病毒?

病毒?

今天,当我从 Windows 7 重新启动到 Ubuntu 12.04 时,我的笔记本电脑的一个 ntfs 分区突然被清除了,而我却没有任何通知。我需要帮助来保存该分区上的文件,这些文件很重要,但不幸的是我还没有备份。

我的笔记本电脑有两个操作系统:Windows 7 和 Ubuntu 12.04。两个操作系统之间共享一个 ntfs 分区,用于存储一些数据文件(109GB,其中约 97% 已使用)。

我几乎一直在使用 Ubuntu,但今天恰好要在 Windows 下工作。以下按时间顺序记录发生的事情,并根据每个阶段我使用的操作系统进行编号。

  1. 当我开始使用 Windows 7 时,在能够登录之前,需要一段时间并重新启动两次才能配置 Windows。我认为这是正常的,因为两周前我上次使用 Windows 时,需要很长时间并重新启动几次才能更新 Windows,因为在那之前我最后一次使用 Windows 是在去年 11 月。

    然后,在终于能够登录 Windows 7 后,我安装了 Libre Office、MathType(我从 http://dl.portablesoft.org/down/?id=2515,原本以为是试用版,后来知道是破解版,感觉不对,在dropbox上复制了一份 http://dl.dropbox.com/u/13029929/MathType_6.8_PortableSoft.rar,不是为了分发它而是为了将其列在那里以防万一,它将有助于识别问题),以及 MikTex。然后,我在 Microsoft Office(使用 MathType)和 Libre Office 下的 ntfs 分区中编辑了一些 .doc 文件。

  2. 当我在 Windows 下完成工作并重新启动到 Ubuntu 时,Ubuntu 进行了一些文件系统检查并报告无法挂载 ntfs 分区。
  3. 然后我再次重新启动 Windows,发现

    • ntfs 分区已被清空,即所有数据文件都消失了,只有一个系统文件bootsqm.dat和一个系统目录System Volume Information,它们的最后更新时间是我第一次从 Windows 重新启动到 Ubuntu 的时间(实际上,它比实际重新启动的时间提前了 4 个小时,见下文)

    • 我还注意到 Windows 显示的时间不符合我的时区(UTC-05:00)东部时间(美国和加拿大)),比正确时间早 4 个小时(我现在的时间是凌晨 3 点,但计算机显示的时间是早上 7 点)。

  4. 当我再次重新启动 Ubuntu 时发生了同样的事情:

    • ntfs 已被清空,只剩下一个 Windows 系统文件bootsqm.dat和一个 Windows 系统目录System Volume Information

    • Ubuntu显示的时间比正确时间早4个小时。

我想知道我该怎么做才能将我的数据文件恢复到 ntfs 分区上?

如果我自己做不到,有没有专业人士可以帮我?

多谢!

PS:我没觉得我做了什么需要清空那个分区的事情。但在问题发生时从 Windows 重启到 Ubuntu 之前,我做了不少工作。我是不是操作失误了?

答案1

在尝试修复/测试之前,最好先使用一些数据恢复软件将重要文件恢复到其他介质。这听起来很像文件系统/挂载点损坏。

我个人以前用过'Ontrack数据恢复' 和 'NTFS 版 GetDataBack' 用于此类恢复。

您的下一步是运行测试来检查硬盘的一致性和健康状况。

答案2

病毒?

我检查了你破解程序的可执行文件,令人惊讶的是,三个程序中只有一个在 Virustotal 上找到了结果,即便如此,也只有两个可能是误报。但这并不能排除病毒的可能性。

从你的描述来看,你确实被病毒感染了。System Volume Information驱动器上只剩下这个文件,这一点尤其说明问题,因为这是一个受特殊保护的文件夹,即使以管理员身份运行也无法删除(也就是说,虽然可以删除,但典型的病毒无法获得所需的权限)。

扫描诊断

您是否已对卷进行扫描?运行chkdsk(没有开关/f),看看它说了什么。你提到 Ubuntu 做了检查,并抱怨音量,而且有一个bootsqm.dat文件,这意味着chkdsk已经运行某个点,但由于没有具体结果提供有关该卷状态的信息,很难判断成功恢复的可能性,因为无法评估具体损坏程度。不过,我要指出的是,如果有任何可见文件或文件夹,就像这里的情况一样,那么文件系统本身似乎是完整的,其余数据只是被删除了(这再次表明是病毒)。

专业恢复

有专业的数据恢复公司可以尝试恢复您的数据,但他们无法施展魔法。他们能恢复的数据有限,即使您很幸运,最终也可能会花费不菲(尤其是如果您希望恢复全部 105GB 数据)。

恢复策略

最好的办法是运行一系列恢复程序。下载、安装并运行一大堆数据恢复工具(当然是在 Ubuntu/Windows 系统上,不是问题量)。你可以 Google 搜索data-recoveryundelete, 和unformat找到很多选项。选择那些评价好的。

运行它们,设置每个程序以将恢复的文件保存到不同的位置(例如,,,,C:\Recover\Recuva等)确保同时尝试基本扫描和深度扫描。基本扫描将使用从文件系统获取的任何信息(例如文件名、文件夹结构、文件大小等)作为指导,并为您提供元数据方面的最佳结果。深度扫描将直接搜索磁盘并搜索任何已知类型的文件,并将提供数据方面的最佳结果,但不包含文件名、日期、大小等。C:\Recover\Undelete360C:\Recover\PhotoRec

就您而言,由于基本扫描不起作用,文件系统似乎已被清除,这意味着所有文件名、目录、日期、大小、权限等都消失了。您现在唯一的希望是在深度扫描模式下运行多个工具。然而,这有一些影响:(1)所有文件都将恢复到单个转储中,它们将具有当前日期,并且它们的大小将被四舍五入(这意味着它们最后将包含一些垃圾),并且(2)您拥有的任何程序无法识别类型的文件都无法恢复。因此,建议您运行多个程序,因为有些程序可能识别其他程序无法识别的类型。

恢复后

一旦你确信自己已经获得了每个文件的至少一份副本,就可以运行重复文件检查器(设置为内容模式)来清除重复项并将文件精简到(希望)可管理的大小。我建议全部重复由于多种原因。

进入这里的人,放弃希望吧

请注意点击即可完成,100%满意的解决方案。您将要你必须自己做很多工作,而且没有人能保证你能得到任何事物回来,更不用说全部的。2011 年 4 月 25 日,我意外地从 FAT32 卷中删除了 8,000-9,000 个图形文件,占用了 978MB 空间。我运行了上述一系列恢复程序(几乎有十几个)。现在已经过去了将近一年半,我的“恢复”文件夹有 9.59GB,包含 39,723 个文件。此外,我锁定了源卷一年多,完全避免使用它(每次空间不足时都很烦人)。我在交叉引用文件、检查文件是否损坏、移动文件等方面取得了很大进展(我可能已经处理了 1,000-2,000 个文件),但我仍然有一个长的还好。我已经有几个文件坏了,必须替换;有些可以重新下载,其他的就永远丢失了。

一线希望

丢失文件真糟糕。没有拐弯抹角或软磨硬泡;就是很糟糕。如果这些文件恰好是你下载的,那么你可以使用浏览器的历史记录来帮助恢复它们,但如果它们是你自己创建的文件,那么就特别糟糕。把这个事件当作学习系统和工具的动力。1999 年 5 月,当我感染切尔诺贝利病毒时,我打开了一本书,了解了 FAT32 文件系统,以便我可以检查我的磁盘并恢复我的文件。当我删除那些照片时,我研究了恢复程序(并开始设计我自己的程序)。上周我的数据驱动器出现问题时,我很庆幸我有一份完整的目录列表,其中包含几天前的每个文件以及它们的名称、日期、大小等(尽管如果我的上次备份更近,我会更高兴)。

在恢复数据时,请利用这个机会规划和部署某种备份系统。您也不必复制所有内容;只需备份您创建的文件,并保留已下载文件的清单(以及 URL 的完整浏览器历史记录)。这样,您就可以在保证安全的同时将存储开销保持在可行的水平。

另外,获取一些安全软件(Windows 7 已经有 Windows Security Essentials)并保留它活跃且更新

哦,还有,避免使用破解的软件。

相关内容