Анотація
У мене є карта пам'яті FAT32, яка при вставці в комп'ютер викликає запит у форматі Windows. Карта, безумовно, не повинна бути порожньою і має купу файлів на ній.
Симптоми
Використовуючи шестнадцятковий редактор / диск-переглядач, я оглянув карту і виявив, що кілька секторів / кластерів були переписані чимось, що має підпис USBC
на початку сектора. Зокрема, головний завантажувальний запис (і таблиця розділів) відсутній (отже, Windows вважає, що картка порожня і потребує форматування), як і завантажувальні сектори (вони мають USBC
підпис і мітку обсягу NO NAME
і типу розділу FAT32
).
На щастя, схоже, що обидві копії FAT майже цілісні (декілька записів FAT на початку кластера тут і там, здається, перезаписуються USBC
). Кореневий каталог також майже недоторканий - я бачу запис мітки томів та підкаталогу, але один сектор перезаписується. (У USBC
FAT2 більше немає екземплярів після останнього.)
Гіпотеза
Ці спостереження, здається, вказують на якийсь вірус, який стирає кілька ключових структур файлової системи, а потім перезаписує кілька додаткових секторів тут і там. Погуглити, здається, підтверджує ідею вірусу, за винятком того, що інші повідомляють файл з ім'ям , USBC
яке не застосовується тут, а насправді, не може бути можливим , так як немає файлової системи навіть бачити файли. Я не можу знайти жодної інформації про вірус з цими симптомами, ані про інструмент видалення. (Я не можу не дивуватися, якщо це насправді завдяки засобу запобігання вірусу автозапуску .)
Питання
Імовірно, я можу виправити корупцію FAT, оскільки вони в основному суміжні ланцюги і, можливо, навіть втрачений сектор кореневого каталогу, але хто-небудь знає про зручний спосіб відновлення або (повторного) створення MBR / таблиці розділів і завантажувальних секторів (без форматування) або перезапису даних)?
USBC
.