Trojaner-Board - Windows 10: Diskpart zeigt 4 Partionen, Systeminfo und Geräteverwaltung zeigen nur 3

Trojaner-Board (https://www.trojaner-board.de/)

- Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)

- - Windows 10: Diskpart zeigt 4 Partionen, Systeminfo und Geräteverwaltung zeigen nur 3 - Wer kennt den Grund? (https://www.trojaner-board.de/199820-windows-10-diskpart-zeigt-4-partionen-systeminfo-geraeteverwaltung-zeigen-nur-3-kennt-grund.html)

Windows 10: Diskpart zeigt 4 Partionen, Systeminfo und Geräteverwaltung zeigen nur 3 - Wer kennt den Grund?

Hallo und Moin, liebe IT-Gurus .und hilfsbereite Geister!

Wie aus meinem Nick hervorgeht, bin ich selber nicht ganz blöd, was das Thema angeht, aber alleine komme ich mit diesem Rechner nicht mehr weiter.
Denn normalerweise sollten die Informationen von DISKPART und Systeminfo und Datenträgerwerwaltung konsistent sein.

Es geht um meinen im März 2020 gekauften Medion-Akoya. Einen konkreten Virenfund gab es bisher noch nicht, aber reichlich Merkwürdigkeiten, die mich stutzig machten, ob ich evtl. einen gut getarnten Rootkit in sehr frühem Boot-Stadium eingefangen habe.
Der Rechner war schon zweimal bei Medion mit der Bitte, ihn auf Auslieferungszustand zurückzusetzen (incl. UEFI/BIOS) - was leider nicht geschah. Lediglich Windows wurde neu installiert, ein Testkonto eingerichtet und der Rechner ohne Befund wieder zurückgeschickt.
Gestern fiel mir in der Datenträgerverwaltung die fehlende Partition auf, bzw. die Diskrepanz zu DISKPART.

Habe heute von einer LINUX Live CD die Platte neu formatiert und anschließend Windows neu installiert (ohne Netzanbindung). Als Datenträger diente die unter Linux auf einem anderen Rechner von Microsoft am 17.8.20 heruntergeladene ISO-Datei "Win10_2004_German_x64.iso" mit einer Dateigröße von 5.165.196 Byte (SHA256 überprüft und mit brasero auf double-layer DVD gebrannt). (Adresse: https://www.microsoft.com/de-de/software-download/windows10ISO).
Auffallend bei der Installation war die mit ca. 2 Minuten ungewöhnlich lange Zeit vom Start der DVD bis zum ersten Fenster mit der Auswahl und das davor kurz aufpoppende DOS-Fenster, welche m.E. hier eigentlich nicht hingehört.
Nach erfolgter Installation (wg. digitaler Lizenz auf dem Gerät erfolgreich) habe ich als erstes als Admin die Datenträgerveraltung geöffnet - und wieder nur 3 Partitionen gesehen. Die 16 MB große Partition2 Microsoft Reserved wurde nicht angezeigt und auch in der ausführlichen Systeminfo nicht.
MIt DISKPART in der Eingabeaufforderung werden alle 4 Partitionen korrekt angezeigt.

Ist das noch normal oder bin ich paranoid?
Außerdem gefallen mir einige Hinweise in der Übersicht der Systeminformation bzgl. Hardware-Sicherheit gar nicht. (" Fehler bei der Schnittstelle für Hardwaresicherheitstests.", "Unzulässige DMA-fähige Busse/Geräte erkannt")

Wenn mir jemand dafür einen plausiblen Grund nennen könnte, warum sich DISKPART und Systeminformation widersprechen, oder sich mit mir zusammen auf die Suche macht, wäre ich schon froh.

Im Netz habe ich zu diesem speziellen Fall einer nicht angezeigten Partition keinerlei Hinweise gefunden.
Diverse Scanner (vor der Neuinstallation) haben keine Bedrohung gefunden. Ich denke, dass auch nach der Neu-Installation nicht mehr dabei herauskommt. (ESET Sysrecue CD, Kaspersky Rescue Drive, Microsoft Defender offline scan und auch TDSSKiller. Übrigens: GData Boot CD mag der Rechner gar nicht booten - geht nur auf anderen Rechnern!?)

Hier meine Terminalanzeige vom Linux-Rechner, auf dem die DVD erstellt wurde (übrigens: die Medion-Treiber drv_e1530x_w10.exe habe ich nach der Neu-Installation noch nicht wieder eingespielt.):

Code:

papa@sony-vaio:~/Downloads$ dir -ls

insgesamt 13220336

 332424 -rw-rw-r-- 1 papa papa  340395499 Aug 17 17:42 drv_e1530x_w10.exe

 661508 -rw-rw-r-- 1 papa papa  677380096 Aug 20 18:06 eset_sysrescue_live_enu.iso

 675204 -rw-rw-r-- 1 papa papa  691404800 Aug 25 14:45 GDATA_BootCD.iso

 610404 -rw-rw-r-- 1 papa papa  625047552 Aug 25 13:24 krd(1).iso

 610404 -rw-rw-r-- 1 papa papa  625047552 Aug 25 13:10 krd.iso

5165196 -rw------- 1 papa papa 5289156608 Jul  9 16:43 Win10_2004_German_x64-1.iso

5165196 -rw-rw-r-- 1 papa papa 5289156608 Aug 17 12:01 Win10_2004_German_x64.iso

papa@sony-vaio:~/Downloads$ sha256sum Win10_2004_German_x64.iso

17c710909a722392a32b3a4364471838588c2f408b4b6dbcdce990f0547f1074  Win10_2004_German_x64.iso

papa@sony-vaio:~/Downloads$ sha256sum Win10_2004_German_x64-1.iso

17c710909a722392a32b3a4364471838588c2f408b4b6dbcdce990f0547f1074  Win10_2004_German_x64-1.iso

Hier ist die Anzeige von DISKPART mit den 4 Partitionen:

Code:

Microsoft Windows [Version 10.0.19041.264]

(c) 2020 Microsoft Corporation. Alle Rechte vorbehalten.
 

C:\Windows\system32>diskpart
 

Microsoft DiskPart-Version 10.0.19041.1
 

Copyright (C) Microsoft Corporation.

Auf Computer: DESKTOP-99PD6PA
 

DISKPART> select disk 0
 

Datenträger 0 ist jetzt der gewählte Datenträger.
 

DISKPART> list partition
 

  Partition ###  Typ               Größe    Offset

  -------------  ----------------  -------  -------

  Partition 1    System             100 MB  1024 KB

  Partition 2    Reserviert          16 MB   101 MB

  Partition 3    Primär             476 GB   117 MB

  Partition 4    Wiederherstellun   521 MB   476 GB
 

DISKPART>

Und hier der Abschnitt aus der Systeminformation/Datenträger mit nur noch 3 Partitionen:

Code:

Systeminformationsbericht erstellt am: 08/28/20 10:20:43

Systemname: DESKTOP-99PD6PA

[Datenträger]
 

Element        Wert        

Beschreibung        Laufwerk        

Hersteller        (Standardlaufwerke)        

Modell        S11-512G-PHISON-SSD-B27        

Bytes pro Sektor        512        

Geladene Medien        Ja        

Medientyp        Festplatte        

Partitionen        3        

SCSI-Bus        1        

SCSI-LUN        0        

SCSI-Anschluss        0        

SCSI-Zielkennung        0        

Sektoren pro Spur        63        

Größe        476,94 GB (512.105.932.800 Bytes)        

Zylinder insgesamt        62.260        

Sektoren insgesamt        1.000.206.900        

Spuren insgesamt        15.876.300        

Spuren pro Zylinder        255        

Partition        Datenträgernr. 0, Partitionsnr. 0        

Partitionsgröße        100,00 MB (104.857.600 Bytes)        

Partitionstartoffset        1.048.576 Bytes        

Partition        Datenträgernr. 0, Partitionsnr. 1        

Partitionsgröße        476,32 GB (511.439.531.008 Bytes)        

Partitionstartoffset        122.683.392 Bytes        

Partition        Datenträgernr. 0, Partitionsnr. 2        

Partitionsgröße        521,00 MB (546.308.096 Bytes)        

Partitionstartoffset        511.562.481.664 Bytes

Und hier die Übersicht der Systeminfo:

Code:

Systeminformationsbericht erstellt am: 08/28/20 10:24:56

Systemname: DESKTOP-99PD6PA

[Systemübersicht]
 

Element        Wert        

Betriebsystemname        Microsoft Windows 10 Home        

Version        10.0.19041 Build 19041        

Weitere Betriebsystembeschreibung         Nicht verfügbar        

Betriebsystemhersteller        Microsoft Corporation        

Systemname        DESKTOP-99PD6PA        

Systemhersteller        MEDION        

Systemmodell        E15302        

Systemtyp        x64-basierter PC        

System-SKU        ML-230008 30028474        

Prozessor        AMD Ryzen 5 3500U with Radeon Vega Mobile Gfx, 2100 MHz, 4 Kern(e), 8 logische(r) Prozessor(en)        

BIOS-Version/-Datum        American Megatrends Inc. AP618_MED_V0.13.1_M00P1T0G0, 19.12.2019        

SMBIOS-Version        3.2        

Version des eingebetteten Controllers        0.00        

BIOS-Modus        UEFI        

BaseBoard-Hersteller        MEDION        

BaseBoard-Produkt        NS15AP        

BaseBoard-Version        Default string        

Plattformrolle        Mobil        

Sicherer Startzustand        Ein        

PCR7-Konfiguration        Bindung möglich        

Windows-Verzeichnis        C:\Windows        

Systemverzeichnis        C:\Windows\system32        

Startgerät        \Device\HarddiskVolume1        

Gebietsschema        Deutschland        

Hardwareabstraktionsebene        Version = "10.0.19041.1"        

Benutzername        DESKTOP-99PD6PA\papa        

Zeitzone        Mitteleuropäische Sommerzeit        

Installierter physischer Speicher (RAM)        8,00 GB        

Gesamter physischer Speicher        6,95 GB        

Verfügbarer physischer Speicher        5,21 GB        

Gesamter virtueller Speicher        8,70 GB        

Verfügbarer virtueller Speicher        7,04 GB        

Größe der Auslagerungsdatei        1,75 GB        

Auslagerungsdatei        C:\pagefile.sys        

Kernel-DMA-Schutz        Aus        

Virtualisierungsbasierte Sicherheit        Nicht aktiviert        

Unterstützung der Geräteverschlüsselung        Ursachen dafür, dass die automatische Geräteverschlüsselung nicht erfolgreich war: Fehler bei der Schnittstelle für Hardwaresicherheitstests. Das Gerät unterstützt kein Modern-Standby., Unzulässige DMA-fähige Busse/Geräte erkannt        

Hyper-V - VM-Monitormoduserweiterungen        Ja        

Hyper-V - SLAT-Erweiterungen (Second Level Address Translation)        Ja        

Hyper-V - Virtualisierung in Firmware aktiviert        Ja        

Hyper-V - Datenausführungsverhinderung        Ja

Ich werde den Rechner für die nächsten Tage zwecks Untersuchungen etc. mal nicht mehr anfassen. Zum Glück habe ich noch ein anderes Gerät (ein Lenovo NB), das ich mir zur Überbrückung der Reparaturzeit angeschafft hatte. Damit kann ich erstmal leben und habe Zugriff auf Mails und Internet. Ein Smartphone besitze ich nicht (Rentner!).

Ich würde mich freuen, wenn jemand sich dieses Themas annehmen könnte und hier kompetenten Rat und Hilfe geben kann. Ich werde sehr gerne kooperieren und habe als Rentner jetzt auch reichlich Zeit dafür. Was immer irgendwie sinnvoll und möglich ist, werde ich als Info zur Verfügung stellen.
Mit freundlichen Grüßen.
Peter (ITRentner)

Zitat:

Denn normalerweise sollten die Informationen von DISKPART und Systeminfo und Datenträgerwerwaltung konsistent sein.

Nein, isses aber nicht. Die Datenträgerwaltung zeigt nicht alle Partitionen. Damit kannst du alle anderen Befürchtungen auch sogleich beerdigen.

Zitat:

Zitat von ITRentner (Beitrag 1739821)

Hier meine Terminalanzeige vom Linux-Rechner

Boote mal ein aktuelles "Linux" als Live-System vom USB-Stick. Dann:

Code:

sudo parted -l >> partitions.txt

sudo fdisk -l >> partitions.txt

sudo blkid >> partitions.txt

Am besten dazu mit dem Live-System online gehen, Copy & Paste ins Terminal, je Zeile einzeln, dann jeweils Enter. Letztlich den Inhalt der partitions.txt aus dem Home-Verzeichnis des Live-Systems hier in Code-Tags posten.

Markus, das kann er machen, aber die Frage dass die Datenträgerverwaltung weniger Partitionen anzeigt als diskpart oder ein fdisk/gdisk in Linux kann ich bejahen. Warum Microsoft das macht weiß ich nicht.

Fakt ist auch, dass man diese 16 MiB RAW-Partition nicht benötigt. Ich hab schon sehr viele Maschinen mit Windows 10 im UEFI-Style geklont, als Quelldateien hab ich immer Images der ersten, zweiten und vierten Partition (vierte Partition=C) benötigt. Die dritte, also die 16 MiB RAW muss man nicht klonen, sie muss nur als Struktur in der Partitionstabelle vorhanden sein. Das erledigt aber drivesnapshot automatisch.

Hallo Markus,
habe das Medion-NB mit Linux Mint 19.2 von Installations-CD als Live-System gebooted
und im Terminal die Kommandos ausgefuehrt.

Hier ist die Ausgaben in partitions.txt

Code:

Model: ATA S11-512G-PHISON- (scsi)

Disk /dev/sda: 512GB

Sector size (logical/physical): 512B/512B

Partition Table: gpt

Disk Flags: 
 

Number  Start   End    Size    File system  Name                          Flags

 1      1049kB  106MB  105MB   fat32        EFI system partition          boot, esp

 2      106MB   123MB  16.8MB               Microsoft reserved partition  msftres

 3      123MB   512GB  511GB   ntfs         Basic data partition          msftdata

 4      512GB   512GB  546MB   ntfs                                       hidden, diag
 
 
 

                                                                          

Model: HL-DT-ST DVDRAM GTB0N (scsi)

Disk /dev/sr0: 2009MB

Sector size (logical/physical): 2048B/2048B

Partition Table: mac

Disk Flags: 
 

Number  Start  End     Size    File system  Name   Flags

 1      2048B  6143B   4096B                Apple

 2      334kB  2726kB  2392kB               EFI
 
 

Disk /dev/loop0: 1.8 GiB, 1925435392 bytes, 3760616 sectors

Units: sectors of 1 * 512 = 512 bytes

Sector size (logical/physical): 512 bytes / 512 bytes

I/O size (minimum/optimal): 512 bytes / 512 bytes
 
 

Disk /dev/sda: 477 GiB, 512110190592 bytes, 1000215216 sectors

Units: sectors of 1 * 512 = 512 bytes

Sector size (logical/physical): 512 bytes / 512 bytes

I/O size (minimum/optimal): 512 bytes / 512 bytes

Disklabel type: gpt

Disk identifier: EA2F96E0-A2E1-4A8F-844C-532E69A37331
 

Device         Start        End   Sectors   Size Type

/dev/sda1       2048     206847    204800   100M EFI System

/dev/sda2     206848     239615     32768    16M Microsoft reserved

/dev/sda3     239616  999144949 998905334 476.3G Microsoft basic data

/dev/sda4  999145472 1000212479   1067008   521M Windows recovery environment

/dev/sda1: UUID="98EF-34D9" TYPE="vfat" PARTLABEL="EFI system partition" PARTUUID="976e1e79-550e-4957-b6eb-7f44b5b378bf"

/dev/sda3: UUID="F6B6F02CB6EFEB57" TYPE="ntfs" PARTLABEL="Basic data partition" PARTUUID="9ecdd6de-6a97-43b5-8b20-dd445e2a3598"

/dev/sda4: UUID="BCB886A9B88661AE" TYPE="ntfs" PARTUUID="993e2c77-307b-4da3-a98f-fadd5a3c05d5"

/dev/sr0: UUID="2019-07-29-11-16-28-00" LABEL="Linux Mint 19.2 Cinnamon 64-bit" TYPE="iso9660" PTUUID="65dbb3bc" PTTYPE="dos"

/dev/loop0: TYPE="squashfs"

/dev/sda2: PARTLABEL="Microsoft reserved partition" PARTUUID="1da55d0e-0575-4ee1-bb5c-318cdd8f3db2"

Auf dem neuen Rechner im Auslieferungszustand im Maerz wurde von der Datentraegerverwaltung uebrigens die korrekte Anzahl Partitions incl. der MS Reserved angezeigt.

Woher cosinus seine Information hat, ist unklar. Ich kann das ja mal in der MS community klaeren.
Sorry wg. der Umlaute - ich schreibe mit US keyb layout.

Jetzt war der Rechner allerdings ungeschuetzt im Netz - und schon beim Klick auf ANTWORTEN hier habe ich den ersten Werbefilm ueber mich ergehen lassen muessen...
Wenn ich nochmal formatieren und offline NEUINSTALLIEREN soll, bitte nur Bescheid geben.

Danke fuer Dein Interesse und Hilfsbereitschaft.
Ich bleibe noch ne Weile online...

Das naechste Mal werde ich von meinem Linux Rechner schreiben und vorher die Files kopieren...

In der Microsoft Community hat jemand mal nach Screenshots gefragt.
Ob und wie das hier funktioniert, ist mir (noch) nicht klar.
Deshalb erlaube ich mir mal den Link dahin:
https://answers.microsoft.com/de-de/windows/forum/all/windows-10-datentr%c3%a4gerverwaltung-zeigt-nicht/faa4bdbd-0fcd-4e00-8fdf-2b27dd6d5436

Ein Bild sagt mehr als tausend Worte! (hier sollte jetzt der smiley rein, aber das klappt bei mir nicht..., der landet beim Titel ?)

Zitat:

Woher cosinus seine Information hat, ist unklar. Ich kann das ja mal in der MS community klaeren.

Ja voll unklar :stirn:
Meinst du ich hab mir diesen Mist ausgedacht und kann selbst keine Beobachtungen machen?

Hallo Markus, hallo cosinus!

Die MSR Partition ist mir schon lange bekannt. Nur dass sie in der Datenträgerverwaltung tatsächlich nicht auftaucht, war mir neu. Muss wohl tatsächlich ein anderes Tool gewesen sein, wo ich das früher mal grafisch gesehen habe. Errare humanum est! Sorry!

Danke, cosinus, dass Du mich beruhigen willst, aber Deiner Logik kann ich nicht ganz folgen:

Zitat:

Die Datenträgerwaltung zeigt nicht alle Partitionen. Damit kannst du alle anderen Befürchtungen auch sogleich beerdigen.

Es existieren leider noch weitere Indizien, die hier zu prüfen sind, bevor ich die Angelegenheit beruhigt ad acta legen kann.

Inzwischen habe ich mittels Kamera-Aufnahmen den Titel des erwähnten Command-Prompt-Fenters, welches ca. 2 Minuten Start der Installations-DVD und kurz vor dem ersten Auswahl-Fenster erscheint, ermittelt:
Titel "winpeshl.exe"

Lieber cosinus oder wer sonst noch Expertise hat: Mögt oder könnt Iht dazu schon was sagen? Ist dieses Fenster an dieser Stelle normal oder nicht? Falls nein: Was wird hier in bzw. mittels Windows PE eingebunden und zu welchem Zweck?

Liegt es an meinem Rechner oder erscheint dieses Fenster bei jeder Neuinstallation auf allen PCs?
Ist mein Datenträger sauber und 100%ig authentisch?

Ich versuche selber zu recherchieren und mich schlau zu machen und dazu auch Infos in der MS community zu erhalten. Voir allem interessiert mich, was die zwei Minuten davor passiert.

Danke an Markus für seine Hilfe und auch an Dich, cosinus - ich wollte Dir mit meiner Einschätzung nicht zu nahe treten. Sorry, Du hast recht!

Im Zusammenhang mit winpeshl.exe habe ich übrigens auf meinem Ersatz-NB (Lenovo) einige beunruhigende Funde gemacht - das würde aber jetzt und an dieser Stelle zu weit führen.
Eventuell folgt zu gegebener Zeit mit weiteren Infos ein neuer Thread.

Könntest du auch mal meine Beiträge komplett lesen und den Sinn entnehmen?
Dass die Datenträgerverwaltung nicht alle Partitionen zeigt, ist eine korrekte Feststellung. Was soll das zu schreiben, das sei meine Logik? Das musst du Microsoft vorwerfen, nicht mir!