Windows Mysteriöse Partition

Windows Betriebssystem

Django-Nudo

Active member
Registriert
21 März 2022
Beiträge
160
Guten Morgen, vielleicht kann mir jemand helfen. Es handelt sich hoffentlich (!) nicht um ein richtiges Problem (Virus oder ähnliches), aber eine Sache, die mich etwas nervt und verwirrt.

Also: ich habe und nutze ein Thinkpad T420s mit Windows 10 auf SSD (das ist quasi das Systemlaufwerk C) und einer Festplatte (Laufwerk D) für Dateien im Ultra Bay Schacht. Komischerweise wird mir (schon seit längerem, kann den Zeitpunkt nicht benennen) ein drittes Laufwerk angezeigt namens „MyExtVoume1“. Es ist eine Partition, die sich mit auf der Datenfestplatte befindet und komischerweise mit Ext2 formatiert ist (und trotzdem in Windows angezeigt wird). Ich habe auf diesem Gerät übrigens nie etwas mit Linux gemacht. Kann ich dieses Volumen bedenkenlos löschen? Ist es vielleicht ein Virus? Oder enthält es wichtige System- oder Wiederherstellungsdateien? Laut Windows wurde es nicht aktiv erstellt. Es enthält unter anderem einen Lost&Found-Ordner und eine IndexerVolumeGuid-Datei.
Anbei ein paar Bilder, mehr Infos kriege ich leider gerade nicht in Worte gefasst.
 

Anhänge

  • 47039EE3-CF9C-4D4E-9E66-F61BA9D43C62.jpeg
    47039EE3-CF9C-4D4E-9E66-F61BA9D43C62.jpeg
    197,4 KB · Aufrufe: 64
  • 8FBFC25D-12BB-494A-88A3-7122D7D35D02.jpeg
    8FBFC25D-12BB-494A-88A3-7122D7D35D02.jpeg
    208,7 KB · Aufrufe: 55
  • 1E281462-3B60-410E-B374-38C2EBBC9601.jpeg
    1E281462-3B60-410E-B374-38C2EBBC9601.jpeg
    318,6 KB · Aufrufe: 55
  • 291BCEDD-F536-4F3B-80F1-5FC93137C38A.jpeg
    291BCEDD-F536-4F3B-80F1-5FC93137C38A.jpeg
    174,1 KB · Aufrufe: 64
Soweit ich weiß* macht Windows von selbst nichts, was die Existenz eines ext-Dateisystems erklären könnte.

"lost+found" ist das ext-eigene Verzeichnis, wo bei einem Dateisystemcheck gefundene, korrumpierte Dateien abgelegt werden. Das sollte im Idealfall leer sein. Falls nicht, würde das bedeuten, dass auf dem Dateisystem schon mal ein fsck lief und Fehler behoben hat. Auch das kann Windows meines Wissens* nach nicht.
"System Volume Information" wurde automatisch von Windows angelegt. Wozu das gut ist weißt du vermutlich besser als ich.
Bleibt noch der "Dateien"-Ordner, dessen Inhalt 2019 zuletzt geändert wurde, während das Dateisystem vermutlich 2017 angelegt wurde. Klingelt da was? Liegen da Dateien drin, die über irgendwas Aufschluss liefern könnten?
Von der Größe und Position des Dateisystems her könnte das mal eine /boot-Partition einer Linux-Installation gewesen sein. Alle Inhalte die darauf hinweisen könnten, wären dann aber gelöscht worden.

Ich wäre mir auch gar nicht so sicher, dass das wirklich ext2 ist. Als ich das letzte mal nachgeschaut habe*, konnten die Windows-ext-Treiber nur stabil ext2, und ext3 steckte in den Kinderschuhen. Von ext4 war nichts zu sehen.
Mounte das Dateisystem mal von einem Linux-System aus! 2017 sollte das ext4 gewesen sein, wenn es tatsächlich von einem Linux erstellt wurde.
Falls du neugierig bist, könntest du mal "extundelete" über das Dateisystem schicken, um zu schauen, ob es gelöschte Dateien gibt, die dir irgendwelche Hinweise liefern.


*) Stand 2008 ;)
 
Das würdest Du nicht merken! ;)

Edit:
Vielleicht doch irgendwas heruntergeladen?
 

Anhänge

  • ExtVolumeManager.PNG
    ExtVolumeManager.PNG
    14,9 KB · Aufrufe: 27
@hikaru
Danke, probiere ich mal aus, das vone einem Live Linux aus anzuschauen.
Und danach auch einmal die hdd einfach mal rausnehmen und sehen ob ohne alles problemlos läuft.
Lost+Found Ordner ist leer.
In Dateien Order ist eine undefinierbare Datei namens mix, ca 30mb groß.

Ich muss auch gestehen, dass ich die fragliche Festplatte vermutlich damals (ca 2014) zusammen mit dem Notebook gebraucht gekauft habe.

Nachtrag: Die Datei „mix“ im Ordner „Dateien“ mit Text-Editor geöffnet. Da deutet etwas auf Spuren von Video-Dateien bzw vlc-Player hin..
 

Anhänge

  • 181CE058-192C-4D4D-838D-09AD93D1D6D5.jpeg
    181CE058-192C-4D4D-838D-09AD93D1D6D5.jpeg
    232,3 KB · Aufrufe: 23
Zuletzt bearbeitet:
Wo steht denn, dass das ext2 sein soll?
Wenn du nicht ext2fs oder so installiert hast und auf die Partition per Explorer normal zugreifen kannst, dann ist das auch definitiv kein ext2. Keine Ahnung, ob es möglich ist, ext2 per Linuxsubsystem für Windows in den Explorer zu integrieren.
 
Ext2 steht im Fenster wenn ich auf Eigenschaften gehe.
Beitrag automatisch zusammengeführt:

Ups, ich habe wohl doch ein entsprechendes Paragon Programm drauf.. Ok, damit kann ich die Partition zumindest unmounten, damit sie unsichtbar ist.
 

Anhänge

  • 105BB2D7-CAC3-438D-8FCB-54295AA30A05.jpeg
    105BB2D7-CAC3-438D-8FCB-54295AA30A05.jpeg
    226,7 KB · Aufrufe: 27
  • 0FBC68AA-76DC-4783-B821-20F1B3C1761C.jpeg
    0FBC68AA-76DC-4783-B821-20F1B3C1761C.jpeg
    138,9 KB · Aufrufe: 25
Zuletzt bearbeitet:
Ich würde gar nicht soviel Forensik betreiben. Du bist sicher, dass es nicht von dir stammt und die Datumseinträge deuten sehr auf "uralt" hin. Alles zusammen wird man vermutlich nie mehr klären können, wo der Ursprung herkommt. Von daher würde ich diese Partition beruhigt löschen (diskpart / Datenträgerverwaltung oder ggf. auch mit Gparted als Live-Linux). Anschließend würde ich zur Sicherheit einen Viruscheck durchführen (mit deiner verwendeten Software) und wenn du dann immer noch unsicher sein solltest, nochmals mit einmal mit einem Live-System, z.B. Avira.

Grüße Thomas
 
Nachtrag: Die Datei „mix“ im Ordner „Dateien“ mit Text-Editor geöffnet. Da deutet etwas auf Spuren von Video-Dateien bzw vlc-Player hin..
Das sieht aus wie ein Header einer Videodatei. Versuch doch mal, die abzuspielen - aus Sicherheitsgründen vom Live-System aus, nicht auf deinem Produktivsystem!
 
Ich muss auch gestehen, dass ich die fragliche Festplatte vermutlich damals (ca 2014) zusammen mit dem Notebook gebraucht gekauft habe.
Ups, ich habe wohl doch ein entsprechendes Paragon Programm drauf..
Das wird es doch vermutlich erklären: Das Notebook war gebraucht gekauft und der Vorbesitzer wird da offenbar eine Linux-Distro drauf gehabt haben (oder ähnliches). Die Partition ist vermutlich davon übrig geblieben. Dass es ext2 ist, kann der damalige Ersteller aus irgendeinem Grund bewusst so gewählt haben. Durch das Paragon-Programm sind Treiber mit aufs Windows gekommen, die die Partition mounten können. K.A., ob Du das selbst installiert hast oder die Windows-Installation noch vom Vorbesitzer stammt und das Programm schon mit drauf war. Da die PArtition erst seit kurzem erscheint, hast Du das Paragon-Programm vermutlich vor einiger Zeit mal gestartet?

Mit an Sicherheit grenzender Wahrscheinlichkeit Fall ist diese Partition für den Betrieb von Windows völlig irrelevant und könnte bedenkenlos gelöscht und der frei gewordenen Platz z.B. der D-Partition zugeschlagen werden. Wenn man ganz sicher gehen will, kann man natürlich zusätzlich noch einen vollständigen Virenscan übers System laufen lassen, ggf. auch mit einem bootbaren Offline-Virenscanner.
 
Ich danke euch allen und schau mir das morgen noch mal an und dann weg damit. Es ist alles einleuchtend und vieles deckt sich mit meinen Vermutungen. Das Windows und die Festplatten habe ich tatsächlich „schmutzig“ vom Vorbesitzer übernommen. Die Paragon Geschichte habe ich vermutlich mal nebenbei installiert als ich irgendwas anderes vorhatte, klonen oder so, irgendeine andere Software von dem Anbieter.
 
In dem Fall würde ich dem ganzen System nicht mehr vertrauen! Wenn da schon dubiose Partitionen mit seltsamen Daten vorkommen und das System selbst auch vom Vorbesitzer stammt, ist das eigentlich nicht sinnvoll, weiter damit zu arbeiten.

Auf einem sauberen System ein Windows Installationsmedium erstellen, davon booten, alle Partitionen löschen und dann Windows sauber neu installieren!
 
@der_ingo
Du hast natürlich vollkommen recht, es war von außen betrachtet natürlich ein absoluter Anfängerfehler das System vom Vorgänger zu übernehmen. Eine Mischung aus Unwissenheit, Sorge etwas falsch zu machen und Bequemlichkeit.
Habe jetzt das fragliche Volumen unmountet, gelöscht und versucht zusammen zu führen. Habe jetzt in der Datenträgerverwaltung aber zwei mal Laufwerk D.. Versuche es morgen noch mal mit einem Live Linux / Gparted und unmounte vorher die ganze Platte. Oder?
 

Anhänge

  • CD35F3A4-BDE4-4D2B-8985-566D78444A53.jpeg
    CD35F3A4-BDE4-4D2B-8985-566D78444A53.jpeg
    130,5 KB · Aufrufe: 20
2x der gleiche Laufwerksbuchstabe, das habe ich noch nie gesehen. Spätestens jetzt würde auch ich dringstenst zum Clean-Install raten.

Grüße Thomas
 
Wozu? - Ist ja nicht die Systemplatte.
Zusammengeführt womit? - Partition Manager oder Windows? Für mich sieht es aus, als wäre aus zwei Partitionen ein Stripeset erstellt worden. Mit dynamischen Datenträgern - wie hier vorliegend - ist das möglich.

gelöscht und versucht zusammen zu führen
Eine gelöschte Partition kann man nicht mit einer existierenden zusammenführen, wohl aber eine bestehende auf die gelöschte erweitern. - Ist nur ein anderer Menüpunkt.
 
Ja mit Windows Datenträgerverwaltung. Habe das Gerät jetzt aus aber schau morgen noch mal. Stripeset sagt mir nichts. Sorry dass ich so viel Action mache wegen 400mb..
 
Mit Stripe-Set (auch: RAID 0) können mehrere Partitionen zu einer logischen zusammengefügt werden. Kann auch über mehrere physikalische Laufwerke erfolgen:
 
Dynamische Datenträger sind etwas, was man normalerweise vermeiden sollte. Das ist alte Technik und macht nur Probleme.
Ich weiß nicht, ob GParted mit sowas überhaupt etwas anfangen kann. Mit Windows selbst bekommst du so eine Partition nicht wieder zurück verwandelt. Das ist also ein wenig Sackgasse.

Ich bleib dabei: alles sauber plätten. Alle Partitionen löschen. Meinetwegen über GParted oder beim frischen Windows Setup. Dann sauber frisch machen.
 
Ich muss auch gestehen, dass ich die fragliche Festplatte vermutlich damals (ca 2014) zusammen mit dem Notebook gebraucht gekauft habe.
Regel Nr. 1: Gebraucht erworbene Datenträger immer komplett löschen! Man weiß nie, was da vorher mal drauf war und will es auch nicht wissen. Siehe Beitrag über mir von @der_ingo


Und weil's so schön war:
wenn der solch offensichtliche footprints hinterlassen würde wär der begriff "trojaner" ja mal voll daneben.

Was nicht heissen soll dass das teil keine spuren hinterlässt,
schliesslich wurden frühere versionen schon 2007 in der elster software nachgewiesen,
Ganz unten im Text:
Nachtrag: Aufgrund heftiger Reaktionen und entsprechender Nachfragen sehen wir uns angehalten, darauf hinzuweisen, daß es sich bei dieser Meldung um einen Aprilscherz handelt. Der CCC kann natürlich trotzdem nicht ausschließen, daß die ELSTER-Software den Bundestrojaner oder Schlimmeres enthält.
(Hervorhebung von mir)
:p
 
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben