Ru-Board.club
← Вернуться в раздел «Microsoft Windows»

» Пропал диск. Восстановление таблицы разделов (не данных) - 2

Автор: Pulse
Дата сообщения: 08.01.2013 19:52

Цитата:
Pulse Что за винт (коробка)? Сбрось дампы секторов 6293504+50 и 2064+10


винт: WDC WD15EARS-00S8B1 : 80.00A80

дампы секторов 6293504+50 и 2064+10 - http://zalil.ru/34146169
Автор: 9285
Дата сообщения: 08.01.2013 20:04
Pulse
То есть винт подключается напрямую к материнке? В таком случае, на всякий случай надо посмотреть SMART. Может и не с винтом проблема а с чем то иным, но в начале MFT есть сдвиг записей - можешь и сам глянуть. Открой дамп 50-ти секторов, затем переключись на режим просмотра "Файл MFT" и посмотри какие записи у тебя. 0-3 смещены на две - соотвественно нет 4-5. Если нет других ошибок и пропатчить это дело, то чекдиск наверное всё поправит, но 100% гарантии нет.
Автор: Pulse
Дата сообщения: 08.01.2013 22:03

Цитата:
То есть винт подключается напрямую к материнке? В таком случае, на всякий случай надо посмотреть SMART. Может и не с винтом проблема а с чем то иным, но в начале MFT есть сдвиг записей - можешь и сам глянуть. Открой дамп 50-ти секторов, затем переключись на режим просмотра "Файл MFT" и посмотри какие записи у тебя.  0-3 смещены на две - соотвественно нет 4-5. Если нет других ошибок и пропатчить это дело, то чекдиск наверное всё поправит, но 100% гарантии нет.


я не фига не шарю в этом )))
поэтому и задал вопрос - можно ли пофиксить)

вот SMART инфа по этому диску
http://www.picshare.ru/uploads/130109/9iXDjxL9zA.png
Автор: igor_me
Дата сообщения: 08.01.2013 22:08
SMART идеальный...
Вопрос на всякий случай: помниться, что это диск Advanced Format, значит у него есть перемычка, активирующая это дело (кажется, контакты 7-8) вы её не вставляли часом?
Автор: Pulse
Дата сообщения: 08.01.2013 23:03

Цитата:
SMART идеальный... Вопрос на всякий случай: помниться, что это диск Advanced Format, значит у него есть перемычка, активирующая это дело (кажется, контакты 7-8) вы её не вставляли часом?


нет, диск проработал год с лишним.
я поставил RAID0 из двух WD RE4 500 гб. под систему
отключал на время установки эти 2 грина.
потом када установил винду и все настроил, не нашлось 4го SATA шлейфа и я по очереди подрубал эти грины и скидывал с них на рейд файлы. все аккуратно, на холодную. чай не первый год с железом.
вот сегодня купил сата шлейфы, подключил и оказалось, что 2тб норм, а 1,5 тб выкинул такую бяку.

все 4 винта висят на одном контроллере
материнка - Asus P7P55D Pro, RAID-контроллер по-моему в ней ICH10R
Автор: 9285
Дата сообщения: 09.01.2013 07:12
Pulse
Я встречался с очень невероятными совпадениями, но всё равно думаю что эта ошибка как то связано с переключениями.
Что касается патча.
1. Сейчас есть две записи $MFT, и они отличаются. Наверное вторая более актуальная, но в таком деле надеятся на везение не стоит. Поэтому лучше бы убедиться в том какие записи более актуальны. А для этого нужен лог поиска NTFS на этом винте. Раздел большой, поэтому скан будет делаться долго. Но можно сохранить промежуточный результат, после чего продолжить поиск. И так можно повторять. Думаю что примерно через полчаса - час можешь сохранить лог и выложить его.
2. У тебя затёрлись две записи, в том числе о корневом каталоге. Это не смертельно, но нет гарантии что ещё где то есть подобные сдвиги. И как отработает чекдиск неизвестно. Так что ты должен осознавать что могут быть и потери данных. В таком случае, в идеале иметь посекторную копию; но как минимум вытащить суперважные данные до исправлений чекдиском. Это можно сделать той же DMDE, но только после окончания поиска NTFS и открытия тома с наибольшим числом совпадений (или соотвествующего начальному сектору (его размеру)).
Автор: georgBK
Дата сообщения: 09.01.2013 11:03
При распределении свободного места между двумя логическими дисками
Парагоном ноутбук Асеr вырубился после включения принудительно
появился черный экран с надписью

Broadcom UNDI PXE-2.1 v10.0.8
Copyright (C) 2000-2006 Broadcom Corporation
Copyright (C) 1997-2000 Intel Corporation
All rights reserved.


Broadcom Base Code PXE-2.1 v1.0.7
Copyright (C) 2000-2006 Broadcom Corporation
Copyright (C) 1997-2000 Intel Corporation
PXE-E61:Media test failure,check cable
PXE-MOF:Exiting Broadcom PXE ROM.
Operating System not found

HDD Samsung HM500JI-(S1)

Прошу помощь.
Автор: lenovo70
Дата сообщения: 09.01.2013 12:07
georgBK
http://forum.oszone.net/thread-65045-68.html

Добавлено:
http://forum.oszone.net/thread-218808-33.html
Автор: okrub
Дата сообщения: 09.01.2013 22:24
хелп
такая ситуация: ХДД 1 Тб был разбит на два раздела с: 20Гб и д: 979Гб(судя по всему). комп попал с ошибкой загрузки ntldr is missing. Используя Acronis Disk Director было сделано активным раздел с: 20Гб(и и добавлено к ней 7,8 мб неразмеченой области вроде), так как был раздел д: - был перед этим активный. Процес завершился с ошибкой... Система загрузилась без проблем с диска С - системного, а диск Д пропал... Чудил- чудил разными программами, не выходит восстановить диск Д.
Посмотрите архивы, может кто поможет, нужно с раздела Д: вытянуть хоть фотки. При помощи dmde вижу файлы и восстанавливаются, но фотки до мегабайта без проблем, а фото более 2 мб до половины обрезает... нужно где-то 200-300 гигов вытянуть.
http://rghost.ru/42873015
http://rghost.ru/42872984

Добавлено:
да, исползуя TestDisk загрузил найденный NTFS Boot sector recovery , теперь первая партиция стала показывать более 50 Гб, система понятно перестала загружаться. Сильно не пинайте, хотелось бы разобраться. Хотя понимаю что намудрил...
Автор: 9285
Дата сообщения: 10.01.2013 02:02
okrub
А откуда взялся новый раздел на веь диск, да ещё похоже что вновь отформатированный, да ещё и Акронисом?
Тебе надо как можно скорей забрать у него букву диска в винде - ещё лучше в DMDE сделать MBR off, чтобы на этот раздел (винт) ничего не писалось.
И покажи дамп секторов 2048+100, 41961776+100
Автор: hawk_minsk
Дата сообщения: 10.01.2013 02:48
помогите плиз. брат говорит что только запустил акронис и ничего в нем не делал.. вот скрин из winhex
Автор: okrub
Дата сообщения: 10.01.2013 07:08

Цитата:
А откуда взялся новый раздел на веь диск, да ещё похоже что вновь отформатированный, да ещё и Акронисом?

Да никак не могу успокоиться (((, удалил первый раздел и создавал на весь диск, но неформатировал...
дампы и разделы http://rghost.ru/42878235
а почему фото восстанавливается на половину((( более метра если файл
Автор: 9285
Дата сообщения: 10.01.2013 09:14
okrub
На скриншоте экрана Разделы видны два раздела. И разделы с неверными границами, даже если ты их прописал, а "всего лишь созлдал в Акронисе.
По скриншоту WinHEX видно что три есть. Каковы их размеры я не могу сказать, потому как нет желания вбивать все эти символы (другое дело если бы был дамп).


Цитата:
но неформатировал...
В акронисе понятия форматирования (отдельного нет) - но фактически подразумевается когда ты задаешь тип файловой системы. Есл бы не было формата, то откуда бы я узнал об Акронисе? Можно догадаться по логу поиска, в котором тоже есть не очень хорошие вещи, но вообще то было достаточно увидеть бутсектор. Что касается лога поиска, то по канонам в секторе 2440 должно было бы быть 4 записи зеркала, а там 24.

Дамп 2048+100 должен был содержать бутсектор раздела и MFT вновь созданного раздела, но сейчас там FF. Остаётся лишь догадываться что это битмап очерелного нового раздела, который теперь начинается в секторе 55.

PS. Если ранее были шансы, то с каждым твоим новым действием они стремятся к нулю.
Если только нет заранее сделанной посекторной копии.


Добавлено:

Цитата:
а почему фото восстанавливается на половину((( более метра если файл

Сложно дать какой то чёткий ответ, особено если такое натворили на разделе. И не уверен что только ты ковырялся с винтом.
И самое главное что всё это делается без подстраховки и предварительного анализа.
Сейчас новый тренд - шифрование данных и требование денег за расшифровку. Так что может и последствия подобного и зашифровка касается имено больший файлов (ну чтобы не шифровать всякую дребедень). Может и ещё какие то другие причины. Но гадание не моя специфика.
Автор: okrub
Дата сообщения: 10.01.2013 09:27

Цитата:
Сложно дать какой то чёткий ответ, особено если такое натворили на разделе

спс. за пояснения... будем что-то предпринимать далее. отрицательный результат - тож опыт.


Добавлено:

Цитата:
Дамп 2048+100 должен был содержать бутсектор раздела и MFT вновь созданного раздела, но сейчас там FF. Остаётся лишь догадываться что это битмап очерелного нового раздела, который теперь начинается в секторе 55.

а по идее должен начинаться в секторе 64 правильно?

Добавлено:
да у меня есть ещё дамп начального сектора после первого использования Акрониса, когда загружалась система с диска С:, а Д: пропал(стало 5 неправильных разделов- видно в первом моем сообщении в файлах) или это уже пофиг...
Автор: Pyrocar
Дата сообщения: 10.01.2013 20:25
Здравствуйте.
Во время разбивки диска на 2 раздела Acronis'ом он стал ругаться на поврежденные сектора с выбором "отменить", "повторить" и "пропустить". Я нажал на "отменить", полагая, что он вернет все "как и було". Но не тут-то было и в списке раздел стал выглядеть вот так
http://s2.ipicture.ru/uploads/20130110/tz57Ecdl.jpg

Windows не загружался с ошибкой Operation system not found. Загружаюсь с usb и вижу такую картину:
http://s2.ipicture.ru/uploads/20130110/JrVv2rSC.jpg
При попытке зайти предлагает его отформатировать.


дамп начального сектора винчестера (абсолютный сектор 0)
дампы первого сектора каждого раздела, т.е. boot-сектора
скриншот окна "Разделы" программы DMDE Подробнее... [?]
скриншот окна оснастки "Управление дисками"
http://rghost.ru/42897544
Автор: 9285
Дата сообщения: 10.01.2013 21:44
okrub
Чисто теоретически шансы есть, но для реализаци его нужно очень много данных, что малореально при онлай лечении.
Единсвенное что ещё можно попробовать - использовать реоверилки использующие принцип поиска файлов по сигнатурам.

Цитата:
отрицательный результат - тож опыт

Самый лучший опыт получается после таких изуверств над собственными важными данными, или над чьими то, за которые могут неплохо взгреть.

Pyrocar
Что то незаметно "бутсекторов каждого раздела" - всего один и тот не похож.
Следующие дампы делай без изменения названия файла, предлагаемого программой.
Итак, для начала нужен дамп секторов 0+2100. Затем запусти Поиск NTFS и в процессе поиска, если процент поиска будет небольшой, минут через 20-30 сделай промежуточное сохранение лога поиска и выложи его. В конце поиска сделай сохранение и выложи (он и тебе пригодится). Можешь пооткрывать найденные тома и в них посмотреть структуру папок. Можешь повосстанавливать какие то файлы и проверить их целостность.
Автор: Pulse
Дата сообщения: 11.01.2013 19:22

Цитата:
Pulse Я встречался с очень невероятными совпадениями, но всё равно думаю что эта ошибка как то связано с переключениями. Что касается патча.
1. Сейчас есть две записи $MFT, и они отличаются. Наверное вторая более актуальная, но в таком деле надеятся на везение не стоит. Поэтому лучше бы убедиться в том какие записи более актуальны. А для этого нужен лог поиска NTFS на этом винте. Раздел большой, поэтому скан будет делаться долго. Но можно сохранить промежуточный результат, после чего продолжить поиск. И так можно повторять. Думаю что примерно через полчаса - час можешь сохранить лог и выложить его.
2. У тебя затёрлись две записи, в том числе о корневом каталоге. Это не смертельно, но нет гарантии что ещё где то есть подобные сдвиги. И как отработает чекдиск неизвестно. Так что ты должен осознавать что могут быть и потери данных. В таком случае, в идеале иметь посекторную копию; но как минимум вытащить суперважные данные до исправлений чекдиском. Это можно сделать той же DMDE, но только после окончания поиска NTFS и открытия тома с наибольшим числом совпадений (или соотвествующего начальному сектору (его размеру)).


вот NTFS-log - http://zalil.ru/34157009
да уж, не 1-2 часа делался, а 6 часов )))

Автор: Pyrocar
Дата сообщения: 12.01.2013 04:55
9285
Про незаметность "бутсекторов каждого раздела" - разделов было всего один, наверное, поэтому.

дамп секторов 0+2100
http://rghost.ru/42936597

лог (полный)
http://rghost.ru/42936600

структура папок "как и було", файлики открываются. проверял разные типы файлов - pdf, jpg, exe, xls, все нормально открываются.
Автор: 9285
Дата сообщения: 12.01.2013 15:48
Pulse
Я как раз и подразумевал что можно сделать промежуточный лог через указанный период. Чаще всего его бывает достаточно для начального анализа. Хотя полный нужен в любом случае.
Что касается результатов поиска, то они вносят немного непонятностей. В принципе, в дублирующих записях начало MFT и размер первого фрагмента одинаковый. А второй фрагмент больше у второй записи, и который датирован более новым значением. Как бы напрашивается вывод что вторая запись более актуальная. Но по лгу актуальная первая, тем более что и остальные записи датированы той же датой.
Что приходит на ум - по каким то причинам, произошло сбрасывание данных другого раздела (винта), но это более характерно для неправильного перетыкания винтов нагорячую. Да и идентичный размер начального фрагмента сбивает с толку. В общем то такая вот шарада.
И чтобы определиться чуть больше хотелось бы увидеть ещё дампы секторов 2911082576+10 и 5912104
+ узнать какая метка тома была у проблемного раздела. Во вклинившейся записи метка ARCHIVE2.


Добавлено:
Pyrocar
Лог поиска практически однозначно показывает что раздел начинается в секторе 2048, но там какие то данные. С другой стороны, в 64-ом секторе лежит бутсектор место которому в 2048-ом.
Я не в курсе того каков алгоритм (если можно такое сказать в отношении этого деструктора данных) действий акрониса, поэтому можно предположить два варианта.
1. Ранее раздел начинался в секторе 2048 (что вполне логично если диск разбивался средствами 7-ки) и как бы подтверждается числом соотвествий в логе поиска.
Тогда непонятно (хотя это не очень удивительно) с какого перепуга акронису вздумалось переместить его начало в 64-й сектор. Бутсектор переместился, но не изменились значения начала и зеркала МФт, при этом в 2048 сектор успело записаться что то другое при том что МФТ осталась на месте.
2. Ранее раздел начинался в 64-ом и предполагалось переместить его в 2048-ой. Выполнилась часть операций, но не все.
В обоих случаях сложно предсказать что успелось сделаться, в том числе и с данными.
Но более вероятным является вариант 1, тем более что ты подтвеждаешь целостность восстановленных файлов. В таком случае можно просто записать содержимое 64-го сектора в 2048 и перезагрузить систему.
При этом важно всё что написано ранее для Pulse. Это касается и отмены проверки диска, и отсуствия гарантии что после исправлений всё будет полноцено восстановлено.
Автор: Ratttus
Дата сообщения: 12.01.2013 19:15
Добрый день!
Если не правильно понял название (Восстановление таблицы разделов (не данных) ), прошу прощения. Но в том то и дело, что данные я могу вынуть с диска. Нужно восстановление таблицы разделов. Указанные в шапке файлы - http://zalil.ru/34159935

Случилась беда после незапланированного отключения USB бокса.
Автор: 9285
Дата сообщения: 12.01.2013 20:36
Ratttus
Если почитать инструкцию к DMDE, и в частности про работу с разделами, то можно увидеть что означают те или иные обозначения.
У тебя нет проблем с таблицей разделов - она имеется в MFT которая начинается в секторе 6291519. И скорей всего сейчас там или мусор, или повреждённые записи.
Что за внешний винт (коробка)?
Автор: Ratttus
Дата сообщения: 12.01.2013 21:22

Цитата:
Что за внешний винт (коробка)?

Floston - практически noname. Винт попался мне отдельно, а коробка отдельно.
Автор: Pulse
Дата сообщения: 13.01.2013 15:35

Цитата:
Pulse Я как раз и подразумевал что можно сделать промежуточный лог через указанный период. Чаще всего его бывает достаточно для начального анализа. Хотя полный нужен в любом случае. Что касается результатов поиска, то они вносят немного непонятностей. В принципе, в дублирующих записях начало MFT и размер первого фрагмента одинаковый. А второй фрагмент больше у второй записи, и который датирован более новым значением. Как бы напрашивается вывод что вторая запись более актуальная. Но по лгу актуальная первая, тем более что и остальные записи датированы той же датой. Что приходит на ум - по каким то причинам, произошло сбрасывание данных другого раздела (винта), но это более характерно для неправильного перетыкания винтов нагорячую. Да и идентичный размер начального фрагмента сбивает с толку. В общем то такая вот шарада. И чтобы определиться чуть больше хотелось бы увидеть ещё дампы секторов 2911082576+10 и 5912104  + узнать какая метка тома была у проблемного раздела. Во вклинившейся записи метка ARCHIVE2.  


хмммм....
ARCHIVE - по-моему была метка у 1,5Гб грина (проблемный)
и ARCHIVE2 - метка 2 гб грина (исправный)

вообще странно, компьютер выключался перед сменой дисков.
канал (шнурок) был один. странно, что контроллер не сбросил его при опознании, когда включался комп (в биос не заходил после смены дисков, соответственно CMOS не обновлялся)

архив с секторами 2911082576+10 и 5912104:
http://zalil.ru/34162228
Автор: 9285
Дата сообщения: 14.01.2013 04:19
Pulse
Всё как бы подтверждает то, что вклинился заголовок MFT другого раздела. Дай бог чтобы только это вклинилось.
В принципе можно заняться исправлениями, но хотелось бы ещё найти логфайл тома.
Для этого надо запустить поиск строки и набрать так как на скриншоте http://rghost.ru/43013520.view
Когда найдёт то сделать скриншот найденного сектора (чтобы виден был его LBA и содержимое). На всякий случай, можно продолжить поиск (Ctrl+G) - может ещё где найдёт.
Автор: Pulse
Дата сообщения: 15.01.2013 19:00

Цитата:
Pulse Всё как бы подтверждает то, что вклинился заголовок MFT другого раздела. Дай бог чтобы только это вклинилось. В принципе можно заняться исправлениями, но хотелось бы ещё найти логфайл тома. Для этого надо запустить поиск строки и набрать так как на скриншоте http://rghost.ru/43013520.view Когда найдёт то сделать скриншот найденного сектора (чтобы виден был его LBA и содержимое). На всякий случай, можно продолжить поиск (Ctrl+G) - может ещё где найдёт.


вот вроде 4 вхождения нашел. прогнал поиск по всему диску
http://zalil.ru/34170151
Автор: 9285
Дата сообщения: 15.01.2013 21:36
Pulse
Ок, но я не догадался уточнить что скриншот нужно делать при другом виде секторов (шестнадцатеричном). Сбрось тогда дампы секторов 5941912+20 и 817994866+20.
Автор: Pulse
Дата сообщения: 15.01.2013 23:05

Цитата:
Pulse Ок, но я не догадался уточнить что скриншот нужно делать при другом виде секторов (шестнадцатеричном). Сбрось тогда дампы секторов 5941912+20 и 817994866+20.



вот.
http://zalil.ru/34170994
Автор: VyacheslavM
Дата сообщения: 16.01.2013 02:38
Добрый день.
Перестал работать внешний жесткий диск.
При подключении к компьютеру выдает "Диск в устройстве не отформатирован. Произвести его форматирование?"

CHKDSK в режиме только для чтения, сообщает: "Невозможно определить версию тома и его состояние. Работа CHKDSK прервана"

В Диспетчер дисков показывает RAW файловую систему.

Вот архив с необходимыми данными.
http://zalil.ru/34171217

Заранее благодарен.
Автор: 9285
Дата сообщения: 17.01.2013 06:56
Pulse
C Log-файлом не получается, но это не столь критично.
Скачай архив с патчами http://rghost.ru/43091979 и пропиши патчи в соотвествующие сектора (номера начального сектора в имени файлов). Прочитай что я писал раньше. Перезагрузи систему, при этом не допусти автоматической проверки диска. Затем сделай проверку вручную в режиме только чтения и покажи результат.
VyacheslavM
Повреждена файловая система. Судя по сообщению 0 или 3 запись как минимум.
Автор: VyacheslavM
Дата сообщения: 17.01.2013 09:55
[q][/q]
Есть какие-то шансы вернуть доступ к диску?
На ночь оставлял скан программой dmde. Вот ссылка на лог файл. Может поможет.
http://zalil.ru/34175630

Страницы: 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106107108109110111112113114

Предыдущая тема: Последствия и восстановление после вирусов


Форум Ru-Board.club — поднят 15-09-2016 числа. Цель - сохранить наследие старого Ru-Board, истории становления российского интернета. Сделано для людей.