Кто-то блокировал мои файлы!

nightfall · 18.03.2006, 03:37

Срочно нужна помощь. Какая-то зараза, простите, блокировала с полсотни моих файлов, включая почту, документы Word и PDF, и тд. Невозмржность доступа к последним использованным файлам наводит на определённые размышления, но самостоятельно с этим я разобраться не могу. Снос AVP и отключение других резидентов ничего не дали. Самое интересное, что файлы можно перемещать в пределах диска, можно удалить и создать заново, но нельзя открыть или переименовать, равно как и скопировать куда-либо. Диск - NTFS с шифрованием, компьютер к сети не подключен. Это очень важно.
Система - Windows 2000 Server с SP3.

NaimaD · 18.03.2006, 04:26

Давно на вирусы проверялся?

Невозможность открытия файлов в чём выражается? "Access denied" или "File not found" или что?

ill · 18.03.2006, 10:59

Похоже на дейтсвие вируса...

nightfall · 18.03.2006, 13:02

Полная антивирусная проверка была вчера (длилась 8 часов), так что это почти исключено. Всё закрыто - файрволы, вирусный монитор (был). Собщение - "access denied", и лично я грешу на сломанную EFS (интересно, там есть встроенная проверка CRC после декриптования?) Причём часть програм пишет - "Нет доступа. Файл заблокирован". В общем, вопрос тут уже скорее не в том, кто виноват - в этом отношении я уже почти отчаялась что-либо исправить, - а в том, что делать. Скажем, поможет ли зеркалирование (RAID1) избежать проблем с порчей системных таблицы на одном диске, или это только годится для чисто аппапаратных сбоев вроде сгоревшей платы у винта?

NaimaD · 18.03.2006, 18:06

Цитата (nightfall) »

Собщение - "access denied", и лично я грешу на сломанную EFS

Посмотри в настройках Security свойств файлов:
1. Настройки доступа
2. Владельцев файлов (под кнопкой Advanced -> Owned).

Вообще, самое страшное, что могло произойти - это если из персонального контейнера сертификатов шифрования удалился (сам или с чьей-нить помощью) сам сертификат администратора. Винда после этого автоматом создаёт новый сертификат. В таком случае поможет только взлом EFS (что-нить типа "NTFS file recovery").

Кстати, посмотри на дату создания сертификата администратора. Если дата приблизительно совпадает с датой начала глюков, значит дело в сертификате.

Цитата (nightfall) »

Скажем, поможет ли зеркалирование (RAID1) избежать проблем с порчей системных таблицы на одном диске, или это только годится для чисто аппапаратных сбоев вроде сгоревшей платы у винта?

Это не похоже на порчу системных таблиц. Ошибка более логическая.

nightfall · 18.03.2006, 23:34

Владелец по-прежнему я. Вообще сертификат должен быть на месте, так как остальные-то файлы читаются; или я чего-то не догоняю?
Дешифровщик EFS от ElcomSoft отказался работать с проблемными файлами, сославшись на "невозможность декриптования"; в то же время вкладка "EFS related" показывает кучу бесхозных FKS. И я думаю, уж не открепились ли файловые ключи от своих хозяев, и есть ли какая возможность приделать их обратно?

NVR · 19.03.2006, 17:57

Например, файл может лочиться каким-то сервисом системным. Есть куча бесплатных утилит по просмотру владельца залоченого процесса... unlocker для отмыкания... и т.п. Возможны проблемы с файловой системой или с диском. Перезагрузка возможна с проверкой несущего диска и авто-починкой? Если криптованый файл (зеленого цвета в explorer by default) и вы умудрились перебить сертефикат, вас спасет advanced efs recovery.

nightfall · 19.03.2006, 22:37

Цитата

вас спасет advanced efs recovery

... указанная ровно одним сообщением выше. Не спасёт, поверьте. Эта программулина, как выяснилось, не делает ничего такого, что нельзя было бы выполнить вручную со средними администраторскими навыками. Нужен какой-то ручной редактор с возможностью редактирования атрибутов в NTFS. Проблем с диском нет (уточню - уже нет). Починка, перезагрузка - да, да, да. Зелёный - это, извините, в XP, а у меня на компьютере стоит Win2K Server, как уже упоминалось ранее.

Stroom · 20.03.2006, 00:03

Цитата (nightfall) »

access denied

Цитата (nightfall) »

Причём часть програм пишет - "Нет доступа. Файл заблокирован"

Не уверен, что поможет, но может стоит попробовать. Качни утилитку с сайта sysinternals.com - regmon.exe. Позволяет контролировать обращения к реестру (причем фильтровать по его разделам). При выполнении действий, приводящих к проблемной ситуации, надо запустить regmon.exe, так можно отследить все обращения к разделам реестра. (например, если проблема связана с политиками, то можно выявить параметр политики, порождающий данную проблему ну и т.п.). Всего 175 кб. Удачи

NaimaD · 20.03.2006, 13:26

Я немного запутался: файлы вообще не открываются, или не открываются файлы, которые были зашифрованы?

Насчёт отрыва ключей от владельцев - то это возможно только при удалении сертификата. Посмотри на даты валидности сертификата. Первая дата и есть дата выдачи оного.

nbzh · 20.03.2006, 13:56

Цитата

компьютер к сети не подключен

... а откуда почта берется...

nightfall · 20.03.2006, 18:31

Цитата

Я немного запутался: файлы вообще не открываются, или не открываются файлы, которые были зашифрованы?

Уточняю: не открывается ЧАСТЬ зашиврованных мною файлов.

Цитата

... а откуда почта берется...

Через диалап. Версию с "вирусами" прошу повторно не предлагать.

Цитата

Насчёт отрыва ключей от владельцев - то это возможно только при удалении сертификата. Посмотри на даты валидности сертификата. Первая дата и есть дата выдачи оного.

Да, но остальные-то файлы с EFS'ом читаются! Если сломан сертификат, то не читаться, я так понимаю, будут вообще все зашифрованные данные. Да, кстати, никаких аномалий за прошедшее время в аудите не обнуражено. В течение последнего полугода сертификаты никто не трогал.

NaimaD · 21.03.2006, 00:34

Очень странно.... :/

Вообще, по идее, такие ошибки должен лечить СКАНДИСК....

А к чему приводит снятие галки "Encrypt" в свойствах файла?

nightfall · 21.03.2006, 02:08

Ни к чему. Файл остаётся недоступен. В AEFSDR такие файлы показываются красным, как "cannot be decrypted". Почему - не объясняется.

18.03.2006, 03:37	Вверх #1
nightfall Новенький Автор темы Регистрация: 18.03.2006	Кто-то блокировал мои файлы! Срочно нужна помощь. Какая-то зараза, простите, блокировала с полсотни моих файлов, включая почту, документы Word и PDF, и тд. Невозмржность доступа к последним использованным файлам наводит на определённые размышления, но самостоятельно с этим я разобраться не могу. Снос AVP и отключение других резидентов ничего не дали. Самое интересное, что файлы можно перемещать в пределах диска, можно удалить и создать заново, но нельзя открыть или переименовать, равно как и скопировать куда-либо. Диск - NTFS с шифрованием, компьютер к сети не подключен. Это очень важно. Система - Windows 2000 Server с SP3. Последний раз редактировалось nightfall; 18.03.2006 в 03:41.

18.03.2006, 10:59	Вверх #3
ill Общительный Регистрация: 23.04.2003 Адрес: Ростов-на-Дону	Похоже на дейтсвие вируса... __________________ Вот такие пироги...

18.03.2006, 04:26	Вверх #2
NaimaD Опытный Регистрация: 22.10.2003 Адрес: Москва	Давно на вирусы проверялся? Невозможность открытия файлов в чём выражается? "Access denied" или "File not found" или что?

18.03.2006, 13:02	Вверх #4
nightfall Новенький Автор темы Регистрация: 18.03.2006	Полная антивирусная проверка была вчера (длилась 8 часов), так что это почти исключено. Всё закрыто - файрволы, вирусный монитор (был). Собщение - "access denied", и лично я грешу на сломанную EFS (интересно, там есть встроенная проверка CRC после декриптования?) Причём часть програм пишет - "Нет доступа. Файл заблокирован". В общем, вопрос тут уже скорее не в том, кто виноват - в этом отношении я уже почти отчаялась что-либо исправить, - а в том, что делать. Скажем, поможет ли зеркалирование (RAID1) избежать проблем с порчей системных таблицы на одном диске, или это только годится для чисто аппапаратных сбоев вроде сгоревшей платы у винта?

18.03.2006, 18:06	Вверх #5
NaimaD Опытный Регистрация: 22.10.2003 Адрес: Москва	Цитата (nightfall) » Собщение - "access denied", и лично я грешу на сломанную EFS Посмотри в настройках Security свойств файлов: 1. Настройки доступа 2. Владельцев файлов (под кнопкой Advanced -> Owned). Вообще, самое страшное, что могло произойти - это если из персонального контейнера сертификатов шифрования удалился (сам или с чьей-нить помощью) сам сертификат администратора. Винда после этого автоматом создаёт новый сертификат. В таком случае поможет только взлом EFS (что-нить типа "NTFS file recovery"). Кстати, посмотри на дату создания сертификата администратора. Если дата приблизительно совпадает с датой начала глюков, значит дело в сертификате. Цитата (nightfall) » Скажем, поможет ли зеркалирование (RAID1) избежать проблем с порчей системных таблицы на одном диске, или это только годится для чисто аппапаратных сбоев вроде сгоревшей платы у винта? Это не похоже на порчу системных таблиц. Ошибка более логическая.

18.03.2006, 23:34	Вверх #6
nightfall Новенький Автор темы Регистрация: 18.03.2006	Владелец по-прежнему я. Вообще сертификат должен быть на месте, так как остальные-то файлы читаются; или я чего-то не догоняю? Дешифровщик EFS от ElcomSoft отказался работать с проблемными файлами, сославшись на "невозможность декриптования"; в то же время вкладка "EFS related" показывает кучу бесхозных FKS. И я думаю, уж не открепились ли файловые ключи от своих хозяев, и есть ли какая возможность приделать их обратно?

19.03.2006, 17:57	Вверх #7
NVR Новенький Регистрация: 14.10.2005	Например, файл может лочиться каким-то сервисом системным. Есть куча бесплатных утилит по просмотру владельца залоченого процесса... unlocker для отмыкания... и т.п. Возможны проблемы с файловой системой или с диском. Перезагрузка возможна с проверкой несущего диска и авто-починкой? Если криптованый файл (зеленого цвета в explorer by default) и вы умудрились перебить сертефикат, вас спасет advanced efs recovery.

19.03.2006, 22:37	Вверх #8
nightfall Новенький Автор темы Регистрация: 18.03.2006	Цитата вас спасет advanced efs recovery ... указанная ровно одним сообщением выше. Не спасёт, поверьте. Эта программулина, как выяснилось, не делает ничего такого, что нельзя было бы выполнить вручную со средними администраторскими навыками. Нужен какой-то ручной редактор с возможностью редактирования атрибутов в NTFS. Проблем с диском нет (уточню - уже нет). Починка, перезагрузка - да, да, да. Зелёный - это, извините, в XP, а у меня на компьютере стоит Win2K Server, как уже упоминалось ранее.

20.03.2006, 00:03	Вверх #9
Stroom Автор 3DNews Регистрация: 30.05.2005 Адрес: Одесса	Цитата (nightfall) » access denied Цитата (nightfall) » Причём часть програм пишет - "Нет доступа. Файл заблокирован" Не уверен, что поможет, но может стоит попробовать. Качни утилитку с сайта sysinternals.com - regmon.exe. Позволяет контролировать обращения к реестру (причем фильтровать по его разделам). При выполнении действий, приводящих к проблемной ситуации, надо запустить regmon.exe, так можно отследить все обращения к разделам реестра. (например, если проблема связана с политиками, то можно выявить параметр политики, порождающий данную проблему ну и т.п.). Всего 175 кб. Удачи

20.03.2006, 13:26	Вверх #10
NaimaD Опытный Регистрация: 22.10.2003 Адрес: Москва	Я немного запутался: файлы вообще не открываются, или не открываются файлы, которые были зашифрованы? Насчёт отрыва ключей от владельцев - то это возможно только при удалении сертификата. Посмотри на даты валидности сертификата. Первая дата и есть дата выдачи оного.

20.03.2006, 13:56	Вверх #11
nbzh Продвинутый Регистрация: 27.12.2005	Цитата компьютер к сети не подключен ... а откуда почта берется...

20.03.2006, 18:31	Вверх #12
nightfall Новенький Автор темы Регистрация: 18.03.2006	Цитата Я немного запутался: файлы вообще не открываются, или не открываются файлы, которые были зашифрованы? Уточняю: не открывается ЧАСТЬ зашиврованных мною файлов. Цитата ... а откуда почта берется... Через диалап. Версию с "вирусами" прошу повторно не предлагать. Цитата Насчёт отрыва ключей от владельцев - то это возможно только при удалении сертификата. Посмотри на даты валидности сертификата. Первая дата и есть дата выдачи оного. Да, но остальные-то файлы с EFS'ом читаются! Если сломан сертификат, то не читаться, я так понимаю, будут вообще все зашифрованные данные. Да, кстати, никаких аномалий за прошедшее время в аудите не обнуражено. В течение последнего полугода сертификаты никто не трогал.

21.03.2006, 00:34	Вверх #13
NaimaD Опытный Регистрация: 22.10.2003 Адрес: Москва	Очень странно.... :/ Вообще, по идее, такие ошибки должен лечить СКАНДИСК.... А к чему приводит снятие галки "Encrypt" в свойствах файла?

21.03.2006, 02:08	Вверх #14
nightfall Новенький Автор темы Регистрация: 18.03.2006	Ни к чему. Файл остаётся недоступен. В AEFSDR такие файлы показываются красным, как "cannot be decrypted". Почему - не объясняется.