Сегодня утром сел за компьютер (Win 7), и через некоторое время из трея всплыло сообщение "Certificate is added to the certificate store", а на десктопе появилось предложение добавить сертификат на токен. Никаких конкретных сведений по сертификату не показало. Навел курсор на значок в трее — всплыло "Encrypting file system". Спросонья не догадался посмотреть, какой процесс показывает диалог на десктопе — просто закрыл его.

Посмотрел основные системные логи (System, Setup, Security) — там на эту тему ничего.

За десять лет работы под семеркой такое вижу впервые. Всегда обновлял системные сертификаты руками. Шифрованием ФС не пользуюсь. Что это за хрень такая, почему ей приспичило добыть новый сертификат именно сегодня, и как его опознать? Я ж не помню, какие сертификаты были в хранилищах до этого момента.

Здравствуйте, Евгений Музыченко, Вы писали:

Как вариант, кто-то выполнил certutil -installCert.

В журналах запись должна быть, ищи. Возможно в каком-то специализированном журнале.

Здравствуйте, wildwind, Вы писали:

W>Как вариант, кто-то выполнил certutil -installCert.

Вопрос — кто и зачем. Я нашел этот сертификат — установлен аж в трех местах (системный и пользовательский Trusted People и пользовательский Personal). В Issued By и Issued To — мой логин. Выпущен сегодня утром непосредстванно перед установкой, действителен до 12.03.2121. В Intended Purposes — Encrypting File System. На другие сертификаты не ссылается.

W>В журналах запись должна быть, ищи. Возможно в каком-то специализированном журнале.

Обшарил все, что нашел — нигде нету.

Здравствуйте, Евгений Музыченко, Вы писали:

ЕМ>Вопрос — кто и зачем. Я нашел этот сертификат — установлен аж в трех местах (системный и пользовательский Trusted People и пользовательский Personal). В Issued By и Issued To — мой логин. Выпущен сегодня утром непосредстванно перед установкой, действителен до 12.03.2121. В Intended Purposes — Encrypting File System. На другие сертификаты не ссылается.

Тогда вероятно, это было cipher /k.

>Шифрованием ФС не пользуюсь.

Уверен? Может, шифровальщика словил? Это конечно какой-то детский метод для шифровальщика, но кто знает..

На всякий случай cipher /u /n.

Здравствуйте, wildwind, Вы писали:

W>Тогда вероятно, это было cipher /k.

Похоже на то — при выполнении из-под ограниченного юзера происходят те же самые события (при выполнении из-под администратора поведение выглядит немного по-другому, и создается сертификат с именем админской учетки). А вот от кого и зачем оно было?

>>Шифрованием ФС не пользуюсь.

W>Уверен?

Никогда его не включал. В Encrypt Offline Files отображается "No files are encrypted".

W>Может, шифровальщика словил?

Прогнал сканер, проверил хэши всех загруженных модулей на VirusTotal — все чисто.

Зато обнаружил установленный драйвер MDA_NTDRV, который вроде как относится IM-Magic Partition Resizer. Может, я эту хрень когда-то и ставил, но очень давно. От нее же нашел обломки — ndm-fre.exe, vssMgr.exe и suite.vssMgr.exe. Но они все относятся к "условно-вредоносным", явно никто их таковыми не считает.

W>На всякий случай cipher /u /n.

Ничего не выдает.

Поудалял все эти сертификаты нах.