W2K-Platte zerschossen

[Max59077]

Hallo,

hab mich im Forum und Fionas FAQ/Anleitung (super Teil) schon eingelesen - werd aber noch nicht ganz schlau aus den Anzeigen von Testdisk. Vielleicht kann mir jemand bei meinem Problemfall helfen?

Die Geschichte in Kurzfassung: Die Platte ist von einem Bekannten, der sich einen/mehrere Trojaner (durch Trojaner-Downloader) eingefangen hat. Nach einem Neustart traten Anmeldeprobleme auf, nach weiterem Neustart war kein booten mehr möglich. (Wen es interessiert: es war die "bekannte" falsche Telekom-Online-Rechnung)

... von der Geschichte (wie das halt so mit der Geschichte ist - einiges ist nur "überliefert") zu den Fakten:

W2K mit Sp4, einzige Platte im System, zwei Partitionen (primäre u. erweiterte mit log. Laufwerk)

Mein Vorgehen bisher:
Nach gescheiterten Versuchen mit der Wiederherstellungskonsole und fdisk/mbr hab ich mir die Platte mit "GetDataBack for NTFS" und "PC inspector File Recovery" angesehen, aber keine Änderungen vorgenommen. "GetDataBack" zeigte nur Fragmente und verlorene Dateien, "PC Inspector" zeigte keine "Eigenen Dateien" und keine anderen relevanten Ordner an. Beide Programme fanden die 2. (und wichtigere) Datenpartition nicht. Daher verfolgte ich diesen Ansatz nicht weiter.

Schließlich bin ich auf Testdisk und dieses Forum gestossen und bisher so weit (Screenshots nach Fionas üblicher Anleitung):
Analyse -> Screenshot 1
Sicherung der Konfig. mit Save -> Screenshot 2
Search -> Screenshot 3

Für die 3 gefundenen Partitionen gibt es backup sectoren, die erste ist 14503 MB, die zweite 14802 MB und die dritte (FAT) 7624 MB groß.

Mir unverständlich: Auf der Platte waren (/sollten sein) zwei Partitionen, eine primäre NTFS-P. (Bezeichnung: System) und eine erweiterte NTFS-P. (mit logischem Laufwerk, Bezeichnung: Daten) - woher kommt jetzt die angezeigte FAT32-Partition.

Wie interpretiere ich diese Daten und wie gehe ich weiter vor?

MfG
Max

 

[Fiona]

Die Fat-Partition wurde einfach auch noch nach Search gefunden.
Ist wahrscheinlich eine ältere Partition die somit noch gelistet wird.
Steht im Moment auf D=Deleted (gelöscht) und kann deshalb so bleiben.

Die erste Partition ist primär aktiv und und somit bootfähig.
Du solltest noch die zweite Partition Data mit dem Links und Rechts-Pfeil auf L für logisches Laufwerk setzen.

Bestätige dann mit Enter.

Hier sollten dann beide Partitionen plus zusätzlich die erweiterte Partition (Extendet) gelistet sein.
Ansonsten setze mir mal einen Screenshot

Gehe jetzt auf Write.
Bestätige dann mit Enter und y.
Dann sollte noch ein Menü Boot kommen wo anzeigt;
Boot sector
Bad
Backup boot sector
OK
Sectors are not identical

Gehe dann mit dem Pfeil auf [Backup BS] und bestätige auch mit Enter und y!
Diese Meldung Meldung sollte für beide Partitionen kommen, da du mitgeteilt hattest das bei alle nur der Backup Sector gefunden wurde.
Wenn nicht teile es mit.
Dann kann man das auch manuell im Menü [Advanced] bei [Boot] überprüfen und nachholen.

Beende dann Testdisk jeweils bei Quit.

Starte den Computer neu und überprüfe das Ergebnis.

Wenn chkdsk beim starten kommen sollte (sehr wichtig), beende es erstmal mit Tastendruck innerhalb von 10 Sekunden.
Kann kommen wenn noch ein Fehler im Dateisystem vorliegt.

Auch weiß ich nicht ob durch den Trojaner noch mehr Dateien beschädigt wurden und Windows dann startet.

Viele Grüße

Fiona

 

[Max59077]

Hallo Fiona, danke für die Hilfe - sitze erst jetzt wieder an meinem PC um Deine Tips auszuprobieren.

zu Anzeige Partition FAT: Ah, so - jetzt hab ichs verstanden. Habe mir die Daten der FAT-Partition mal angesehen, waren noch vom Vorbesitzer.... sind sogar viele noch völlig intakt!!

Die Fat-Partition wurde einfach auch noch nach Search gefunden.
Ist wahrscheinlich eine ältere Partition die somit noch gelistet wird.
Steht im Moment auf D=Deleted (gelöscht) und kann deshalb so bleiben.

Die erste Partition ist primär aktiv und und somit bootfähig.
Du solltest noch die zweite Partition Data mit dem Links und Rechts-Pfeil auf L für logisches Laufwerk setzen.

Bestätige dann mit Enter.

Hab ich gemacht - dann kam die Auswahl, welche Backup Partition ich wiederherstellen möchte (Bild 1)....ich habe mal die "älteste" (erste) gewählt. Schien mir am plausibelsten - obwohl ich gestern die Platte nur untersucht habe (hoffe ich zumindest).

Dann kam dieses Bild (Bild 2) - Stukture übrigens bei allen Partitionen: BAD (macht mir etwas Sorgen)

Und nun?

 

[Fiona]

Du brauchst nicht L drücken für Load Backup (siehe erstes Bild).

Ich gehe jetzt von deinem zweiten Bild aus (rechts).
Setze mal die erste Partition mit Fat32 LBA (siehst du ganz links an den Stern *) mit dem Links und Rechtspfeil auf D.

Markiere dann mit dem nach oben und unten Pfeil die dritte Partition wo ganz rechts [Daten] steht.

Dann solltest du mit dem Links und Rechts-Pfeil auf der Tastatur die Partition [Daten] auf L setzen.
Ist der Buchstabe ganz Links wo jetzt ein D ist.
Der ändert sich dann auf L.

Den Rest so lassen.

Setze mit dann einen Screenshot.

Viele Grüße

Fiona

 

[Max59077]

Du brauchst nicht L drücken für Load Backup (siehe erstes Bild).

Entschuldigung - hab ich auch vorher in einem Deiner Beiträge gelesen; war mir ganz sicher, wie es gemacht wird (Pfeiltasten).........und habs dann dennoch falsch gemacht
Also noch mal von vorn....

Jetzt hab ich dann die Partitionen nach Deinen Angaben geändert (Bild 1) und mit "Enter" bestätigt. (Bild 2) sah für mich einleuchtend aus (erste P. als bootfähige NTFS-P., die zweite eine erweiterte P. und als dritten Punkt das logische Laufwerk - wieder NTFS-Format)... bin also auf "write" gegangen. Habe Sicherheitsabfrage mit "y" bestätigt.

Danach kam der von Dir schon angesprochene Hinweis: Bootsektor beschädigt, aber Backup Bootsektor OK (Bild 3). Habe also [Backup BS] mit den Pfeiltasten ausgewählt und die Abfrage mit "y" bestätigt. Ergebnis: (Bild 4).

Gehe dann mit dem Pfeil auf [Backup BS] und bestätige auch mit Enter und y!
Diese Meldung Meldung sollte für beide Partitionen kommen, da du mitgeteilt hattest das bei alle nur der Backup Sector gefunden wurde.
Wenn nicht teile es mit.

War so, musste nur danach jeweils einem Bildschirm mit "Quit" bestätigen, der die jeweiligen Änderungen nochmals angezeigt hatte - das hatte mich etwas verwirrt.

Dann kann man das auch manuell im Menü [Advanced] bei [Boot] überprüfen und nachholen.

Hab ich mal gemacht und wieder was dazu gelernt: Dachte die erweiterte Partition würde neben der primären Partition in den Bootsektor (oder Partitionstabelle) eingetragen.
Dem ist aber nicht so: stattdessen ist das logische Laufwerk mit eingetragen.

So, dann werd ich mal neu booten...

 

[Fiona]

Ist vielleicht besser wenn du mir einen Screenshot setzt nach der Änderung.
Nicht das du noch Datenverlust hast.

Für dich sind beide NTFS Partitionen wichtig.

Die erste NTFS-Partition sollte auf * für primär aktiv stehen.
Die zweite NTFS-Partition auf L für logisches Laufwerk.
Der Rest mit Fat32 LBA muß auf D Für deleted (gelöscht) stehen.

Erst dann solltest du weiter mit Enter bestätigen.

Eine erweiterte Partition wird eigentlich automatisch gesetzt.
Da gibt es nichts mit auf P setzen.

Für dich ist nur der * und L interessant.
Speziell in deinem Fall.

Setze mir vielleicht lieber einen Screenshot, wenn du unsicher bist.

Viele Grüße

Fiona

 

[Max59077]

.... hab mal eben die fehlenden Bilder nachgeschoben, die sollten das Missverständnis klären. Sorry für meine Abkürzungswut - "P." sollte keine Wahlmöglichkeit in Testdisk darstellen, sondern war im gewählten Zusammenhang die Abkürzung für Partition (Bsp: erweiterte P.)
Mit Testdisk ist übrigens alles so weit glatt gelaufen, sogar die Bezeichnung stimmen wieder - noch mal ein finales Bild (unten).

Jedoch ist da noch ein großes Problem - nach dem Neustart (Scandisk abgebrochen, Windows hat neue Geräte installiert -> Neustart, Scandisk abgebrochen) kam ein Bluescreen (Stop 0x00...A, IRQL_NOT_LESS_OR_EQUAL). Fehler ist mir bekannt (aus anderen Fällen) - kann mehrere Ursachen haben: Hardwarefehler, fehlerhafter Kerneltreiber, und, und, und.

Also Neustart - System läuft hoch (Scandisk abgebrochen). Die bearbeitete Festplatte wird nun richtig in der Datenträgerverwaltung angezeigt (hab ich erwähnt, dass die zur Reparatur als 2. Platte an meinem W2K-System hängt?).
Beim Zugriffsversuch über den Explorer kommt jedoch die Fehlermeldung "Auf Laufwerk XX kann nicht zugegriffen werden. Die Datei oder das Verzeichnis ist beschädigt und nicht lesbar" - klingt nicht so gut.

Der Versuch mit GetDataBack erzeugt einen Bluescreen (wie oben) - Neustart.
Wollte gerade einen Post dazu schreiben -> Bluescreen - Neustart.
Hab dann die Platte mal aus dem Wechselrahmen genommen - läuft schon lange und ist entsprechend sehr warm -> 10min abkühlen lassen, neuer Versuch - Bluescreen.
Ob es vielleicht daran liegt, dass die 2. Platte 'ne aktive Bootpartition hat und als Master am Secondary IDE hängt? ... und nebenbei ein W2K-System aufgespielt ist? Werd das gleich mal testen und die Platte als Slave jumpern....

... nö, daran lag es nicht - Platte verursacht weiter Bluescreens wenn Windows - oder ein Windows-basierendes Programm - darauf zugreifen möchte.

Hat jemand eine Idee? Vielleicht sollte ich Scandisk doch mal durchlaufen lassen? So kann ich ja nicht mal ein Recovery-Tool laufen lassen.

Gruß
Max

 

[Fiona]

Erstelle mal ein Image von der Festplatte auf einer anderen Festplatte.
Die Option Image erstellen ist auch öfters in Datenrettungssoftware integriert.
Diese Kopie sollte Sektorgenau und 1 zu 1 erfolgen.
Drive Image oder Ghost und Acronis True Image sind dabei nicht hilfreich.
Teile mal mit, ob es unter GeetDataBack möglich ist ein Image zu erstellen oder du zusätzlich den DiskExplorer benötigst.
Restorer2000 Pro bietet zum Beispiel diese Option unter Drive / Create Image File.
Damit könntest du sofort ein Image auf einer anderen Festplatte erstellen und testen.
Geht auch in der Testversion.
Die Festplatte wo du das Image speicherst muß gleich groß oder größer sein als die mit dem beschädigten Dateisystem.

Viele Grüße

Fiona