Dateninkonsistenz/-korruption - Zerschossene Partitionen

#1 Hallo Allerseits.

Habe hier ein unübersichtliches, weil unregelmäßig- und immer ein wenig anders auftretendes Problem. Bevor ich meine Festplatte einschicke (Test mit Samsung Software und SiSoftSandra hat nix ergeben) würde ich gerne ausschließen, daß es sich nicht vielleicht doch um Verwurmung o.ä. handelt...
Die komplette Story würde hier den Rahmen sprengen. Der Rechner besteht fast komplett aus Neuteilen. Nach Neuaufsetzen funktioniert erst mal alles optimal .... das letzte Mal nun auch einige Wochen.

Erstes Zeichen sind zerstörte Dateien. Diese enthalten dann 0kb, während aber der vorher benötigte Speicherplatz nach wie vor belegt ist. Diese Dateileichen lassen sich auch teilweise nicht löschen. Oft ist dann nach dem nächsten Neustart finito - Rechner bootet nicht mehr, da dann auch in C: dlls kaputt sind. Neulich (nach wochenlangem fehlerfreien Betrieb) hat es gleich C: und die Partition mit den Nulldateien zerschossen... war dann ein einziger großer Bereich freier, unpartitionierter Speicher, während andere unbehelligt waren.
Weitere Facette sind Archive die sich nicht öffnen lassen, weil plötzlich "entweder defekt oder unbekanntes Format".

Deuten diese Symptome nicht vielleicht auf einen Hardwaredefekt hin. Meist treten die Fehler nach größeren Datenübertragungen (egal von welcher Quelle ... PC oder DVD) auf. Sprich, irgendwann wird der fehlerhafte Sektor betroffen ...?... oder ein Netzwerkwurm ? Die Daten sind teilweise von meinem alten Rechner, auf dem 98 läuft. Und die Malware schädigt nur 2000 und xp ... ?

Bevor ich noch weiter texte hier mal das logfile ... vielleicht sieht jemand was.

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 22:26:47, on 18.02.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\sstray.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\eMule\emule.exe
C:\Programme\foobar2000\foobar2000.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\sndvol32.exe
C:\Dokumente und Einstellungen\m\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\m\LOKALE~1\Temp\delus.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{40E7A500-936B-4F2F-90B1-4701BE0CC0F8}: NameServer = 145.253.2.11,145.253.2.75
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Danke fürs Lesen. Für einen Rat wäre ich sehr dankbar.

Grüße.

#2 Schau mal in der Ereignisanzeige nach.
"START" => "Ausfühen" => eventvwr.msc eingeben
Hier sollten sich bei Dir weitere Hinweise ergeben.
Log scheint ok.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 Hallo joschi.

Danke für die schnelle Antwort. Gleich nach dem Aufstehen schon Mail - cool.

Zitat

Ereigniskennung: 55
Quelle: ntfs
Text: Die Dateisystemstruktur auf dem Datenträger ist beschädigt und unbrauchbar. Führen Sie chkdsk auf Volume "D:" aus.

Die Überprüfung klappt nicht einwandfrei, d.h. wird abgebrochen.

Sytemchecks verlaufen positiv ... ist wohl anzunehmen, dass die Festplatte einen Treffer hat...?

#4 Also wenn chkdsk abbricht, dann sind evtl tatsächlich Sektoren defekt.
Kannst es aber auch nochmal versuchen chkdsk d: /F /R
Auch nochmal mit dem Samsung-tool prüfen. Hast Du nur einen dieser Schnell-Tests laufen lassen ? Ggf. umfangreichen Test durchführen.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#5 danke dir ... komme zu keinem ergebnis. es scheint ein größeres technisches problem zu sein. der rechner fährt neuerdings runter bei cpu auslastung von 100%, z.b. wenn ich .wav konvertiere ... das sieht alles nicht gut aus.
ich check da keinen zusammenhang ... warum dieser eine sektor der hdd instbil ist, während auf den anderen partitionen alles soweit stimmt (oder auch nicht) ... vor allem o.g. problem ist mir ein rätsel ... arbeitsspeicher kaputt? ... cpu kaputt? ... hdd kaputt? ... leidige sache.
habe jetzt einige arbeit vor mir ... *nerv*

cu.

#6 O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\m\LOKALE~1\Temp\delus.exe


Fixen....ist ein Virus.

Gruß Jörg

#7 Da war wieder einer schneller als ich! Aber Jörg hat recht ist einer!

Falls du nochmal Probleme hast

www.hijackthis.de

kann dir sehr gut weiterhelfen! Kann man als 1. Analyse verwenden, dann einfach die Unbekannten Dateien googeln

Mit freundlichen Grüßen

AgentBlue
__________
IN MIR BRENNT DIE RACHE!!! Es ist mehr Holz erforderlich....

#8

Zitat

O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\m\LOKALE~1\Temp\delus.exe

ich glaube, das ist ein eintrag von AntiVir PE ... das war auch anfangs mal drauf.

übers system läßt sich grade wenig sagen ... habe es neu drüberinstalliert, um die programme nicht zu verlieren. ist also murks. wenn mal alles gebackupt ist, werde ich den kram neuzusammenbauen ... neues netzteil werde ich kaufen - es hat mir nämlich die sicherung rausgehauen, als der pc am netz war - om bios werden allerdings keine abweichenden werte angegeben.
und dann mal weitersehen ... kann mir vorstellen, dass die datenkorruption durch schlechte stromversorgung zustandekam ... hoffe, dass nichts gröber dadurch beschädigt ist.

danke euch.

#9 Es spricht manches dafür, aber muss nicht sein, dass es ein Backdoor ist, was natürlich ein zusätzliches, aber vermutlich nicht das Ursächliche ist in Hinsicht auf defekte Sektoren deiner Platte.
Hier die Datei malprüfen ! (sofern nach "drüber-"Installation noch vorhanden)
http://virusscan.jotti.org/
http://www.kaspersky.com/remoteviruschk.html

Was die Platte/Partition anbetrifft, nochmals chkdsk ausführen.
__________
Durchsuchen --> Aussuchen --> Untersuchen