Groszexxx

Widzę, że MFT zajmuje tylko 436 MB, myslalem, ze wiecej. Odzyskaj te wszystkie pliki, które są u mnie, wykorzystaj jakiegoś pendrive'a, a potem je wrzuć na jakiś serwer. Ten plik BadClust ma fejkowy rozmiar, bo to tzw. sparse file. Powinno się go dać skopiować na pendrive'a. W razie problemów to pisz. Rozważ też możliwość zdalnego wsparcia, bo nie wiem czy będę w stanie wszystko zrobić na odległość... ani czy w ogóle będę w stanie dokonać rekonstrukcji. Muszę zerknąć co opisują wpisy w MFT z plikami w katologach, ktorych szukasz.

Chce zobaczyc ile zajmują miejsca, zastanawiam się czy tlumaczyc Ci jak eksportować konkretne wpisy MFT czy całe MFT, bo to mniej roboty, mimo iz duzo więcej waży.

Nie do końca. Potrzebuje te dokładnie:

Tego się obawiałem, niebieskie foldery są po rekonstrukcji. Odzyskaj na razie zawartość każdego folderu z osobna. W darmowej wersji dmde można odzyskać tylko zawartość folderu bez podfolderów. I pokaż screena z sekcji metadane, w lewej stronie interfejsu, $MetaData.

Pokaż mi je na screenie, proszę, chciałbym wiedzieć gdzie się znajdują. Czy są żółte, tak jak reszta - czy też zielone albo niebieskie. Chciałbym widzieć drzewo katalogów.

Zrobiłeś to co pisałem? Bo nie wiem czy pytasz jak odzyskać to co już zlokalizowałeś czy w ogóle nie wiesz jak przeskanować wolumin...

Tak, widać, że końcówka jest ucięta, ten nowy dysk jest mniejszy. Przeskanuj ta partycje jako ntfs i ew. jako raw. Reszte odznacz, bo to tylko spowolni skan. Następnie zapisz wyniki skanowania, weź wirtualną rekonstrukcje i przejrzyj zawartosc tej partycji.

Załaduj plik obrazu (obraz dysku) w głównym interfejsie bądź po wybraniu " wybierz dysk" I pokaż mi partycje.

Pobierz DMDE stąd: https://dmde.com/download.html Zatwierdzamy licencje i obowiązkowo ODZNACZAMY pokaż partycje Wybieramy dysk i wciskamy ok. Następnie Narzędzia > Kopiuj sektory Klikamy max Potem w dolnej części wybieramy plik i wskazujemy lokalizacje, gdzie ma zapisać kopię. I jeszcze parametry, potem parametry i liczbę ponowień na 0.

A ile miejsca zajmują te wszystkie fouldery found.XXX ? Zaznacz wszystkie i opcja: właściwości. To ważne, bo chkdsk wrzuca tam odzyskane pliki, ale też te nieodzyskane w postaci ogromnych kawałków. Jeżeli on te kawałki już tam wrzucił to.... to tylko odzyskiwanie sygnaturowe z nich, czyli do odzyskania niewielkie pliki, które nie byly pofragmentowane.

Chkdsk wykrył uszkodzenia w sporej ilości plików. Widać też, że część z nich przeniósł do found.004 - co świadczy o tym, że takich historii było więcej. Wszystkie foldery found.XXX są domyślnie ukryte i systemowe oraz z prawem dostępu dla dla administratora, w każdym razie bez nadania sobie uprawnien do wszystkich plików i folderów - nie wejdziesz do niego. Będziesz musiał nadać sobie uprawnienia, w opcji folderów włączyć opcję pokazywania ukrytych plikow i folderow jak i systemowych: Zapoznaj się z tym tematem. Następnie przejrzyj zawartość tych folderów found.XXX Naprawdę bym rekomendował zrobienie kopii posektorowej. Jak te uszkodzenia będą postępować to możemy dojść do sytuacji, w której nie będzie co zbierać. Chkdsk uruchamia się automatycznie przed startem systemu jeżeli jest ustawiony dirty bit, dlatego nie zawsze użytkownik zdąży przerwać jego działanie, a to może zaowocować sporymi zmianami w strukturze systemu plików i utratą części danych.

Wrzuć mi tutaj dzienniki zdarzeń, ja przejrzę je w kontekście czy chkdsk działał. Cytat Picasso Skoro nie masz innego dysku to podejmij decyzje czy ryzykujemy i działamy na tym czy czekamy do czasu gdy kupisz/pożyczysz inny dysk.

Dysk obecnie ma 6923 godzin, ale kilkadziesiąt godzin pracy wcześniej zostały odnotowane błędy z nieczytelnym sektorem: Z tego powodu zalecałbym zrobić wszystko ze sztuką i zacząć od zrobienia kopii posektorowej. Będzie potrzebny dysk o pojemności równej lub większej partycji, którą będziemy kopiować. Dysponujesz takim dyskiem?

Pobierz program GSmartControl, a następnie rozpakuj, uruchom, wybierz dysk, zapisz log "save as" i wrzuć na jakiś hosting.

Zrobiłem Screena z forum, żeby go później zapisać do pliku graficznego i go podzielić na kawałki Waży 506 490 B. Policzmy ile to klastrów. 506 490 / 4096 (rozmiar klastra) = 123 z hakiem, dopełniamy więc do 124 klastrów. I faktycznie, Fragger pokazuje nam dokładnie tak samo, plik jest w jednym fragmencie. Podzielmy nasz plik na 3 fragmenty. Wyszukajmy nasz plik w MFT, następnie zanalizujmy spis esktentów dataruns. To samo widzimy w programie. Czas na naszą ręczną defragmentację. Wiemy gdzie znajdują się fragmenty naszego pliku i ile liczą sobie klastrów. Naszym celem jest połączenie tych trzech fragmentów w jeden. Spojrzałem na mapę alokacji klastrów na dysku i wybrałem 59898624. Drugi screen: 31 29 43580 -> 275840 31 29 fd3c00 -> 275840-181248= 94592 31 2a 498c0 - > 301248+94592=395840 O liczeniu esktentów dataruns pisałem już dawno w tym temacie: https://www.fixitpc.pl/topic/32832-ontrack-easyrecovery-6x/ dokładniej post 18. I to samo pokazuje Fragger Czas na nasza defragmentacje. Tutaj sprawa jest prosta. Sprawdzamy mapę alokacji plików (zajętość poszczególnych klastrów dla plików, to zobaczenia np w DMDE, jeżeli byśmy mieli ręcznie sprawdzać zajętość klastrów to wtedy sprawdzamy to w metadanej o nazwie $Bitmap. Tutaj objaśnienia jak w Bitmap jest to zapisywane: https://whereismydata.wordpress.com/2009/06/01/forensics-what-is-the-bitmap/ Dla testu dysponujemy niemalże całą pustą partycją. Ja sobie wybrałem klaster 4000. To do niego przeniesiemy zawartość trzech fragmentów. Pamiętajmy, żeby kopiować zawsze wielokrotność 8 sektorów, bo tyle ma klaster, a system plików operuje tylko na klastrach. Potem musimy zmodyfikować nasz dataruns. Jak ręcznie znaleźć nagłowek MFT dla naszego pliku? Najprościej po nazwie wykorzystując hexeditor. Z tym, że nazwa jest zapisywane w pewien ściśle okreslony sposób: kod ascii dla danego znaku (dla uproszczenia przyjmijmy, że litery lub cyfry) + 00. I tak "Nowy dokument tekstowy.txt wygląda tak: Tutaj małe poszerzenie informacji: Lokalizujemy sekcję $Data w mft, która zaczyna się sygnaturą 800000, szukamy dwóch bajtów od 20 bajtu (liczonego od początku $Data), tu jest info gdzie znajduje się ekstentów dataruns. Na naszym screenie to 4000 (pamiętajmy o little endian, a więc czytamy od tyłu 00 40), także 40 bajt liczony od początku sekcji $data. Czas na naszą modyfikację. Wiemy, że plik mieści się w 124 klastrach, w hexach to: 7C , a klaster 4000 w hexach to FA0. Powstaje nam: Resztą - np. tablicą alokacji plików, zajmie się chkdsk. Pamiętajmy, że w chwili obecnej plik wykorzystuje przestrzeń, która nie jest zaalokowana. Chkdsk to naprawi: Pomimo dwóch złowieszczych błędów na końcu - wszystko zostało zrekonstruowane i plik jest czytelny. Jest również w jednym kawałku i faktycznie w klastrze nr 4000: Plik oczywiście jest czytelny i bez trudu można go otworzyć. Wiemy już nie tylko co to jest defragmentacja, ale też to jak wygląda ona od środka. Mimo iż mamy 2018 rok, bez przerwy, w koło Macieja ludzie nie mają świadomości co ona daje, po co jest, traktując to jako jakiś magiczny rytuał, który ma uzdrowić wolno działający komputer. Wraz z pojawieniem się dysków SSD straciła na znaczeniu, domyślnie jest nawet wyłączona w windows 10 - podobnie jak wiele innych usług - np. indeksowania. Wielu ludz bez wiedzy powtarza jak mantrę, że defragmentacja na dyskach SSD jest bezcelowa i, że to tylko skraca żywotność dysku. To bzdura. Oczywiście jeśli patrzymy na to tylko z punktu widzenia wydajności - to faktycznie, nie ma ona znaczenia, ale ma ogromne znaczenie, gdy spojrzymy z punktu widzenia odzyskiwania danych. Pliki, które są w jednym kawałku - są bardzo proste do odzyskania - o czym też już kiedyś miałem przyjemność pisać w tym poście:

Chciałbym wyrazić sporą krytykę na postępowanie autora. Niezręcznie mi pisać nie na temat, ale muszę podkreślić, że odechciewa się pomagać w takich sytuacjach. W logach widzę kolejne przejawy radosnej twórczości autora. Dlaczego podejmujesz jakieś irracjonalne próby naprawy na własną rękę? Co to jest? 2018-07-04 01:27 - 2010-11-21 04:24 - 000279040 _____ (Microsoft Corporation) C:\Windows\System32\sethc.old 2018-07-04 01:25 - 2010-11-21 04:24 - 000279040 _____ (Microsoft Corporation) C:\sethc.exe Co to jest? Skoro zostały znalezione naruszenia integralności - pokaż log, jego lokalizacja to: C:\Windows\Logs\CBS\CBS.log. Generalnie pierwsze co zostało zalecone to podmiana plików rejestru, bo poprzednie być może były uszkodzone i FRST nie mógł ich odczytać. Zaleciłem to już następnego dnia. Log z FRST zamieścileś 28 lipca (pierwszą odpowiedź z sugestią podmiany plików rejestru dałem dzień po Twoim pierwszym poście, 6 lipca). W poście 4 też jest dobitny dowód na to, do czego doprowadziłeś, zwłaszcza, że sam już w pierwszym wymieniłeś czynności jakich dokonałeś: A potem wyszło, że jednak nie wiesz jak to zrobić, że tego nie potrafisz. Niemniej są ślady takiej aktywności: 2018-07-04 15:51 - 2009-07-14 03:34 - 014909440 _____ C:\Windows\System32\config\system.old 2018-07-04 15:51 - 2009-07-14 03:34 - 000552960 _____ C:\Windows\System32\config\DEFAULT.O 2018-07-04 15:51 - 2009-07-14 03:34 - 000061440 _____ C:\Windows\System32\config\sam.old 2018-07-04 15:50 - 2009-07-14 03:34 - 000024576 _____ C:\Windows\System32\config\security.old Ale późniejsza aktywność co do pozostałych plików nasuwa skojarzenia, że system po tym zabiegu wystartował normalnie. Widzę całą masę plików edytowanych po tej operacji. Może napiszesz nam łaskawie co się stało? Czy była przeprowadzana jakaś aktualizacja? Czy korzystałeś z narzędzia "naprawa systemu podczas startu"? Dostarcz mi ten log CBS i przygotuj sobie na penie obraz windows 7 x64 SP1 Home Premium. I jak wygląda sytuacja w trybie awaryjnym? Przed startem systemu f8 - wybierz tryb awaryjny z obsługą sieci. Czy objaw jest wówczas taki sam?

Za kazdym razem pokazujesz coś innego. Moge tylko zaproponowac pomoc zdalna.

Na początek może prosta nakładka sterownika: https://pcsupport.lenovo.com/pl/pl/products/laptops-and-netbooks/ideapad-y-series-laptops/y700-17isk/downloads Pobierz to co jest w sekcji mysz i klawiatura. Zainstaluj i napisz czy to rozwiązuje problem czy nie. Jeśli nie - to ręcznie usuniemy pozostałości po tych obecnych sterownikach i wtedy na czysto zainstalujemy je jeszcze raz.

Masz po lewej stronie trojkat, ktory oznacza rozwiniecie danej opcji. Ponadto jest opcja z menu kontekstowego: rozwijaj i expands level. Po prawie trzech tygodniach spodziewalem sie bardziej merytoczycznego posta.

Co to za laptop? Najpierw odinstaluj też pakiet Synaptics z panelu sterowania Synaptics Pointing Device Driver. Następnie uruchom ponownie komputer. Uruchom menadżera urządzeń i zrób screena z rozwiniętą zakładką "mysz i inne urzędzenia wskazujące".

Szanowny Kolega się trochę spóźnił z takim postem, myślę, że tak z 10 lat. Raz, że to swoiste oprogramowanie producenta, dwa, że lapka z Vistą to ja już nie widziałem dawno, w sensie, że nawet nie mam możliwości zdobycia go na szybko, żeby przyjrzeć się sprawie. Wydaję mi się, że ten program i tak wykorzystuje dism albo coś podobnego, więc skorzystaj po prostu z oprogramowania, które samo Ci zintegruje sterowniki do Twojego obrazu. Do wyboru masz ntlite, win toolkit, wspomniany dism i cała masa pochodnych. Ah, rozpędziłem się - dla Visty przecież wystarczy Vlite. Tutaj są opisane te programy z grubsza, przydatne o tyle, że większość z nich jest nierozwijana i archiwalna - do Visty jak znalazł https://www.fixitpc.pl/topic/521-dostosowane-no%C5%9Bniki-instalacyjne-windows-10-vista/

I co, zapycha się karta sieciowa na kilku urządzeniach? . Słuchaj, oficjalnie zgłoś usterkę, możesz to zrobić i przez internet i przez infolinię. Niech wysyłają technika. Łódź to spore miasto, konkurencja też duża. Możesz rozwiązać umowę z ich winy. Mnie osobiście jarają takie przygody, lubię się po sądach szlajać, z doświadczenia wiem, że dobrze napisane pismo działa na nich lepiej niż sole trzeźwiące. Jeżeli Ty nie potrafisz egzekwować swoich praw, dajesz się spławiać, a potem pytasz na forum co może być nie tak, no to jak to sobie wyobrażasz dalej?

Po blisko 8 latach słynny program do diagnostyki dysków znów zaczyna być aktualizowany. Oficjalna strona: https://hdd.by/victoria.html Informacje o programie Obie strony rosyjskojęzyczne.

Dlaczego zatem najpierw zakładasz temat na forum zamiast skontaktować się z firmą, od której masz internet, czyli TOYA? Router masz swój czy od nich? Podobnie kabel łączący komputer i router.

A po co bierzesz opcje przywracanie usług katalogowych? Wybierz z listy tryb awaryjny z obsługą siedzi. Zrób w nim logi w FRST. Dołącz też zrzuty pamięci - info tutaj: https://www.fixitpc.pl/topic/29344-diagnostyka-samoczynnych-restart%C3%B3w-i-bsod/