plötzlich freier speicher auf der hdd

[The_Void]

ich weiß, es ist ein dummes thema, aber ich bin rootkitgestört und ziemlich paranoid gerade.

ich hab ne festplatte mit ner mbr partitionstabelle. 4 primäre partitionen, 3 davon linux und 1 windows. was ich in letzter zeit gemacht habe, war windows 10 über windows update upzugraden, von windows 7. heute gucke ich mit gparted, ob alles in ordnung ist, da finde ich 450 mb auf der platte "unallocated". ich war vor einiger zeit mit dem tdl4 rootkit infiziert, was ne 300 mb partition erstellt hatte und von dort gearbeitet hat. da die partition gemounted war, konnte ich sie mit gparted nicht sehen. erst mit speziellen tools von der UBCD konnte ich die rootkitpartition sehen und löschen.

die frage ist jetzt, was ist da passiert? hat ein rootkit versucht, ne partition zu erstellen und ist gescheitert, wegen dem limit für ne MBR tabelle von 4 primären partitionen oder war es die windows 10 installation?

in panik bin ich nicht, aber mittelmäßig beunruhigt.
für sinnvolle postings zu dem thema wär ich dankbar.

lg,
subvision

 

[cbtestarossa]

mach mal ein Bild mit gparted

 

[The_Void]

geht grade nicht.

die partitionen sind 20gb ext4, 10gb ext4, ca. 100 gb ext4, 300gb ntfs und 450 mb unallocated dahinter.

 

[cbtestarossa]

kannst du die NTFS Partition vergrößeren?

da noch ein paar infos zum rootkit
http://www.viruslist.com/de/analysis?pubid=200883742

habs mir nicht durchgelesen aber möglich dass es so war wie du beschrieben hast und an den 4 primären Partitionen gescheitert ist.

Oder windoze 10 hat da herumgemurxt

 

[Tuetensuppe]

TDL4 erstellt eine eigene Partition. Wenn die lediglich gelöscht wurde, erscheint natürlich nun "unallocated"

 

[The_Void]

nein, ich hatte nach dem rootkitbefall die platte mit dariks boot and nuke platt gemacht. vom rootkit sollte nix übrig sein. aber ich frage mich trotzdem, wie der freie platz auf die hdd kommt?

 

[cbtestarossa]

hast du auch spur 0 gewiped beim Plattmachen?

was ich aber nicht verstehe ist
wenn ich ein neues OS installiere dann schau ich immer gleich was da vor sich geht auf der Platte.

und kanst du jetzt die Partition vergrößern?

 

[The_Void]

idr reicht es, mit DBAN die platte mit nullen zu beschreiben. DBAN macht das von anfang, bis ende, überschreibt den MBR und das ist wichtig. die leute im trojaner-forum sagten mir damals, das wäre genug des guten.

 

[cbtestarossa]

jo wenn eh alles gewiped wurde sollte es reichen.
probier mal die ntfs-Partition zu vergrößern

 

[JimPanse1984]

Windows 10 erstellt so eine Partition beim Setup Ist bei meinen 6 PC's auch so...

 

[cbtestarossa]

Kann es aber nicht bei 4 bestehenden primären
wenn es das trotzdem probiert hat na dann sieht man wieder mal wie schlau die Software ist.
Außerdem solltest eh dafür ne eigene Platte verwenden. Die Preview könnte man auch in ner VM testen.

 

[The_Void]

@JimPanse1984: gottseidank ist DAS geheimnis gelüftet, ich hatte schon ein wenig bammel. danke für deinen tollen post.

thread kann geschlossen werden.