Groszexxx

Zobacz z jaką datą i czy w ogóle masz jakieś kopie rejestru w C:\Windows\System32\config\RegBack

Sprawdź czy mają "normalną" wagę i czy data różni się od tych obecnych gałęzi, które we wczesniejszym katalogu.

Po prostu pobierz najnowszą wersje programu Victoria http://hdd.by/Victoria/Victoria468b.zip, wybierz dysk, zakładka tests,  zaznacz opcję write (domyślnie jest na read) i start. 

 

Po całym procesie - przeskanuj ponownie dysk (zmień tylko z ignore na np. erase) . Niestety, na nowszych systemach - powyżej win 7 - nie zawsze faktycznie zeruje sektory, możesz podrzucić log po tym procesie. Zalecane środowisko to windows XP albo jakiś windows PE.

Dlaczego pytasz czy warto zamiast po prostu to sprawdzić? Na dokładkę nawet nie raczyłeś pokazać tego co zobaczyłeś w CDI. Taki post do niczego się nie nadaje. 

Możesz spróbować ponownie zrobić kopię tych sektorów, wyzerować je, a potem przywrócić ich zawartość. Żadne dystanse nic tu nie pomogą i bynajmniej nie zwiększy to bezpieczeństwa. 

Upewnij się czy masz najnowszy bios. To stary laptop - gwarancję masz serwisową czy producenta? Strzelam, że serwisową. Możesz spróbować przefleszować go jeszcze raz. Czasami jest możliwe wgranie tej samej wersji co się posiada. 

Wrócił z gwarancji z dyskiem, który już nie zawierał tych atrybutów, które wymieniłeś? 

 

Hiren's to archaiczny twór, przydatny pod kątem określonej specyfiki - np. programów dyskowych, które lepiej pracują z win XP niż z nowszymi. Jeżeli masz ustawione security boot + uefi bądź samo uefi to nie dziwota, że Ci nie wystartuje. 

Pokaż smart dysku najpierw za pomocą programu GSmartControl. 

 

Ah, widzę, że on nie obsługuje nawet uefi. Jest różnica między nie bootowaniem się z pendrive'a systemu, a sytuacją, w której pendrive w ogóle nie jest wykrywany. Przywróć bios do ustawieniem fabrycznych i zobacz czy sytuacja ulegnie zmianie. 

Po wyjęciu zrobieniu CMOS reset - dostałeś przy starcie lapka komunikat CMOS error czy nie? Wtedy masz F1 to continue i F2 enter to bios. 

 

Ponadto znalazłem taką stronkę, w niej jest tez link do forum della.

http://akits.weebly.com/blog/inspiron-17r-5720-cant-access-biosf2-or-boot-from-other-devicef12-corrupt-bios

Pobierz windows za pomocą tego : 

https://www.heidoc.net/php/Windows ISO Downloader.exe

 

Potem Rufusem wgraj na pena. No i system plików to NTFS, a nie NTSC ;-). 

Użyj sfc w sposob opisany w artykule: 

Uzyj też chkdsk x: /r 

x - litera Twojej problemowej partycji, upewnij sie jaka jest litera.

 

I pokaż mi Smart dysku, ale z programu GSmartControl, pobierz z oficjalnej strony, opcja Save As po wyborze dysku.

 

Złe wieści. Jest masakra. 

 

Masa plików jest uszkodzonych, bez podpisów. I w dodatku to wygląda tak jakby mocno Ci się sypał dysk. 

Masz na nim jakieś bardzo ważne dane? Biorąc pod uwagę obecne zniszczenia to ja mu nie daję dużo czasu. 

Może to tylko system plików padł, ale to często idzie w parze z badsectorami: 

2018-08-24 09:28 - 2018-08-24 09:28 - 000000000 __SHD C:\found.000

A chkdsk tu już mieszał. 

 

Odpowiedz mi najpierw pytanie odnośnie tych danych. Moim zdaniem tutaj nie ma co zbierać i trzeba ratować co się da. Przynajmniej na początku. System też raczej się nie nadaje do naprawy, w sensie nie żeby to było niemożliwe, ale z pewnością będzie pracochłonne, bo każdy plik będzie trzeba przywrócić. I w życiu nie uwierzę, że Sfc nie dało Ci komunikatu o uszkodzeniach. 

Jeżeli sama zmiana partycji windowsowej na aktywną spowodowała, że system Ci się nie załadowął - to wgraj na niej jeszcze bootloader. Np za pomocą Bootice : http://www.ipauly.com/2015/11/15/bootice/

 

W partion managment jeszcze raz ustaw partycje z windowsem jako aktywna i upewnij się, że bootloader na tej partycji jest jako Bootmgr jak i, że w MBR (Process MBR) jest na windows Windows NT.

 

To rozwiąże kwestię związaną z punktem nr 2.

Ta ścieżka cały czas jest wyświetlana w logu od automatycznej naprawy, nie wiem z czego to wynika, ale plik ten jest na pewno sprawny. 

 

Zrób log w FRST: 

 

Sytuacja wygląda tak: 

 

MFT jest bardzo pofragmentowane, są aż cztery kawałki:

 

Katalog streamkopia znajduje się w klastrze 3349293, a dokładniej tam znajduje się pozostałość po wpisie w MFT, który ten katalog opisuje. Niestety, nie jest on w obecnym MFT. 

 

Zobaczmy co jest zapisane w pierwszym klastrze tej ogromnej przerwy: 

Okazuje się, że w nim tez są szczątki dawnego MFT. To dziwna sytuacja. Tak jakby jeden fragment się ulotnił.

 

Można spróbować przebudować atrybut $Data w MFT i go dodać, następnie odpalić chkdsk i liczyć na to, że "odzyska" to co w tej chwili jest utracone, a co potrzebuje autor. Warto dodać, że najpilniejsze rzeczy zostały już przez niego odzyskane za pomocą DMDE. 

Zlecę działania do wykonania z odpowiednio spreparowanym fragmentem $Data ale to później. Potrzebuję trochę czasu.

 

3348255-3399455

 

Stary Dataruns MFT: 

33 20 c8 00 00 00 0c 
43 23 b7 00 0d 7a 87 08
42 fd 07 7b 9e 75 01 
42 00 19 b3 98 5c fd

 

Potrzebujemy wpisać ten extend: 

 32 01 c8 1f 17 33

 

Przebudowujemy więc nasze dataruns 

 33 20 c8 00 00 00 0c 

 32 01 c8 1f 17 27

 43 23 b7 00 ee 62 60 08

 42 fd 07 7b 9e 75 01

42 00 19 b3 98 5c fd

 

 

Dataruns przebudowany, jak widać - było sporo liczenia, ale wszystko wygląda teraz tak jak należy, teraz trzeba dodać wagę naszych klastrów, czyli zwiększyć o 51201 *4096 bajtow.

Widzę, że MFT zajmuje tylko 436 MB, myslalem, ze wiecej. 

 

Odzyskaj te wszystkie pliki, które są u mnie, wykorzystaj jakiegoś pendrive'a, a potem je wrzuć na jakiś serwer. Ten plik BadClust ma fejkowy rozmiar, bo to tzw. sparse file. Powinno się go dać skopiować na pendrive'a. 

W razie problemów to pisz. 

Rozważ też możliwość zdalnego wsparcia, bo nie wiem czy będę w stanie wszystko zrobić na odległość... ani czy w ogóle będę w stanie dokonać rekonstrukcji. Muszę zerknąć co opisują wpisy w MFT z plikami w katologach, ktorych szukasz. 

Chce zobaczyc ile zajmują miejsca, zastanawiam się czy tlumaczyc Ci jak eksportować konkretne wpisy MFT czy całe MFT, bo to mniej roboty, mimo iz duzo więcej waży.

Nie do końca. 

 

Potrzebuje te dokładnie: 

 

Tego się obawiałem, niebieskie foldery są po rekonstrukcji. 

 

Odzyskaj na razie zawartość każdego folderu z osobna. W darmowej wersji dmde można odzyskać tylko zawartość folderu bez podfolderów. 

 

I pokaż screena z sekcji metadane, w lewej stronie interfejsu, $MetaData. 

Pokaż mi je na screenie, proszę, chciałbym wiedzieć gdzie się znajdują. Czy są żółte, tak jak reszta - czy też zielone albo niebieskie. Chciałbym widzieć drzewo katalogów. 

Zrobiłeś to co pisałem? Bo nie wiem czy pytasz jak odzyskać to co już zlokalizowałeś czy w ogóle nie wiesz jak przeskanować wolumin... 

Tak, widać, że końcówka jest ucięta, ten nowy dysk jest mniejszy. 

 

Przeskanuj ta partycje jako ntfs i ew. jako raw. Reszte odznacz, bo to tylko spowolni skan. Następnie zapisz wyniki skanowania, weź wirtualną rekonstrukcje i przejrzyj zawartosc tej partycji. 

Załaduj plik obrazu (obraz dysku) w głównym interfejsie bądź po wybraniu " wybierz dysk"

 

I pokaż mi partycje. 

Pobierz DMDE stąd: https://dmde.com/download.html

Zatwierdzamy licencje i obowiązkowo ODZNACZAMY pokaż partycje 

Wybieramy dysk i wciskamy ok. Następnie Narzędzia > Kopiuj sektory 

Klikamy max

Potem w dolnej części wybieramy plik i wskazujemy lokalizacje, gdzie ma zapisać kopię. 

I jeszcze parametry, potem parametry i liczbę ponowień na 0. 

A ile miejsca zajmują te wszystkie fouldery found.XXX ? Zaznacz wszystkie i opcja: właściwości. To ważne, bo chkdsk wrzuca tam odzyskane pliki, ale też te nieodzyskane w postaci ogromnych kawałków. Jeżeli on te kawałki już tam wrzucił to.... to tylko odzyskiwanie sygnaturowe z nich, czyli do odzyskania niewielkie pliki, które nie byly pofragmentowane. 

Chkdsk wykrył uszkodzenia w sporej ilości plików. Widać też, że część z nich przeniósł do found.004 - co świadczy o tym, że takich historii było więcej. Wszystkie foldery found.XXX są domyślnie ukryte i systemowe oraz z prawem dostępu dla dla administratora, w każdym razie bez nadania sobie uprawnien do wszystkich plików i folderów - nie wejdziesz do niego. Będziesz musiał nadać sobie uprawnienia, w opcji folderów włączyć opcję pokazywania ukrytych plikow i folderow jak i systemowych: 

Zapoznaj się z tym tematem. 

Następnie przejrzyj zawartość tych folderów found.XXX 

 

Naprawdę bym rekomendował zrobienie kopii posektorowej. Jak te uszkodzenia będą postępować to możemy dojść do sytuacji, w której nie będzie co zbierać. Chkdsk uruchamia się automatycznie przed startem systemu jeżeli jest ustawiony dirty bit, dlatego nie zawsze użytkownik zdąży przerwać jego działanie, a to może zaowocować sporymi zmianami w strukturze systemu plików i utratą części danych. 

Wrzuć mi tutaj dzienniki zdarzeń, ja przejrzę je w kontekście czy chkdsk działał. 

 

Cytat Picasso

Cytat

Pełne Dzienniki zdarzeń

 

 

FRST potrafi wyciągnąć ostatnie błędy Dziennika zdarzeń w postaci tekstowego skrótu, który jest jednak dość ograniczony. Więcej informacji dostarczą kompletne pliki Dziennika zdarzeń w oryginalnym formacie, które ktoś z pomagających podmontuje w swoim Dzienniku i w wygodny sposób przeanalizuje. Gdzie szukać plików Dziennika i w jaki sposób je dostarczyć do analizy:

 

Windows XP przetrzymuje Dzieniki w katalogu C:\WINDOWS\system32\config w postaci plików *.EVT. By jednak dostarczyć prawidłowe pliki, należy otworzyć Dziennik zdarzeń i z prawokliku na gałęzie Aplikacje + System zapisać je do nowych plików EVT.

 

Windows Vista do Windows 10 gromadzą te dane w katalogu C:\Windows\system32\winevt\Logs w postaci plików *.EVTX. Przekopiuj na Pulpit cały katalog Logs i zapakuj go do ZIP. Podczas kopiowania folderu zgłosi się dialog UAC, który należy potwierdzić:

 

 

Skoro nie masz innego dysku to podejmij decyzje czy ryzykujemy i działamy na tym czy czekamy do czasu gdy kupisz/pożyczysz inny dysk.