Windows XP и MBR?

kol4dan · 09-05-11 14:41:37

Привет всем.
Вчера принес знакомый свой комп. Говорит заходил на сайт поставщика (он производит гардины), после чего ругнулся антивирус, предложил что-то удалить, удалил и комп перестал загружаться.
Подключаю, включаю, ХР начинает грузиться и стартует по-новой, мелькнув синим экраном. Жму F8, выключаю автоперезагрузку и получаю BSOD 0x0000007B Inacessible boot device.
В компе два харда. На одном один первичный раздел (BOOT C:) и один логический диск в расширенном (WINXP E:). Второй служит хранилищем бэкапов. БИОС загружается с первого винта.
Стартую с установочного диска ХР, иду в recovery console - chkdsk c:, chkdsk e:, fixboot c:, fixboot e:. Вроде стандартный набор выполнен, загружаюсь с жесткого диска - та же картина маслом. Гугление по параметрам БСОДа дает только китайские иероглифы. Снимаю образы с обоих разделов и пробую переустановку в режиме восстановления, которая заканчивается тем же БСОДом. Сравнение раздела реестра SYSTEM с когда-то забэкапленным не выявило никаких новых драйверов и никаких изменений в загрузке старых. Восстанавливаю образ и гружусь в recovery console - fixmbr, перезагрузка и система загрузилась. Правда без Explorera, но это я поправил в реестре (HKLM\Software\Microsoft\Windows NT\Currentversion\Winlogon Parameter:Shell).
То, что вирус заменил оболочку на свой экзешник, который антивирус успешно удалил, это понятно. Причем тут МБР? Код в МБР просматривает таблицу разделов, находит активный, читает его загрузочный сектор и передает ему управление. ИМХО. Загрузочный код раздела ищет загрузочные файлы ntldr, ntdetect.com и boot.ini и грузит систему с раздела в boot.ini. После загрузки многих драйверов появлялся вышеупомянутый БСОД. Не пойму почему. Почему так поздно? Может это просто глюк?
Кто что подскажет?

Редактировался kol4dan (09-05-11 14:54:25)

selenscy · 09-05-11 14:47:39

Проверьте жёсткие диски MHDD или Викторией для начала. Очень часто ошибка 0x0000007B появляется из-за ошибок секторов на жёстком диске, типа UKNC.

kol4dan · 09-05-11 14:53:04

SMART девственно чист. Никаких интерфейсных ошибок, никаких кандидатов на ремап, даже температура выше 46 не поднималась. Комп стоит в кондиционируемом помещении, в нем даже пыли почти нет.

selenscy · 09-05-11 15:08:16

kol4dan пишет:

SMART девственно чист. Никаких интерфейсных ошибок, никаких кандидатов на ремап, даже температура выше 46 не поднималась. Комп стоит в кондиционируемом помещении, в нем даже пыли почти нет.

SMART может не показать UKNC. Это ошибка показывает несоответствие контрольных сумм. Сектор, с точки зрения операционки некоторых винтов, оставлен на подозрении в неблагонадёжности, которые не пишутся в кандидаты на ремап. Проверить HDD советую непременно при таких операциях, как у вас. Лишним не будет.

kol4dan · 09-05-11 15:13:38

Что есть UKNC? Винт Samsung 160 GB. И какая связь между МБР и БСОДом после загрузки драйверов накопителей?

selenscy · 09-05-11 15:29:40

kol4dan пишет:

Что есть UKNC? Винт Samsung 160 GB. И какая связь между МБР и БСОДом после загрузки драйверов накопителей?

Пляшем от изначальной ошибки 0x0000007B. https://support.microsoft.com/kb/822052.
Если ОС не знает о сбойном секторе (секторах) , то может быть всё что угодно, т.е вы будете гуглить на предмет перечисленных в https://support.microsoft.com/kb/822052. А ошибка сектора из-за несоответствия контрольных сумм достаточно часто встречается, но напрямую не упоминается там (да и не должна). Вирусов с записью в MBR я практически не встречал в последнее время. При несоответствии контрольной суммы в MBR генерится ошибка 0х0000008B. Т.е. вы пошли изначально по другому пути.
На расстоянии детектить неисправность невозможно, мы же не экстрасенсы smile Но я с такой траблой иногда встречался, поэтому высказываю своё имхо. В нагрузку вот https://sashaderen.at.ua/blog/chto_oznac … 10-04-23-9
"(20) 0х000000ED и 0х0000007B:нужно редактировать boot.init.Записи в файле boot.init (конфигурационный файл загрузчика NTLDR)не соответствуют действительности, и загрузчик не может найти загрузочный том. Проблема может быть вызвана переразбиением жесткого диска, когда были добавлены новые разделы перед загрузочным. Нужно отредактировать С:/ boot.init,загрузившись с загрузочного диска. Обычно в нем можно найти записи вида:multi(0)disk(0)rdisk(0)partition(1)/WINDOWS=”Microsoft Windows XP Professional RU”/fastdetect. Донная запись указывает, что Windows нужно загрузить из каталога Windows,находящегося на первом разделе первого диска (дискС:). Если в результате изменения таблица разделов диска номер раздела изменился (номер можно узнать в программе разметки диска ),нужно изменить этот номер, например: multi(0)disk(0)rdisk(0)partition(5)/WINDOWS=”Microsoft Windows XP Professional RU”/fastdetect." как одна из возможных последствий ошибок, по которой вы и пошли.

Добавлено спустя 18 мин 45 с:

kol4dan пишет:

Что есть UKNC

ошибка сектора из-за несоответствия контрольных сумм, разновидность UNC.

Редактировался selenscy (09-05-11 15:43:59)

kol4dan · 11-05-11 11:28:54

selenscy пишет:

Вирусов с записью в MBR я практически не встречал в последнее время. При несоответствии контрольной суммы в MBR генерится ошибка 0х0000008B. Т.е. вы пошли изначально по другому пути.

Я тоже давно не встречал. Номер ошибки 7В направил меня по этому пути...

selenscy пишет:

Проблема может быть вызвана переразбиением жесткого диска, когда были добавлены новые разделы перед загрузочным

Жесткий диск не переразбивался с момента переноса системы со старого железа в августе прошлого года.
В boot.ini одна строка
multi(0)disk(0)rdisk(0)partition(2)/WINDOWS=”Microsoft Windows XP Professional" /fastdetect
Винда стоит на логическом диске расширенного раздела. Так сложилось, что эта винда стоит уже на 3-м железе.
Смущает то обстоятельство, что вирус, подменяющий оболочку (explorer.exe), обычно не пишет ничего в МБР. Зачем? Ведь загрузившись из реестра он может и так выполнять свою задачу.
Опять же, каким образом код в МБР, обнаружив активный раздел, прочитав его загрузочный сектор и передав ему управление, может влиять на загрузку системы с логического диска (т.е. с совершенно другого раздела) после того, как ntldr начал загрузку ОС? При попытке загрузки в безопасном режиме было видно, как загружаются драйверы. Раз винда их увидела, значит она обращалась к корректному разделу и ошибка 7В в этом месте просто нелогична, т.к. железо не менялось. К тому же драйвера для этого контроллера присутствуют в винде изначально. По F6 ничего добавлять не надо было.
Я не указал, что для проверки корректности ARC-пути я добавлял строки в boot.ini с другими возможными комбинациями (rdisk1, partition1 etc). Ни одна из них, кроме присутствовавшей, на сработала.
Только после fixmbr загрузка продолжилась. После восстановления запуска explorer.exe я проверил систему на наличие руткитов, загрузившись с winpeCD. Полное сканирование антивирусом (другим) также ничего не выявило. Система ведет себя, как совершенно нормальный компьютер. Загрузка памяти после старта - 263 МБ и никакой сетевой или процессорной активности.
Поскольку я комп уже отдал, больше ничего проверить не могу.

selenscy · 12-05-11 10:59:15

Ну раз задача выполнена, то особого смысла ломать копья нет. Однако я таки советую проверять диски на предмет секторов UNC, при таком раскладе. Особенно при восстановлении из образов.

kol4dan · 12-05-11 11:57:46

selenscy пишет:

Однако я таки советую проверять диски на предмет секторов UNC, при таком раскладе. Особенно при восстановлении из образов.

Когда есть подозрения и время - проверяю. Но это не тот случай.

Форум StopLinux

Объявление

#1 09-05-11 14:41:37

Windows XP и MBR?

#2 09-05-11 14:47:39

Re: Windows XP и MBR?

#3 09-05-11 14:53:04

Re: Windows XP и MBR?

#4 09-05-11 15:08:16

Re: Windows XP и MBR?

#5 09-05-11 15:13:38

Re: Windows XP и MBR?

#6 09-05-11 15:29:40

Re: Windows XP и MBR?

#7 11-05-11 11:28:54

Re: Windows XP и MBR?

#8 12-05-11 10:59:15

Re: Windows XP и MBR?

#9 12-05-11 11:57:46

Re: Windows XP и MBR?

Подвал форума