救命，将被女朋友骂死了！！！

bsmile

女朋友的机器中了MBR的毒，我自告奋勇地给她解毒，没想到反而使得系统没法启动，这几天真是生活在水深火热中啊。。。。。。

我用了 DiskGenius检查了垮掉的C盘,很幸运的是发现所有的文件都还在，只是在“我的计算机“下看到的是C盘为raw。于是仔细看了 DiskGenius的介绍发现这属于分区表被破坏的情况，只要将分区表恢复就可以了。于是我先查了一下目标盘的分区表，很正确地找到两个分区，且文件目录都非常正确，于是我就保存了分区表。在DiskGenius内部两个盘都正常地显示出来，可是在“我的计算机“下C盘仍显示为raw。我不管那么多重新启动了系统，结果系统显示：

windows could not start because the following file is missing or corrupt:
<windows root>\system32\hal.dll.
Please re-install a copy of the above file.

但Ctrl+Alt+Del 组合健仍能正常反应。

上网查了一下，说是有可能boot.ini出错或者hal.dll不见了。我用DiskGenius进C盘找了一下。两个文件都还在。似乎boot.ini的执行没有问题，它的文件内部为

[boot loader]
timeout=3
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

启动时也提示了这两个启动选项，当选择第二个时就出现上边的问题（选择第一个则光标一直在左上角闪）。这里就似乎只有可能hal.dll出错了。我查了一下它文件的大小为134272字节，和我的机器上的相同文件差得不多（有点差异应该可以理解），所以我不太觉得是它的问题，也许更有可能是windows从主引导区跳到分区表时没法子找到C盘的所在，于是报错。

如果是这个原因，那么怎么才能将C盘正确认出来呢？我已经按扫描分区然后保存分区的步骤执行了。然后还能怎么做？非常感谢赐教！！！！

bsmile

似乎参考了这个

3、分区被破坏。

    如果分区没有丢失，在“我的电脑”或“磁盘管理”中能看到分区。但是显示为“未格式化”或打开时提
                               --------------满足条件---------------------          ------显示为raw-------
示需要格式化，或者其它看不到任何文件的情况，说明分区被破坏了。这时需要使用“误格式化后的文
                    ----的确是从操作系统上看不到文件，但从DG能看到---
件恢复”功能。方法是先选中要恢复的分区，然后点击工具栏上的“恢复文件”按钮，弹出“恢复文件”对话框后选择“ 误格式化后的文件恢复”及“格式化前的文件类型”后就可以开始搜索。搜索完成后在主界面中会显示搜索到的文件列表。勾选需要恢复的文件，然后点击鼠标右键，弹出菜单，将文件复制到其它分区。详细说明请参阅软件帮助文档。

也许我一知半解了。。。。

我在另一个帖子中提到了机器感染了MBR病毒。我还没来得及杀这个病毒机器就出了这个问题。这个问题本身并不是病毒的破坏，而是我的胡搞造成的。它自动建立了 helpassistant的账户，然后不断往自动生成的目录里边写东西来缩减硬盘空间降低运行效率。于是我就拼命的删除那个目录。于是在写文件和删文件的竞赛中硬盘本身吃不消了，可能是操作系统本身的读写保护功能并不完善，所以就出错了。我刚开始以为是硬盘坏了，紧张得不行，直到用了DG后能完整地看到整个C盘的东西时才放下心来。然后是怀疑系统分区表被破坏，文件被错误地写了。对于后者，如果能用DG看到每个文件，是不是说每个文件都是完整的？譬如，能将HAL.DLL拷出来是不是就从某个方面说明该文件没问题？当然还有个原因，就是注册表被破坏了，不知可能性有多少。

保存分区表似乎对系统有些影响。刚开始出错时，xp能够出现logo，然后启动进度条完成1/20时系统提示出错（错误信息我忘记了）然后自动重起。执行保存分区表后再启动系统，一执行完boot.ini马上报出HAL.DLL出错并停在那里。看起来很严重，可是还是能用DG看到里边的东西，所以我存着其实并不严重的期待。

我对硬盘的结构不熟，不太清楚重装操作系统能否消除MBR病毒。从网上查到的资料似乎有人重装了但问题仍存在，也许需要低级格式化。我现在还不想重装系统，转移文件出来挺耗时间的，将各种软件装上去也挺耗时间。也许有一个简单的答案呢。在这里，我想问一个问题，DG内部有一个选项，恢复MBR信息，不知道能不能用这个选项去修复我这个硬盘的MBR从而消除那个病毒。同时版主能否告诉我硬盘内的前100个扇区内通常存的是什么东西？有没有存和个人隐私有关的东西，如密码，用户名等等。非常感谢。



3# DGen

3# DGen

bsmile

3# DGen

用CHKDSK时，能否在分区显示为RAW的时候用?

bsmile

建议用“修复MBR“试试！其实一开始你就应该用这个功能，具体可看http://bbs.diskman.cc/thread-839-1-2.html
gtc 发表于 2009-11-25 08:30

谢谢提示，我也很想那么干啊，可是不太敢，因为一旦被修改恐怕很难该回去，然后系统就彻底完菜了。有没有什么备份的方法先备份了前几个扇区？

bsmile

分区变成了 RAW的话。chkdsk是不能运行的。修复MBR不会影响分区数据的。

你的问题我在求助区有过回答。
烟台数据恢复 发表于 2009-11-25 11:16

谢谢，我刚看了你的回答。我为什么会对分区操作我上边做了解释，在我强制删除和病毒不断写入的情况下，系统似乎出了问题，出现死机（鼠标能动，但系统无响应），于是只好强行断电退出，然后重新启动系统则在xp的logo出现后进度条完成1/20时自动重起；通过win pe启动后检查c盘提示属性为raw，整个硬盘显示为没有任何数据。依据这些，我觉得问题的直接原因应该是c盘本身出了错，导致引导系统起不来，因为病毒一直以来并不影响系统的启动。

bsmile

本想通过内置光驱启动DOS然后启用USB来运行DG2.0，努力了两天后终于放弃，原因是使用了usbaspi.sys后根本就认不出USB的存在，那还有什么可说的。于是铆着劲想用DG3.0修改MBR（没法备份）做最后一击，突然想到其实我保留了硬盘的0-100扇区的内容。于是将前几个扇区的内容和DG所看到的内容作个比较，竟然发现了区别，请斑竹给点提示：

所保存的原始记录：如图（怎么加图和附件啊？）

DG3所揭示的内容：
Recovery(D:)  序号 4， 文件系统 NTFS， 标识 07， 起始柱面 0， （起始）磁头  32， （起始）扇区 33， 终止柱面 783， （终止）磁头 96， （终止）扇区 17， 容量 6GB

本地磁盘(C:)  序号 1， 文件系统 NTFS（红色）， 标识 07， 起始柱面 783， （起始）磁头  96， （起始）扇区 18， 终止柱面 9729， （终止）磁头 48， （终止）扇区 31， 容量 68.5GB

从中可以看出，本地磁盘的终止信息和原始的不一样，这也许可以解释为什么hal.dll出错。考虑到这个硬盘的总柱面数为9729，总磁头数为255，每道扇区数为63，即每扇区的字节数为512，DG给出来的信息刚好为68G，和记忆符合，而原始记录才2G（但却给出了正确的扇区数？！）， 这可以理解为是病毒作了修改。这样的话就麻烦了，也许病毒将hal.dll替换成它所带来的，那我就没有办法将其恢复成正确的文件了，可是，按这个逻辑为什么在计算机崩溃前C盘的大小却还是正常显示的呢？

请各位老大帮我看看，需要什么数据我一定提供！

bsmile

原始记录对应的分析结果：
Partition Table Entry #1  序号 ?， 文件系统 NTFS， 标识 12h， 起始柱面 0， （起始）磁头  32， （起始）扇区 33， 终止柱面 783， （终止）磁头 96， （终止）扇区 17， 容量 12582912扇区

Partition Table Entry #2  序号 ?， 文件系统 NTFS（bootable）， 标识 07h， 起始柱面 783， （起始）磁头  96， （起始）扇区 18， 终止柱面 1023， （终止）磁头 254， （终止）扇区 63， 容量 143714480扇区

bsmile

谢谢老大提醒，唉，没注意到高级回复。前0-100扇区数据及分析图示

bsmile

在DG中能否对已恢复（找出）的文件进行查找？譬如，我怀疑原始hal.dll文件有可能被改名为hal.dl_或其他的相似文件保存在某处。。。

bsmile

第二分区的终止柱面 ，磁头，扇区不是都不一样吗？

bsmile

最终还是重装系统了。学到了一点东西，花了一个星期，哎。。。代价似乎太大了

还是觉得是C盘的文件系统认不出来的原因，还真有可能是数据结构出了问题，如果它也能让系统提示C盘为RAW的话。可是，如果DG能很顺利地看到所有的文件，很明显它没有受到各种因素的影响，为什么它不能查看是否C盘的各种相关信息是否正确？！