Восстановление удаленных файлов (Разделы, RAID, CD-DVD)

Исходные данные

   Разберем ситуацию, когда  случайно произошел сбой  в операционной системе (или вирус постарался, или зависание Partition Magic, или другое событие), вобщем которое привело к исчезновению логической структуры жеcткого диска, грубо говоря, пропали разделы (перестали видеться). Как последствие такого сбоя, если подключить винт на другой компьютер, вы в управлении дисками (прав. кнопка мышки Мой компьютер -Уравление — Управление дисками)  увидите следующую картину :

clip_image001

Инструменты

Есть два способа восстановления данных в таком случае: — "красивый" -вернуть все разделы на место, но он сложный, или — простой (смотри Урок2 — Восстановление данных после форматирования), но грязный. Мы, как настоящие бойскауты  пойдем красивым и сложным путем. :) .

Итак, для этого нам понадобится любой HEX редактор (на наш взгляд, самый оптимальный и удобный под Windows — WinHex).

clip_image002

Эмуляция событий

Берем жесткий диск на 40 Гб, размеченный на два раздела, оба основные(primary), и отформатированные в файловой системе NTFS. На обоих логических дисках лежит важная информация.

clip_image003

Теперь "ложим" (убиваем) оба раздела. Для этого достаточно запустить Partition Magic, дать ему завиcнуть в процессе внесения изменений.

Техника безопасности

1) Мы будем вносить изменения на диск, поэтому нужно обязательно сделать физическую копию диска (бэкап, можно в файл образ). Это делается следующим образом (в WinHex):

Tools — Disk Tools — Clone Disk (Ctrl-D) далее в выпавшем меню в Soource medium указываем Physical Media  (название вашего винчестера)

в Destination: raw image file  — пишем желаемое название файла образа  и указываем место где ему лежать.

clip_image004

2)   Если вы неуверены в своих действиях и у вас  нет возможности подключить диск в другой компьютер и сделать образ — отдайте его на "операцию"  профессионалам. Здесь главное не ошибиться  иначе потеряете все.

Процесс восстановления разделов.

Запускаем WinHex. Открываем диск с потерянными разделами.Смотрим 0-ой сектор , изучаем проблему. В 0-ом секторе должен лежать ПРАВИЛЬНЫЙ master boot record. Если он поврежден или неправильный — система не сможет подмонтировать логическую структуру диска. Итак "подрехтуем" master boot record собственноручно, так чтобы появились наши пропавшие разделы.

clip_image005

Итак, приступим. Master boot record (не путать с boot-sector ), это 0-ой сектор, здесь хранится вся информация о разделах (количество, размеры, адреса бут-секторов, тип файловой системы). Когда вы размечаете при помощи Partition Magic или Fdisk свой винчестер вы вносите изменения именно в Master boot record.

Входим в меню выбираем : View — Template Manager (Alt F12), выскакивает такое окно:

clip_image006

В этом окне выбираем Master Boot Record (Containes Partition Table) (для просмотра мастер бут (0-го сектора) и внесения в него изменений), нажимаем Apply!

clip_image007

После неизвестного глюка  в мастер бут рекорде  может находиться много неверной и лишней информации, поэтому  мы все обнулим. Вот так:

clip_image008

Теперь поставим правильные флаги:

Partition Table Entry #1 Это первый раздел  

1

*1BE  80 = active partition

ставим 0 если небыл загрузочным диск и 80 если был загрузочным

0

2

  *1BF Start head 

неважно (не трогаем)

0

3

*1C0 Start sector

неважно (не трогаем)

0

4

*1C0 Start cylinder

неважно (не трогаем)

0

5

*1C2 Partition type indicator (hex)

внимание! Это тип файловой системы. У нас NTFS, значит ставим флаг 07

07

6

1C3  End head

  неважно (не трогаем)

0

7

1C4 End sector

  неважно (не трогаем)

0

8

1C4 End cylinder

  неважно (не трогаем)

0

9

*1C6 Sectors preceding partition 1

Сектор с которого начинается раздел (1-й раздел стартует с boot-сектора, тоесть с сектора №63)

63

10

*1CA  Sectors in partition 1

Сколько секторов у  нас в этом разделе

Указываем количество секторов 1-го раздела. (Если не знаем, находим начало следующего раздела (см. Поиск границы разделов) и от номера  этого сектора отнимаем 63. Если один раздел — ставим максимальное значение размера Вашего диска)

39070079

Очень важно знать размер первого раздела (в секторах), если вы этого не знаете, давайте найдем эту информацию на самом диске.

Поиск границы разделов

Граница 2-х разных разделов отличается тем, что 1-й раздел заканчивается бут-сектором, и 2-й раздел начинается своим новым бут-сектором., (тоесть идут 2-а подряд бут-сектора). Достаточно найти эту границу и запомнить порядковый номер сектора.

Поиск boot-секторов в winhex производится следующим образом:

Заходим в меню WinHex-Search , выбираем Find Hex Values

clip_image009

Вбиваем правильные параметры для поиска:

1) hex values — 55AA это сигнатура сектора. Для boot-сектора её значение обязательно 55AA.

2) Search: Выбираем Down (Ищем сверху-вниз)

3)Cond.: offset mod — выбираем 512=510 (В секторе у нас 512 байт, наша сигнатура пишется со смещением в 510 байт в пределах сектора)

clip_image010

Нажимаем ок .

Теперь внимание! Вы можете найти сотню разных бутов в пределах дискового пространства (остатки предыдущих разметок), но нас интересуют адреса именно тех бут-секторов, которые отвечают 2-м условиям:

1) Они находятся примерно в той области, где должен заканчиваться первый раздел (в нашем случае 20Гб, тоесть примерно посередине диска)

2) Они идут два подряд (Обязательно). (1-й раздел заканчивается копией своего бута, второй раздел начинается своим собственным бутом).

  Partition Table Entry #2  Это второй раздел (если он есть)

1

*1BE  80 = active partition

ставим 0 если небыл загрузочным диск и 80 если был загрузочным

80

2

  *1BF Start head 

неважно (не трогаем)

0

3

*1C0 Start sector

неважно (не трогаем)

0

4

*1C0 Start cylinder

неважно (не трогаем)

0

5

*1C2 Partition type indicator (hex)

внимание! Это тип файловой системы. У нас NTFS, значит ставим флаг 07

07

6

1C3  End head

  неважно (не трогаем)

0

7

1C4 End sector

  неважно (не трогаем)

0

8

1C4 End cylinder

  неважно (не трогаем)

0

9

*1C6 Sectors preceding partition 1

Сектор с которого начинается раздел (1-й раздел стартует с boot sector тоесть с 63)

39070080

10

*1CA  Sectors in partition 1

Сколько секторов у  нас в этом разделе

Указываем количество секторов 2-го раздела. (Если у нас два раздела, то это значение равно: полный объем диска минус первый раздел минус 63)

39070080

Внеся правильные изменения в мастер бут, необходимо их сохранить, для этого закрываем окно Template Manager,  вас система спросит сохранить ли изменения, отвечайте ОК. После закройте выбранный жестких диск и вас программа опять спросит сохранить ли изменения в 0-й сектор уже диска, отвечайте ОК.

Перегружаем компьютер.

Заходим в Мой компьютер — управление — управление дисками

и что мы Видим :)

clip_image011

Заходим в Мой компьютер и открываем рабочие, восстановленные разделы :) со всем содержимым.

clip_image003[1]

Восстановление жестких дисков с неисправным контроллером

Исходные данные

   Разберем ситуацию, когда у жесткого диска вышла из строя электроника (иногда её еще называют платой контроллером).

В примере будет использоваться неисправный винчестер марки Western Digital.

Для остальных марок жестких дисков проводятся подобные оперции для получения доступа к информации.

Инструменты

Для того чтобы восстановить данные в такой ситуации, нам понадобится специальный набор отвёрточек, воздушная паяльная станция, донор с таким же исправным контроллером, немножко мастерства пайки.

Наши инструменты:

- Пинцет .

- Воздушная паяльная станция.

clip_image012

- Специальный набор отверточек.

clip_image013

- Исправный контроллер (снимается с исправного жесткого диска такого же семейства)

- Прямые руки и незамутненный МосК.

События

Сами мы палить ничего не будем, используем то обстоятельство, что к нам в лабораторию принесли на восстановление данных жесткий диск с электрической проблемой .

clip_image014

Техника безопасности

     1) Во время пайки воздушной паяльной станцией, обеспечьте себе пожаротехническую безопасность, не наводите поток горячего воздуха на себя или других людей, выключайте станцию сразу после пайки.

     2) Не повредите, перегрейте микросхему ПЗУ.

     3) Если не уверены или не умеете работать паяльником, обратитесь к профессионалам.

Процесс восстановления жесткого диска.

С помощью отвертки (звезда № T8) из набора , снимаем контроллер.

clip_image015

С внутренней стороны видим проблему (прогорела насквозь микросхема управления двигателем)

clip_image016

Находим глазами ПЗУ (постоянное запоминающее устройство).

clip_image017

Берем аналогичный исправный контроллер (снимаем его с исправного винчестера — донора).

С помощью термовоздушной паяльной станции пересаживаем микросхему ПЗУ с неисправного контроллера на исправный.

clip_image018

clip_image019

Зачем это нужно? Дело в том, что почти у всех современных винчестеров есть свои уникальные настройки (адаптивные параметры , карта головок, фирмварь и т.п) и находятся они в ПЗУ на платах управления. Именно поэтому просто замена контроллера, для оживления неисправного диска, не помогает, поэтому мы перепаивали  ПЗУ с родными настройками на исправную электронику.

Смело ставим контроллер на нашего пациента, включаем и получаем ЖИВОЙ винчестер без утерянных данных :)

clip_image020

Подключаем его и сливаем всю необходимую информацию.

clip_image021

Пример другой микросхемы памяти (в данном случае флэш-память), которую необходимо перепаивать для получения доступа к информации.

clip_image022

Восстановление данных с внешнего сетевого RAID массива

Исходные данные

Итак, мы имеем внешний сетевой диск объёмом 1Тб, на который складывалась масса ценной информации нескольких отделов одной крупной киевской компании.  В какой-то момент времени он просто перестал подавать признаки жизни. Естественно, считывание информации с него было невозможным. Наша задача — выяснить неисправность сетевого хранилища, при возможности привести его в чувство, или при невозможности — вытащить из него максимум данных.

clip_image023

Инструменты

Для восстановления данных с такого сетевого массива нам понадобится   1-н компьютер с предустановленными на него несколькими  программами указанными ниже, 1-н жесткий диск размером 1Тб (для сохранения на него образа), 3-и жестких диска равных размерам наших пациентов (для бэкапа и в качестве запасного).

Программа HDD Scan , WinHEX и UFS Explorer PRO.

Техника безопасности

  Никаких манипуляций с исходными жесткими дисками (установленными в коробочку) ни в коем случае проводить не стоит, чтобы не ухудшить состояние общего Raid массива. С них необходимо сделать копии (клонировать) и работать исключительно с этими копиями.

Процесс восстановления данных.

Разбираем внешний сторэдж, (имейте ввиду он на защелках, не поломайте их), выкручиваем из него оба жестких диска ( в нашем случае марка жестких дисков Western Digital, объем каждого по 500Гб.

clip_image024

Подключаем жесткие диски к компьютеру и делам анализ их общего состояния. Тестируем программами типа HDD scan или MHDD .

Анализ показал, что у обоих дисков есть изрядное число бэд-блоков, что, видимо, и стало причиной выхода из строя сетевого хранилища (развала raid) .

Теперь наша задача клонировать ВСЕ дисковое пространство обоих дисков на 2-а живых других винчестера.

Что мы и делаем программой WinHEX . Обязательно нужно указать, что бэды игнорировать.

clip_image025

Итак, мы теперь имеем 2-а КЛОНА, но это еще только НАЧАЛО работы. Надежды на то, что поставив эти живые диски в коробку внешнего сетевого хранилища и он сам по себе заведется и отдаст данные — нет, так как такие хранилища привязываются к паспортным данным своих родных дисков :( .

Итак, приступаем к ВИРТУАЛЬНОЙ сборке рейда на компе.

1-ое — необходимо знать, что если ОБЩИЙ наш объем хранилища составлял 1Тб, а в середине установлено 2-а диска по 500 Гб, то это означает, что у нас только 2-а возможных варианта Raid-а, либо: stripe — чередование, либо jbod — последовательное соединение.

Давайте подключим оба наших "клона" и проанализируем, какой тип Raid массива у нас имеется, заодно узнаем, какая файловая система стояла на сетевом хранилище.

Итак, открываем WinHex-ом оба диска и смотрим:

clip_image026

Файловая система Ext3 (такая, как у Linux based систем)

clip_image027

У второго диска в начале тоже самое, что и у первого, а вот последний раздел не определен. Делаем вывод, что первые три раздела (в том числе и swap) зеркально отображены на обоих дисках, что логично, так как они запускают и монтируют сетевой сторадж в сеть, и являются предустановленными по умолчанию. А вот последний раздел у обоих винчестеров разный. Путем несложного анализа последних разделов у обоих дисков можно легко определить чередуются у нас блоки или нет. В нашем конкретном случае оказалось, что нет блочного чередования (страйпа), а обычное последовательное соединение jbod режим.

Теперь давайте, определим порядковый номер сектора первого диска, на котором заканчивается инфа. Важно знать, что это ни в коем случае не последний рабочий сектор всего диска, любая файловая система всегда оставляет в конце небольшой запас.

Прыгаем курсором в самый конец, видим нули (что означает незаполненное место), набираем поиском "искать любой на выбор символ", делаем поиск вверх и находим:

clip_image028

Запоминаем номер последнего заполненного сектора:  № 976767928.

Зная, что наша программа сборки виртуального raid (UFS Explorer Pro) позволяет только указывать сколько секторов необходимо откусить от конца, выполняем математический расчет. Всего секторов у первого диска  минус кол-во занятых секторов диска: (976773168 — 976767928)-1 = 5239 секторов.

Осталось теперь у второго диска клонировать только необходимую для склейки часть.

Надеюсь понятно, что сектор, с которого начинается последний не зеркальный раздел есть началом второго куска нашего общего JBOD-а.

Смотрим на номер сектора и запоминаем его:

clip_image029

Теперь подключаем к компьютеру третий диск 500 Гб для клонирования на него жбодового раздела.

Делаем клонирование, обратите внимание на начальный сектор, который мы указываем как стартовый (он будет 0-ым на нашем новом винчестере)

clip_image030

clip_image031

Все теперь осталось виртуально собрать полностью РЭЙД систему.

Для этого мы воспользуемся хорошей программой UFS Explorer Pro, так, она не просто позволяет виртуально собирать рэйды, а и анализировать диски ЛЮБЫХ файловых систем (в том числе Ext3)  на предмет потерянных разделов.

Запускаем программу, выбираем — собрать виртуальный raid :

clip_image032

Теперь выбираем наш первый диск в рэйде, потом выбираем 2-ой диск в рэйде, который будем прибавлять (наш последний клон-раздел), выбираем режим JBOD, указываем (откусываем) от конца 1-го диска 5239 секторов (незанятые разделом сектора) и нажимаем построить:

clip_image033

Далее мы видим наш собранный Raid, ставим поиск на нем утерянных разделов:

clip_image034

Получаем результат:

clip_image035

Наш 1Тб-ый, живой раздел :)

Открываем его :

clip_image036

А вот и наши данные, которые люди хранили на сетевом хранилище :)

Итак, остаётся эти данные скопировать на локальный жесткий диск.

clip_image037

Не забывайте, что у нас заготовлен 1Тб жестких диск, на который можно полностью скопировать содержимое внешнего raid диска.

Восстановление данных с СД или ДВД дисков методом Гоп-Свопа.

Исходные данные

  Наиболее часто проблемы с чтением данных с компакт-дисков или ДВД-дисков возникают, когда портится файловая система диска. Такое может происходить, когда запись на диск незафинализирована или лазерная головка СД-РОМА не может прочитать служебную часть диска из-за механических повреждений (царапин, помутнений и т.д)

  Возмем для восстановления ДВД-диск на который была произведена запись с видео-камеры, но диск на обычных компьютерах оказался нечитаемым. ( В дальнешем мы определили что видео-камера портила почти все диски, и записи уже неудавалось прочитать.)

Также для восстановления возьмем обычный привод DVD-RW Asus.

clip_image038

Инструменты

DVD-RW Asus, рабочий компьютер, программа Winhex, программа UFS Explorer Pro, болванка аналогичного типа с правильно записанной сессией.

Техника безопасности

1)  Всегда есть вероятность повредить привод DVD-RW, поэтому 5-ть раз подумайте прежде чем делать такую операцию самостоятельно.

2) Когда будете сдёргивать болванку , смотрите чтобы она не улетела кому-то в глаз.

Процесс восстановления данных.

Разбираем привод чтения дисков. Достаточно снять с него верхнюю крышку. ДВД-Ром должен оставаться работоспособным.

clip_image039

От снятой верхней крышки отрываем наклеку и вынимаем прижимной магнить для компакт-дисков.

clip_image040

clip_image041

Устанавливаем РАБОЧИЙ DVD-диск в привод , прижимаем верхней крутящейся тарелкой-магнитом. (Она нужна для того, чтобы при вращении диска на моторе, он не улетал )

clip_image042

clip_image043

Подключаем привод к компьютеру таким образом, чтобы к нему был хороший доступ, ставим в него живой DVD-диск.

clip_image044

Загружаем систему Windows, заходим на логический диск (DVD) , смотрим на информацию (проверяем чтение данных с диска).

И теперь ВНИМАНИЕ , нужно будет аккуратно сдёрнуть двумя пальцами вращающийся диск на гарячую (Hot-Swap в дальнейшем Гоп-Своп). И быстро установить туда нашего "пациента" ( нечитающийся DVD-диск) вместе с прижимным магнитом, чтобы не улетал.

Естественно, что файловую структуру на повреждённом диске мы тут же не увидим, и ничего скопировать не сможем, но мы можем сделать образ дискового пространства при помощи WinHex, что и сделаем.

clip_image045

Теперь мы будем искать все файлы (видеосюжеты) по заголовкам , для этого запускаем, знакомую нам программу, UFS Explorer Pro.

Открываем наш файл-образ:

clip_image046

Запускаем "сырое" сканирование:

clip_image047

"Сырое" сканирование потерянных файлов, это режим восстановления по заголовкам (уникальным сигнатурам). В результате такого сканирования , программа Вам покажет все ТИПЫ файлов, которые она смогла найти. Названий файлов и структуры каталогов НЕ БУДЕТ.

clip_image048

Так-как нам дали задание найти утерянные видео-файлы, снятые видеокамерой, то, скореее всего, расширение у таких файлов будет или VOB или MPG, или  другой подобный формат.

В нащем случае оказались файлы с расширением mpg.

clip_image049

Теперь эти видеофрагменты можно скопировать, назвать удобными именами, и проверить.

Эта методика подходит и в тех случаях , когда был удален файл или была записана новая сессия сверху, или был поврежден или переписан ТОС диска.

Power management software (Lansafe)

Предлагаемая система управления предназначена для корректного отключения серверов, подключенных к одному UPS-устройству без использования сетевых карт управления APC при отключении подачи электропитания.

Для предотвращения потери и повреждения данных в случае длительного отключения электропитания система выполняет последовательное контролируемое завершение работы всех компьютеров и приложений, защищенных ИБП.

В систему входят контроллер управления и клиенты. Из всей группы серверов, подключенных к UPS-устройству, выбирается сервер, на который предполагается установить контроллер системы (обычно это сервер, который не должен отключаться дольше остальных), а на остальные серверы устанавливается клиентская часть системы.

Основные моменты, на которые надо обратить внимание при развертывании системы следующие:

- производится подключение управления UPS-устройством к серверу, выбранного контроллером системы управления (по USB- или RS232- интерфейсу).

Примечание: следует иметь в виду, что для определения операционной системой UPS, подключенного через COM-порт, потребуется перезагрузка;

- после появления устройств (Batteries и APC USB UPS) в диспетчере управления, можно приступать к расстановке приложения на серверы;

- перед установкой приложения необходимо удалить любое другое ПО для управления UPS (например, PowerChute);

- порядок инсталляции имеет значение – сначала устанавливается контроллер, затем клиенты;

- после переустановки контроллера, переустановке подлежат все клиенты;

- на контроллере индивидуально для каждого клиента выставляется время (т.н. Countdown), по истечении которого активируется процесс отключения серверов (System shutdown);

- далее, с учетом особенностей каждого сервера, выставляется время, необходимое им для полного завершения процесса отключения;

Примечание: время работы на батареях выбирается индивидуально для каждого сервера, с учетом его необходимости и полезности: например, домен-контроллер отключается одним из последних, файл-сервер в первую очередь, и т.д. – всё определяется особенностями работы серверов в каждом офисе индивидуально.

При таком распределении времени работы на батареях удастся обеспечить максимально продолжительное время работы для критически важных серверов, которое с каждым отключенным сервером будет возрастать;

- последним начинает процедуру отключения сервер с установленным на нем контроллером UPS-устройства, и спустя время, отведенное на отключение сервера, выключится сам UPS.

Система управления предназначена для работы с UPS производства компаний Eaton, Powerware, но поддерживает основные параметры UPS других производителей (т.е. наличие-отсутствие-величину входного напряжения, правильный отсчет заданного времени, корректная отправка серверов на завершение работы), в том числе SMART-UPS производства компании APC. Если какая-либо из функций у «сторонних» UPS отсутствует, либо ее параметры не распознаются, то в интерфейсе она не неактивна – это нормально и не является неисправностью. Основную свою задачу – отключить сервера при отсутствии сетевых карт управления APC, система выполняет.

Recipient Administrator и как ограничить его права Exchange 2007

Суть проблемы в следующем. Роль администратора получателей имеет область применения на всю организацию Exchange. Иными словами, администратор может создать пользователя с почтовым ящиком в любом хранилище почтовых ящиков любого сервера Exchange 2007. Более того, зачастую этот пользователь не обладает правами recipient administrator на уровне всей организации, но например, является администратором дочернего домена, которому делегированы права Exchange Server Administrator для управления серверами, развернутыми в этом домене, и Exchange View-Only Administrator для просмотра информации об объектах организации Exchange

До последнего времени у меня не было ответа на этот вопрос. Давайте разберемся, в чем проблема

Для эффективного управления получателями у учетной записи администратора должны быть права, описанные в статье technet

В этом случае при создании почтового ящика у пользователя меняются ряд атрибутов, и проконтролировать — какие именно значения примут эти атрибуты не представляется возможным. Кроме того, при создании почтового ящика, меняется атрибут объекта хранилища почтовых ящиков, а именно HomeMDBBL. Этот атрибут содержит список Distinguished Names всех пользователей, чьи почтовые ящики располагаются в этом хранилище. Однако этот атрибут модифицируется независимо от того, есть ли у пользователя права на изменение этого свойства хранилища, или нет. Более того, администраторы получателей такого права не имеют

clip_image001

Так как же нам решить поставленную задачу? Как разрешить администратору создавать почтовые ящики только в определенных хранилищах?

Ответ такой. Для этого необходимо в явном виде запретить этим пользователям или группам пользователей видеть хранилища почтовых ящиков, где они не должны иметь возможность создания ящиков (Deny — Read). Следует отметить, что поддерживать данную схему достаточно сложно, особенно при большом количестве серверов и хранилищ. Создание каждого нового хранилища будет сопряжено с дополнительными дейтствиями по назначению соотвествующих разрешений.  Кроме того, сложно сказать — насколько данное решение будет поддерживаемым. Для больших организаций, как правило, это немаловажный аргумент

Удаление с зараженной машины worm DOWNAD (kido)

Оcтанавливаем  службу сервера "sc stop lanmanserver" или по методике в самой статье (через управление службами)

Останавливаем службу  планировщика заданий "sc stop schedule".
Отключаем запуск службы планировщика заданий regedit —> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\Start параметр Start=4,

clip_image001

закрываем редактор реестра и после этого обязательно перезагружаемся.
4. Загрузите обновление для системы безопасности 958644 (MS08-067) и установите его вручную. Дополнительные сведения см. на следующем веб-узле корпорации Майкрософт (на английском языке):  
http://www.microsoft.com/rus/technet/security/bulletin/MS08-067.mspx Примечание. Этот узел может быть заблокирован из-за заражения вредоносными программами. В этом случае необходимо загрузить обновление на компьютер, который не заражен, и переместить файл обновления на зараженный компьютер. Рекомендуется записать обновление на компакт-диск, потому что повторная запись на такой диск невозможна. Следовательно, он не может быть заражен. Если устройство записи компакт-дисков недоступно, единственным способом скопировать обновление на зараженный компьютер может оказаться переносное USB-устройство памяти. При использовании съемного носителя следует помнить, что вредоносная программа может заразить его с помощью файла Autorun.inf. Если устройство памяти можно перевести в режим только для чтения, обязательно сделайте это после записи обновления на него. Обычно для этого используется переключатель на корпусе устройства. После копирования файла обновления на зараженный компьютер следует проверить съемный носитель на наличие файла Autorun.inf.  
Если такой файл обнаружен, его необходимо переименовать, например, в Autorun.bad, чтобы при подключении носителя к компьютеру этот файл не был запущен.  
Все пароли локального администратора и администратора домена необходимо заменить новыми надежными паролями.  
5. Найдите и выберите следующий подраздел реестра:  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost  
В области сведений щелкните правой кнопкой мыши параметр netsvcs и выберите команду Изменить.  
Перейдите к нижней части списка. Если компьютер заражен червем Conficker.b, в нижней части списка появится случайное имя службы. В данном случае пусть, например, вредоносная служба имеет имя "wdlsct". Обратите внимание на имя вредоносной службы. Эта информация потребуется впоследствии при выполнении процедуры устранения червя.  Удалите строку, которая содержит ссылку на вредоносную службу. Убедитесь в том, что под последней допустимой записью в списке остается пустая строка, затем нажмите кнопку ОК.

Внимание стандартно последний параметр в этом ключе: WmdmPmSN

clip_image002
6. Ограничьте разрешения для раздела реестра SVCHOST, чтобы его нельзя было перезаписать.  
Щелкните правой кнопкой мыши подраздел Svchost и нажмите кнопку Разрешения.  
В диалоговом окне Элемент разрешений для SvcHost нажмите кнопку Дополнительно.  
В диалоговом окне Дополнительно нажмите кнопку Добавить.  
В диалоговом окне Выбор: пользователи, компьютеры и группы введите значение "Все" и выберите команду Проверить имена.  Нажмите кнопку ОК.  
В диалоговом окне Элемент разрешений для SvcHost выберите пункт Только этот раздел из списка Применить к, затем установите флажок Запретить для элемента разрешений Установить значение.  
Дважды нажмите кнопку ОК.  
На запрос системы безопасности ответьте Да.  
Нажмите кнопку ОК.  
При выполнении предыдущей процедуры нужно было обратить внимание на имя вредоносной службы. В данном примере ее имя "wdlsct". С учетом этого выполните указанные ниже действия.  
В редакторе реестра найдите и выберите подраздел реестра, содержащий вредоносную службу с именем Имя_вредоносной_службы:  
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wdlsct
В области переходов щелкните подраздел правой кнопкой мыши и выберите пункт Разрешения.  
В диалоговом окне Элемент разрешений для SvcHost нажмите кнопку Дополнительно.  
В диалоговом окне Дополнительные параметры безопасности установите флажки:
Наследовать от родительского объекта применимые к дочерним объектам разрешения, добавляя их к явно заданным в этом окне.
Заменить разрешения для всех дочерних объектов заданными здесь разрешениями, применимыми к дочерним объектам
Нажмите клавишу F5, чтобы обновить редактор реестра. В области сведений теперь можно просматривать и редактировать вредоносную библиотеку DLL, которая загружается как "ServiceDll". Для этого выполните действия, описанные ниже.  
Дважды щелкните параметр ServiceDll.  
Обратите внимание на путь к указанной библиотеке DLL. Эти сведения потребуются далее в этой процедуре. Например, путь к указанной библиотеке DLL может быть следующим:  
%SystemRoot%\System32\emzlqqd.dll.  
Измените ссылку, чтобы она выглядела следующим образом:  
%SystemRoot%\System32\emzlqqd.old
Нажмите кнопку ОК.  
7. Удалите запись вредоносной службы из подраздела реестра Run. В редакторе реестра найдите и выберите следующие подразделы:  
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
В обоих подразделах найдите параметр, имя которого начинается с "rundll32.exe", обращающийся к вредоносной библиотеке DLL, которая загружается как "ServiceDll", обнаруженной в действии 6. Удалите параметр.  
Закройте редактор реестра и перезагрузите компьютер.  
Это самое главное, все остальное в приведенной статье….
После очистки включить назад  службу сервера "sc start lanmanserver"
Восстановите разрешения по умолчанию для раздела реестра SVCHOST.  
Установите на компьютер все недостающие обновления для системы безопасности. Для этого используйте центр обновления Windows, сервер служб WSUS, сервер SMS, диспетчер System Center Configuration Manager (SCCM) или программный продукт для управления обновлениями стороннего производителя. При использовании сервера SMS или диспетчера SCCM необходимо сначала включить службу сервера. В противном случае, возможно, не удастся выполнить обновление системы с их помощью.  
Здесь уже только мои дополнения …
Кроме того находим и удаляем HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_wdlsct
clip_image003
Повторяем шаги 5 и 7 для всех ControlSet001 (ControlSet002 и т.д.)
Приведенная методика не является догмой, возможны решения и получше
командная строка "dir %systemroot%system32 /A:H" -  dll которая имеет скрытое имя и выглядит странно  (обычно смесь букв) это он и есть (к примеру ghbvd.dll) 
Поскольку как показывает практика "на антивирусы надейся, а сам не плошай", а вирус кидо ещё тот случай.

Настройки RIS сервера и файлы ответов без инсталляции эталонных машин (для XP)

Данный метод обладает универсальностью и помогает избежать клонирования эталонных машин, конфигураций которых может быть множество.

Рабочая конфигурация успешно мной протестирована и работает на RIS сервере.

По всем вопросам обращайтесь ко мне, предварительно прочитав RTFM по автоматической установке на http://www.oszone.net/2747/ и http://unattended.msfn.org/unattended.xp/page/list/switch/ . Данная информация носит ознакомительный характер и не может быть “copy-paste”, в связи с разными конфигурациями RIS серверов и различными настройками ПО.

1. Поднимаем роль сервера Deployment Service, в режиме mixed (с использованием RIS)

2. Создаем образ системы с установочного диска Windows

3. Переводим режим работы RISàDeployment в mixed mode

4. Создаем папку $oem$ в \reminst\Setup\Russian\Images\WINDOWS, папка необходима для пака драйверов и инсталляции софта, а также ключей реестра

5. В папке $oem$ создаем папки: $1 – содержимое которой будет скопировано в системный диск на инсталлируемый компьютер, $$ — содержимое которой будет скопировано в системную папку Windows. Пути к данным папкам прописываются в файле ответов *.sif

clip_image002

6. Пример файла ответов *.sif:

[data]

floppyless = «1″

msdosinitiated = «1″

OriSrc = «\\%SERVERNAME%\RemInst\%INSTALLPATH%\%MACHINETYPE%»

OriTyp = «4″

LocalSourceOnCD = 1

AutoPartition = 0 – отключение автоматической разбивки диска

[SetupData]

OsLoadOptions = «/noguiboot /fastdetect»

SetupSourceDevice = «\Device\LanmanRedirector\%SERVERNAME%\RemInst\%INSTALLPATH%»

[Unattended]

OemPreinstall = Yes

OemPnPDriversPath = «drivers\000_inf;drivers\001_lan;drivers\002_acpi;\drivers\003_video» – путь к папке с драйвей-паками

DriverSigningPolicy = Ignore

FileSystem = LeaveAlone

ExtendOEMPartition = 0

TargetPath = \WINDOWS

OemSkipEula = yes

InstallFilesPath = «\\%SERVERNAME%\RemInst\%INSTALLPATH%\%MACHINETYPE%»

LegacyNIC = 1

[UserData]

FullName = «%USERFIRSTNAME% %USERLASTNAME%»

OrgName = «%ORGNAME%»

ComputerName = %MACHINENAME%

ProductKey=XXXXX-XXXXX-XXXXX-XXXXX-XXXXX — ключ продукта

[RegionalSettings] – региональные настройки

LanguageGroup = 1,5

SystemLocale = 00000419

UserLocale = 00000419

InputLocale = 0409:00000409,0419:00000419

[GuiUnattended]

OemSkipWelcome = 1

OemSkipRegional = 1

TimeZone = %TIMEZONE%

AdminPassword = «s21n01″ – пароль локального администратора

[Components] – отключение встроенных игр

freecell=off

hearts=off

minesweeper=off

pinball=off

solitaire=off

spider=off

zonegames=off

[Display]

BitsPerPel = 16

XResolution = 800

YResolution = 600

VRefresh = 60

[Networking]

[NetServices]

MS_Server=params.MS_PSched

[Identification]

JoinDomain = %MACHINEDOMAIN%

DoOldStyleDomainJoin = Yes

[RemoteInstall]

Repartition = No

UseWholeDisk = Yes

[OSChooser]

Description=»Windows Professional»

Help=»Будет выполнена установка Windows Professional в стандартной конфигурации.»

LaunchFile=»%INSTALLPATH%\%MACHINETYPE%\templates\startrom.com»

ImageType=»Плоский»

7. Это все, что необходимо для голой установки Windows

8. Установка с программным обеспечением и импортом веток реестра включает в себя создание в папке

$oem$  папки с дистрибутивами:

clip_image003

clip_image005

9. Также необходимо в папке $oem$ создать 2 файла  cmdlines.txt и start.cmd

Примеры файлов ответов à

cmdlines.txt листинг:

[COMMANDS]

«start.cmd»

start.cmd листинг(красным помечены комментари):

ECHO.

ECHO Installing Symantec Endpoint Protection 11 for internal server of elar

ECHO Please wait…

start /wait %systemdrive%\Distr\sep\setup.exe /S /v» /qn»

ECHO.

ECHO Installing Locale win-1251 – установка локальных параметров для некоторых программ, кодировка с_1251

ECHO Please wait…

REGEDIT /S %systemdrive%\Distr\locale.reg

ECHO.

ECHO Installing Office 2003

ECHO Please wait…

start /wait %systemdrive%\Distr\OFFICEPRO2003RUSSP3\setup.exe /qb

REM ECHO.

REM ECHO Installing Reg Key – импорт лицензионного ключа для офиса, отключается при необходимости

REM ECHO Please wait…

REM REGEDIT /S %systemdrive%\Distr\office-key-lic.reg

ECHO.

ECHO Installing ACDSee5.0

ECHO Please wait…

start /wait %systemdrive%\Distr\ACDSee_5.0\ACDSee50PowerPack.exe /s /v»/qn USERNAME=USER SLL_LICENSENUMBER=000-000-000-000-000-000AgreeToLicense=Yes

ECHO.

ECHO Installing Acrobat reader 7.05

ECHO Please wait…

start /wait %systemdrive%\Distr\AR705.exe /s /v» /qn»

ECHO.

ECHO Installing Total Commander 6.54

ECHO Please wait…

start /wait %systemdrive%\Distr\TC6.54.exe /S /D=C:\Program Files\Total Commander

ECHO.

ECHO Installing WinRAR 3.61

ECHO Please wait…

start /wait %systemdrive%\Distr\WinRAR.v3.61.exe /s

ECHO.

ECHO Stoping services – остановка и выключение ненужных сервисов, типа Обозреватель компьютеров

ECHO Please wait…

REGEDIT /S %systemdrive%\Distr\service.reg

ECHO Installing .NET Framework v1.1 SP1

ECHO Please wait…

start /wait %systemdrive%\Distr\dotnetfx1.1.exe /Q

ECHO Installing .NET Framework v2.0

ECHO Please wait…

start /wait %systemdrive%\Distr\dotnetfx2.0.exe /q:a /c:»install.exe /qb»

ECHO Installing security policy forNET Framework 1.1 and 2.0

ECHO Please wait…

start /wait %systemdrive%\Distr\dotnet-pol\1_1_secpol.msi

start /wait %systemdrive%\Distr\dotnet-pol\2_0_secpol.msi

ECHO.

ECHO Wang installing

ECHO Please wait…

REGEDIT /S %systemdrive%\Distr\wang.reg

ECHO.

ECHO SQL server patch installing

ECHO Please wait…

REGEDIT /S %systemdrive%\Distr\SQL-Fobos.reg

ECHO.

ECHO Delete Labels – удаление ярлыков из автозагрузки (если пути на-русском файл дожжен быть сохранен в oem-866)

ECHO Please wait…

DEL /F /Q «%AllUsersProfile%\Главное меню\Программы\Автозагрузка\Ускоренный запуск Adobe Reader.lnk»

DEL /F /Q «C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка\Total Commander.lnk»

Пример файла service.reg:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AudioSrv]

«Start»=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WZCSVC]

«Start»=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]

«Start»=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]

«Start»=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Browser]

«Start»=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Themes]

«Start»=dword:00000004

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]

«Start»=dword:00000004

Удаление из схемы AD неудачно пониженного домена

Случилось!!! Беда!!! Караул!! «Упал» домен-контроллер, единственный домен контроллер!

В структуре леса этот домен  был дочерним.

Что делать?

Думаю, этим вопросом задавались многие системные администраторы.

Контроллер был единственным и бекапа нет и не было.

Подумали и решили упразднить этот домен, что бы потом поднять другой… но это потом.

На самом деле все просто!!!

Есть замечательная утилита — ntdsutil

Итак поехали.

Дано:

структура

.local

— domain

—— dep

—— group

—— fail

Домен fail нужно удалить из схемы.

C:\WINDOWS>ntdsutil

ntdsutil: metadata cleanup

 

metadata cleanup: connections

 

server connections: connect to server server.domain.local (подключиться необходимо к хозяину схемы)

 

Привязка к server.domain.local

Подключен к server.domain.local с помощью учетных данных локального пользователя.

 

server connections: quit

 

metadata cleanup: select operation target

 

select operation target: list domain

 

Найдено доменов: 4

0 — DC=domain,DC=local

1 — DC=dep,DC=domain,DC=local

2 — DC=group,DC=domain,DC=local

3 — DC=fail,DC=domain,DC=local

 

select operation target: select domain 3

Нет текущего сайта

Домен — DC=fail,DC=domain,DC=local

Нет текущего сервера

Нет текущего контекста именования

 

select operation target: quit

 

metadata cleanup: remove selected domain

DsRemoveDsDomainW ошибка 0×2015(Служба каталогов может выполнять эту операцию только на оконечном листовом объекте.)

 

Что же делать?

metadata cleanup: quit

ntdsutil: Domain management

 

domain management: connections

Подключен кserver.domain.local с помощью учетных данных локального пользователя.

 

server connections: quit

 

domain management: list

Примечание. Имена разделов каталога, содержащие знаки международного набора и Юникода, будут отображены правильно только в том случае, если загружены соответствующие шрифты и файлы поддержки языка

 

Найдено 11 контекстов именования

0 — CN=Configuration,DC=domain,DC=local

1 — CN=Schema,CN=Configuration,DC=domain,DC=local

2 — DC=DomainDnsZones,DC=dep,DC=domain,DC=local

3 — DC=domain,DC=local

4 — DC=dep,DC=domain,DC=local

5 — DC=group,DC=domain,DC=local

6 — DC=fail,DC=domain,DC=local

7 — DC=DomainDnsZones,DC=group,DC=domain,DC=local

8 — DC=ForestDnsZones,DC=domain,DC=local

9 — DC=DomainDnsZones,DC=fail,DC=domain,DC=local

10 — DC=DomainDnsZones,DC=domain,DC=local

 

 

domain management: delete NC DC=DomainDnsZones,DC=fail,DC=domain,DC=local

Операция выполнена успешно. Раздел помечен для удаления из сети предприятия. Он

будет удален через некоторое время в фоновом режиме.

 

Примечание. Не создавайте еще один раздел с тем же именем до тех пор, пока серверы, использующие этот раздел, не получат возможность удалить его. Это произойдет, когда информация об удалении раздела будет реплицирована по лесу и серверы, использующие раздел, удалят все содержащиеся в нем объекты. В полном удалении раздела можно убедиться с помощью журнала событий каталога на каждом из серверов.

 

И далее по первому пункту:

domain management: quit

 

ntdsutil: metadata cleanup

 

metadata cleanup: select operation target

 

select operation target: list domain

Найдено доменов: 4

0 — DC=domain,DC=local

1 — DC=dep,DC=domain,DC=local

2 — DC=group,DC=domain,DC=local

3 — DC=fail,DC=domain,DC=local

 

select operation target: select domain 3

Нет текущего сайта

Домен — DC=fail,DC=domain,DC=local

Нет текущего сервера

Нет текущего контекста именования

 

select operation target: quit

 

metadata cleanup: remove selected domain

«DC=fail,DC=domain,DC=local» удалена с сервера «server.domain.local»

 

Разработка NewWpThemes.com  |  WordPress шаблоны