» Восстановление разделов и информации на HDD (часть 3)

ebbe, ОС не разгоняли? Все милионные значения относятся к критическим параметрам . И если частота ошибок чтения аппаратно вызываются и аппаратно же "лечатся". То частота ошибок при позиционировании блока головок говорит о плохом состоянии механики и/или поверхности жёсткого диска.
А вообще-то это 7200.11 - серия с прошивкой SD15 и этим всё сказано .

Цитата:

ebbe, ОС не разгоняли?

Не гнал, ни чего не делал (если не считать последнии события)
Причем совсем недавно, все было нормально.
Сейчас сохраню что смогу, отфарматируюсь, а там посмотрим.

ebbe,
Цитата:

Причем совсем недавно, все было нормально.

- провоцирующим фактором может быть, что угодно . И как-бы я супер отрицательно не относился к Partition Magic!, здесь пальма первенства за firmware SD15.
Цитата:

а там посмотрим

- может это поможет при рассмотрении вопроса? Удачи,

Доброго времени суток народ!!!
Кто сможет грамотно помочь мне с востановлением данных после вируса "Penetrator".
Конечно сам мудак. Дал жене внешник перекинуть фотки ее систре, а в прричине пропажи страых фоток не стали разбираться. Пришла жена домой, а там кашмарычь.

Далее описание работы вируса.

Цитата:

Происхождение вируса и этимология названия
Название вируса происходит от penetrate (англ.) – проникать внутрь, проходить сквозь, пронизывать; внедряться (куда-л.) со шпионскими целями.
О происхождении вируса ходят разные легенды. Якобы, российский студент-программист, отвергнутый своей девушкой, решил таким образом отомстить ей, а заодно – и всему цифровому миру…

Деструктивные действия вируса
Все .jpg-файлы (.jpg, .jpeg) заменяются .jpg-изображениями (размером 69х15 пикселей; «весом» 3,1КБ) со стилизованной надписью Penetrator (черный шрифт на серовато-белом фоне).

Файлы .bmp, .png, .tiff вирус «не трогает».

Аудиофайлы (.mp3, .wma), видеофайлы (.avi, .mpeg, .wmv), файлы Word (.doc, .rtf), Excel (.xls) и PowerPoint (.ppt) уничтожаются (как правило, просто удаляются, реже их содержимое подменяется другим содержимым, например, у текстовых файлов – матами).
То есть вирус портит всё самое дорогое, что есть у пользователя ПК!
В отличие от широко распространенной легенды, у вируса нет «привязки» к конкретной дате (например, 1 января, 23 февраля или 8 марта), – он начинает свои деструктивные действия сразу после запуска исполняемого файла.
Самая сильная волна эпидемии вируса прошлась по Дальнему Востоку, особенно пострадала Амурская область.

Классификация вируса
Антивирусы идентифицируют зловреда по-разному (как всегда!): например, Panda Antivirus называет его червем W32/Penetrator.A.worm; Антивирус Касперского считает его трояном Trojan-Downloader.Win32.VB…

Как происходит заражение
Средства распространения вируса – Интернет, flash-носители.
Заражение, как правило, происходит во время запуска файла, замаскированного под заставку *.scr, реже вирус «косит» под файлы .mp3.
При заражении во все открываемые папки (и на все подключаемые к зараженному ПК носители) копируется тело вируса в виде файлов имя_папки.scr или имя_папки.exe.

Вот такая беда братци случилось. Жена ревет, сам как на ватных ногах. Единствено что важно для нас это фото. Просто растет сынишка 1.5 года, и все фотки его были убиты этим вирусом. Я бэкапил на DVD фотки, но перед новым годом сынишка добрался до этих дисков, и разломал их, а создать архив заново руки не дошли. Автор вируса конечно мудак, поимал сам порвал как грелку. Но и как говориться все беда в них "В ЖЕНЩИНАХ".
Вот сижу пыхчу как и что.
Easy Recovery не как не востонавливает
R-Studio то же востанавливает толко 5%.
Кто уж грамотен в даном вопросе дайте совет что делать. Или нести куда нибудь винт на востановление.
Зарание благодарен!!!

latip

По всей вероятности информация оригиналов изображений не затерта на винте. А *.jpg-изображения (размером 69х15 пикселей) вновь созданный файлы на винте. Поэтому есть вероятность восстановления ваших фоток(хотя вы и говорите, что "...R-Studio то же востанавливает толко 5%...)
Могу дать совет в направлении поиска. Был такой ПК как ZX-Spectrum. Под него была программа(хакерская), которая дамп памяти "прогоняет" по всей экранной области памяти(в нашем случае - будет экранная область адресации видеопамяти). При прогоне(прокрутке) если хаотические пиксели на экране в определенный момент(если его подловить точно) выстраивались в картинку, то можно сохранить этот участок "выстроенной" памяти в файл-картинку.
Т.е. вам надо найти такую программу. Вы берете какой то участок (дамп) с винта(тут уже придется этот участок вычислить) и "прокручиваете" его посредством этой программы до получения правильной картинки на экране. Но тут есть много НО!. Это то, что по всей вероятности картинки у вас формата *.jpg. А это не фомат битмаповский(*.bmp), где формат изображения строится путем "съема" последовательно пикселей с экрана. А тут сжатый, переработанный формат. Надо что бы программа автоматически преобразовывала(конвертировала) форматы изображения.

А, вообще то, попробуйте еще простой метод с помощью редактора WinHex. Откройте им логический диск на котором хранились ваши фотки и по характерным признакам файла формата *.jpg (его начала и конца) найдите эти дампы в редакторе. Скопируйте и сохраните в файл. Посмотрите что получиться. Это, правда, долго и утомительно. Но не легкая эта работа - из болота тащить бегемота...

latip
Во первых на диск ничего не писать! не подключать к win OS, система только и занимается, что затирает остатки фоток.
Загрузиться с какого нибудь LiveCD, WinPE.
B любой программе восстановления, обычно присутствующем на этом диске, искать в RAW режиме, по типам файлов .jpg все картинки. Скопировать все найденое на другой диск.
Файлы естественно будут без реальных названий и путей, фрагментированные не восстановятся. Но что-то удастся спасти.
Удобно отобрать хорошие в при установке в проводнике вида - эскизы.
Так как длина файлов будет от сигнатуры до сигнатуры jpg, хорошие нужно будет открыть в любом редакторе изображений и пересохранить.

Помогите пожалуйста!

Я смотрю с моим вопросом по поводу уничтожения диска свинуксом (он же говнолинукс, он же программисткое дерьмо) никто не ответил.. В принципе я понял на галимой ext3 вообще восстановить ничего не удастся.. R-Studio вылетает с ошибкой причем после многочасового поиска.. Ну, разумеется я нашёл кучу статей в нете разных умников галимых, о том как всё это устроено и даже какого-то разработчика дистрибутивов утверждающего что восстановление после этого невозможно, так свинукс-ситсема переписывает заголовки файлов вдоль и поперёк.. Прочитал топик по R-Studio и решил рискнуть--форманул эту задротскую файловую систему нафиг партитишен мэджик, разуммеется под ДОС и запустил ту же Р-Студию.. Нашла ещё меньше чем раньше Тогда я выкинул это дерьмо нафиг и поставил давно апробированную мною в этих случаях Recover my files и.. Элементарный быстрый поиск по заголовкам за несколько минут позволил мне восстановить почти все видеофайлы..
Ну что сказать, раздавать торрентом нельзя, кое-где имеются секундные скачки как при
в случае, если нечитающегося ДВД читать участка..Где-то пара секунд на 5 минут, даже на глаз и незаметно.. А что делать, коль сам лох..Перерубились все разделы, не удалились , а именно перебились. Я их снова удалил и единый НТФС поставил .. Картинки и вовсе в основном нормальные. Главное--правильный софт найти.. Одной кнопкой, без тупых и никчёмных мануалов--все как ненавидят линуксоиды, за час мог бы, а убил времени вагон... Впрочем, ценные данные я архивирую обычно..
Сейчас кое-какую многочасовую опцию поставлю, посмотрю не найдутся ли поцелее файлы, но в общем не так страшен чёрт как его малюют.. Конечно, не надо быть полным кретином (вроде дефрагметации и записывания файлов на утраченный раздел)
Кстати, подскажите кто-нибудь прогу, которая записывает как были разбиты разделы и их структуру.. Попадалось, но забыл за ненадобностью, а оказывается нужная вещь..

Помогите пожалуйста! ос виста, жесткий диск 250гб разбит на два равных раздела, после использования внешнего жесткого диска пропал диск E из системы! Что можно предпринять? Пока не вышел на вас, пытался чинить acronis, он пишет: ошибка файловой системы: Битовая карта блоков повреждена

latip, для восстановления графических файлов, программы лучше чем DataRescue PhotoRescue Advanced не знаю. Здесь, в теме есть сообщения об восстановлении данной программой фотографий. Например: 1 -> 2 -> 3. Сам неоднакратно восстанавливал "убитые" фото. Конечно, случаи разные бывают, но метод не деструктивный, т.ч. попробуйте. Описание от Wzor'a:

Цитата:

DataRescue PhotoRescue Advanced v2.1.697 - cамый компактный продукт и при этом одно из самых мощных средств по оперативному восстановлению графических файлов с функцией ручного восстановле-ния, которая позволяет буквально побайтно требуемую информацию для дальнейшего воссоздания единого изображения. Можно также построить график содержимого носителя, где будет визуально оцени-ваться присутствующая в нем информация. Нелишним будет и функция резервного копирования образа диска.
Эта утилита не требует обязательной инсталляции, благодаря этому ее можно постоянно носить с собой на флэш-карточке и оперативно использовать в случае необходимости. Ее интерфейс довольно аскети-чен, но это не вызывает каких-либо неудобств в работе. Существует поддержка девятнадцати языков, в том числе и русского.
Функция ручного восстановления данных Advanced Recovery позволяет буквально по кирпичикам собрать потерянное изображение
В арсенале программы около восьми методов восстановления потерян-ных файлов, которые успешно комбинируются.

Удачи,

rodrigo_f
Зачем так хитро? Берется банально готовая программа типа EasyRecovery в режиме RawRecovery, она ищет по заголовкам... Да, я восстанавливал в WinHex (был убит FAT), но у меня был простейший случай, в данном случае Вы, мягко говоря, замучаетесь искать WinHex'ом . Правда, там есть автотописк по заголовкам, но он не такой совершенный, как в EasyRecovery и т.п.

Ironcast
программисткое дерьмо
Вы о чем? Распространенные дистрибы Линукса самостоятельно ничего не правят: только когда Вы подтверждаете (я проверял на Suse, Mandriva, Slackware).

Одной кнопкой, без тупых и никчёмных мануалов
Понятно, главное не думать (и весь Ваш опыт восстановления в таком стиле). Обычное восстановление по заголовкам, да еще и готовой программой. Не вижу повода для гордости.

purgenco
Можно открыть физический диск в DMDE - прога покажет таблицу с разделами, сделайте скриншот.

latip, если поиск по заголовкам не даст желаемого результата, попробуйте сделать вот что:
В DMDE откройте логический раздел, найдите какую-нибудь попорченную фотку, щелкните на ней - откроется hex-дамп. В меню выберите "Сервис"->"Копировать секторы в...", там в форме - число секторов введите из расчета <размер исходного файла, какой он был до порчи, с небольшим запасом> / 512 (т.е. примерно так: если файл изначально был 5 Мб, то число секторов=5000000/512=9766, округляем до 10000) и сохраните это в файл. Файл - на файлообменник и ссылку сюда или мне по почте. Есть вероятность того, что вирус открывает файлы на запись, ставит указатель в начало, пишет свой автограф и файл сохраняет. В этом случае по сигнатурам найдутся только ранее удаленные файлы. А испорченные можно будет только попытаться починить, если это возможно. Вот возможность этого и попробую выяснить. Естесственно, на диск ничего не писать и не загружаться с него, можно подключить его через USB бокс. Ну об этом уже говорили.

Antech, вот скрины по моей проблеме:

purgenco
ОК, вроде разделы находятся. Теперь необходима более подробная инфа:
1. Картинка таблицы с разделами. На Вашей цифры совершенно не видны. Если какие-то цифры не влезают в столбец таблицы, расширьте столбец. Потом сохраните только само окошко с разделами (область с таблицей на белом фоне) - фоновая картинка Вашего рабочего стола нас сейчас не интересует . Постарайтесь, чтобы все-таки файл был не очень большой, возможно придется по ГПРС скачивать, но цифры должны быть четко видны.
2. Сколько разделов всего было на пострадавшем винте, какие размеры и файловые системы этих разделов? Какой именно раздел пропал?
3. Что значит "пропал раздел"? Он в Управлении Дисками виден? Можно также скрин Управления дисками.
4. DMDE, откройте физический диск. Сервис - Копировать секторы в... файл. Первый сектор 0, Число секторов 100. Файл - на zalil.ru.

latip, можно пока файл не присылать, мне только что такого же пациента принесли . Изучаю...

Antech


Было два раздела по 120гб оба в системе NTFS, пропал раздел DATA Е:
В управлении дисками он виден, но без всяких обозначений и букв



http://slil.ru/26568857

purgenco
А не пробовал в управлении дисками назначить букву разделу?

purgenco
Фишка не в том, чтобы заменить фоновую картинку белым фоном. А в том, чтобы показать только таблицу с разделами (которая на белом фоне в окне DMDE). И цифры опять не видны (обратите внимание на многоточия, там нужные значения).

Лазили в разделы Partition Magic'ом? В таблице разделов партмагоидный глюк. Т.к. с картинкой у нас не получается, давайте посмотрим дампы. Пожалуйста, сделайте еще один дамп (файл "sectors.ima"), но задайте Первый сектор 3074048 (Число секторов 100). И еще такой дамп: Первый сектор 246786047 (Число секторов 100).
Дело в том, что размер второго раздела (Vista) в таблице задан слишком большим, и второй раздел налезает на третий раздел: последний сектор второго раздела == 246790529, первый сектор третьего раздела: 246786048. В то же время, DMDE видит копию бутсектора второго раздела в секторе 246786047, а это именно тот сектор, где должен был заканчиваться второй раздел. Дампы помогут локализовать глюк: таблица разделов или таблица + бутсектор +... И, возможно, удастся исправить ошибку(и).

Sish
Пробовал, выдает такую ошибку

Antech
Еще раз две картинки


И два файла
http://slil.ru/26569959
http://slil.ru/26569961
Все произошло после подключения съемного жесткого диска. Я перезагрузил комп не вынимая его из usb , и комп сделал что то вроде перезаписи тома и раздел DATA Е: стал невидимым



Добавлено:
Partition Magic'ом не лазил, но Acronis ом пытался что то исправить, но безрезультатно

purgenco
Советуемые в информационной мессаге действия делал? Из-под LiveCD содержимое этого раздела отображается?

Sish
Да все продел, эффекта 0. Как открыть или где взять LiveCD?

purgenco

Цитата:

Как открыть или где взять LiveCD?

Готовые сборки - здесь, тема по сборкам - здесь

latip, вот результат исследований:
Вирус похоже действует следующим образом: ищет файл, запоминает имя, удаляет файл, создает новый с тем же именем и своим содержимым. При этом с большой вероятностью под новый файл выделяется та же MFTшная запись (проделал эксперимент - возможны варианты и с сохранением старой, зависит, видимо, от действий системы между удалением и созданием, но при имитации действий вируса у меня получилась именно замена удаленной). И файлу распределяются новые кластеры, по размеру нового файла. Поэтому мое предположение насчет ранее принадлежавших файлу секторов - неверно. Но зато есть большая вероятность нахождения файлов по сигнатурам, так как перезаписывается только сравнительно небольшая их часть. Вывод - RAW recovery. Пробуйте программы, правильно понимающие Exif заголовки (Recover My Files, Photo Rescue и др.). Должно более-менее что-то получиться...

LeoT
Спасибо за исследование вируса.

purgenco
Спасибо за файлы. В данный момент не могу посмотреть: надо работать. Часов в 6, надеюсь, смогу посмотреть и отвечу подробнее.
Но Акронисом Вы зря пытались исправить.

Прослужив чуть более года, мой WD 1tb studio edition кажись канул в лету...
Ситуация такая: был разбит на два раздела, NTFS, они заполнены каждый примерно наполовину.
Все работало ок, но примерно недельку-две назад в uторренте стала выскакивать ошибка - невозможно получить доступ к файлу из-за ошибки устройства ввода-вывода. затем стала появляться ошибка о том, что не удалось сохранить часть таблицы mft, попробуйте сохранить в другом месте.Обновлял, все становилось ок, но через некоторое время снова повторялась та же ситуация. Затем пропалифайлы из одной папки на 10 гб.
Решил провести дефрагментацию О&O. началось все нормально, но заметил, что на обоих разделах файлы расположены довольно занятно: идет рез зона под мфт, затем пара блоков неперемещаемых, полвинта пустых и затем еще после пары блоко в битмап и т.д. идут все файлы вплотную. Дефрагментация никак ни повлияла ни на что,
только после перезагрузки винды (ноут hp, winxp sp3) комп сам запустил checkdisc на одном из разделов, нашел 1 бэд, и успокоился. Диски стали определяться системой по несколько минут минимум, и я решил переключить с usb на firewire, - esata на ноуте нет. Помогло, стал перекачивать файлы на другие харды, чтобы хоть что-то спасти, и потом форматнуть. Спас немного, после очередной ошибки чтения повис и TCM и сам комп. Пришлось ребутнуть, после чего хард стал определяться как единый пустой хард объемом 512 кб и файловой системой RAW.
Танцы с бубном, r-studio, recover my files, paragon ничего не дали, т.к. они так же видят пустой хард на 512 кб.
Что можете посоветовать? Можно ли как-то восстановить данные, или все уж, сам не смогу?
Или хоть как-то оживить его? Спасибо за помощь.

nik129
В первую очередь покажите SMART и объем, на который детектится винт. HDDScan.

purgenco
Так значит, вот что мы имеем в дампах. Бутсектор второго раздела и его копия на месте. Размер раздела в бутсекторе правильный. Значит нудо исправить таблицу разделов. Для этого скачайте патч. Запустите DMDE, откройте физический диск. Меню Сервис - Записать в секторы диска... Файл. Выбираете патч. Первый сектор 0. Число секторов 1. ОК. Перезагрузка. Проверяете, доступен ли третий раздел (DATA). Если он недоступен, пробуете прошить патч еще раз (есть issue с DMDE). Если это не помогает, покажите следующее:
1. Скриншот Управления дисками.
2. Дамп на 100 секторов, начиная с сектора 0 (начало диска).
3. Дамп на 100 секторов, начиная с сектора 253077504 (начало MFT третьего раздела).

Antech
Все проделал, теперь вообще комп не загружается, повторяются надписи на черном экране и не идет дальше загрузка

Antech
"...Зачем так хитро?..."

Наверное, хитро. Просто имею мало опыта по восстановлению убиенной информации, вот и посоветовал кое что из своего опыта. Около года назад попросили меня вытащить несколько десятков фоток с диска CD RW. На нем было записано много разной инфы и фотки. Сын знакомой сделал еще сессию записи чего то и неудачно - привод завис во время записи. Диск перестал вообще открываться. Зависал в приводе на 2...4 мин. и "прикидывался" потом чистым. Т.е. не ординарная ситуация. Ни одна программа восстановления, соответственно, не хотела с ним работать. Вот и пришлось "дедовским" методом вытаскивать из болота бегемота. И, соответственно, у latip тоже не ординарная ситуация. Не убитый раздел, не удаленные файлы. А подмена. Вот и "стукнула" в мозги "идея"....

По ходу все слетело вообще, зашел с загрузочного диска он не видит ни разделов ни windows, только не форматированый жесткий диск на 250гб, жесть

purgenco
Что-то не так. Сделайте дамп секторов 0-99 (Первый сектор 0, Число секторов 100), посмотрим, в чем проблема.
У нас есть исходная MBR, можем вернуть когда захотим! У меня оно даже забэкаплено.