь с Live CD ASP Linux 10 - вылетает при загрузке при ошибках hdc!!! Пробовал установит не LIVE, а обычный дистриб Мандрейк 10.1, так же безуспешно, начинает грузиться с CD (по звуку), без единой надписи черный экран минут на 5 с мигающим курсором вверху (как после CLRSCR), а потом начинает грузиться установленная винда.
пока единственное что приходит в голову - это новый винт))))))))))))))) но может быть все же можно элегантней как то ))))))))))))))
_________________
Errare humanum est |
|
| Вернуться к началу |
|
 |
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Пн Ноя 26 2007 11:59 Заголовок сообщения: |
|
|
В ноутах небось видео-карточка с чипом ATI? Превед любителям .NET.  ))
У ноутбуков действительно есть спец. разделы, где хранится инфа для восстановления. Можете снять с ноута полезную инфу, отформатировать винт и поставить систему заново.
Дабы материализовать нечто неизвестное изучит проги Precess Explorer, WireShark, perfmon. |
|
| Вернуться к началу |
|
|
grf
Зарегистрирован: 05.04.2005
Сообщения: 1242
Откуда: Москва
|
| Добавлено: Пн Ноя 26 2007 12:06 Заголовок сообщения: |
|
|
Спасибо! т.е. по поводу учеток я не беспокоюсь ))))))))))))))))
теперь по поводу процессов. Есть процессы, отлавливаю и уничтожаю их!!!!!!!!! вопрос откуда они берутся.
Собственно отформатировать винт я и хотел )))))))))))))))))) вопрос как это сделать. Что-то штатными средствами не получается тронуть скрытый раздел винды )))))))))))))
а форматируя как есть и ставя винду с 0, появляются снова
_________________
Errare humanum est |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Пн Ноя 26 2007 12:34 Заголовок сообщения: |
|
|
| А версия Windows какая? Vista? |
|
| Вернуться к началу |
|
|
grf
Зарегистрирован: 05.04.2005
Сообщения: 1242
Откуда: Москва
|
| Добавлено: Пн Ноя 26 2007 12:36 Заголовок сообщения: |
|
|
ХР проф
_________________
Errare humanum est |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Пн Ноя 26 2007 12:39 Заголовок сообщения: |
|
|
При разметке диска одним разделом остается кусок "непришей, ни пристегни" аккурат 7 Мег. Это обычная фича виндузового fdisk-а.
А то, что партишен магик увидел там 2 Гига - "нет сынок, это фантастика"... |
|
| Вернуться к началу |
|
|
grf
Зарегистрирован: 05.04.2005
Сообщения: 1242
Откуда: Москва
|
| Добавлено: Пн Ноя 26 2007 12:49 Заголовок сообщения: |
|
|
хорошо, тогда мне остается только фантазировать))))))))))))
откуда берутся левые процессы, пытающиеся сбросить инфу в инет? что в ноутах еще есть???? может у них там еще какая скрытая флеш память стоит или откуда? Блин, ставлю винду с оригинального лицензионного диска, при установке уничтожаю все разделы, создаю новые, голая винда. После накатки дров (скаченные с сайта производителя не в нашей сети, даже, блин думал уже, может мы у себя не все залечили))))))))))) начинает сбрасывать инфу. Причем именно не за обновлением, а появляется процесс который с упорством маньяка лезет в инет и пытается сбросить на одноразовые сайты информацию )))))))))))))))))
_________________
Errare humanum est |
|
| Вернуться к началу |
|
|
San_dok
Зарегистрирован: 21.07.2006
Сообщения: 1649
Откуда: Rus\23
|
| Добавлено: Пн Ноя 26 2007 14:22 Заголовок сообщения: |
|
|
| grf писал(а): | | откуда берутся левые процессы, пытающиеся сбросить инфу в инет? что в ноутах еще есть???? может у них там еще какая скрытая флеш память стоит или откуда? Блин, ставлю винду с оригинального лицензионного диска, при установке уничтожаю все разделы, создаю новые, голая винда. |
Хм...а попробуй получить список процессов не с помощью API функций, а непосредственно через системные вызовы ядра Windows.
| Код: | Procedure GetProcessList(var NameList, HandleList: TList);
asm
push ebp
mov ebp, esp
push ecx
push ebx
push esi
push edi
mov esi, edx
mov ebx,eax
push $05
call @GetInfoTable
jmp @InfoTableEnd
@GetInfoTable:
push ebp
mov ebp, esp
sub esp, $04h
push esi
push 0
pop dword ptr [ebp - $04]
mov esi, $4000
@GetInfoTable_doublespace:
shl esi, $01
push esi
push 0
call LocalAlloc
test eax, eax
jz @GetInfoTable_failed
mov [ebp-$04], eax
push 0
push esi
push eax
push dword ptr [ebp + $08]
call @OpenKernelData
jmp @Cont
@OpenKernelData:
mov eax, $AD
call @SystemCall
ret $10
@SystemCall:
mov edx, esp
sysenter
@Cont:
test eax, $C0000000
jz @GetInfoTable_end
cmp eax, $C0000004
jnz @GetInfoTable_failed
push dword ptr [ebp - $04]
call LocalFree
jmp @GetInfoTable_doublespace
@GetInfoTable_failed:
push 0
pop dword ptr [ebp - $04]
@GetInfoTable_end:
mov eax,[ebp - $04]
pop esi
leave
ret $04
@InfoTableEnd:
mov [edi], eax
@FindData:
mov edx, [eax + $3C]
mov eax, [ebx]
call TList.Add //NameList.Add
mov eax, [edi]
lea edx, [eax + $44]
mov eax, [esi]
call TList.Add //HandleList.Add
mov eax, [edi]
cmp [eax], 0
jz @EndData
add eax, [eax]
mov [edi], eax
jmp @FindData
@EndData:
pop edi
pop esi
pop ebx
pop ecx
pop ebp
ret
end; |
NameList будет содержать указатели PWideChar на имена процессов, а HandleList на их PID. Больше ничего не могу предположить. 
_________________
В тёмной комнате завсегда имеются тёмные грабли. |
|
| Вернуться к началу |
|
|
grf
Зарегистрирован: 05.04.2005
Сообщения: 1242
Откуда: Москва
|
| Добавлено: Пн Ноя 26 2007 14:31 Заголовок сообщения: |
|
|
да нет, процесс то я вылавливаю, проблема не в том. Проблема в том, что именно он возникает всегда после установки винды с нуля совершенно. А не хочется жить с ноутом, в котором точно знаю живет какая то гадость. Ибо гарантии, что я вылавливаю все, что есть, естественно нет. И если я не могу найти гнездо одного, то запросто могут быть еще и другие ))))))))))
он прописывается и сидит уже в обычном логическом диске. И я его вычищаю спокойно. но вот что-то его записыват туда)))))) вот это что-то меня и интересует )))))))))))
_________________
Errare humanum est |
|
| Вернуться к началу |
|
|
San_dok
Зарегистрирован: 21.07.2006
Сообщения: 1649
Откуда: Rus\23
|
| Добавлено: Пн Ноя 26 2007 15:04 Заголовок сообщения: |
|
|
Как вариант, додельник засунул эту бяку в "кусок" фирмваре. Каким правда макаром понять трудно 
Можно погуглить в тырнете инфу о софтинах позволяющих залезть в фирмваре, изменяющих ID винта и т.д. Пару таких ресурсов попадалось. Только там первым пунктом указывалось что в домашних условиях эти действия совершать можно только в крайних случаях. Гарантии иными словами ноль.
ЗЫ: 99% всяческих бяк выявляются после "ухода" обиженного админа (с) народная примета
_________________
В тёмной комнате завсегда имеются тёмные грабли. |
|
| Вернуться к началу |
|
|
and3008
Зарегистрирован: 12.10.2001
Сообщения: 14893
Откуда: Н.Новгород
|
| Добавлено: Вт Ноя 27 2007 00:42 Заголовок сообщения: |
|
|
| Цитата: | | начинает сбрасывать инфу. Причем именно не за обновлением, а появляется процесс который с упорством маньяка лезет в инет и пытается сбросить на одноразовые сайты информацию |
Боюсь спросить, а вы Виндузу-то патчите? После установки Windows XP SP2 надо сходить на windowsupdate и утянуть 80 штук патчей весом где-то на 150 мег. Если не патчите, то систему может заражать куча "добрых" зверушек.
И что за процесс-то? Имя у него есть? |
|
| Вернуться к началу |
|
|
beavis_inc
Зарегистрирован: 03.10.2006
Сообщения: 78
|
| Добавлено: Вт Ноя 27 2007 12:59 Заголовок сообщения: |
|
|
| Может я не совсем понял в чем проблема, но мне всегда казалось что partition magic умеет удалять любые разделы почти во всех случаях - версия 6.0 под DOS отказывается работать с mbr от win2000 server, так что же мешает воспользоваться им? Также гарантированно грохает резервные разделы Repair Console винды. Надо запустить устновку с загрузочного диска, выбрать после загрузки нужных файлов "консоль восстановления", и в появившейся командной строке ввести diskpart. |
|
| Вернуться к началу |
|
|
HorrorRain
Зарегистрирован: 23.11.2007
Сообщения: 9
Откуда: Москва
|
| Добавлено: Вт Ноя 27 2007 20:19 Заголовок сообщения: |
|
|
Я сталкивался с чем то похожей ситуацией - переставлял другу винду на ноуте Acer (вот модель сейчас уже не помню) и наткнулся на скрытый раздел (который по видимому использовался для хранения дров, и некоторых системных фирменных тулз) если её снести винда не хотела ставица совсем (опять же сложно ща вспомнить что именно за ошибку она выдавала) помучившись сделал пустой раздел и всё заработало.
При этом пользовался отличной прогой - Acronis Disk Director Suite котору ю уважаю поболее чем Partition Magic |
|
| Вернуться к началу |
|
|
dubrava
Зарегистрирован: 21.11.2007
Сообщения: 14
|
| Добавлено: Вт Ноя 27 2007 22:53 Заголовок сообщения: |
|
|
А что мешает смонтировать раздел и проверить его?
mountvol /? |
|
| Вернуться к началу |
|
|
Попавший Ламер
Зарегистрирован: 16.04.2003
Сообщения: 326
|
| Добавлено: Пт Ноя 30 2007 12:53 Заголовок сообщения: |
|
|
2 Dubrava:
Windows понимает только FAT* и NTFS, а файловых систем гораздо больше...
По сути... А если попробовать не полноценный дистр, а стянуть какой-нибудь live-cd, чтоб только суметь запустить fdisk и dd. Есть масса вариантов, размером от 3 до 300 мб с требуемым функционалом.
Снять образ, попытаться посмотреть что там... Было много случаев, когда старая информация на диске мешала загружеться полнофункциональным ядрам из дистриутива, но замечательно работала с обрезаными ядрами из live-cd. По идее, даже монтировать ничего не надо пытаться.... только нащупать HDD. |
|
| Вернуться к началу |
|
|
dubrava
Зарегистрирован: 21.11.2007
Сообщения: 14
|
| Добавлено: Пт Ноя 30 2007 20:19 Заголовок сообщения: |
|
|
> Попавший Ламер
Но попробовать-то можно
Я не думаю, что производитель будет форматировать служебный раздел в какой-либо fs отличной от тех что понимает os котрую он предустанавливает на свою продукцию. |
|
| Вернуться к началу |
|
|
Irin@
Зарегистрирован: 25.05.2007
Сообщения: 4
|
| Добавлено: Чт Дек 06 2007 16:10 Заголовок сообщения: |
|
|
А что, если отформатировать диск DBANом?
Написано, что удаляет все без возможности восстановления. |
|
| Вернуться к началу |
|
|
grf
Зарегистрирован: 05.04.2005
Сообщения: 1242
Откуда: Москва
|
| Добавлено: Пт Дек 07 2007 10:04 Заголовок сообщения: |
|
|
Всем спасибо)))))))))))0 Решение не нашли, просто отложили. Купили новые винты. все пошло))))))))))))) вопрос стоял скорее во времени решения, чем в себестоимости))))))))))))))))
по существу:
я писал уже, что загрузиться с LIVE CD дистрибутива линукса не удавалось
процессы были
sysdgestrp.exe
syszungstor.exe
первый лежал в %windir% второй в %windir%/system32
Оба ломились в инет на сайты однодневки.
появлялись после установки голой винды. Апгрейды не скачивал, т.к. машины к инету и к сети не подключал вообще. просто вставляю кабель в сетевуху и в пустой совершенно хаб, просто что бы включилась сетевая, сразу начинается )))))))))))))
купили новые винты, поставили, все встало на ура))))))))) ничего подозрительного)))))))))
с теми винтами просто сейчас некогда заниматься))))))))))))))
Всем спасибо)))))))
_________________
Errare humanum est |
|
| Вернуться к началу |
|
|
|
FAQ 
Поиск 
Пользователи 
Группы
Регистрация
Профиль 
Войти и проверить личные сообщения 
Вход 
