» Пропал диск. Восстановление таблицы разделов (не данных) - 2

9285
какие предложения будут по восстановлению работоспособности равздела?
Подредактить MBR??
залить старые метафайлы вместо текущих?
может что-то ещё?

да и что значит "напоминает обфускацию"??

pahan35
MBR не виноват в проблеме. С метафайлами не стоит так опрометчиво.
Но $Boot можно вернуть - записать его содержимое в сектор 131074048
Кстати, можно взглянуть на сектор 2930272255 до всех исправлений?

Про обфускацию можно в интернете почитать, но смысл в добавлении кучи мусора, который не воспринимается системой. А среди него фрагменты кода (вплоть до одной буквы), который воспринимается. Авторановские вирусы так любят autorun.inf модифицировать. Сейчас не нашёл такого с хорошей обфускацией, но простейший пример есть на прилагаемомй картинке (в верхнем правом углу).
А в остальной части фрагмент твоего текущего бута, в котором выделены красным характерные записи буткода. Справа внизу записи 7-ой записи. Видишь схожесть?
И заодно - жёлтым выделил два фрагмента, но таких там много. Обрати внимание на изменение значения. Явно есть закономерность. Я понимаю что это какой то глюк, и вопрос из разряда бредовых но всё таки.
Не использовался какой то шифровшик раздела или нечто подобное? А то может это должно быть так, но только при наличии самого шифровшика?
http://rghost.ru/31908651.view

Цитата:

Но $Boot можно вернуть - записать его содержимое в сектор 131074048

$Boot, что прежний, что нынешний одинаковы(сравнивал хеш-суммы).
вот скрин сектора 2930272255 http://imageshack.us/photo/my-images/259/2930272255.png/

Цитата:

Не использовался какой то шифровшик раздела или нечто подобное? А то может это должно быть так, но только при наличии самого шифровшика?

нет. шифровщиками не пользовался.

насчёт вирусов - то частенько каспер убирает всякие там autorun.inf , которые цепляются на флеху с институтских компов. но я думаю дело не в вирусе.

да и кстати: винда предлагала сделать проверку диска(chkdsk короче)(довольно часто перед запуском системы), но я отказывался, и впоследствии за неделю полетела ФС

Цитата:

$Boot, что прежний, что нынешний одинаковы(сравнивал хеш-суммы).

Есть такое дело. Но только ты тогда сам уж разберись что ты высылаешь.
$Boot ни что иное, как содержимое начальных секторов раздела. В таком случае, высланный тобою
Цитата:

начальный сектор 131074048

, что то другое или является следствием обработки каким то текстовым (?) редактором.

Цитата:

вот скрин сектора 2930272255

Чисто визуально - вполне нормальная копия бутсектора.

Про вирусы я как бы не писал - просто написал что напоминает.

Цитата:

винда предлагала сделать проверку диска(chkdsk короче)(довольно часто перед запуском системы), но я отказывался, и впоследствии за неделю полетела ФС

В автомобиле загорается лампочка отсутствия тормозной жидкости. Но это игнорируется. Каковы последствия такого при очередном торможении?

Цитата:

В автомобиле загорается лампочка отсутствия тормозной жидкости. Но это игнорируется. Каковы последствия такого при очередном торможении?

боялся повредить чекдиском данные, так как он был восстанеовлен после подобного краша.

какие будут предложения???

pahan35
Если есть боязнь, то можно запустить проверку без исправлений.
Хотя бы будет известно в чём проблема.

Что касается предложений, то они уже озвучены.

Цитата:

Что касается предложений, то они уже озвучены.

тоесть $Boot переписать и всё?? (Чем лучше это сделать?)

А что делает быстрое форматирпование??? Что удаляет? Что заменяет?

Может раздел быстро форматнуть а потом залить старые MFT, MFTMirror, Boot, и записать сектор 131074048 и 2930272255

Цитата:

тоесть $Boot переписать и всё?? (Чем лучше это сделать?)

Для начала да, а потом смотреть что будет. Только имеется в виду запись содержимого метафайла в соответствующие сектора. Использовать DMDE или каой то другой хекс-редактор. Такого чтобы сделать "Восстановить $Boot" я не знаю.
Ни в коем случае не разрешать чекдиску что то делать автоматически. После перезагрузки системы сделать проверку вручную и в режиме только чтения. По резултатам проверки делать выводы.


Цитата:

А что делает быстрое форматирпование??? Что удаляет? Что заменяет?

У Криса Касперски это подробно описано. Делается немного, но и немало.
К тому же, может уже что то и изменилось в новых версиях винды (виста и семёрка при полном формате стала обнулять раздел - может и с быстрым что то по другому).


Цитата:

Может раздел быстро форматнуть а потом

Смысл сего действа можно обьяснить?
Есть случаи, когда быстрый формат может и помочь, но это в специфичных случаях и для работы с рековерилками (вытасквание информаци, а не восстановление по месту).

Цитата:

Для начала да, а потом смотреть что будет. Только имеется в виду запись содержимого метафайла в соответствующие сектора. Использовать DMDE или каой то другой хекс-редактор.

тоесть вручную записать 16 секторов $Boot?
P.S: вернусь к восстановлению в понедельник. на выходные поеду к родакам.

я вернулся

Добавлено:
вот что заметил:
через winhex показывает состояние моей ФС за полдня-день до краша, а через DMDE - во время краша + показывает что MFT очень фрагментирован. может проблема в MFT?

что я делал до краша:
тогда на ночь(перед крашем) я ставил фильмы на конвертирование и игруху на установку. с утра не заглядал. пришёл с учёбы в 17:00 - заметил что в винде нету звука. была открыта папка с фильмами. открыл пару фильмов - все без звука. перезагрузил - и 2 раздел стал RAW.

Добавлено:
9285, случайно не знаешь никаких редакторов/коректоров MFT?

Цитата:

тоесть вручную записать 16 секторов $Boot?

Да.
Но вообще тебе надо с винтом разбираться.
Наверняа у него и пендинги и сбойные сектора существуют. А может и нет, но есть ощибки интерфейся. Или ешё какие то.


Цитата:

случайно не знаешь никаких редакторов/коректоров MFT?

В каком плане? WISE-подобных не знаю.

Доброго времени суток.
Дампы, скрины http://zalil.ru/32148307
Легче сказать как я не издевался над этим хардом, чем поведать 4-х летнюю историю измывательств.
Логический D обиделся окончательно после попытки записать на него файл "Копия (не помню как там дальше).tib"
Загрузочный ATIH вякнул типа "Ацтань, месту тута нетути" и после загрузки винды больше я не могу воссоединиться с диском D.
Впредь обещаю быть паинькой, не мучить семейство хардов и иже с ними всякими нехорошестями типа ОС Селектора и не сшивать несшиваемое ADDS.
Но для полного счастья безумно бы хотелось получить доступ к D, дабы извлечь документы, потом и кровью наработанные. А ужо в дальнейшем отформатить всё нужное и ненужное, проверить поверхность хитроумными утилитами и коль буде показание оных "Усё ОК, можешь пользовать"... эээ, только штатными средствами биллгейтовскими поделить и юзать тихоооонечко и аккуратненько.
Но в счастие моём мне мешают звери окояные, как то, незнание языка заморского-англицкого, боязнь компьтера на генном уровне и полное отсутствие знаний в бесовском создании, именуемом NTFS.
А помощником последним был Testdisk, дык, наотрез заявил "Нет у тя на диске D ни MFT ни зеркальной копии его.
Брешет падла, есть они, но какие то хворые походу.
Помогите Люди добрые MFT вылечить (больно страшно потерять документы).
И если не затруднит, то попроще, ибо WinHex и DMDE я впервые узрел пару дней назад.

Bizoncheg
Видимо слишком долго писал покаянную, что совсем забыл выложить дамп згрузочного сектора самого важного раздела - 115137918 сектор физического диска.
Попробую потелепатить - сбрось ещё и дамп секторов 115137910+100

Позор мне. Видимо, невозможность просмотреть столь дорогие сердцу файлы так негативно повлияло на и без того ослабленный нарзаном разум.
9285, прошу пардону.
Вот он, этот коварный тип гражданской наружности! (с)
http://zalil.ru/32151473

Bizoncheg
Телепатия не сработала, тем более не заметил что не ту цифру из буфера вставил.
Но теперь то уж есть данные и можно уверено спросить дамп секторов 156590510+100 (если хочешь, можешь сразу 400, чтобы и зеркало захватить).
И это - в нормальные архивы можно помещать (zip-ы)?

9285

Цитата:

Наверняа у него и пендинги и сбойные сектора существуют.

Пендинги есть. Их то я через MHDD сначала и убирал. Сейчас ещё немного уберу после рескана винта

Добавлено:
9285
но проблема скорее всего не в пендингах, так как выбивало бы ошибку 23 (ошибка данных CRC), хотя началось всё с пендингов. только вот толи MFT не записало из-за пендига, толи MFT повредилась пендингом.

убрал около 20 пендингов(осталось 6 где-то, если верить смарту), но проблему это не решило.

9285, ай дорогой, об чём речь, ты только намекни, ради такого джигита я весь хард зазиплю-отзиплю и в праздничной упаковке пришлю.
http://zalil.ru/32152521
Благодарю за помощь. http://i.ru-board.com/s/beer.gif

Bizoncheg
Прикольная штуковина. В начальную запись MFT вписались данные акронисовского файла имиджа.
Надо покумекать немного.

pahan35
Про пендинги можешь почитать например эту тему
Они могли повредить и MFT и бутсектор (что точно есть).
Если у тебя проблемы с винтом физического плана, то надо делать посекторку хотя бы того, что есть сейчас. В противном случае может быть только хуже.
Я не знаю как тебе ещё обьяснить, но ты делаешь всё наоборот.
Попробую привести пример. У человека течёт кровь из вены, а другой вместо того чтобы наложить жгут, начинает выяснять почему из вены течёт кровь.

Цитата:

Они могли повредить и MFT и бутсектор (что точно есть).

что-то из этого повреждено и скорее всего MFT. что ему можно сделать чтобы он пахал??
если я его тупо форматну, то всё будет отлично пахать, но инфы то не будет, так что в физическом плане с ним всё в порядке(ну почти). как мне засавить винду читать ФС??
DMDE и WinHex отлично всё видят, правда с некоторой разницей, о которой я писал выше.

Что мне делать со сломоаной MFT??
могу скинуть лог DMDE

pahan35
Да сбрасывай хоть лог, хоть дамп "повреждённой" MFT.
Только вот я так и не понял - что сейчас в бутсекторе, без корректности которого не о чем говорить?

лог DMDE http://rghost.ru/32458161

Bizoncheg
http://rghost.ru/32472231
Патч запиши в сектор 156590510 (Сервис-Копировать секторы, то достаточно указать в источнике записи только начальный сектор).
После этого можешь запускать чекдиск в режиме только чтения. Результат проверки выложи для принятия решения по поводу дальнейших действий.
PS. Надеюсь что ты писал искренне в начальном сообщении.
Мало того что акронис тебе подложил такой крендель, так ещё и создал изначально фрагментированную MFT. Случись что посерьёзней - узнал бы по чём фунт лиха.

pahan35
Ну и? В логе видны фрагменты MFT, которые есть в метафайлах. Что далее?
В общем то, если ты ушёл в автономное плаванье, то могу лишь пожелать семь футов под килем!

Цитата:

Патч запиши в сектор 156590510 (Сервис-Копировать секторы, то достаточно указать в источнике записи только начальный сектор).

Пусть все поймут, что я редкостный дубина, но уж больно велика ставка в случае ошибки, посему лучше переспрошу.
Сервис->Копировать Секторы
В разделе Источник выбираю Файл и указываю на любезно предоставленный уважаемым господином 9285 patch_156590510_2.ima
Поля в источнике автоматически заполняются следующим образом:
Начальная позиция 0
Конечная позиция 1023
Размер источника 1024
Мне на это наплевать?
Поля раздела Место для записи автоматически заполняются следующим образом:
Первый сектор 0
Последний сектор 488397167
Число секторов 488397168
Правлю:
Первый сектор 156590510
Последний сектор 156590511
Число секторов 2
Так?

Bizoncheg
Так.
Можно ещё по другому, чтобы не ошибиться и удостовериться что попал куда надо.
Перед копированием переходишь к нужному сектору - Редактор - Физические секторы. В Перейти к сектору вбиваешь номер сектора, Ок. И видишь знакомые записи MFT . В этом случае, после выбора копирования, в месте для записи будет уже стоять нужный сектор.

9285
ААААА
Друг, спас жизнь друга

Цитата:

Проверка файлов (этап 1 из 3)...
Смещение первого свободного байта исправлено в сегменте 0 записи о файле
Проверка файлов завершена.

Обнаружены ошибки. Продолжение работы в режиме только чтения невозможно.

Цитата:

После этого можешь запускать чекдиск в режиме только чтения. Результат проверки выложи для принятия решения по поводу дальнейших действий.

Аки прилежный ученик замер в ожидании слова мудрого.
9285, друг, не бросай мну в трёх шагах от рая
Али можно ужо файлы перегонять на другой хард?
Доступ есть, но больно много файлов, не потеряются, не побьются?
Если прогоню чекдиском, не попорчу?
Откликнись.

wd30ezrx western digital 3tb перестал определяться сначала все работало потом бац и пишет отформатируте диск и все - как сделать так чтобы он снова определился - так как на нем уже есть 2tb информации - как можно восстановить нормальную работу диска?

Bizoncheg
Я не могу давать каких то гарантий (в том числе и в отношении действий чекдиска).
Сейчас нет возможности, но попозже пришлю чуть подправленный патч, после которого ругань должна будет исчезнуть.
Или не терпится в рай?
PS. Резервное копирование лишним никогда не бывает. Так что можешь пока заняться копированием (я так понял что доступ к диску есть).

9285
перезаписал $Boot . изменений 0. что дальше посоветуешь сделать??

Да и ещё вот такая хрень :
- это папка метафайлов http://imageshack.us/photo/my-images/141/45775778.png/ ;
- вот так видит диск через ДМДЕ http://imageshack.us/photo/my-images/828/28087966.png/ ;
- а это содержимое(очень похоже на файлы игры метро 2033, которое я ставил перед крашем винта) тех левых папок с рисунка 2 http://imageshack.us/photo/my-images/854/94066096.png/

С учётом этого что можешь сказать?

pahan35
Для начала запустить чекдиск в режиме только чтения и посмотреть результат.