evinben
Goto Top

Gelöschte Systemdateien und Verzeichnisse wiederherstellen

Nach dem Ausführen des Befehls „rd /s C:\ ...“ die gelöschte Dateien und Verzeichnisse wiederherstellen.

Hallo,

es ist ein katastrophaler Fehler aufgetreten: ich habe in CMD den Befehl „rd /s C:\ $recycle.bin“ mit Lehrzeichen ausgeführt (per Copy&Passt aus einer Anleitung übernommen), aber die Syntax war falsch. Anstatt das System-Verzeichnis des Papierkorbs zu löschen (damit dieser nach Neustart komplett neu angelegt werden kann) wurde das Löschbefehl auf den übergeordneten Verzeichne „C:\“ angewendet. Bis ich reagiert habe sind es leider etwa 10...15 Sek. vergangen und in der Not habe ich den PC sofort ausgeschaltet.
Der PC bootet nicht mehr. Katastrophaler ist es aber, dass seitdem über die Reparaturkonsole (beim Booten mit einem Vista-Installationsdatenträger) keine Wiederherstellungspunkte mehr angezeigt werden. Wer also glaubt, dass Windows Systemwiederherstellung so zuverlässig ist, solange der Datenträger physikalisch nicht zerstört ist, dann irrt er sich wie ich mich geirrt habe. Ich habe für die letzte fünf Wochen kein externes Sicherungsimage angelegt (wegen einem Problem in PS1, denn ich erst beseitigen sollte) und somit drohen mir Dateiverluste und dazu noch Wochenlage Arbeit.

Die gelöschten System-Dateien sind jedenfalls physikalisch auf dem Datenträger aber wurden nun zum Überschreiben freigegeben. Da der Datenträger mindestens doppelt so groß, wie die Systempartition ist, ist die Wahrscheinlichkeit eigentlich sehr gering, dass diese überschrieben wurden (bzw. kaum etwas).

Hätte jemand von euch bereits Erfahrung und Ideen hierfür, wie so ein auf der Weise beschädigtes System am besten wieder in Betrieb gesetzt werden kann?
Meine Überlegung ist erstmals ein Image von dem angesprochenen Datenträger 1:1 zu erstellen, an dem ich weiterhin etliche Versuche unternehmen kann (damit der originale Datenträger 100% unverändert erhalten bleibt, falls doch bei der Rekonstruktion und der Reparatur etwas schief gehen sollte).
Selbst wenn mehrere gleiche Image-Kopien vorhanden wären, werden bei der Wiederherstellung der ersten gefundenen gelöschten Daten und falls diese auf demselben Datenträger wiederhergestellt werden, logischerweise jeweils die restlichen zum Überschreiben freigegebenen Cluster (mit den restlichen vorhandenen gelöschten Dateien) überschrieben. Um das Problem zu umgehen und aus diesem Problemkreis herauszukommen, sollen alle gefundenen gelöschten Dateien erstmals auf einem anderen Datenträger übertragen werden und erst von da aus alle wichtigsten relevanten Systemdateien zurück zu dem wiederherzustellenden Abbild übertragen werden.

Ich habe Microsoft Diagnostics and Recovery Toolset 5, dies unterstützt leider die Vista nicht. Hätte jemand damit, bzw. in so einem Problem-Bereich generell, bereits Erfahrung? Bzw. andere Alternativen dazu? Es sollte auch mit einem Hexeditor möglich sein die Namen der gelöschten Dateien bzw. Verzeichnisse so zu ändern (das „$“ davor zu löschen), so dass diese auf dem Datenträger nicht mehr als gelöscht fundieren.

Über jede Hilfe wäre ich euch sehr dankbar.

Content-Key: 171020

Url: https://administrator.de/contentid/171020

Ausgedruckt am: 29.03.2024 um 08:03 Uhr

Mitglied: 90957
90957 05.08.2011 um 18:50:57 Uhr
Goto Top
Ich würde mir ein von einem externen Datenträger bootbares System besorgen.
z.B. irgendein Linux oder wenn du nicht so gern mit Linux arbeitest (wie ich :D) UBCD4WIN
Das ist ein Portables XP mit x vorinstallierten nützlichen tools.
Der rd Befehl löscht die dateien soweit ich weiß komplet aus dem Index.
Die bekommst du viel schneller mit einem Tool wie Recuva oder File recovery 4 wieder.
Die können alle von windows gelöschten, nicht überschriebenen daten Problemlos wiederherstellen.
Ein zweiter Datenträger zum speichern der Daten ist natürlich vorraussetzung.
Da du noch hier im Forum schreiben kannst gehe ich davon aus das du noch irgendwo zugriff auf einen PC hast.
Ein von der CD oder vom USB-Stick bootable Betriebssystem herunterladen, auf nen Datenträger Brennen oder kopieren, beim systemstart von dem medium booten.
Dann z.B. Filerecovery 4 starten. (Funktioniert auch portable nur mit den kopierten Programmdateien)
Das betriebssystem solltest du danach sowieso neu aufsetzen wie du sicher auch selbst weißt.

ich hoffe ich konnte einen rettungsanstoß geben.

Gruß
BluBb_mADe
Mitglied: Skyemugen
Skyemugen 05.08.2011 um 19:35:03 Uhr
Goto Top
Aloha,

ich möchte dir nur einen nützlichen Tipp geben, für die Zukunft, um einen erneuten Fauxpas zu vermeiden =)

Egal, welche Pfade, zur Sicherheit am Besten immer in Zollzeichen (oft verwechselt mit Anführungszeichen ^_^) setzen, denn

"C:\ $recycle.bin" existiert nicht und man würde derartige Fehler bemerken face-wink

Abbrechen geht übrigens per STRG+C =)

greetz André
Mitglied: evinben
evinben 06.08.2011 um 10:32:44 Uhr
Goto Top
Hallo BluBb-mADe & Skyemugen

danke euch bisher. Ich werde berichten.
Mitglied: cardisch
cardisch 08.08.2011 um 08:25:08 Uhr
Goto Top
Auf die Systemwiederherstellungspunkte konnte man sich noch nie verlassen, wer das tut, der ist von allen guten Geistern verlassen...
Und so gut recuva und Konsorten auch arbeiten (ich nutze übrigens Easyrecovery), aber ein dermassen zerschossenes System wird du wohl nicht mehr lauffähig bekommen.
Du hast ja keine Übersicht welche Dateien fehlen 8ode rim im laufenden Betrieb als fehlend erkannt werden).
Ich würde also neu aufsetzen und die wiederhergestellten Daten (sofern es sie tatsächlich gibt) ins neue System einmischen..

Gruß

Carsten
Mitglied: evinben
evinben 08.08.2011 um 09:27:28 Uhr
Goto Top
Haloo cardisch,

danke.
Du meinst die Software Easyrecovery für 180,- €? Hat diese Ihren Preis - deiner Erfahrung nach - definitiv wert?

Du hast ja keine Übersicht welche Dateien fehlen 8ode rim im laufenden Betrieb als fehlend erkannt werden).
Kannst du bitte genauer erklären, was damit gemeint wird ("8ode", "rim", "im laufenden Betrieb")?
Mitglied: Skyemugen
Skyemugen 08.08.2011 um 10:19:59 Uhr
Goto Top
"8ode", "rim", "im laufenden Betrieb"
8 = ( shift klemmte
ode rim = oder im Leerzeichen zu früh, Wort gedoppelt

Du hast ja keine Übersicht welche Dateien fehlen (oder im laufenden Betrieb als fehlend erkannt werden).

Ganz schwer zu erkennen, was er meint ...
Mitglied: evinben
evinben 08.08.2011 um 10:43:28 Uhr
Goto Top
Ich bin erleichternd zu erfahren, dass doch keine irgendwelche komplexe 8der-oder rim Dateien beschädigt wurden (so etwa wie "rim = TRIM = Pech gehabt").
Danke an Skyemugen für das Dekodieren.
Mitglied: cardisch
cardisch 08.08.2011 um 11:00:32 Uhr
Goto Top
Zitat von @evinben:
Haloo cardisch,

danke.
Du meinst die Software Easyrecovery für 180,- €? Hat diese Ihren Preis - deiner Erfahrung nach - definitiv wert?

Jau, aber faierweise sollte ich noch eines einwenden (hatte ich vergessenface-smile
Ich nutze eine alte Version, die schon ein paar Jahre auf dem Buckel hat. Sie läuft zwar unter Windows 7, dort aber eher schlecht (ich nutze in dem Fall immer ne alte XP-Büchse).
Ich würde die folgendes nahelegen:
Mach einen Festplattenclone mit sektor-basierendem Image/Clone und arbeite mit diesem weiter.
danach kannst du ja mit der Kopie zuesrt die kostenlosen Varianten ausprobieren (wie recuva) und anschliessend die Demo von Easyrecovery.
Sollte die noch mehr finden, dann sollte sie auch 180€ wert sein.
Aber ob du so oder so dein System nochmals lauffähig bekommst, wage ich zu bezweifeln.
Mitglied: evinben
evinben 08.08.2011 um 11:11:46 Uhr
Goto Top
danke.

Mach einen Festplattenclone mit sektor-basierendem Image/Clone und arbeite mit diesem weiter.
Genau das beabsichtige ich.
Mitglied: cardisch
cardisch 08.08.2011 um 11:52:05 Uhr
Goto Top
>Mach einen Festplattenclone mit sektor-basierendem Image/Clone und arbeite mit diesem weiter.
Genau das beabsichtige ich.

Hatt erst gerade gelesen, dass das schon oben deine Absicht war...
Und auch dein Vista lese ich erst jetzt.
Ein andere Tipp, damit es "schnell" und "sicher" geht:
1:1 Clone erstelle ich gerne mittels h2copy der C´t.
Mit DOS-Unterbau ist es natürlich A*schlangsam, aber kopiert sicher alles, was irgendwie lesbar ist.
Da du keine defekte Platte hast, solllte es dennoch in akzeptabel schneller Zeit gehen (ich denke 500 GB Platten dürften in 2-3 Stunden durch sein)..

Gruß

Carsten
Mitglied: evinben
evinben 08.08.2011 um 13:04:48 Uhr
Goto Top
Hallo cardisch,

danke dir.
Clonen wäre der wichtigste Punkt überhaupt. Ich muss hier noch mal sicherheitshalber erwähnen: es handelt sich um eine SSD.
Selbst die populären Programmen, wie TrueImage, versagen an der Stelle, laut etliche Berichte im Internet.

Das es nicht so einfach eine SSD zu clonen, könnte z. B. von diesem Bericht hier entnommen werden:
SSD clonen
und genauer zu dem Problem hier, wo der Anwender das Ergebnis berichtet:
SSD clonen

Wäre das Tool h2copy tatsächlich zum Clonen von SSDs 1:1 geeignet? Es dürfen beim diesem Vorhaben (Dateien und Systemdateien zu retten) keinerlei Information fehlen.

Vielen dank schon mal an alle, die in dem Bereich bereits Erfahrungen gesammelt haben und hier weiter helfen können.

Gruß
Noi
Mitglied: cardisch
cardisch 08.08.2011 um 16:08:59 Uhr
Goto Top
Hallo Noi,
das mit dem echten 1:1 Clone kann ich dir nicht sagen, aber wenn ich vorgehen muss wie du (ist schon mehr als einmal vorgekommen), habe ich immer versucht per h2copy einen Clone zu erstellen und immer mit der Kopie gearbeitet.
Und mit der Vorgehensweis war ich bis jetzt immer zufrieden, ausser dass ich (wegen DOS) die Platten temporär von AHCI auf IDE umstellen musste, aber dies ist verschmerzbar.
Mit SSD´s habe ich -gottlob- in diesem Zusammenhang noch keine Erfahrung..
Aber Tenor:
Image anlegen und gaaaaaanz weit weg vom Geschehen sicher aufbewahren....

Gruß

Carsten
Mitglied: evinben
evinben 08.08.2011 um 17:25:48 Uhr
Goto Top
mage anlegen und gaaaaaanz weit weg vom Geschehen sicher aufbewahren....

so wird es auch hantiert. Diesmal war es ein spezieller Sonderfall: alle kleine Details hier zu erwähnen wären unpassend aber auch für viele zu langweilig.

Danke für den Typ mit "h2copy"