Event IP 98; Quelle NTFS

Bei einem Windows 8.1 Notebook stellte ich nach der Installation des Ad-Aware Virenscanners plötzlich diverse NTFS Fehler in der Ereignisanzeige fest und beim Booten wurde fortan kurz eine »Datenträgerüberprüfung« angezeigt. Beides ließ sich auch nach der Deinstallation des Virenscanners nicht mehr abstellen. In der Fehlermeldung in der Ereignisanzeige von Windows wurde das betroffene Laufwerk auch nur mit seiner ID angegeben:

Ereignisanzeige

Protokollname: System
Quelle:        Microsoft-Windows-Ntfs
Datum:         31.05.2014 19:25:48
Ereignis-ID:   98
Aufgabenkategorie:Keine
Ebene:         Fehler
Schlüsselwörter:(2)
Benutzer:      SYSTEM
Computer:      HAL
Beschreibung:
Volume "\\?\Volume{b3fc380a-5a97-4481-8c08-57f667a7beb6}" (\Device\HarddiskVolume1) 
muss offline geschaltet werden, um eine vollständige chkdsk-Prüfung auszuführen.
Führen Sie "CHKDSK /F" lokal über die Befehlszeile oder "REPAIR-VOLUME <Laufwerk:>"
lokal oder remote über PowerShell aus.

Zuerst hatte ich das Laufwerk C:\ in Verdacht aber sowohl ein »chkdsk« noch ein »Repair-Volume« in der Power-Shell haben das Problem behoben. Das »mountvol« Kommando ohne Angabe weiterer Parameter gibt am Ende den Namen und den Global Unique Identifier (GUID) aus:

C:\Windows\system32>mountvol
Erstellt, löscht oder listet einen Volumebereitstellungspunkt auf.

MOUNTVOL [Laufwerk:]Pfad Volumename
MOUNTVOL [Laufwerk:]Pfad /D
MOUNTVOL [Laufwerk:]Pfad /L
MOUNTVOL [Laufwerk:]Pfad /P
MOUNTVOL /R
MOUNTVOL /N
MOUNTVOL /E
MOUNTVOL Laufwerk: /S

    Pfad        Gibt das (bereits vorhandene) NTFS-Verzeichnis an, auf dem der
                Bereitstellungspunkt eingerichtet werden soll.
    Volumename  Gibt den Namen des bereitzustellenden Volumes an.
    /D          Löscht den Bereitstellungspunkt vom angegebenen Verzeichnis.
    /L          Zeigt den Namen des bereitgestellten Volumes für das
                angegebene Verzeichnis an.
    /P          Entfernt den Volumebereitstellungspunkt vom angegebenen
                Verzeichnis, entfernt die Volumebereitstellung und setzt das
                Volume nicht mehr  bereitstellbar.
                Sie können das Volume wieder bereitstellbar machen, indem Sie
                einen Volumebereitstellungspunkt erstellen
    /R          Entfernt Verzeichnisse für Volumebereitstellungspunkte und
                Registrierungseinstellungen für Volumes d. im System nicht mehr
                existieren.
    /N          Deaktiviert das automatische Bereitstellen neuer Volumes.
    /E          Aktiviert das automatische Bereitstellen neuer Volumes wieder.
    /S          Stellt die EFI-Systempartition auf dem angegebenen Laufwerk
                bereit.

Mögliche Werte für VolumeName mit aktuellen Bereitstellungspunkten:

    \\?\Volume{7aff2513-061f-4499-90ee-df76b9f898d2}\
        C:\

    \\?\Volume{b3fc380a-5a97-4481-8c08-57f667a7beb6}\
        * KEINE BEREITSTELLUNGSPUNKTE *

    \\?\Volume{c3103a08-dfba-11e3-824c-806e6f6e6963}\
        E:\

Wie man sieht hat das betroffene Laufwerk nichts mit der C:\-Partition zu tun, sondern es ist eine der beiden System- bzw. EFI-Partition welche im normalen System nicht einfach so sichtbar sind. Man kann »chkdsk« aber auch mit Angabe der Volumen ID ausführen:

C:\Windows\system32>chkdsk \\?\Volume{b3fc380a-5a97-4481-8c08-57f667a7beb6} /F /R
Der Typ des Dateisystems ist NTFS.
Die Volumebezeichnung lautet Wiederherstellung.

---snip---

Dateisystem wurde überprüft, keine Probleme festgestellt.
Keine weiteren Aktionen erforderlich.

    307199 KB Speicherplatz auf dem Datenträger insgesamt
    236924 KB in 11 Dateien
        12 KB in 15 Indizes
         0 KB in fehlerhaften Sektoren
      4263 KB vom System benutzt
      3072 KB von der Protokolldatei belegt
     66000 KB auf dem Datenträger verfügbar

      4096 Bytes in jeder Zuordnungseinheit
     76799 Zuordnungseinheiten auf dem Datenträger insgesamt
     16500 Zuordnungseinheiten auf dem Datenträger verfügbar

Danach waren dann sowohl die NTFS-Fehler, wie auch die nervige Ankündigung einer offensichtlich nie ausgeführten Datenträgerüberprüfung beim Systemstart behoben.

Verwandte Artikel:
Festplatten mit »chkdsk« überprüfen

pronto 2014/05/31 21:12