[XP] Documents en Settings verdwenen

Help!

Ooit had ik mijn hele gebruiker in de map Documents and Settings ge-encrypt met EFS (NTFS dus), maar omdat sommige installers daar tijdelijk uitpakken en dan bestanden rond het systeem slingeren die nog EFS encrypted zijn besloot ik de boel te decrypten.

Dat zou een slordige 9 uur duren, dus ik zou het voortzetten wanneer ik toch slaap. Cancel dus. En dat heb ik vaker gedaan (cancellen tijdens decrypten), en wat er dan gebeurt is dat een aantal bestanden of mappen gewoon gedecrypt zijn en de rest niet.

Maar nu, na een reboot, is ALLES WEG! Ik krijg een default profiel, maar al mijn application settings, gecachte wachtwoorden, 10 gigabyte aan school- en werk spul in Mijn Documenten, allemaal weg! Als ik dat ook maar een beetje voor ook mogelijk heb had gehouden had ik dit nooooit gedaan zonder nieuwe backups te maken!

Wat kan ik doen?

Eerst heb ik natuurlijk wat recoverytools geprobeert. Ik weet niet of ze niets vinden omdat ze EFS signaturs niet kunnen lezen of wat, maar slechte resultaten:

TestDisk-6.10-win geprobeert, vindt geen losse bestanden.
EasyRecovery Pro geprobeert, vindt niets.
Recuva geprobeert, vindt alleen de cache4 map + contents van Opera.

Ik wil eerst een dd image (via linux die ik kan dubbelbooten) maken voordat de boel verder stuk gaat en dan gewoon checkdisk ofzo.. mss krijg ik dan 1000 van die .chk bestandjes en dan heb ik er nog wat aan, maar ik denk dat chkdsk.exe van voor EFS is..

Ik heb mijn certificaten gewoon voor elkaar. Als er iets is - een manier op aarde - om EFS encrypted files (inclusief encryptie natuurlijk - ik ken domme "ik ben mijn certificat kwijt, kan ik mijn bestanden recoveren" discussies) terug te halen dan zou me dat heel veel problemen schelen!

Oeh ik heb mijn mapgrootte niet gecontroleerd, van schrik heb ik meteen mijn computer gereboot in Linux vanaf een andere schijf.

Als ik nu met ntfs-3g de schijf in linux mount, dan zie ik al mijn bestanden wel, wat natuurlijk heel cool is, maar als ik ze probeer te kopieren krijg ik foutmeldingen:

Error while copying "bestandsnaam":
Permission denied

wat natuurlijk komt door de EFS.

Ik weet werkelijk niet waarom Windows ze kwijt is en Linux ze nog ziet staan. ntfs-3g kan mijn certificaten niet gebruiken (http://www.ntfs-3g.org/support.html#compressed), maar ik durf echt niet in Windows te booten want zoals je zegt, alles staat op het punt overschreven te worden. Windows had namelijk wel een aantal mappen opnieuw aangemaakt, maar dan leeg.

[ Voor 5% gewijzigd door Sando op 28-11-2008 19:37 ]

@Guardian Angel:
Je kan ook reageren zonder sarcasme. Dat ik de boel kwijt ben geraakt maakt dit topic grappig genoeg.
Ik dacht trouwens dat systeemherstel geen documenten meenam. Anyway, systeemherstel staat uit ja.

@Noork:
Ja, zoals gezegt heb ik dat nu ook gedaan. Genoeg boot-opties. Maar de truuk is dat ik mijn bestanden terug wil.

Ik ben nu een dd image aan het maken voordat ik weer in iets microsofts ga booten. Duurt ff want de hele partitie is 100 GB. Ondertussen ga ik maar even eten halen in de supermarkt.

Normaal gesproken heb ik dat (systeemherstel) helemaal niet nodig. Ik heb een TB speciaal voor backups. Sysherstel vind ik alleen maar irritant. Heb ik met een reden uitgezet. Ik weet er alles van. Als ik dat aan had staan was ik er wel opgekomen.

Mijn grote vergissing is het vergeten mijn backupscripts te updaten geweest nadat ik Documents and Settings van de C- naar de D-schijf heb verplaatst.

Na de DD image probeer ik eerst gewoon Windows' checkdisk. Misschien is alles dan gewoon goed, maar zo niet dan kan ik de image wel in een virtuele machine mounten en ben ik erg benieuwd naar salvage mogelijkheden van pientere tweakers met meer kennis dan ik.

Ik vond het anders een gemene opmerking maar dat zal aan mij liggen. Mijn excuses voor mijn ongepaste communicatie.

De ntfs-3g driver is inmiddels erg sophisticated en weet wanneer een bestand encrypted is. Ik denk dat het gewoon de toegang weigert als nettere afhandeling dan wanneer gewoon 'junk' wordt geopend alsof er niets aan de hand is.

Het gewoon kopieren van deze junk is iets wat ik wel zou kunnen gebruiken. Als de DD klaar is zou ik nog eens kunnen proberen een oude liveCD te downloaden van linux waar een vroege versie van ntfs-3g inzit, misschien deed ie het toen wel gewoon.

[ Voor 44% gewijzigd door Sando op 28-11-2008 21:34 ]

Hij dd't steeds langzamer.. hoe moeilijk is een 1:1 copy?
Anyway to be continued.. ondertussen zoek ik naar undelete tools die signatures kunnen lezen icm een certificaat. EFS is al zo oud dat ik me kan voorstellen dat zoiets al gemaakt is.

-edit-

Voor mensen die met de search zoeken hoe ze een dd image kunnen mounten:
http://www.mountimage.com/ heeft een gratis 30 dagen versie waarmee je DD images kunt mounten. Read only dus het gaat niet kapot.

http://liveview.sourceforge.net/ (GPL - Free) kan een VMWare readable disk maken van je dd img. Maar is dan niet read-only (!).

[ Voor 42% gewijzigd door Sando op 28-11-2008 21:47 ]

Bedankt voor de links. Uiteindelijk was het allemaal niet nodig:

Ik stopte dd na 37GB en herhaalde het met bs=1G count=36 op een nieuwe file om ze daarna met split en cat te mergen. Toen ging het veeeel sneller!

Verder downloadde ik BartPE Builder, maakte een LiveCD en bootte daarmee. Ik zag dat mijn Documents and Settings zo gewoon zichtbaar waren. Ik kon ze echter niet decrypten want de LiveCD had geen certificatenmanager als optie bij de managementconsole.

Iets bracht me op het briljante idee mijn profielfolder even naar iets anders te hernoemen en alles was weer zichtbaar in de problematische XP! Daarom maakte ik een nieuwe gebruiker aan in XP en verving de nieuwe profielmap door mijn hernoemde map (via de adminaccount), maar XP bleef mijn account weigeren.
(Alle profielen weigerden trouwens het start menu van 'all users', vreemd..)

Paar dingen geprobeert nog, dus uiteindelijk besloot ik XP's Repair Install eens te proberen. Die faalde steeds met een BSOD: BAD_POOL_CALLER op precies '34 minutes left'. Vanalles geprobeert met BIOS en aangesloten/ingebouwde hardware, of no avail.

Uiteindelijk vond ik het mooi geweest en zette ik een 3 maand oude image terug. Hiermee dacht ik me een hoop werk op de hals te halen (vandaar dat ik het niet eerder deed), maar omdat mijn Docs and Settings op een andere partitie staat was dit met een junction snel opgelost. Uiteindelijk was de oplossing uitgevoerd in 15 minuten effectieve tijd, en is de achterstand van het image uiteindelijk veel sneller te overkomen dan een fractie van de tijd die ik vandaag in deze grap heb gestopt!

Ik weet, dat verhaal kon veel korter.