Accueil / Mes interventions / Secteur disque accès refusé: Retrouver le fichier placé sur ce secteur

Secteur disque accès refusé: Retrouver le fichier placé sur ce secteur

Après avoir configuré une sauvegarde automatisée avec Acronis true image chez un client, voilà t’y pas qu’il me rappel le lendemain ! Me citant le message d’erreur ci-dessous:

 

La sauvegarde est simple: Un PC sous Windows 10, Tout le disque C et la partition de boot “Réservée au système” sont sauvegardés sur un NAS Synology, quotidiennement et de façon incrémentielle.

Les étapes du diagnostique:

  • Un checkdisk complet (en ligne de commande chkdsk /F /R C: et redémarrage)
  • Vérification de l’antivirus OK; il s’agit de Windows defender donc bien intégré à Windows 10
  • Désactivation dans Acronis de la fonction anti-ransomware pour test (remis plus tard)
  • Mises à jour Windows 10 OK

Cette version de Windows 10, la 1803 April update contient la fonctionnalité anti-ransomware. Cette fonction protège les fichiers systèmes et personnels (ex photos) de toute modification .  De toute façon le problème ne se pose pas sur le PC de mon client, la fonction anti-ransomware de Windows y est désactivé.

Sur la capture on voit qu’il peut s’agir d’un problème VSS (Volum Shadow Copy Service). un service Windows qui permet la copie de fichiers en cours d’utilisation. Je ne vois pas pourquoi il dis-fonctionnerait, vu que la création de point de restauration système fonctionne. Malgré tout je vérifie s’il n’y aurait pas de problèmes d’exclusion trop élargie depuis le registre Windows https://docs.microsoft.com/fr-fr/windows/desktop/VSS/excluding-files-from-shadow-copies.

Plutôt que de procéder de façon “bête et méchante”: Réinstaller Windows sans perte, réinstaller Acronis ou autres procédé, j’ai trouvé plus formateur d’investiger le fichier bloquant en question! Sauf que c’est moins facile que ça en a l’air. Des forums conseillent d’utiliser un défragmenteur, sauf qu’il faut chercher dans des millions de petites cases , l’outil Microsoft nfi.exe en ligne de commande aurait été pratique mais je ne le trouve pas sur la Toile.

Reste les éditeur Hexa; où le logiciel HxD ne convient pas car il faut peut trouver un fichier d’après le secteur logique, hors Acronis donne le Numéro d’un secteur physique vu qu’il précise dans le message d’erreur “Disque 1” au lieu de “partition xx”.

Explication: il faut savoir (enfin pas tout le monde) qu’il y a des différences entre les secteurs physiques et secteurs logiques:

Les secteurs physiques sont les plus petites unités de stockage sur le disque, on peut considérer qu’ils sont réellement.. physiques. Nous n’avons pas la main pour réorganiser les secteurs physiques.

Les secteurs logiques, ou unités d’allocation, dépendent du système de fichiers choisit (NTFS, Fat32)  et de la taille du disque dur. C’est le système d’exploitation qui décide de regrouper en unité d’allocation un certain nombre de secteurs physiques (formatage haut niveau).

Les fichiers sont référencés (nom, taille, emplacement) depuis les secteurs logiques grâce à la MFT (table de fichiers principale), tout ça pour dire… que si je rentre dans un éditeur hexa le N° de secteur physique 119 190 552, je n’aurais pas une vue intelligible du fichier (nom, chemin, taille, attributs) mais seulement une bouillie de caractères cabalistiques.

Justement, quel éditeur Hexa choisir? Diskexplorer est trop compliqué pour moi, ce sera donc Winhex version free, suffisante. Attention que la version Free n’autorisée pas l’analyse  des partitions cachées comme les partitions spéciales qu’on peut trouver sous Windows 10.

Avec Winhex je vais pouvoir rechercher le secteur physique 119 190 552 et il va en déduire le secteur logique! Tout d’abord je suis allé dans le menu de Winhex dans Outils>Ouvrir Disque>Médias physiques . Je choisis le seul disque dur présent dans le PC du client (il se trouve que c’est un SSD d’ailleurs):winhex open physical disk

 

Ensuite je reviens sur le menu, Navigation>Atteindre le secteur et je rentre le N° du fameux secteur:Winhex navigation secteur disque physique

 

L’accès étant “Physique” l’index des fichiers (MFT) n’est pas chargé comme indiqué plus haut, donc aucun nom de fichier n’apparait. Sur le panneau vertical de droite je mémorise le secteur relatif (relative sector N°118 469 656): Il s’agit en fait du secteur logique correspondant au secteur physique; c’est exactement ce que je voulais!:

 

Je ré-ouvre le disque en choisissant cette fois “Lecteur logique“, puis je rentre ce N° de secteur, toujours depuis Navigation>Atteindre le secteur. La présentation change alors: le disque dur est appelé Drive C:\ et les dossiers du disque sont détectés. A noter le message Accès refusé en bas, cohérent avec le problème de sauvegarde:

 

Ca y est j’ai identifié le fichier coupable! Dans Winhex Sur le panneau de droite je vois Win32kfull.sys, le fichier est dans le dossier C:\Windows\WinSxS\ dans un sous-dossier au doux nom “amd64_microsoft-windows-win32k_31bf3856ad364e35_10.0.17134.1_none_9e74061203b12faa\“.

Je ne me sentais pas de taper un si long nom de dossier: La recherche Windows dans C:\Windows\WinSxS m’aide à visualiser ce fichier:

 

Ce fichier -malgré que je sois administrateur- est complètement verrouillé, impossible de le copier etc.. même rentrer dans ses propriétés pour changer le propriétaire et les droits n’y fait rien! J’utilise donc grantperms de Farbar : outil initialement conçu pour déverrouiller des fichiers composant un virus pour pouvoir les supprimer. Bizarrement il ne donne rien non plus… Je n’arrive pas à comprendre comment cela est possible: fichier corrompu? MFT chancelante? le checkdisk aurait précédemment réglé ces soucis.

Je décide donc d’exclure simplement ce fichier de la sauvegarde Acronis depuis les options avancées: Il faut absolument que les backups quotidiens se fassent: Le PC du client servant à énormément de choses; courriel, compta, facturation:https://www.pcsoleil.fr/wp-content/uploads/2018/11/acronis-exclusions-backups

 

Je redémarre une sauvegarde: Même problème! Je dois donc supprimer Win32kfull.sys. Pour vérifier si cela impactera Windows, je fais la manipulation sur machine virtuelle Windows 10: Cela n’a pas impacté Windows. Maintenant comment je vais effacer un fichier système que je n’arrive même pas à copier-coller…? ni modifier ses droits?

Les logiciels fileassassin de malwarebyte ou Lockhunter sont spécialisés dans ce genre de soucis, je choisis Fileassassin pour la notoriété de son éditeur, et règle ainsi le logiciel. (astuce: Pour faciliter la frappe du dossier contenant win32kfull.sys, je maintiens le bouton MAJ du clavier et clic droit sur win32kfull, le menu contextuel affiche alors “copier le chemin d’accès“):fileassassin

 

 

Le fichier cette fois a bel et bien été supprimé, je relance une sauvegarde acronis et celle-ci aboutit! Par contre supprimer un fichier système n’est jamais bon; il faut le restaurer dans son état fonctionnel en lançant une réparation des composants:  Dism /Online /Cleanup-Image /RestoreHealth ;)

Ceci fait je ré-ouvre le dossier qui contenait le fichier système corrompu; il a bien été restauré mais sa taille a légèrement changé ce qui confirme l’idée qu’il a d’une manière ou d’une autre été corrompu. Je teste un copier-collé dans un autre dossier et ça fonctionne. Mission accomplie.

Merci d'indiquer si vous acceptez l’utilisation des cookies sur ce site et du contenu intégré des sites tiers Plus d’informations

Les paramètres des cookies sur ce site sont définis sur « accepter les cookies » pour vous offrir la meilleure expérience de navigation possible. Si vous continuez à utiliser ce site sans changer vos paramètres de cookies ou si vous cliquez sur "Accepter" ci-dessous, vous consentez à cela.

Fermer