» Восстановление разделов и информации на HDD (часть 3)

gunnar
Повторюсь, что речь идет о глюке в БИОСе, а не о закономерном поведении. Это уже обсуждалось на другом форуме, и объем возвращали снятием HPA.

Насчет Win2000 и XP Вы поняли совершенно неправильно.

Под "сервис-дорожкой" можно понимать что угодно, в т.ч. нулевой логический трек (C=0, H=0, S=1...63), что не имеет никакого отношения к служебке (она, кстати, занимает не один трек).

Короче, Вы можете оставаться при своем мнении, у меня нет желания спорить с Вами.

TeXpert
К сожалению, этот вирус портит файлы не только на C: (были сообщения о запоротых файлах на нескольких разделах). Причем если бы он именно форматировал, это было бы не так плохо...

corsarufo
Вам надо обратиться в хорошую DR-фирму типа SoftJoys или R-Lab. Диплом - это не порно, и самостоятельно играться с дохлым винтом не советую.

AlexIva
R-Studio при сканировании показывает пустые кластеры
Этот вирус не затирает файлы (содержимое). Не знаю, что означает "пустые кластеры", посмотрите на список "Extra found files" после сканирования. (Там при скане показываются не кластеры, а крупные блоки, размер которых определяет сама R-Studio, просто для удобства представления на экране.)

TeXpert

Цитата:

А запаслась барышня вирусом загодя.

Видимо таки да.

Цитата:

в описании даннго вируса говорилось, что он форматирует диск C:

Погуглил - видел,но,имхо,механизм здесь другой.Ведь остаётся структура папок,названия файлов.Но Р-студия,в частности,при сканировании показывает ПУСТЫЕ кластеры (за иключением нескольких,где,видимо и прописана структура).Интересно вот это как?
И в описании вируса говорится о диске С, а затёрлись все диски.(Правда на одном из форумов видел пост об аналогичной ситуации).
Antech

Цитата:

Этот вирус не затирает файлы (содержимое).

А что он с ними делает?

Цитата:

(Там при скане показываются не кластеры, а крупные блоки, размер которых определяет сама R-Studio, просто для удобства представления на экране.)

Согласен.Но раньше при восстановлении блоки показывались как содержащие инфу (согласно легенды),а в этом случае как пустые.

AlexIva
А что он с ними делает?
точно не знаю, я его не писал . Но предположительно (по симптомам) стандартные API функции CreateFile() + CloseHandle() на каждый файл. CreateFile создает файл (в данном случае открывает существующий), CloseHandle закрывает файл. Т. к. файл был открыт, но в него ничего не писали, после закрытия остается путой файл (нулевого размера).
Для наглядности я провел небольшой эксперимент (NTFS). Создал текстовый файл с содержимым типа "12345...", размером больше килобайта. Потом удалил содержимое (обычным образом, в блокноте) и пересохранил. На картинках ниже приведен атрибут DATA файловой записи моего файла до и после очистки содержимого в блокноте.

До очистки:


После очистки:


Видно, что до очистки файл имел простой ранлист из одного экстента, он показан на рисунке. Когда я сохранил файл под тем же именем, но с нулевым размером, на месте ранлиста появились девственные нули. Нет ранлиста - нет содержимого файла (неизвестно, где он на диске). Таким образом, теряется соответствие имени файла и содержимого (даже если содержимое нефрагментировано и Вы его нашли по заголовку).

Antech
Цитата:

CreateFile создает файл (в данном случае открывает существующий), CloseHandle закрывает файл. Т. к. файл был открыт, но в него ничего не писали, после закрытия остается путой файл (нулевого размера)

Не совсем так. Это если задан флаг TRUNCATE_EXISTING. Обычный флаг OPEN_EXISTING, как и OPEN_ALWAYS, безвреден. А вот CREATE_ALWAYS тоже перезаписывает файл.

Добавлено:
Antech
Цитата:

CreateFile создает файл (в данном случае открывает существующий), CloseHandle закрывает файл. Т. к. файл был открыт, но в него ничего не писали, после закрытия остается путой файл (нулевого размера)

Не совсем так. Это если задан флаг TRUNCATE_EXISTING. Обычный флаг OPEN_EXISTING, как и OPEN_ALWAYS, безвреден. А вот CREATE_ALWAYS тоже перезаписывает файл.

Цитата:

Вам надо обратиться в хорошую DR-фирму типа SoftJoys или R-Lab. Диплом - это не порно, и самостоятельно играться с дохлым винтом не советую.

я живу в "деревне" тут нет таких фирм надо ехать в ебург - на это уйдет уйма времени, диплом сохранен, то что есть материал ушел в гору которым можно было бы воспользоваться, и диплом уже надо сдавать завтра крайний срок после завтра. все это востановление долго, а если за срочность то дам деньги листать надо будет
мне бы какие нибуть указания, инструкции которые помогли бы востановить или попробовать востановить жеский диск в домашних йсловиях.

TeXpert
Все нормально, ничего не мешает вирусу открывать с флагом CREATE_ALWAYS.

corsarufo
Никаких указаний тут дать невозможно. Нужна хорошая фирма.

Antech

Цитата:

что не имеет никакого отношения к служебке (она, кстати, занимает не один трек).

Тю, блин, слово забыл. Служебка, о, вот она, по их словам и полетела. Но это не может быть от глюка в БИОСе! Или может?

Цитата:

Короче, Вы можете оставаться при своем мнении, у меня нет желания спорить с Вами.

Да я не спорю, я пытаюсь получить конкретные вопросы на конкретные ответы. Сорри, в суете указываю неверные данные

Так вот открытые вопросы:
1) от чего могла обнулиться именно _служебка_ (или сервисники нагло врут)
2) Как восстановить партиции, которые были до удаления разделов и переразбивки на один? До того - 32Гб, 108 Гб и 108 Гб (я написал в первом сообщении своем)
3) Если пользоваться р-студией, как тут дали совет, то восстанавливать ли Extra Found Files, счас попытался выудить 2 сотни мп3-шек, которые не смог восстановить, чесслово, их 80.000 "потерянных" это просто дуристика... Т.е. считать те 2 сотни потерянными?

<не в тот топик написал>

gunnar
от чего могла обнулиться именно _служебка_
От глюка в служебке или от железного глюка. Вы реально смотрели служебку и уверены, что она испорчена, или это только слова сервисников? Сервисы разные бывают, далеко не все из них что-то понимают в хардах.

Как восстановить партиции
Нужно найти координаты разделов и создать новую PT (с точностью до сектора). Попробуйте поиск разделов в DMDE (в меню Открыть - Поиск NTFS). Таблицу разделов я Вам сделаю, если найдутся сами разделы (можете показать скрин из DMDE с результатами поиска).

gunnar:

Цитата:

от чего могла обнулиться именно _служебка_

Только если ее целенаправленно "обнулили". Причем в данном случае - с применением специальных аппаратных средств. Сама не могла.

Помогите пожалуйста
Система Win2000 SP4 установленна на отдельном харде
HDD Seagate ST3320620A подключен через RAID контроллер FastTrak TX2000 (span массив),
разбит на 3 раздела по 100 гиг в NTFS, заполнен на 200 и уже довольно долго
4 месяца работал без нареканий и вдруг начал выдавать сообщение
\Harddrive\Volume4\$Mft
\Harddrive\Volume5\$Mft
\Harddrive\Volume6\$Mft
\Harddrive\Volume7\$Mft
\Harddrive\Volume8\$Mft и т.д.
Не удалось сохранить все данные. Часть данных потеряна.
Эта ошибка может быть вызвана отказом оборудования компьютера или сетевого подключения. Попробуйте сохранить этот файл в другом месте.

Записать ничего нельзя. А с копированием такая штука - если зайти в произвольную папку то файлы в ней
видны и читаемы, но после появления первого сообщения \Harddrive\Vol... вся остальная инфа умирает,
папки, кроме открытой, показываются 0kb, при попытке открытия сообщение: Ошибка при обращении к странице
Возможно ли это исправить с сохранением инфы на винте или хотя бы скопировать то что есть без особого гемора?
Вариант: перезагрузка-зашел в папку-скопировал-перезагрузка-следующая папка... не лучший - папок ОЧЕНЬ много

Alvirum
Цитата:

Система Win2000 SP4 установленна на отдельном харде...

Очевидно, поддержка больших дисков включена?

TeXpert


Цитата:

Очевидно, поддержка больших дисков включена?

Включена! Мать старая ее биос не поддерживает большие винты, но на контроллере есть свой. Фишка в том что файлы читаются и копируются не битыми но через ж..

Antech

Цитата:

От глюка в служебке или от железного глюка. Вы реально смотрели служебку и уверены, что она испорчена, или это только слова сервисников? Сервисы разные бывают, далеко не все из них что-то понимают в хардах.

Если бы я мог лазить по служебкам (имел такую техническую возможность), то винт никто бы не возил в сервис.
Ну этот сервис, считай, единственный достойный в Киеве. Т.е. они-то в деле разбираются. В тот день, по словам человека, возившего винт, они подключили винт к железной коробке (что-то наподобие слова "terminal" на ней было) и на экране высветились данные "служебки". Ну т.е. несоответствие параметрам и "ошибка". Не думаю, что они так "разводят" народ...
Ну а если "разводят", то фиг докажешь. Опять же почти каждому из сдававших винты в ремонт/восстановление говорили одно и то же - "служебка".


Цитата:

Нужно найти координаты разделов и создать новую PT (с точностью до сектора).

У меня было два идентичных винта - один который и поныне работает, другой - переформаченный (искомый). Но поскольку винда "очень точна" в разбиении, надо сканировать все. Запустил DMDE на секторах 65529100 - 65529200 - а нема там секторов с MFTшками. Хотя на первом винте на секторе 65529135 первичный раздел заканчивается и начинается дополнительный.


Цитата:

Попробуйте поиск разделов в DMDE (в меню Открыть - Поиск NTFS). Таблицу разделов я Вам сделаю, если найдутся сами разделы (можете показать скрин из DMDE с результатами поиска).

Упс, я сделал открыть диск - 2-й винт, внизу "Найти FAT", "Найти NTFS", выбрал второе... Думаю, это оно самое. Но вопросец можно - когда оно закончит поиск? По моим расчетам около 400 млн. секторов должно пройти за 1.200 минут = 20 часов...
Вопрос еще в том, что это винт, по всей видимости, уже использовался. И в достаточной мере. Поскольку обнаружил файлы, которые наш отдел 6-7 месяцев назад покиллял.
Вот пока начальные данные с программы:

Интересен Vol2 , который очень похож на второй из 3-х логических дисков. Однако же я бил не на 3 раздела, а на 2 - первичный и дополнительный, а доп. на 2 логических.

LeoT

Цитата:

Только если ее целенаправленно "обнулили". Причем в данном случае - с применением специальных аппаратных средств. Сама не могла.

Наверное, я и есть то "специальное аппаратное средство"!
Фактически - да, не мог убить, тем более, что винту 3 дня от момента начала эксплуатации...

Здравствуйте, Всем! Помогите, пожалуйста ! В фирме, где я работаю, на одном из компьютеров, где установлены базы 1С, документы, налоговые программы и т.д. – похоже что-то случилось с жестким диском .
ВСЕ ПАПКИ И ФАЙЛЫ существуют, НО ОНИ РАВНЫ О БАЙТ !!!
Очень Важны dbf файлы (1С), налоговые программы . При нажатии на любое приложение пишет "НЕ является приложением Win32”.
Почитал форум, скачал GetDataBack, EasyRecovery, R-Studio, DiskRecovery, эти программы тоже показывают все папки и файлы, но равными 0 байт.
Подскажите, пожалуйста, как выйти из ситуации!!!

Hector819
Это проделки Трояна. Win32.HLLW.AntiDurov
Восстановить из резервных копий, А если копий нет - считай безнадежный случай.
Информации о положении файлов на диске не сохранилось, раз длина файлов ноль.
Собирать фрагментированые файлы базы из кусочков - несколько месяцев работы.
Проще базы перебить.

Antech
Ну вот окончательный вариант разбивки диска:


Мне кажется, что все, что 6 и есть та самая разбивка, только нема 1-го раздела...

tomset, cпасибо, за быстрый ответ

Уважаемые господа !!!
Прошу совета - все началось с того, что я удалил с диска С файл ntldr, думая, что это вирус %).
Естественно, при следующем включении Винда не загрузилась - после надписи Boot from CD (у меня сидюк стоит первым бутящимся устройством, а винт - вторым) BIOS на чинал грузиться сначала...
Тут я протупил второй раз - не найдя загрузочного дицка с Виндой, установил Винду из образа, созданного со старого компа в Nero. Как ни странно Винда стала - при этом из 160 гигов моего дицка читаемыми (с разделами) оказалось 40 - остальное - неразмеченная область.
Что посоветуете ? Советовали отформатить неразмеченную область в NTFS и восстановить данные прогой Get Data Back. Ещё есть проги R-Studio, Acronis RecoveryExpert Deluxe, EasyRecovery Professional, Recover My Files. Что делать, чем и в каком порядке ? Второй день читаю форумы - в голове каша - хочется конкретики.
С уважением, TrueWinterMoon.

Цитата:

Советовали отформатить неразмеченную область в NTFS и восстановить данные прогой Get Data Back. Ещё есть проги R-Studio, Acronis RecoveryExpert Deluxe, EasyRecovery Professional, Recover My Files. Что делать, чем и в каком порядке ?

Форматировать не надо, а программы -пробуйте с разными параметрами.
Но так как образом старая MFT или FAT (в зависимости от FS) затерта.
Восстановятся только не фрагментированные файлы по типам. Без имен и путей.

Уважаемый tomset !
Старая файловая была NTFS - новая (с образа) - FAT32. С ваших слов получается, что MFT затерта. Значит, в Easy Recovery Professional мне надо выбирать Raw Recovery (всё равно оригинальные названия и пути затерты) ?

TrueWinterMoon
Если образ Fat32, то MFT 100% затерта, если только куски в страничной виртуальной памяти остались, при условии что он был за границей образа. Потому есть смысл просканировать весь диск, как NTFS, в R-studio возможно в одном из Recognized, что-то и найдется со структурой. Ну, а дальше только по RAW. Желательно сканировать только свободное место образа (смотря опять-же чем был образ создан. так как образ бывает посекторный и только файлы) и не занятое пространство диска.

Уважаемый tomset !


Цитата:

в R-studio возможно в одном из Recognized

- нельзя ли объяснить вот это немножко поподробнее ? Что есть Recognized ?


Цитата:

смотря опять-же чем был образ создан

- образ был создан Nero Burning Rom 6. На нем находилась Windows XP Pro SP2, драйвера и штук 10 программ - Nero, Alcohol, Winamp и т.п. Было 3 логических диска - первый с Виндой и прогами - 6 гигов, второй - пустой, для файла подкачки (дурацкая привычка - как прочитал, что в Линухе так делается - так и стал это делать) - 2 гига, третий - для данных - 12 гигов (старый винт был на 20 гигов).

P.S. И всё же - какой из вышеперечисленных мной программ будет достигнут наиболее качественный результат ? Хотелось бы услышать чьё - нибудь сугубое мнение, подкрепленное личным опытом.

TrueWinterMoon
Размер образа? Если образ запакован, то размер интересует несжатый. Если образ занимает 20 ГБ, то только Raw-поиск. Если образ небольшой, то есть шанс, что R-Studio найдет MFT от бывшей NTFS, если ее не переписал какой-нибудь файл.
Raw-поиск можно сделать в R-Studio или EasyRecovery. В общем-то без особой разницы - метод слишком прост.

gunnar
Извиняюсь затормоза. Благодарю за предоставленную инфу.
Вот что можно посоветовать.
1. Откройте пострадавший физический диск в WinHex.
2. Нажмите Alt+F12, Master Boot Record. Это шаблон стандартной таблицы разделов. Введите туда данные по найденным разделам. Соответствие параметров в WinHex 11.26 Eng и столбцов таблицы на Вашей картинке из DMDE:
Sectors preceding partition == Первый сектор;
Length of partition in sectors == Число секторов.
Operating system indicator (hex) везде задайте 07. Другие параметры задайте нулевыми. Предыдущую таблицу разделов (если она есть) можете не сохранять.
Вы не сможете за один раз задать больше 4 разделов, поэтому вначале попробуйте первые 4 раздела, потом - последние 2. Количество секторов в таблице показано неправильное, ну и хрен с ним. Только не открывайте этот винт в Винде, используйте WinHex - Access - Partition - Open. После исправления и сохранения нужно переоткрыть диск в WinHex (11.26).

Вот если винт не детектится, как его подцепить, хоть какие-то данные вытянуть?
У меня не системный винт SATA HD400LJ Samsung вчера начал стучать, как будто пытается разгоняться и не может, отключается, щелчок и по новой... Повисл система... После ресета винт не детектится, всё виснет на посте с ошибкой 75... Неприятно так... Гнусмасы юзаю года 4 уже, проблем не было... Вот сейчас головняк как данные вытянуть... Всё пока перепробовал, результата нет... SMART до последнего момента был великолепный...
...

CADastr


Цитата:

Вот если винт не детектится, как его подцепить, хоть какие-то данные вытянуть?

Диагностировать технологическими утилитами причину и ремонтировать.
Такие симптомы с разгоном остановом, обычно, когда головы не читают.
Можно сделать терминал и посмотреть лог старта.
Но если не планируете всю жизнь заниматься ремонтом хардов, тратить на это время нет смысла. Лучше обратиться к ремонтнику. http://masters.hardw.net/ Дешевле и безопасней для данных, как правило получается, если сразу обратиться, а не когда после своих эксперементов по тыканию всем подряд, ловить уже почти нечего.

Hector819
tomset

Цитата:

Это проделки Трояна. Win32.HLLW.AntiDurov

Однозначно (можно погуглить),только закончил такой комп(см.мои сообщения выше). Восстановить большую часть инфы всё же удалось Р-студией через сканирование. Но перед этим нужно просканить комп утилитой от Касперского. Можно найти в инете или,что бы не искать, залил сюда
http://fileshare.in.ua/784639
Мне восстановить инфу нужно было только с D и E плюс были нюансы с запуском прог из под Hiren's_BootCD,поэтому я перезагрузил С и запускал утилиту уже из-под перезагруженной оси.Если получится,то лучше это делать из под чего -то,типа Hiren's,имхо. Утилита нашла вирус (или его куски) из всего компа только на E в System Volume Information.
После всего этого Р-студией через сканирование.Восстановилась почти вся музыка,фото и даже фильмы и клипы(хотя фрагментация,имхо,была и может не малая).Как будет с базами 1С - надо пробовать.Хуже,имхо,не будет.
P.S.
tomset

Цитата:

Информации о положении файлов на диске не сохранилось, раз длина файлов ноль.

Видимо не всё так просто.Можно посмотреть сообщения Antech и TeXpert на с.62, за которые им БОЛЬШОЙ РЕСПЕКТ(за науку,я не программист).

AlexIva
Цитата:

Как будет с базами 1С - надо пробовать

Там имхо важно восстановить сам файл с базой данных. Кажется он имеет расширение md для 1С 7.7

Mushroomer

Цитата:

Там имхо важно восстановить сам файл с базой данных.

Вроде так,но встречался неоднократно с ситуацией,что баз может быть несколько (напр. разные пользователи,разные структуры).Имхо, они хранятся не в одном файле,а каждая в своём и файл с соотв. названием.Расширение не помню.

AlexIva
Тебе просто повезло, что червь не все убил.
Подобных троянов порядка 50 разновидностей, с похожим эфектом. Неизвестно какая версия попала на твой компьютер.
если klwk_personal еще находил его, значит система упала раньше, чем червь довершил дело. Бывает что утилита и червя не находит на диске. так как он сам же себя и прибил.
Если длина файла ноль или меньше 700 байтов, то в NTFS такой файл храниться в самой записи о файле и координат кластеров, где файл хранился с первоночальной длиной не сохраняется. Поэтому только по сигнатурам (типам) файлов остается искать. Фотки и клипы, часто пишутся групой и практически не меняются во время хранения, так что вероятность, что они идут целыми кусками, достаточно высокая.
А база 1С в постоянном изменении, потому практически всегда сильно фрагментирована.