как узнать когда отформатировали диск D

[shershen57]

как узнать когда отформатировали диск D

проблема в сущности : какой то п..р форматнул мой диск на работе!!! но у меня есть данные, кто туда заходил и во сколько))) хочу узнать в какое время его потерли, чтобы не покалечить весь офис!)))

подскажите кто чего знает

зы данные уже восстановил!

 

[OlegSh]

какой то п..р форматнул мой диск на работе!!!

диск системный? Если не системный, то можете посмотреть системные журналы и по ним определить, кто последним логинился и какие действия совершал (это в случае, если использовали штатные средства форматирования). Если же использовали сторонний софт, то, возможно в логах будут ссылки на время запуска этого софта в разделе Приложение. Но если форматнули системный раздел, то тут однозначно использовали сторонний сотф и загружались со стороннего ресурса (либо в другой системе на этом же HDD). Тогда можно посмотреть время у файла c:\Documets and settings\имя_профиля\ntuser.dat.log

 

[Yohji]

OlegSh, http://support.microsoft.com/?id=308427

 

[OlegSh]

piton331, я про них и говорю! Только вот как их просмотреть, если форматнули системный винт? Да и как он их просмотрит, если системы уже нет!!!

 

[Yohji]

Ну ТС же говорит что форматнули диск D да ещё и в офисе, скорее всего С: по умолчанию система. Хотя чего гадать, мб ТС отпишется тогда и узнаем. Сейчас небось в поисковиках зависает да на форумах посты плодит. Или ножик точит

 

[Powwow]

Если этот "п..р" вошел в систему и оттуда форматнул, значит у него есть на то права и время можно попробовать установить. Но ведь он мог форматнуть, воспользовавшись незалоченным раб столом, когда комп остался на время без присмотра или вообще не входил в систему, а форматнул с загрузочного носителя. В последнем случае журнал событий ничего не даст.

 

[OlegSh]

форматнул с загрузочного носителя

Вот об этом я и говорил. Это-то и настораживает больше всего. Значит комп остается без присмотра, вообще ниче не защищенный! Политики безопасности вообще никакой на предприятии! Это большой минус сисадмину!

 

[shershen57]

piton331, ножи не точил, но путевку с стоматологу заказал))) по ресурсам не плодился (привык спрашивать в одном месте). отсутствие свое объясню просто: пошел уипивать))))

а теперь по теме: отформатирован не системный диск, а банальный том "D" который уже благополучно восстановлен!! Сам я немного туповат что бы разобраться в каких журналах искать злополучное время, вот и прошу указать "путь" к этому источнику нужной мне инфы!!!

зы немного пояснений: всего 8 человек имеет доступ к этой машине, поскольку работаем по сменам и график известен то надо знать только время что бы найти жертву для обряда жертвоприношения)) Да и сисадмина в этой конторе не дождешься (они там штатом не предусмотрены) а вот детей и пенсионеров с запасом))))

 

[OlegSh]

Да уж, ситуевина еще та! Про форматирование ничего в системных журнала не нашел. Есть одна идейка: посмотрите дату и время создания на диске D папки System Volume Information и Recycler. Они должны были создаться сразу после включения компа после форматирования. Я понимаю, что это не панацея, но все же что-то!

 

[shershen57]

OlegSh, комп вообще не выключают))))

я так понимаю что надо смотреть : журнал событий ==>> безопасность!! но он сцуко пустой(((

 

[OlegSh]

комп вообще не выключают

Еще лучше. Смотрите время создания данных папок.

 

[shershen57]

Еще лучше. Смотрите время создания данных папок.

что то я их не обнаружил((((

---------- Добавлено в 22:19 ---------- Предыдущее сообщение было написано в 22:03 ----------

ура!!! все всем спасибо!!!! у меня есть жертва или раб (завтра решу кто он по жизни))))))

 

[Yohji]

shershen57, как вычислили если не секрет ?

 

[shershen57]

как OlegSh сказал так и получилось!!! просто папки сразу не нашлись а через севензип обнаружил!!!!

---------- Добавлено в 22:34 ---------- Предыдущее сообщение было написано в 22:34 ----------

но в любом случае спасибо ВСЕМ!!!

 

[OlegSh]

просто папки сразу не нашлись а через севензип обнаружил!!!!

Дык они ж скрытые! Вот я тормоз! Не мог сразу объяснить, что для того, чтобы их увидеть необходимо включить отображение скрытых файлов и папок! Сорри! Бывает.

 

[Tom Ahawk]

Вот я тормоз!

Зачем же так? Я иногда забываю в конфигурацию мать вписывать - тоже бывает. Но я ведь не говорю про себя, что я тормоз!

 

[OlegSh]

Но я ведь не говорю про себя, что я тормоз!

Да чет на меня волна нашла! Рецепт вроде дал, а как им воспользоваться - не научил. Вот и получается, что ответил не в полном объеме. А это не есть гуд! Хорошо хоть ТС самостоятельно разобрался!

 

[shershen57]

не знаю что за глюк с системой, но сделать видимыми скрытые папки не получается. Только через поиск их видно))))

 

[OlegSh]

Их будет видно в том случае, если вы не только включите отображать скрытые файлы и папки, но и уберете галку с Скрывать системные файлы.