Восстановление MBR, таблицы разделов и загрузочного сектора карты памяти без потери данных («USBC»)

23366
Synetech

Аннотация

У меня есть карта памяти FAT32, которая при установке в компьютер заставляет Windows запросить ее форматирование. Карта определенно не должна быть пустой и на ней есть куча файлов.

симптомы

Используя hex-редактор / средство просмотра диска, я исследовал карту и обнаружил, что несколько секторов / кластеров были перезаписаны чем-то, что имеет подпись USBCв начале сектора. В частности, основная загрузочная запись (и таблица разделов) ушли (следовательно, Windows думает, что карта пуста и нуждается в форматировании), так же как и загрузочные секторы (у них есть USBCподпись, метка тома NO NAMEи тип раздела FAT32).

К счастью, похоже, что обе копии FAT почти не повреждены (несколько записей FAT в начале кластера здесь и там, похоже, перезаписаны USBC). Корневой каталог также почти не поврежден - я вижу записи меток тома и списки подкаталогов, но один сектор перезаписан. (Больше нет экземпляров USBCпосле последнего в FAT2.)

гипотеза

Эти наблюдения, кажется, указывают на своего рода вирус, который стирает несколько ключевых структур файловой системы, а затем переписывает несколько дополнительных секторов здесь и там. Похоже, поиск в Google подтверждает идею вируса, за исключением того, что другие сообщают о файле,USBC который называется, который здесь не применяется, и на самом деле не может быть возможным, поскольку нет файловой системы, позволяющей даже просматривать файлы. Я не могу найти какую-либо информацию о вирусе с этими симптомами или инструмент для удаления. (Я не могу не задаться вопросом, действительно ли это происходит из-за средства предотвращения вирусов автозапуска .)

Вопрос

Я, вероятно, могу исправить повреждение FAT, так как они в основном являются непрерывными цепочками и, возможно, даже потерянным сектором корневого каталога, но кто-нибудь знает удобный способ восстановления или (повторного) создания таблицы MBR / раздела и загрузочных секторов (без форматирования или перезаписываешь данные)?

4
Опытный в https://bugs.gentoo.org/show_bug.cgi?id=409565. Tom Wijsman 11 лет назад 0
Спасибо за ссылку (в частности, [соответствующий комментарий] (https://bugs.gentoo.org/show_bug.cgi?id=409565#c4)). У меня была карта памяти, а не флешка, но они практически одинаковые. Более того, хотя я точно не помню, я не удивлюсь, если обстоятельства, упомянутые в этой теме (извлечение карты / диска, когда ноутбук спит), действительно произошли в какой-то момент для меня. Эта новая информация делает [этот вопрос] (http://superuser.com/questions/453453/does-windows-flush-drive-caches-on-standby) еще более важной. Synetech 11 лет назад 0
Странно, что этот вопрос получил еще одно голосование на этой неделе, поскольку недавно он снова произошел со мной. Я подключил SD-карту емкостью 2 ГБ к кард-ридеру (дешевая китайская карта, которую я купил на eBay за несколько центов и пользуюсь без проблем пару лет), и подключил ее к ноутбуку, как я делал это много раз , На прошлой неделе я только мог читать из него; функция записи была сломана и обработана, все карты доступны только для чтения. Прошлой ночью он не включал светодиод и не регистрировал съемный диск в Windows, пока я не удалил карту. Очевидно, это проблема с разъемом карты. Synetech 11 лет назад 0
Затем я попробовал другой, похожий кард-ридер, который зажег светодиод, дал мне прочитать карточку и написать мне. К сожалению, вскоре после этого он показал пару очень больших ненужных файлов, которые могли / не могли существовать (они даже не регистрировались, когда я проверял использование диска). Я использовал функцию безопасного удаления устройства для извлечения карты (считывателя) и отключил ее и снова подключил. Windows теперь сообщает мне, что она не отформатирована. Я открыл его в редакторе дисков и, конечно же, MBR пропал и перезаписан тарабарщиной, которая начинается со строки `USBC`. Synetech 11 лет назад 0
Я сделал секторный дамп карты (к счастью, только 2 ГБ) и использовал PhotoRec для извлечения файлов и hex-редактор для извлечения записей каталога. Я * могу * быть в состоянии "восстановить" большую часть карты, как в прошлый раз, после большого количества работы, но, к счастью, у этого было только несколько больших, воспроизводимых / загружаемых файлов (все еще часы работы). Очевидно, что эти дешевые китайские читатели ** дерьмовы ** и ненадежны (та же ошибка с 2-3 читателями и 2-3 картами). Они могут / действительно испортить ваши данные. Я настоятельно рекомендую не использовать их (кроме того, чтобы вырвать разъем для использования в проектах электроники). Synetech 11 лет назад 0
Это случилось снова недавно; другая карта имела повреждение `USBC`. Я специально старался не изменять карту, потому что я случайно удалил некоторые файлы и хотел избежать перезаписи чего-либо на ней. Но каким-то образом карта внезапно испортилась (к счастью, я сначала ее клонировал). Переключатель защиты от записи был бесполезен, потому что читатель, который я использовал, был другим дешевым китайским ридером от eBay, который * казался * хорошим (конечно, намного лучше, чем ранее использованный мусор), но он делал то же самое. Дешевые китайские кард-ридеры - это *** хлам ***, и их следует избегать !!! Synetech 9 лет назад 0

3 ответа на вопрос

2
speakr

Первый инструмент, который вы должны попробовать для восстановления MBR / таблицы разделов, это testdisk, который имеет хорошую документацию и прост в использовании. Я предлагаю прочитать это руководство .

Я уже пробовал, но он не мог найти разделов. Я не согласен с простым в использовании комментарием, но пример в документации выглядит несколько многообещающе (похоже, больше внимания уделяется разделам NTFS на жестком диске). Я сделаю это еще раз. Synetech 12 лет назад 0
1
Ryan

Я испытал ту же проблему. Это не вирус. Это электронный сбой в устройстве чтения карт памяти (по крайней мере, в моем случае).

После форматирования я попытался без проблем использовать другую карту на этом компьютере, используя другое устройство чтения карт памяти. Однако, когда я вставил другую карту памяти с предполагаемым устройством чтения карт памяти, он сразу же повредил ее.

Не могли бы вы предоставить пошаговое руководство по восстановлению моей карты памяти 32 ГБ на один раздел, загрузочный сектор стал перезаписан этой ошибкой. Ryan 11 лет назад 2
Это действительно может быть плохой кард-ридер. У меня есть дешевый китайский, который я купил на eBay, и хотя они, как правило, работают нормально, так же, как и большинство дешевых китайских мусоров, которые я покупаю на eBay (по крайней мере, пока они не начнут выпадать). В моем случае я использовал hex-редактор для ручного редактирования карточек. Большая часть информации для данных раздела все еще присутствовала (просто по какой-то причине сдвинули сектор на два). Поэтому я скопировал его обратно туда, где он принадлежит. Проблема в том, что неверные данные были также скопированы в несколько, казалось бы, случайных секторов (поведение вируса), которые повредили несколько файлов. Synetech 11 лет назад 0
Я думаю о том, чтобы написать полную статью с практическими рекомендациями по этому вопросу, но с тех пор эта карта была стерта, а восстановленные файлы скопированы обратно, поэтому я не знаю, могу ли я вспомнить технические детали, необходимые для этого. Synetech 11 лет назад 0
1
Michal

У меня была и у меня снова та же проблема.

У меня внешний USB HDD от ADATA типа NH92. Он отформатирован как NTFS. Однажды я обнаружил, что некоторые файлы отсутствуют, а потом все больше и больше файлов были потеряны. Наконец диск был поврежден, и Windows попросила отформатировать его. Я переформатировал жесткий диск 2 или 3 раза, из-за проблем повторился, и я забрал диск.

Новый HDD работал пол года без проблем. Тогда проблемы начались снова. С помощью редактора дисков WinHex я обнаружил, что основная загрузочная запись повреждена. Я изучал NTFS. Я восстановил загрузочную запись, скопировав с другого жесткого диска с той же емкостью, разделов и NTFS. Я подтвердил местоположение MFT. Я увидел, что первый сектор таблицы начинается с подписи USBC. Другие записи MFT-файлов имели одинаковую сигнатуру первого сектора, а остальные секторы имеют пару других байтов и затем продолжают нули. Я обнаружил, что каждый сектор с подписью переместил данные во вторую половину сектора. Поэтому я переместил эти данные обратно в исходное местоположение и проверил диск. HDD был восстановлен. Через две недели произошло то же самое. Я проверил компьютер антивирусом безрезультатно. Я использовал 3 разные программы, включая McAfee. Безрезультатно. Вирус не был найден.

Я предположил, что вирус ориентирован на NTFS, поэтому я переформатировал жесткий диск в FAT32. Через некоторое время некоторые сектора снова были перезаписаны подписью USBC, и файловая система жесткого диска была разрушена. Я отправил ПК производителю, он был полностью переформатирован и Windows была переустановлена. Также я переформатировал жесткий диск и создал два логических раздела с одинаковыми данными для резервного копирования.

Сегодня у меня снова проблема. Я обнаружил, что второй логический диск уничтожен. Я проверил HDD с помощью winHex и обнаружил, что логический диск, который выглядит нормально, имеет более 100 секторов с подписью USBC, но все записи файлов в MFT все еще в порядке. Полагаю, этот логический диск также скоро будет уничтожен.

Интересно отметить, что проблема с жестким диском ADATA NH92 есть только на этом ПК. Я использовал ADATA NH92 на другом ПК без проблем; Я использовал другие жесткие диски на этом компьютере без проблем, тоже. Я собираюсь провести долгосрочное наблюдение, чтобы постоянно использовать на этом ПК другие жесткие диски и использовать ADATA NH92 только на других ПК.

Время от времени я буду искать оба жестких диска для подписи сектора. Так что я увижу.

С уважением, Михал

Привет и добро пожаловать в Super User! Пожалуйста, прочитайте [Как ответить на вопросник] (http://superuser.com/questions/how-to-answer). Этот сайт является сайтом вопросов и ответов, а не форумом. slm 11 лет назад 1
Привет. У моего друга точно такой же накопитель ADATA NH92 с точно такой же проблемой: через некоторое время его накопитель «поврежден», и ОС отказывается видеть разделы. Ущерб всегда один и тот же: MBR поврежден. Решение всегда одно и то же: запустите TestDisk и восстановите MBR из резервной копии. Те "сдвинутые сектора", которые вы наблюдали, на самом деле являются ** резервной копией ** MBR, которую каждый диск держит "на всякий случай". После нескольких таких неисправностей я начал собирать изображения и исследовать их. Как и в вашем случае, MBR был перезаписан практически пустым блоком с сигкой «USBC». quetzalcoatl 11 лет назад 0
Его диск находится в FAT32. Спасибо за уведомление о NTFS. Я собирался предложить ему перейти на эту систему, но из ваших заметок видно, что это не поможет. Из моих наблюдений он выглядел как вирус (тщательно проверенный с 3 a-virs, ничего не обнаружил), но, учитывая, что вы видите проблему с той же моделью жесткого диска, он начинает выглядеть как сбой драйвера Windows или аппаратного контроллера / ошибка прошивки. КСТАТИ. мой друг, которому принадлежит жесткий диск, использует WinXP. К сожалению, машина находится в нескольких городах, поэтому я не могу ее легко исследовать: / Вы нашли что-то новое в последнее время? quetzalcoatl 11 лет назад 0
Эх .. Я ошибся в сокращениях. Был поврежден не MBR, а BootSector (BS). Вот похожая тема, также на NH92: http://www.elektroda.pl/rtvforum/viewtopic.php?p=12450122#12450122 Эти накопители, похоже, имеют проблемы .. quetzalcoatl 11 лет назад 0
Я осмотрелся еще немного и выяснил, что такое маркер USBC: это заголовок протокола SCSI-over-USB. Больше сказать нечего, но вы можете прочитать: http://quetzalcoatl-pl.blogspot.com/2013/06/adata-nh92-recurring-malfunction.html quetzalcoatl 11 лет назад 0

Похожие вопросы