Christoph Schnauß: OT: Datenrettung

hallo Forum,

gelegentlich haben wir ja Nachfragen, wenn sich jemand seinen Rechner zerschossen hat. Mir ist da jetzt was Eigentümliches passiert: auf einer Platte, auf der nur WindowsXP drauf war, hatte ich eine primäre Partition (4GB) fürs System und eine Erweiterte Partition mit insgesamt 5 logischen Laufwerken - da war allerhand drin. Na gut, Backups (auf einem anderen Rechner) gibt es, allerdings bis zu einer Woche älter, so daß "Arbeitszustände" nicht immer gesichert sind, wichtige Daten und Software schon.
Ich habe gestern die primäre Partition (FAT32, entspricht C:) neu formatiert, weil ich die Windows-Installaion neu machen wollte. Normalerweise betrifft so etwas die logischen Laufwerke nicht, die sollten bestehenbleiben. Taten sie aber nicht, es war auf einmal "alles futsch", auch der MBR samt GRUB. Da stand plötzlich die gesamte Platte (80GB) als FAT12 drin. GRUB ließ sich rekonfigurieren, und fdisk unter Linux zeigte mir plötzlich sowas:

Disk /dev/hda: 81.9 GB, 81964302336 bytes
16 heads, 63 sectors/track, 158816 cylinders
Units = cylinders of 1008 * 512 = 516096 bytes

Device    Boot      Start         End      Blocks   Id  System
/dev/hda1   *      240626     1406800   587751745+  8b  Unknown
Partition 1 does not end on cylinder boundary.
/dev/hda2         1174253     1255507    40951936+  75  PC/IX
Partition 2 does not end on cylinder boundary.
/dev/hda3         2318463      339394  1150032930   e0  Unknown
Partition 3 does not end on cylinder boundary.
/dev/hda4         2071457     4185382  1065418177+  ff  BBT
Partition 4 does not end on cylinder boundary.

Hat jemand eine Idee, wie hier hda3 und hda4 zustandekommen? Außerdem sind die Partitionstypen sehr eigentümlich.
8b - Partition 1 - ist unbekannt, es hätte aber "b" sein müssen
75 - Partition 2 - ist PCI/IX (und ich weiß nicht, zu welchem System das gehört), es hätte aber "f" sein müssen
Partitionen 3 und 4 haben vorher nie existiert, und außerdem sind die Start-und End-Zylinder verschoben.

Da konnte ich nun mit "dd" nichts mehr machen. Also habe ich die Platte ausgebaut und in einen anderen Rechner gesteckt. Partition Magic meldete "Partitionsfehler 116", der NDD empfahl eine Low Level Formatierung, aber Acronis Recovery Expert zeigte mir neben dem "unzugeordneten" Platz von 79 GB noch drei weitere bestehende Partitionen von je knapp einem TB (jawohl, Terabyte) an. Klasse. Die habe ich gelöscht, dann hat das Ding die ursprüngliche Struktur wiederhergestellt, so daß ich wenigstens meinen letzten "Arbeitszustand" und die letzten mails retten konnte.

Das wäre ja nun ganz nett gewesen und keiner Erwähnung wert. Aber: die Platte kam wieder in den Rechner zurück, in den sie gehört. Und hatte sofort wieder diese völlig kaputte Partitionstabelle. Ich habe das Spiel insgesamt dreimal wiederholt. Also in den anderen Rechner, Partitionen rekonstruiert, wieder zurück - Partitionstabelle wieder futsch. Manuelles Löschen aller vier Partitionen mit fdisk (Linux) zeigt Erfolg, alles leer - nach Rechnerneustart sind sie alle wieder da.

Gibts dafür irgendeine Erklärung?

Grüße aus Berlin

Christoph S.

--
Visitenkarte
ss:| zu:) ls:& fo:) va:) sh:| rl:|
  1. Hallo Christoph,

    [haarsträubende Geschichte]
    Das wäre ja nun ganz nett gewesen und keiner Erwähnung wert. Aber: die Platte kam wieder in den Rechner zurück, in den sie gehört. Und hatte sofort wieder diese völlig kaputte Partitionstabelle. Ich habe das Spiel insgesamt dreimal wiederholt. Also in den anderen Rechner, Partitionen rekonstruiert, wieder zurück - Partitionstabelle wieder futsch. Manuelles Löschen aller vier Partitionen mit fdisk (Linux) zeigt Erfolg, alles leer - nach Rechnerneustart sind sie alle wieder da.

    Hast du mal getestet, ob eine beliebige andere Platte (ohne wichtige Daten) in diesem verdächtigen Rechner noch einwandfrei läuft?
    Ich frage deshalb so argwöhnisch, weil ich vor schätzungsweise drei Jahren mal ein ganz ähnliches Phänomen hatte, bei dem offensichtlich ein defekter IDE-Controller auf dem Mainboard für zweifelhafte Späße sorgte. Immer, wenn er eigentlich einen Sektor lesen sollte, schrieb er ihn stattdessen mit Nullbytes voll, so dass jeder Bootvorgang, egal von welcher Platte, erst einmal die Fehlermeldung produzierte, auf der Platte sei keine aktive Partition, und als Konsequenz war der MBR dieser Platte dann tatsächlich gelöscht.

    Nicht dass du da etwas ähnliches hast...?

    Gibts dafür irgendeine Erklärung?

    Keine einleuchtende, glaube ich. ;-)
    Schönen Abend noch,

    Martin

    1. hallo,

      Hast du mal getestet, ob eine beliebige andere Platte (ohne wichtige Daten) in diesem verdächtigen Rechner noch einwandfrei läuft?

      Ja. Es stecken noch drei weitere Platten drin (Promise-Zusatzcontroler), und die hab ich natürlich überprüft. Die Partitionstabellen sind in Ordnung, allerdings gibts nur auf einer noch ein Windows-System (NTFS). Die beiden anderen sind Linux (SuSE bzw. Gentoo) und FreeBSD. Und da gabs zwischenzeitlich nochwas:
      Solange ich die defekte Platte drinstecken hatte, brauchte die SuSE nahezu eine Stunde, um zu starten und beglückte mich die ganze Zeit mit mehreren hunderttausend schnell über den Schirm laufenden Meldungen der Art
         hda: read_intr: status=0x59 { DriveReady SeekComplete DataRequest Error }
         hda: read_intr: error=0x04 { DriveStatusError }
         ide: failed opcode was: unknown
         ide0: reset: success
         hda: read_intr: status=0x59 { DriveReady SeekComplete DataRequest Error }
         hda: read_intr: error=0x04 { DriveStatusError }
         ide: failed opcode was: unknown
         hda: read_intr: status=0x59 { DriveReady SeekComplete DataRequest Error }
         hda: read_intr: error=0x04 { DriveStatusError }
         ide: failed opcode was: unknown
      Das Dumme daran: ich mußte das durchlaufen lassen, weil die Konfigurationsdatei für GRUB (/boot/grub/menu.lst) in dieser SuSE steckt. FreeBSD meldete einen Error in der /etc/fstab (da sollten die Partitionen gemountet werden) und ging in den Single User Modus, aber nach Korrektur der /etc/fstab hat es dann problemlos gebootet ...

      [...] ein defekter IDE-Controller [...]

      Hm, die Idee hat was Charmantes. Tatsächlich ist mir der _zusätzliche_ IDE-Controler (das ist eine Steckkarte) gelegentlich schon während des laufenden Betriebs ausgestiegen, was dann jedesmal zu unerklärlichen Systemabstürzen geführt hat. Ich habe das Teil aber erneuert, und auch die mehrfach "zerknickten" Flachbandkabel vor ca. 5 Wochen durch neue ersetzt. Derzeit funktioniert das Ding problemlos - ich bin zwar im Moment wieder mit WinXP unterwegs, aber das ist ein Netzwerkclient, und der "Router" ist der betroffene Rechner, auf dem grade ein FreeBSD CURRENT, das an eine an diese Promise-Karte vorhandene IDE angeschlossen ist, läuft.

      Gibts dafür irgendeine Erklärung?
      Keine einleuchtende, glaube ich. ;-)

      Das habe ich befürchtet, deshalb habe ich auch diese Problembeschreibung zu posten gewagt. Ich bin inzwischen sehr rigoros geworden und habe ganz einfach den MBR der betroffenen Platte mit einem Hexeditor generell mit Nullen überschrieben. Das hat das Problem erstmal gelöst, im Moment läuft die Überschreibung noch für den gesamten Rest der Platte, auf der es übrigens keine physikalisch kaputten Sektoren gibt. Es sind dann zwar keine mit meinen Mitteln rekonstruierbaren Daten mehr drauf, aber da es jetzt eh nix mehr gibt, was ich nicht inzwischen kopiert hätte oder was anderweitig wieder reinstalliert werden kann, kann es mir wurscht sein.

      Trotzdem hätte ich gerne gewußt, wie mir dieser Quatsch passieren konnte. Es ist nahezu ausgeschlossen, daß das irgendein Virus oder Wurm war - obwohl man sich da ja niemals hundertprozentig sicher sein kann. Ausgelöst wurde die ganze Geschichte ja durch mich selber, und nicht durch einen "Schädling".

      Grüße aus Berlin

      Christoph S.

      --
      Visitenkarte
      ss:| zu:) ls:& fo:) va:) sh:| rl:|
      1. äh ...,

        im Moment läuft die Überschreibung noch für den gesamten Rest der Platte

        Es geht weiter. Die Platte war jetzt fertig überschrieben, was ja einer "Low Level Formatierung" entspricht oder zumindest sehr nahe kommt. Sie tat auch so, also ob sie von jungfräulicher Reinheit wäre, und das ursprünglich gewünschte Partitionsschema ließ sich problemlos wieder anlegen. Nicht nur das: auch WindowsXP ließ sich zunächst installieren, nach einer Reparatur von GRUB hatte ich auch den gewünschten Bootmanager wieder, und zunächst sah alles so aus, als ob es wieder "ad integrum" geführt worden wäre.
        Dann habe ich aber, noch ohne eine DFÜ-Verbindung eingerichtet zu haben (es gibt also noch keinerlei aktuelles "Windows Update") meine registry so bearbeitet, daß ich anstelle von "C:\Dokumente und Einstellungen" bloß noch "C:\Einstellungen" habe - das ist hundertfach erprobt und eigentlich eine leichte Übung. Nur muß man hernach den Rechner neu booten. Hab ich gemacht. Ergebnis: Partitionstabelle wieder futsch und sieht wieder genauso aus wie im OP angegeben.

        Ich habe, um irgendeine Möglichkeit zur Gegenprüfung zu finden, eine andere 80GB-Platte hergenommen und bin nach demselben Schema vorgegangen. Gleiches Ergebnis. Ich habe meinen Promise-Zusatzcontroler aus dem Rechner herausgenommen und dasselbe nochmal mit zwei unterschiedlichen Platten probiert. Gleiches Ergebnis. Ich kann WindowsXP neu installieren, es läuft drei- oder viermal, und dann verabschiedet sich die Platte mit einer Störung der Partitionstabelle. Der auf dem Mainboard vorhandene IDE-Controler ist höchstwahrscheinlich unschuldig. Andere Platten mit anderen Betriebssystemen funktionieren störungsfrei, wenn ich sie daran anstöpsele und meine Promise-Zusatzhardware ganz einfach mal kurzzeitig ausbaue.

        Ich gestehe es ungern, aber es ist so: ich weiß nicht weiter. Der Rechner, auf dem mir das im Moment passiert, ist mein "Haupt"-Rechner im lokalen Netz, und die Platte, um die es geht, ist auch noch /dev/hda. Es scheint völlig egal zu sein, _welche_ Platte ich da anstecke - den GRUB können sie alle ausführen (lassen), egal, ob das auf der Platte selbst enthaltene System dann auch noch starten mag. Schalte ich per Bootmanager auf ein anderes System um (Linux oder *BSD), das auf einer anderen Platte installiert ist, funktioniert wieder alles. Will ich das System der ersten Platte benutzen, ist die Partitiontabelle futsch.

        Das BIOS ist updatefähig, ich kriege allerdings vom Hersteller (ASUS) nur patches, die über Windows installierbar sind.

        Ja, wie nun weiter?

        Grüße aus Berlin

        Christoph S.

        --
        Visitenkarte
        ss:| zu:) ls:& fo:) va:) sh:| rl:|