Datenrettung/Klonen–Chckdisk NACH manipulationen an geklonten Daten zu spät?

w2lAnd

Cadet 1st Year
Registriert
Mai 2016
Beiträge
8
Datenrettung durch Partitionsklonen – habe die Datenstruktur der gekonten Partitionen erst manipuliert (bei Virensuche) und danach Chkdisk durchgeführt – beeinträchtigt das die Aussagekraft von Chkdisk??



Hallo,

mein altes Windows XP-System ist zusammengebrochen, nachdem ich an die alte Hardware mit USB2.0-Ports externe USB3.0 Laufwerke angeschlossen habe, dabei (vielleicht wurde zuviel Strom über die USB2.0-Ports gezogen) wurde mein Mainboard zerschossen. Gleichzeitig hat Avira kurz vor dem Absturz Alarm geschlagen mit einer Conficker-Meldung. Ich habe mein System lange schlecht gepflegt.

Auf den Festplatten waren dennoch viele Daten, die mir wichtig sind.

Also habe ich ein neues Board eingebaut, mir 2 neue Festplatten zum Backupen bestellt und dann über das Desinfect Live-CD System die Partitionen der alten Platten mit DD auf die Backupplatten geklont. Dann die geklonten Partitionen mit Desinfect auf Viren untersucht, wobei es 60 Funde gab (nur als Trojaner und Adware deklariert, auch zb. „Ramnit“). Diese habe ich mit .VIRUS umbenannt, um sie unausführbar zu machen, teilweise gelöscht oder, wenn ich die Daten nicht völlig aufgeben wollte auf einen Sicherungsstick kopiert und dann auf der geklonten Partition gelöscht. Weitere nicht benötigte Daten, die ich eher als Müll eingestuft habe, habe ich teilweise schon aus Linux heraus gelöscht (mit Shift+Entf, also endgültig), dazu musste ich die Laufwerke natürlich beschreibbar einbinden.

(Sonst habe ich die neue HArdwarekonfiguration mit Memteset usw untersucht)

Nun meine Frage:

Der Absturz meines Systems, das merkwürdige zusammenkommen des Mainboardcrashes und der Virenmeldung und die anschließenden weiteren Virenfunde haben mich misstrauisch über die Konsistenz/Fehlerfreiheit der Daten auf den Festplatten/den nun geklonten Partitionen gemacht. Aber die Daten sind mir wichtig.

Nun ärgere ich mich, dass ich nicht VOR den Virenlöschungen die geklonten Partitionen mit chkdisk oder so auf Konsistenz untersucht habe, sondern gleich mit der arbeit an den Viren und Löschungen begonnen habe, ich habe die Sorge, dass Ubuntu durch diese schreibenden Eingriffe an den Laufwerken die Datenstruktur so verändert, umfragmentiert, dass fehlerhafte Daten/Bereiche nicht mehr erkennbar sind, wenn ich erst jetzt chkdisk durchführe.

Ich möchte die ewige, nervige Prozedur des Partitionsklonens (Tage) und Virentestes (10h) nicht bloß wegen dieser wahrscheinlich übertriebenen Sorge erneut durchführen. Aber ich traue nun checkdisk nicht mehr, wenn ich es NACH manipulationen an der Datenstruktur laufen lasse, dass es fehlerhafte Dateien sicher findet.

Was sagt Ihr dazu? Gibt es andere Möglichkeiten, fehlerhafte Daten zu finden? Ich möchte sicher gehen, dass nicht versteckt kaputtgegangene Daten auf den Festplatten schlummern und ich dadurch versäume, sie erneut zu backupen, bevor ich die Originallaufwerke formatiere.

Nun findet chkdisk übrigens keine fehlerhaften Sektoren mehr.

Und wenn ich die geklonten Platten nun an ein neu aufgesetztes Windows anschließe, muss ich noch Sorgen haben, dass daruf unenteckte Vieren zur Gefahr werden?

Wahrscheionlich ein bisschen übervorsichtig, aber ich will ein sauberes System haben und dennoch meine alten Daten zuverlässig und unbeschädigt einbinden.

Danke. Bin mehr oder weniger Laie.
 
Hst du chkdsk /f /r durchgeführt ? Es ist dir schon bewußz. dass chkdsk die rohe Datenstruktur wiederherstellt. Daten in fehlerhaften Bereichen werden zwar so gut es geht weggespeicht, diese sind aber mit Hausmoittel nicht wiederherstellbar, so dass es zu mangelhaften Daten kommen kann. Aber dafür hat man ja eine Sicherung.
 
Was kann für mich bedeuten, was du schreibst?

Also, ich habe eine der alten Festplatten formatiert, partitioniert, darauf Win XP (habe gerade kein anderes BS, hängt nicht am Internet) installiert und greife nun von XP auf die geklonten (und vorher in Desinfect gesäuberten) Partitionen auf den Backupfestplatten zu, um mit dem Tool Checkdisk (nicht der Dos- Eingabe) die Festplatten zu testen.

Bei einer Partition stand da etwas von Inkonsistenzen (nur bei einer der 7 Partitionen), die beim nächsten Strat repariert wurden, nun beanstandet Chkdsk da nichts mehr.

Allerdings auf C (was ein neu installieres Windows auf einer formatierten alten Festplatte ist), werden nun "kleinere Inkonsistenzen" gefunden, die Chkdsk repariert. Außerdem findet Chkdsk freien Speicher, der in der "MTF-Bitmap (Master File Table) als zugeordnet gekennzeichnet ist. Fehler in der Volumebezeichnung werden berichtigt. Windows hat Probleme im Dateisystem festgestellt. Führen Sie Chkdsk mit der Operation /F aus. 0KB in fehlerhaften Sektoren"

Wieso habe ich jezt Probleme auf C, das ja frisch aufgesetzt ist? Entstehen die MTF-Probleme dadurch, dass ich mit den geklonten Backupplatten Platten angeschlossen habe (auf denen auch noch eine Windows-Leiche liegt), die nicht bei der neuen Windows-Installation angeschlossen waren?

Wenn ich unter Ausfüren,cmd "chkdsk c: /f /r" eingebe, erhalte ich den Hinweis, dass das LW nicht gesperrt, chkdsk nicht ausgeführt werden kann, weil das Volume verwendet wird. Wenn ich eingebe, dass es beim nächsten Neustart überprüft werden soll (kann ich beim Start die Statusmeldung nicht lesen, weil sie sofort vorbeigeht) findet das Chkdisk tool in Windows die Fehler nach dem Neustart mit Chkdsk wieder.

Eigentlich ein sekundäres Problem, um das es mir primär gar nicht ging, aber auch ein Problem.

Wäre es besser, ich nehme eine dritte Festplatte, ziehe in Linux nur meine wichtigsten Daten aktiv/einzeln darauf (nicht klonend) und schließe diese dann an ein neues Windows an, damit ich Konflikten mit den alten Datestrukturen im neuen Windows aus dem Weg gehe und sicherer bin, keine unentdeckten Viren zu verschleppen?
Ergänzung ()

Nochmal zu meiner ursprünglichen Frage. Meine Sorge war weniger, dass chkdsk beschädigte Dateien womöglich nicht retten kann/beim wegspeichern nicht fehlerfrei abspeichert, sondern ob ich chkdsk (oder einen ähnlichen Test) VOR den manipulationen in Linux durch die Virenbereinigung hätte machen sollen, weil DABEI (der Virenbereinigung) eventuell die Datenstruktur so verschoben werden könnte, dass danach chkdsk mögliche Fehler noch schlechter ausbügeln kann (oder verändert Ubuntu beim Löschen/Umbenennen die Fragmentierung der Dateistruktur nicht weiter?).

(Wie kann ich bei chkdisk beim Systemstart das Protokoll länger anzeigen lassen, sodass ich es lesen kann?)
Ergänzung ()

Um nach dem langen Text meine Frage nocheinmal zusammenzufassen: ob Ubuntu(Desinfect) beim Löschen/Umbenennen von Daten auf NTFS-Platten an der insgesamten Datenstruktur fragmentiert/herumschichtet, oder alle diese Eingriffe nur lokal an Ort und Stelle begrenzt auf den Datenträgern stattfinden.
 
Zuletzt bearbeitet:
w2lAnd schrieb:
Allerdings auf C (was ein neu installieres Windows auf einer formatierten alten Festplatte ist), werden nun "kleinere Inkonsistenzen" gefunden, die Chkdsk repariert. Außerdem findet Chkdsk freien Speicher, der in der "MTF-Bitmap (Master File Table) als zugeordnet gekennzeichnet ist. Fehler in der Volumebezeichnung werden berichtigt. Windows hat Probleme im Dateisystem festgestellt.
Das ckdsk Fehler auf C: findet wenn man es unter einem laufenden Windows ausführt ist relativ normal, es wird ja im Hintergrund immer auch etwas geschrieben und dann passen eben die Informationen der Dateien und des MFT nicht zusammen, weil chkdsk einige Zeit braucht um das alles auszulesen. Da würde ich nichts drauf geben, außer es mal als Hinweis zu verstehen, vielleicht das RAM mal zu prüfen, sollte es auch Fehler geben, wenn chkdsk gleich beim Booten ausgeführt wird, ohne dass es z.B. einen Absturz gab.
w2lAnd schrieb:
0KB in fehlerhaften Sektoren"
Das sagt nichts aus, wenn chkdsk nicht mit der Option zur Überprüfung der Platte auf fehlerhafte Sektoren gestartet wurden.

w2lAnd schrieb:
Entstehen die MTF-Probleme dadurch, dass ich mit den geklonten Backupplatten Platten angeschlossen habe (auf denen auch noch eine Windows-Leiche liegt), die nicht bei der neuen Windows-Installation angeschlossen waren?
Nein, solange Du keine übergreifenden Volumen erstellst, hat jede Platte ein eigenes Filesystem.

w2lAnd schrieb:
findet das Chkdisk tool in Windows die Fehler nach dem Neustart mit Chkdsk wieder.
Lass das bleiben, wenn man chkdsk unter Windows ausführt, darf nichts auf die Platte geschrieben werden, oder man bekommt eben leicht Fehler angezeigt die es gar nicht gibt. Auf seine Systempartition schreibt Windows dauernd was, daher bekommst Du das auch immer wieder Fehler, ignoreire die einfach.

w2lAnd schrieb:
Wäre es besser, ich nehme eine dritte Festplatte, ziehe in Linux nur meine wichtigsten Daten aktiv/einzeln darauf (nicht klonend)
Das hätte ich an Deiner Stelle sowieso gleich gemacht.
w2lAnd schrieb:
und schließe diese dann an ein neues Windows an, damit ich Konflikten mit den alten Datestrukturen im neuen Windows aus dem Weg gehe und sicherer bin, keine unentdeckten Viren zu verschleppen?
Keine Ahnung wleche Sorgen Du da immer mit Deine Datenstruktur hast, wenn Windows die Platte mounten kann, kann es nicht so schlecht darum stehen und wenn ein Virus die durcheinander bringen würde, täte er sich selbst ins Knie schießen, weil er dann beim nächsten Neustart, sofern der überhaupt noch möglich ist, ja auch betroffen sein könnte. Viren infizieren oder verschlüsseln Dateien eher und davon merkt chkdsk nichts, aber sie machen selten das Dateisystem kaputt.
w2lAnd schrieb:
Meine Sorge war weniger, dass chkdsk beschädigte Dateien womöglich nicht retten kann/beim wegspeichern nicht fehlerfrei abspeichert
Chkdsk rettet keine Dateien, es ist nicht ein Recoverytool wie Testdisk, sondern zieht nur irgendwie das Filesystem gerade und wirft zur Not und manchmal auf eher ohne Not Dateien über Bord die im Wege stehen oder zu stehen scheinen. Ich würde es mit dem chkdsk nicht übertreiben.
w2lAnd schrieb:
ob ich chkdsk (oder einen ähnlichen Test) VOR den manipulationen in Linux durch die Virenbereinigung hätte machen sollen, weil DABEI (der Virenbereinigung) eventuell die Datenstruktur so verschoben werden könnte, dass danach chkdsk mögliche Fehler noch schlechter ausbügeln kann (oder verändert Ubuntu beim Löschen/Umbenennen die Fragmentierung der Dateistruktur nicht weiter?).
Wie gut der NTFS Treiber unter Linux ist und ob das die Datenstruktur wirklich immer 100%ig korrekt handhabt, kann ich nicht sagen, aber meines Wissens ist der inzwischen sehr ausgereift. Aber Du solltest Dir weniger Gedanken um die Datenstruktur machen, sondern mehr die die Dateien die Dir wichtig sind. Das chkdsk keine Fehler findet, muss nicht bedeuten das die Dateien auch korrekt und fehlerfrei lesbar sind. Es bedeutet nur, dass sie Cluster belegen, die auch in der MFT Bitmap als belegt markiert sind und von denen keinen andere Dateien angibt sie ebenfalls zu belegen, ob die wirklich zu der Datei gehören, ist damit nicht 100%ig gewährleistet. NTFS hat keine Prüfsummen für die Dateien, kann also nicht prüfen ob eine Datei genauso gelesen wird, wie sie mal geschrieben wurde.

w2lAnd schrieb:
ob Ubuntu(Desinfect) beim Löschen/Umbenennen von Daten auf NTFS-Platten an der insgesamten Datenstruktur fragmentiert/herumschichtet, oder alle diese Eingriffe nur lokal an Ort und Stelle begrenzt auf den Datenträgern stattfinden.
Fragmentierung entsteht nur beim Schreiben, das ist auch immer nur ein Problem eines einzelnen Datei, denn die ist eben fragmentiert, wenn sie nicht in einem Stück, also komplett in aufeinanderfolgenden Clustern abgelegt ist. Das kann beim Umbenenne und Löschen also gar niht passieren, dabei werden ja nur die Metadaten der Datei geändert, die eigentlichen Daten in den Clustern bleiben aber unangetastet. Kritisch wäre hier nur, wenn entweder der NTFS Treiber vom Linux einen Bug hat oder das RAM nicht fehlerfrei arbeitet und dann eben die Metadaten des Filesystem beim Zurückschreiben verfälscht werden. Davon angesehen hängst Du Dich hier jetzt an etwas auf, was mit Deinem eigentlichen Problem überheupt nichts zu tun hat, denn solange das Filesystem gemountet werden kannn, also z.B. unter Windows im Explorer darauf zugegriffen werden kann, ist es nicht korrupt oder zumindest nicht so sehr, dann sind vielleicht nur einzelen Cluster doppelt belegt, dann wird eine der beiden Dateien die beheuptet ein Cluster würde zu ihre gehören korrupt sein, aber das ist sie nach dem chkdsk dann auch bzw. deren Rest in Lost+Found. Oder die Angabe zur Belegung in der MFT Bitmap stimmt nicht, nur ist das erst wichtig, wenn man da neue Dateien schreibt, wobei eine Datei dann korrupt werden kann, wenn sie einen Cluster belegt hat der in der MFT Bitmap als frei markiert ist und daher sollte man auch bei der Datenrettung (genau das machst Du gerade) niemals schreibend auf die Platte zugreifen von der man Daten rettet, sondern diese immer auf eine andere Platte kopieren und dann dort prüfen. Ein chkdsk rettet Dir keine Dateien, es zerstört sie im Gegenteil eher.
 
Danke!

“Holt “ schrieb:
daher sollte man auch bei der Datenrettung (genau das machst Du gerade) niemals schreibend auf die Platte zugreifen von der man Daten rettet, sondern diese immer auf eine andere Platte kopieren und dann dort prüfen.

Ja, das habe ich ja auch getan.

Das Misstrauen über die Konsistenz der Daten kommt daher, dass mein System kaputt ging, als ich unwissend über den Strombedarf externe USB3.0 Laufwerke an 2.0 Ports angeschlossen habe (was ja eigentlich auch ein System nicht unbedingt zerschießen sollte, aber mein MB war kaputt), gleichzeitig kam direkt vor dem Absturz aber auch eine Virenmeldung. Als ich nach dem ersten Absturz einige male noch unzuverlässig ins Windows hineinkam, Stürtzte das System immer ab, wenn ich bestimmte Festplatten/Ordner auf Festplatten öffnete, das waren Bereiche auf mehreren Festplatten, aber dort immer die gleichen Daten/Ordner, die zum Absturz führten. Deshalb hatte ich Sorge, die Festplatten und Daten und eben die Datenstruktur (von der ich in der Tat nur eine Laienvorstellung habe) könnten gelitten haben. Ich bin immer noch etwas im unklaren, woran mein System eigentlich gestorben ist, jedenfalls konnte ich mit neuem Mainboard wieder ein neues System aufsetzen und die Hardware funktionierte wieder.

Weil ich den Systemtod nicht wirklich verstanden habe, zuletzt beim Absturz mehrere Dinge zusammenkamen und ich wenig Ahnung habe, ist mein Versuch, die Daten möglichst sicher auf ein neues System zu retten vielleicht etwas konfus.

“Holt “ schrieb:
Das hätte ich an Deiner Stelle sowieso gleich gemacht. (auf eine dritte Festplatte die wichtigen Daten einzeln kopieren)

Weil das ein mit den Jahren wirklich ein ziemlich unordentliches System geworden ist, wollte ich eigentlich gerne möglichst die gesamten Daten zur Verfügung haben, weil mir sonst vielleicht erst zu spät einmal einfällt, was ich unbedingt auch noch hätte sichern müssen.

Andererseits wäre der andere Weg (slektiv die wichtigen Daten kopieren) vermutlich noch sicherer (wg. der Gefahr mit dem ganzen unordentlichen Datenberg sonst unentdeckte Viren zu verschleppen)?

Checkdisk lasse ich dann mal beiseite, es beanstandet ja wirklich nur die Systempartition, die anderen geklonten nicht.
 
Zuletzt bearbeitet:
w2lAnd schrieb:
was ja eigentlich auch ein System nicht unbedingt zerschießen sollte, aber mein MB war kaputt
Eigentlich nicht, vielleicht war es auch Zufall, HW hält nicht ewig und geht irgendwann sowieso mal kaputt, vielleicht war es einfach Zufall.
w2lAnd schrieb:
Als ich nach dem ersten Absturz einige male noch unzuverlässig ins Windows hineinkam, Stürtzte das System immer ab,
Was natürlich auch an einem HW-Fehler oder den Viren gelegen haben könnte. Hast Du z.B. mal die S.M.A.R.T. Werte der alten Platte(n) ausgelesen?
w2lAnd schrieb:
wenn ich bestimmte Festplatten/Ordner auf Festplatten öffnete, das waren Bereiche auf mehreren Festplatten, aber dort immer die gleichen Daten/Ordner, die zum Absturz führten.
Was den Verdacht oben weiter erhärtet. War diese immer der gleiche Ordner auf verschiedenen Platten? Oder auf jeder Platte jeweils ein bestimmter Ordner?
w2lAnd schrieb:
Deshalb hatte ich Sorge, die Festplatten und Daten und eben die Datenstruktur (von der ich in der Tat nur eine Laienvorstellung habe) könnten gelitten haben.
Das könnten sie natürlich, Abstürze sind da immer eine Gefahr, aber vor allem wenn diese während Schreibzugriffen erfolgen.

w2lAnd schrieb:
Weil ich den Systemtod nicht wirklich verstanden habe, zuletzt beim Absturz mehrere Dinge zusammenkamen und ich wenig Ahnung habe, ist mein Versuch, die Daten möglichst sicher auf ein neues System zu retten vielleicht etwas konfus.
Das Klonen war schon in Ordnung, zumal wenn man den genauen Zustand der Platten nicht kennt. Nur würde ich die Originalplatte dann nicht platt machen, zumal wenn man eben nicht weiß, ob man von der nicht noch irgendwann die eine oder andere Datei brauchen wird.

w2lAnd schrieb:
Weil das ein mit den Jahren wirklich ein ziemlich unordentliches System geworden ist, wollte ich eigentlich gerne möglichst die gesamten Daten zur Verfügung haben, weil mir sonst vielleicht erst zu spät einmal einfällt, was ich unbedingt auch noch hätte sichern müssen.
Sichern tut man Daten regelmäßig indem man Backups davon anlegt, aber eben bevor es Probleme gibt, danach fällt alles unter Datenrettung, nicht mehr unter Datensicherung.

w2lAnd schrieb:
Andererseits wäre der andere Weg (slektiv die wichtigen Daten kopieren) vermutlich noch sicherer (wg. der Gefahr mit dem ganzen unordentlichen Datenberg sonst unentdeckte Viren zu verschleppen)?
Bei einem neuen gepflegten System sollte dann der Virenfinder Alarm schlagen, wenn man dann auch eine infizierte Datei trifft und wenn man unter Linux kopiert, können zumindest während man unter Linux arbeitet, die Windows-Viren nicht aktiv werden.

w2lAnd schrieb:
Checkdisk lasse ich dann mal beiseite, es beanstandet ja wirklich nur die Systempartition, die anderen geklonten nicht.
Eben und die kann man nur sinnvoll scannen, wenn man das vorher in Auftrag gibt und Windows es beim Start ausführt, aber eben nicht im laufenden Windowsbetrieb.

Also lass Deine Originalplatte mal einfach unangetastet, lies allenfalls unter Linux mal die S.M.A.R.T. Werte aus, was mit smartctl -a /dev/sdx (statt x passenden Buchstaben nehmen) geht und poste die Ausgabe hier mal. Dann setze Dein System ordentlich neu auf, mit einem Virenfinder und häng die Platte rein auf die Du geklont hast, dann lass dort den Virenfinder suchen und alles entfernen was infiziert ist, schicke ggf. noch einen zweiten Virenfinder auf die Suche und danach solltest Du vielleicht mal das Datenchaos ordnen und dann auf der zweiten neu gekauften Platte ein Backup anlegen und diesen dann mit der alten Originalplatte zusammen in den Schrank packen. HDDs haben gewöhnlich nur eine geplante Nutzungsdauer von 5 Jahren, die alten Originalplatte dürfte die vermutlich schon überschritten haben, wenn der Rechner schon so alt ist, da lohnt es sich dann sowieso nicht mehr mit der noch große Einsätze zu planen.
 
Zurück
Oben