A primeira ferramenta que você deve tentar para a recuperação da MBR / tabela de partições é o testdisk , que tem uma boa documentação e é fácil usar. Sugiro ler este guia .
Eu tenho um cartão de memória FAT32 que, quando inserido em um computador, faz com que o Windows solicite a formatação. O cartão definitivamente não deveria estar em branco e tem vários arquivos nele.
Usando um editor hexadecimal / visualizador de disco, examinei o cartão e descobri que vários setores / clusters foram sobrescritos por algo que possui uma assinatura de USBC no início do setor. Especificamente, o registro mestre de inicialização (e tabela de partição) desapareceu (portanto, o Windows está pensando que a placa está em branco e precisando ser formatada), assim como os setores de inicialização (eles têm a assinatura USBC e um rótulo de volume NO NAME e tipo de partição de FAT32 ).
Felizmente, parece que ambas as cópias do FAT estão quase intactas (algumas entradas FAT no início de um cluster aqui e ali parecem ser substituídas por USBC ). O diretório raiz também está quase intacto - vejo as entradas de rótulo de volume e as listas de subdiretórios, mas um setor é sobrescrito. (Não há mais instâncias de USBC após a última no FAT2.)
Essas observações parecem indicar algum tipo de vírus que apaga algumas estruturas-chave do sistema de arquivos e, em seguida, substitui alguns setores extras aqui e ali. Pesquisando, parece corroborar a idéia de um vírus, exceto que outros reportam um arquivo chamado USBC que não se aplica aqui e, de fato, não poderia ser possível desde não há sistema de arquivos para ver arquivos. Não consigo encontrar nenhuma informação sobre um vírus com esses sintomas, nem uma ferramenta de remoção. (Eu não posso ajudar, mas pergunto-me se é realmente devido a uma ferramenta de prevenção de vírus autorun .)
Eu posso consertar a corrupção do FAT já que eles são na maioria cadeias contíguas e talvez até o setor perdido do diretório raiz, mas alguém sabe de uma maneira conveniente de restaurar ou (re) criar a tabela MBR / partição e setores de inicialização (sem formatar ou sobrescrever os dados)?
Eu experimentei o mesmo problema. Isto não é um vírus. É uma falha eletrônica no leitor de cartão de memória (pelo menos no meu caso).
Após a formatação, tentei usar outro cartão neste computador usando outro leitor de cartão de memória sem nenhum problema. No entanto, quando insiro outro cartão de memória com o leitor de cartão de memória suspeito, ele imediatamente o corrompeu.
Eu tive e tenho novamente o mesmo problema.
Eu tenho HDD USB externo do tipo ADATA NH92. Está formatado como NTFS. Uma vez descobri que alguns arquivos estão faltando e mais e mais arquivos foram perdidos. Finalmente disco foi corrompido e o Windows solicitou para formatá-lo. Eu reformatei HDD 2 ou 3 vezes, devido a problemas repetidos, então eu reivindiquei o disco.
O novo HDD funcionou meio ano sem qualquer problema. Então os problemas começaram novamente. Eu descobri usando o editor de disco WinHex que o registro de inicialização mestre está corrompido. Eu estudei NTFS. Eu restaurei o registro de inicialização copiando do outro disco rígido com a mesma capacidade, partições e NTFS. Eu verifiquei a localização da MFT. Eu vi primeiro setor da tabela começa com assinatura USBC. Outros registros de arquivos da MFT possuíam a mesma assinatura do primeiro setor e o restante do setor tem alguns outros bytes e, em seguida, continuam com zeros. Descobri que cada setor com assinatura transferiu dados para a segunda metade do setor. Então, movi esses dados de volta para o local original e verifiquei o disco. HDD foi recuperado. Duas semanas depois, o mesmo aconteceu. Eu chequei PC por antivírus sem nenhum resultado. Eu usei 3 programas diferentes incluem a McAfee. Nenhum resultado Vírus não foi encontrado.
Eu supus que o vírus é focado no NTFS, então eu reformatei o HDD para FAT32. Após algum tempo, alguns setores foram sobrescritos pela assinatura USBC novamente e o sistema de arquivos HDD foi destruído. Enviei PC para o fabricante, foi totalmente reformatado e o Windows foi reinstalado. Também reformatei o HDD e criei duas partições lógicas com os mesmos dados para ter backup.
Hoje tenho problema novamente. Eu descobri que o segundo disco lógico é destruído. Eu verifiquei HDD por winHex e descobri que também disco lógico que parece OK, tem mais como 100 setores com assinatura USBC, mas todos os registros de arquivos em MFT ainda estão OK. Suponho que também este disco lógico será destruído em breve.
O ponto interessante é que o HDD ADATA NH92 tem problemas apenas e somente neste PC. Eu usei o ADATA NH92 em outro PC sem problemas; Eu usei outro disco rígido neste PC sem problema também. Eu vou fazer uma observação de longo prazo para usar neste PC permanentemente outro disco rígido e usar o ADATA NH92 em diferentes PCs.
De tempos em tempos, procurarei os dois HDDs para assinatura do setor. Então eu vou ver.
Atenciosamente, Michal