Jump to content
Sign in to follow this  
ordinary_user

Kaspersky Rescue Disk 10 уничтожает данные

Recommended Posts

Сегодня на ночь запустил работать "Kaspersky Rescue Disk 10".

Запускал в графическом режиме. В настройках указал "удалять заражённые файлы". Процесс контролировал визуально - было найденно несколько давно не используемых архивов (zip, rar), в которых были заражённые файлы. Ничего больше выявлено не было.

 

После перезагрузки выяснилось, что на моём 2-х терабайтном Raid1 - 2Тб свободного пространства. То есть пропали ВСЕ (примерно 1,5 Тб) данные - диск чист !

 

Прошу СРОЧНО ответить

1. по какой причине это произошло ?

2. как восстановить данные ?

 

конфигурацию компа (DxDiag) прилагаю.

DxDiag_x64.txt

Share this post


Link to post
лог проверки приложите

Лога нет.

Как я написал, "контролировал визуально".

 

Убедившись, что ничего существенного не выявлено (в соответствии с настройками удалены несколько ненужных архивов, расположенных в одной директории), я завершил работу программы и перезагрузился.

 

Я неоднократно пользовался аналогичными антивирусными загрузочными CD других производителей

и такой подлянки от Касперского никак не ожидал.

Share this post


Link to post

Дополнение.

 

Я понимаю, что лог куда-то должен бы писаться на диск. Что бы выяснить куда, а также для дополнительной проверки я сделал следующее:

1. скопировал на "зачищенный диск" структуру директорий небольшого объёма (десяток папок, сотня файлов где-то на Гигабайт) и снова запустил проверку Rescue Disk 10.

 

Результаты ошеломляющие, маразм крепчает ! Объясняю

 

2. в перечне сканируемых объектов присутствуют

- Загрузочные секторы

- скрытые объекты автозапуска

- sdb1

 

Во-первых, выясняется, что sdb1- это и есть тот самый "зачищенный" диск (2Тб Raid1). Выясняется, что "добавить" что-нибудь в перечень сканируемых объектов ничего, кроме sdb1, нельзя!

Возникает вопрос, а где ещё два моих 300Гигабайтных диска - системный и swap ?! Как проверить их ?

 

Во-вторых, просмотр содержимого (оглавления) sdb1 показывает, что

а) якобы все файлы на месте !

б) среди них присутствует директория, по структуре которой можно предположить, что там-то и содержится информация о работе Rescue Disk 10

б)но среди них нет тех, что я скопировал на диск на шаге 1 ?! Почему ?!

3. Останавливаю сканирование, перезагружаюсь. Выясняется, что

 

- На "пострадавшем" диске в оглавлении пусто, в том числе нет и тех файлов, что я скопировал на шаге 1 !? Куда теперь подевались они ?

 

Всё.

Все вопросы остаются, добавлены новые.

Прошу ответить.

 

Share this post


Link to post

Аллё, поддержка!

Чего молчим ?!

 

Дополнительно экспериментально подтверждено, что ваша замечательная программа гарантированно удаляет файлы (оглавление) на моём диске.

Kaspersky lab разве не заинтересован в исправлении ошибок ?!

 

Но только ответьте сначала как мне вернуть данные и почему программа не видит ещё два диска.

 

 

PS. Заодно проверил работу LiveCD DrWEB и Panda - файлы не удаляются.

Share this post


Link to post

Может все таки логи приложите - а то слово визуально....

Share this post


Link to post

+ полное название вашего SCSI-контроллера.

и если вы хотите именно техподдержку, то вам сюда.

 

Edited by S.A. Max Ivanov

Share this post


Link to post
Может все таки логи приложите - а то слово визуально....

Может ...

Мне кажется, что из того, что я написал, вполне понятно, что логи находятся на том диске, оглавление которого эта чудо-программа зачищает с тщательностью, достойной лучшего применения.

 

А если я что-то не так понимаю, то объясните, пожалуйста, как мне получить логи.

 

 

Share this post


Link to post

на сколько я помню - KRD поддерживает автомонтирование флешек. можете на нее скинуть.

Share this post


Link to post
+ полное название вашего SCSI-контроллера.

. . .

 

Диспетчер устройств показывает "Контроллеры запоминающих дисков - Marvell 91хх SATA 6G Controller"

Честно говоря, я полагал, что DxDiag, результаты которого я приложил ранее, даёт исчерпывающую информацию.

 

Share this post


Link to post

Каким билдом вы делали?

 

Потому что в первый раз слышу о таком - или Рэйд не определяет или все работает нормально

Share this post


Link to post
на сколько я помню - KRD поддерживает автомонтирование флешек. можете на нее скинуть.

 

Я поступил иначе. Подключил диск на съёмном реке, и KRD "отметился" там. Прилагаю результаты, только ведь это не те логи, о которых шла речь вначале.

На сей раз я скопировал на диск папку "lit", в которой находилось два pdf-файла. После сканирования и перезагрузки файлы и папка исчезли.

 

Теперь новый сюрприз. KRD сделал файл kavrescue_sysinfo_2011_02_28.20_07_36.tgz. При попытке сделать upload этого файла получаю сообщение: "Upload failed. You are not permitted to upload this type of file" ?! Отлично, изготовленный KRD файл не принимается. Переделываю его в zip. Теперь сообщение : "Upload failed. The file was larger than the available space" (файл 308К).

Ну, и ...

 

Скажите конкретно какие директории из этого архива вам прислать ?

 

 

Share this post


Link to post
Каким билдом вы делали?

. . .

 

Билдом, который скачал с сайта kaspersky 23-го февраля 2011 года.

 

Share this post


Link to post
Я поступил иначе. Подключил диск на съёмном реке, и KRD "отметился" там. Прилагаю результаты, только ведь это не те логи, о которых шла речь вначале.

На сей раз я скопировал на диск папку "lit", в которой находилось два pdf-файла. После сканирования и перезагрузки файлы и папка исчезли.

 

Теперь новый сюрприз. KRD сделал файл kavrescue_sysinfo_2011_02_28.20_07_36.tgz. При попытке сделать upload этого файла получаю сообщение: "Upload failed. You are not permitted to upload this type of file" ?! Отлично, изготовленный KRD файл не принимается. Переделываю его в zip. Теперь сообщение : "Upload failed. The file was larger than the available space" (файл 308К).

Ну, и ...

 

Скажите конкретно какие директории из этого архива вам прислать ?

Скиньте его на файлообменник...

Share this post


Link to post

Начнём с уточнения конфигурации. Судя по приведённым данным, в компьютере стоит два диска WDC WD3000HLFS, подключенных к портам контроллера Marvell 88SE9123 (SATA 6Gbps, разъёмы SATA_6G_1 и SATA_6G_2) — системный и swap, ещё два диска ST32000641AS, из которых был собран RAID1, и ST3750528AS — съёмный. При этом диски ST32000641AS подключены к разъёмам SATA1 и SATA2, в разъём SATA3 подключен PIONEER BD-RW BDR-205, в SATA6 — корзина со съёмным диском.

 

Контроллер Marvell 88SE9123 ядром Linux, используемым в этой версии KRD, похоже, не поддерживается, поэтому диски, подключенные к этому контроллеру, из KRD недоступны (так что для лечения системы в такой конфигурации эта версия KRD бесполезна). Остальные же диски подключены через контроллер ICH10R, только почему-то он находится в режиме IDE (причём это было уже при запуске DxDiag), что выглядит весьма подозрительно — вероятнее всего, в BIOS по каким-то причинам был выключен режим RAID для этого контроллера. Возможно, как раз это и вызвало проблемы.

 

Сейчас ситуация больше всего похожа на последствия рассинхронизации RAID1, когда KRD не распознал RAID-массив и вместо записи на оба диска работал только с одним диском из пары. Придётся довести эту рассинхронизацию до конца — отключить один из дисков, после чего попытаться слить информацию с другого ещё куда-нибудь (понадобится ещё минимум один такой пустой диск); при этом, вероятно, придётся использовать утилиты типа R-Studio, умеющие восстанавливать информацию при порче части структур файловой системы (судя по ошибкам, на sdb1 повреждён как минимум корневой каталог, в результате в Windows диск может видеться как пустой). Если при последнем запуске KRD нужные файлы были ещё видны на sdb1 (это диск, подключенный к разъёму SATA2), вероятно, стоит начать именно с него (а отключить диск, подключенный ранее к разъёму SATA1). Хотя, скорее всего, придётся таким образом обработать оба диска по отдельности, а затем искать в получившейся свалке файлы, оставшиеся неповреждёнными (какие-то файлы, вроде бы восстановленные, могут на самом деле содержать внутри мусор).

 

Самое главное — не пытайтесь что-либо писать на повреждённые диски (в результате вашей попытки проверить, что будет после записи «сотни файлов», вероятно, какие-то старые файлы, которые ещё могли бы быть восстановлены, теперь уже точно затёрты).

 

Разработчикам же KRD, вероятно, стоит в следующей версии добавить проверку — если в системе обнаружились два устройства с совпадающими ID в MBR, или файловые системы с совпадающими UUID, и при этом на этих устройствах не активировался dmraid, нужно блокировать работу с этими дисками, чтобы не сломать нераспознанный программный RAID1.

Share this post


Link to post
Начнём с уточнения конфигурации.

. . .

Разработчикам же KRD, вероятно, стоит в следующей версии добавить проверку — если в системе обнаружились два устройства с совпадающими ID в MBR, или файловые системы с совпадающими UUID, и при этом на этих устройствах не активировался dmraid, нужно блокировать работу с этими дисками, чтобы не сломать нераспознанный программный RAID1.

 

Спасибо, Сергей, за конкретный и профессиональный комментарий. Тем не менее, если у кого есть что добавить, очень прошу это сделать.

 

Теперь объясню с чего это всё началось.

1. у меня достаточно давно компьютер внезапно начинает "тормозить" - не запускаются приложения, текст набирается по букве за 3 секунды и т.п., потом всё "отвисает", восстанавливается.

2. я тоже (совершенно случайно) заметил в BIOS режим IDE - я RAID делал не сам, а продавшая мне компьютер организация.

3а) возникли подозрения на наличие не выявленного установленным DrWEB вируса

3б) возникло желание "развалить" RAID1 и сделать их него RAID0 с предварительной настройкой в BIOS, поскольку имеются развитые средства для backup'a. Правда, при этом, насколько я понимаю, пришлось бы переустановить и систему. Но я к этому был готов.

 

4. Начал с проверки на вирус, естественно, средствами "не DrWEB". И был наказан.

И, полагаю, если бы я сначала использовал, скажем, Panda, которая бы ничего не нашла, я всё равно дошёл бы до KRD, который бы всё равно всё загубил.

 

5. То, что я сделал глупость, записав что-то на пострадавший диск, я понял через секунду, после того, как это сделал. Нервы ... :-(

 

 

Теперь дополнительно ещё выясняется, что у меня неграмотно (с точки зрения производительности) подключены диски: SATAIII диски ST32000641AS - к разъёмам SATAII, а SATAII диски WDC WD3000HLFS - к разъёмам SATA III (6G). Это я обязательно доведу до сведения собиравших мне компьютер деятелей.

А я ещё удивлялся почему у дисковой системы индекс производительности всего 5.5

 

Ещё вопрос немного "в сторону". При переустановке какой режим правильней использовать в BIOS - RAID или ACHI ?

 

 

 

 

Share this post


Link to post
Билдом, который скачал с сайта kaspersky 23-го февраля 2011 года.

 

билд какой версии?

качали с сайта или по ссылке из форума?

Share this post


Link to post
билд какой версии?

качали с сайта или по ссылке из форума?

 

Качал с сайта - зашёл на сайт, затем в downloads, нашёл KRD и так далее... Проделал аналогичную процедуру ещё для 4-х различных антивирусов.

 

Неужели трудно подсказать, где этот билд искать ? Вы же testing engineer. Вот в файле KRD.VERSION на загрузочном диске написано "10.0.23.29;" Это то о чём вы спрашиваете ?

 

Кстати, разве в тех многочисленных файлах логов и др., которые я предоставил (3165 файлов), KRD нигде не сохраняет билд ?! Более чем странно !

 

Ещё скажите, пожалуйста, значит ли то, что Вы включились в обсуждение, что мне не нужно писать в поддержку по рекомендованной выше S.A. Max Ivanov ссылке ?

Share this post


Link to post

С некоторым опозданием хочу поделиться результатами восстановления.

 

Использовал две программы:

- O&O DISKRECOVERY RELEASE 6.0 (x64) и

- GetDataBack For NTFS 4.22 (x32)

 

0. Из 1,5 Тб пропавшей информации на RAID1, состоящего из двух 2Тб дисков (имя логического диска - Mirror) меня в первую очередь интересовал поиск папок-файлов, изменённых после 23 января 2011 (после последнего backup). За этот период было много чего скачано-записано нового, много обработано фото-видео файлов, существенно менялась структура хранения информации на диске, немало модифицировалось документов как рабочих, так и личного свойства. Файл outlook.pst последней модификации также очень желательно было восстановить.

 

Так вот.

1. O&O DISKRECOVERY RELEASE 6.0 (x64) при простейшем случае восстановления нашёл и восстановил в указанное место 40Г файлов, среди которых интересующих меня (см. 0) не оказалось, однако были найдены некоторые файлы с датой модификации, например, от 2011-02-25 (эти файлы не очень нужны и их я мог бы восстановить другим способом)

2. При усложнении режима поиска программа падает, похоже в самом конце - после нескольких часов работы.

 

Тогда я перешёл на GetDataBack For NTFS - не падает, нормальный и понятный графический интерфейс.

 

3. сначала я искал файлы на логическом диске, как есть в системе - со всеми непонятками с RAID. Есть лог.диск Mirror (пустой после работы KRD) - вот на нём и искал.

4. затем я физически отключил один диск. Система по-прежнему показывала пустой Mirror. На нём я выполнял поиск сначала на логическом диске, затем на физическом.

5. затем я физически отключил этот диск и подключил ранее отключённый. Система стала показывать НЕПУСТОЙ Mirror. Визуальный просмотр показал, что состояние диска соответствует примерно лету 2010 года, однако (!) на нём присутствует директория Kaspersky Rescue Disk 10.0 ! Всё равно я выполнил поиск сначала на логическом диске, затем на физическом (см. прилагаемую картинку Mirror2.png).

 

Искал я (естественно, не глазами, а используя функцию поиска GetDataBack) файлы на "рекомендованных" найденных файловых системах размером 1,82 Тб, помеченных на картинке Mirror2.png зелёным, а также на помеченных жёлтым.

Некоторую статистику записывал, не привожу, чтобы не перегружать.

 

Итог:

- из интересуемых и отмеченных в 0. файлов не найдено ничего !

- самые новые файлы были найдены O&O DISKRECOVERY, но не все

- на первом диске информация свежее,

- на втором диске информация старее, но именно туда KRD записал свою информацию

- что также любопытно, на дисках найдены директории "Program Files", "Program Files(x86)", "Windows" вполне по содержанию соответствующие тому, что расположено на системном 300Г диске - откуда они взялись ?!

- дополнительный итог - в таком обрезанном виде с одним жёстким диском система всё равно периодически подвисает (с чего всё началось), то есть это либо неведомый вирус-руткит или результат режима IDE контроллера и рассинхронизации RAID или ещё неведомо чего.

 

Что дальше?

Откровенно говоря, не знаю, вопросов стало ещё больше, но сдаваться (всё переустанавливать) не хочется, хотя в конечном счёте это всё равно придётся сделать.

 

Получается, что O&O DISKRECOVERY - лучше, если бы только она не падала при работе в "нужном" режиме, или же надо просматривать все "красные" файловые системы в GetDataBack - авось найдётся что.

 

Может кто выскажет своё мнение куда подевались самые "свежие файлы" и/или посоветует другую программу восстановления?

post-337357-1299531575_thumb.png

Edited by ordinary_user

Share this post


Link to post

для восстановления - R-Studio

запрос в ТП обязателен, т.к. у постов на форуме нет официального номера (тикета) в базе обращений.

Share this post


Link to post
. . .

запрос в ТП обязателен, т.к. у постов на форуме нет официального номера (тикета) в базе обращений.

 

Заглянул в http://support.kaspersky.ru/helpdesk.html?LANG=ru

Я же не являюсь "пользователем лицензионных продуктов" ! То есть нет у меня прав туда писать.

Как же обратить внимание разработчиком на выявленную проблему ?

 

Share this post


Link to post

Я же написал, что не являюсь "пользователем лицензионных продуктов" .

 

Я специально решил воспользоваться KRD, чтобы проверить систему "другим" антивирусом, а не тем лицензионным, который у меня установлен (DrWeb).

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.