Відновлення MBR, таблиці розділів і завантажувального сектора карти пам'яті без втрати даних ("USBC")

Анотація

У мене є карта пам'яті FAT32, яка при вставці в комп'ютер викликає запит у форматі Windows. Карта, безумовно, не повинна бути порожньою і має купу файлів на ній.

Симптоми

Використовуючи шестнадцятковий редактор / диск-переглядач, я оглянув карту і виявив, що кілька секторів / кластерів були переписані чимось, що має підпис USBCна початку сектора. Зокрема, головний завантажувальний запис (і таблиця розділів) відсутній (отже, Windows вважає, що картка порожня і потребує форматування), як і завантажувальні сектори (вони мають USBCпідпис і мітку обсягу NO NAMEі типу розділу FAT32).

На щастя, схоже, що обидві копії FAT майже цілісні (декілька записів FAT на початку кластера тут і там, здається, перезаписуються USBC). Кореневий каталог також майже недоторканий - я бачу запис мітки томів та підкаталогу, але один сектор перезаписується. (У USBCFAT2 більше немає екземплярів після останнього.)

Гіпотеза

Ці спостереження, здається, вказують на якийсь вірус, який стирає кілька ключових структур файлової системи, а потім перезаписує кілька додаткових секторів тут і там. Погуглити, здається, підтверджує ідею вірусу, за винятком того, що інші повідомляють файл з ім'ям , USBCяке не застосовується тут, а насправді, не може бути можливим , так як немає файлової системи навіть бачити файли. Я не можу знайти жодної інформації про вірус з цими симптомами, ані про інструмент видалення. (Я не можу не дивуватися, якщо це насправді завдяки засобу запобігання вірусу автозапуску .)

Питання

Імовірно, я можу виправити корупцію FAT, оскільки вони в основному суміжні ланцюги і, можливо, навіть втрачений сектор кореневого каталогу, але хто-небудь знає про зручний спосіб відновлення або (повторного) створення MBR / таблиці розділів і завантажувальних секторів (без форматування) або перезапису даних)?

— Synetech
джерело

Досвідчений також у bugs.gentoo.org/show_bug.cgi?id=409565 .

— Тамара Війсман

Дякуємо за посилання (зокрема, відповідний коментар ). Шахта була карткою пам'яті, а не флеш-накопичувачем, але вони фактично однакові. Більше того, хоча я не пам'ятаю точно, я не здивуюся, якщо обставини, згадані в цій темі (видалення картки / диска, коли ноутбук спить) дійсно відбулося в якийсь момент для мене. Ця нова інформація робить це питання ще більш важливим.

— Synetech

Дивно, що це питання отримало ще один голос на цьому тижні, оскільки це сталося мені знову недавно. Я підключив 2-Гб SD-карту в кард-рідер (дешевий китайський, який я купив на eBay за кілька центів і використовував без проблем кілька років), і підключив його до ноутбука, як це було багато разів . Минулого тижня я міг тільки читати з неї; функція запису була розбита і оброблена всі карти тільки для читання. В іншу ніч він не запалив світлодіод або зареєстрував знімний диск у Windows, поки я не зняв картку. Очевидно, у нього є проблеми з роз'ємом карти.

— Synetech

Потім я спробував інший, подібний кард-рідер, який запалював світлодіод, дав мені прочитати карту, і дозволь мені написати йому. На жаль, невдовзі, він показав пару дуже великих небажаних файлів, які могли / не повинні були існувати (вони навіть не реєструвалися, коли я перевіряв використання диска). Я використав функцію безпечного видалення пристрою для вилучення картки (читача) і від'єднав її. Windows тепер повідомляє мені, що він неформатований. Я відкрив його в редакторі дисків і, звичайно ж, MBR пішов і перезаписаний тарабарщиною, яка починається з рядка USBC.

— Synetech

Я зробив сектор-дамп карти (на щастя, тільки 2 Гб) і використав PhotoRec для вилучення файлів і шестнадцяткового редактора для вилучення записів каталогу. Я можу "відновити" більшу частину картки, як минулого разу, після того, як було багато роботи, але, на щастя, цей файл мав лише декілька великих файлів, що відтворюються / завантажуються (ще багато годин роботи). Очевидно, що ці дешеві, китайські читачі є дерьмом і ненадійними (та ж помилка з 2-3 читачами і 2-3 картками). Вони можуть / можуть зіпсувати ваші дані. Я настійно рекомендую не використовувати їх (окрім можливо, щоб вирвати роз'єм для використання в проектах електроніки).

— Synetech

Відповіді:

Першим інструментом, який слід спробувати для відновлення MBR / таблиці розділів, є testdisk , який має гарну документацію і простий у використанні. Я пропоную прочитати цей посібник .

— speakr
джерело

Я вже пробував, але не міг знайти жодних розділів. Я не згоден з простим у використанні коментарем, але приклад у документації виглядає трохи перспективним (схоже, він більше зосереджується на розділах NTFS на жорсткому диску). Я дам йому ще йти.

— Synetech

Я пережив ту ж саму проблему. Це не вірус. Це електронний провал у пристрої для читання карт пам'яті (принаймні у моєму випадку).

Після форматування я спробував використати іншу карту на цьому комп'ютері, використовуючи інший пристрій читання карт пам'яті без будь-яких проблем. Однак, коли я вставляю іншу картку пам'яті з можливістю зчитування карт пам'яті, вона негайно зіпсувала її.

— Райан
джерело

COuld вам, будь ласка, надайте крок за кроком, як відновити карту пам'яті 32gb один розділ, завантажувальний сектор став переписаний цією невдачею.

— Ryan

Це дійсно може бути поганим карт-читачем. У мене є дешевий китайський, який я купив на eBay, і в той час як вони взагалі, здається, працюють нормально, так само робить більшу частину дешевого китайського небажаного я купую на eBay (принаймні, поки вони не починають викидати). У моєму випадку, це те, що я зробив, полягав у використанні шестнадцатеричного редактора для редагування карт вручну. Більша частина інформації для даних розділів була все ще присутня (лише з певних причин змістився сектор або два). Тому я скопіював його назад, де він належить. Проблема в тому, що погані дані також були скопійовані до декількох, здавалося б, випадкових секторів (поведінка вірусу), які пошкодили кілька файлів.

— Synetech

Я думаю про написання повної статті про це, але ця карта з того часу була знищена, а відновлені файли скопійовані назад, так що я не знаю, чи можу я пам'ятати технічні деталі, необхідні для цього.

— Synetech

У мене була і у мене знову та ж проблема.

У мене є зовнішній жорсткий диск USB від типу ADATA NH92. Він відформатований як NTFS. Одного разу я виявив, що деякі файли відсутні, а пізніше все більше і більше файлів було втрачено. Нарешті, диск був пошкоджений, і Windows попросив його відформатувати. Я переформатований HDD 2 або 3 рази, через проблеми повторюються, то я претендував на диск.

Новий HDD працював півроку без будь-яких проблем. Потім знову почалися проблеми. Я виявив, використовуючи WinHex редактор дисків, що Master Boot запису пошкоджено. Я вивчав NTFS. Я відновив завантажувальний запис шляхом копіювання з іншого жорсткого диска з однаковою ємністю, розділами і NTFS. Я підтвердив місце розташування MFT. Я побачив, що перший сектор таблиці починається з підпису USBC. Інші записи MFT-файлів мали один і той самий перший підпис сектору, а інший сектор має кілька інших байтів, а потім продовжувати з нулями. Я дізнався, що кожен сектор з підписом перемістив дані до другої половини сектора. Тому я перемістив ці дані назад до початкового місця і перевірив диск. HDD був відновлений. Через два тижні сталося те ж саме. Я перевірив комп'ютер антивірусом без будь-якого результату. Я використовував 3 різні програми включають McAfee. Немає результату. Вірус не був знайдений.

Я вважав, що вірус зосереджений на NTFS, тому я переформатував жорсткий диск на FAT32. Через деякий час деякі сектори були перезаписані підписом USBC знову, і файлова система HDD була знищена. Я послав ПК до виробника, він був повністю переформатований і Windows була перевстановлена. Також я переформатував HDD і створив два логічні розділи з однаковими даними для резервного копіювання.

Сьогодні у мене знову проблема. Я виявив, що другий логічний диск знищений. Я перевірив HDD на winHex, і я дізнався, що також логічний диск, який виглядає нормально, має більше 100 секторів з підписом USBC, але всі файли в MFT все ще добре. Я вважаю, що і цей логічний диск скоро буде знищений.

Цікаво, що жорсткі диски ADATA NH92 мають проблеми тільки на цьому комп'ютері. Я використовував ADATA NH92 на іншому комп'ютері без проблем; Я використовував інший жорсткий диск на цьому комп'ютері без проблем. Я збираюся робити довгострокові спостереження для використання на цьому ПК постійно інший HDD і використовувати ADATA NH92 тільки на різних ПК.

Час від часу я шукатиму обидва жорсткі диска для підпису сектора. Так що я побачу.

З повагою, Міхал

— Міхал
джерело

Привіт і Ласкаво просимо в Super User! Будь ласка, прочитайте розділ Як відповісти на запитання . Цей сайт є сайтом запитів і відповідей, а не форумом.

— slm

Привіт. Мій друг має точно такий же диск ADATA NH92 з точно такою ж проблемою: через деякий час його диск стає "пошкодженим", і ОС відмовляється бачити розділи. Пошкодження завжди однакові: MBR пошкоджено. Рішення завжди те ж саме: запустіть TestDisk і відновіть MBR з резервної копії. Ті "зрушені сектори", які ви спостерігали, насправді є резервною копією MBR, яку кожен диск тримає "на всякий випадок". Після декількох таких неполадок я почав збирати зображення та досліджувати їх. Так само, як у вашому випадку, MBR було перезаписано з майже порожнім блоком з сигналом "USBC".

— quetzalcoatl

Його диск знаходиться в FAT32. Дякуємо за повідомлення про NTFS. Я збирався запропонувати йому перейти до цієї системи, але з ваших записок ясно, що це не допоможе. З моїх спостережень, здавалося, що це вірус (перевіряється thorougly з 3 a-virs, нічого не знайшов), але, враховуючи, що ви бачите проблему з тією ж точною моделлю HDD, вона починає виглядати, як збій драйвера вікна, або апаратний контролер / помилка прошивки. BTW. мій друг, який володіє hdd, використовує WinXP. На жаль, машина знаходиться в декількох містах, тому я не можу легко дослідити її: / Чи знайшли ви нещодавно щось нове?

— quetzalcoatl

Ех .. Я помилився з абревіатурами. Не пошкоджено MBR, але BootSector (BS). Ось подібна тема, також на NH92: elektroda.pl/rtvforum/viewtopic.php?p=12450122#12450122 Ці диски, здається, мають проблеми ..

— quetzalcoatl

Я подивився навколо трохи більше і дізнався, що таке маркер USBC: це заголовок протоколу SCSI-over-USB. Більше не можна сказати більше, але ви можете прочитати: quetzalcoatl-pl.blogspot.com/2013/06/…

— quetzalcoatl