shershen57

проблема в сущности : какой то п..р форматнул мой диск на работе!!! но у меня есть данные, кто туда заходил и во сколько))) хочу узнать в какое время его потерли, чтобы не покалечить весь офис!)))

подскажите кто чего знает

зы данные уже восстановил!

OlegSh

диск системный? Если не системный, то можете посмотреть системные журналы и по ним определить, кто последним логинился и какие действия совершал (это в случае, если использовали штатные средства форматирования). Если же использовали сторонний софт, то, возможно в логах будут ссылки на время запуска этого софта в разделе Приложение. Но если форматнули системный раздел, то тут однозначно использовали сторонний сотф и загружались со стороннего ресурса (либо в другой системе на этом же HDD). Тогда можно посмотреть время у файла c:\Documets and settings\имя_профиля\ntuser.dat.log

piton331

OlegSh, http://support.microsoft.com/?id=308427

OlegSh

piton331, я про них и говорю! Только вот как их просмотреть, если форматнули системный винт? Да и как он их просмотрит, если системы уже нет!!!

piton331

Ну ТС же говорит что форматнули диск D да ещё и в офисе, скорее всего С: по умолчанию система. Хотя чего гадать, мб ТС отпишется тогда и узнаем. Сейчас небось в поисковиках зависает да на форумах посты плодит. Или ножик точит

Powwow

Если этот "п..р" вошел в систему и оттуда форматнул, значит у него есть на то права и время можно попробовать установить. Но ведь он мог форматнуть, воспользовавшись незалоченным раб столом, когда комп остался на время без присмотра или вообще не входил в систему, а форматнул с загрузочного носителя. В последнем случае журнал событий ничего не даст.

OlegSh

Вот об этом я и говорил. Это-то и настораживает больше всего. Значит комп остается без присмотра, вообще ниче не защищенный! Политики безопасности вообще никакой на предприятии! Это большой минус сисадмину!

shershen57

piton331, ножи не точил, но путевку с стоматологу заказал))) по ресурсам не плодился (привык спрашивать в одном месте). отсутствие свое объясню просто: пошел уипивать))))

а теперь по теме: отформатирован не системный диск, а банальный том "D" который уже благополучно восстановлен!! Сам я немного туповат что бы разобраться в каких журналах искать злополучное время, вот и прошу указать "путь" к этому источнику нужной мне инфы!!!

зы немного пояснений: всего 8 человек имеет доступ к этой машине, поскольку работаем по сменам и график известен то надо знать только время что бы найти жертву для обряда жертвоприношения)) Да и сисадмина в этой конторе не дождешься (они там штатом не предусмотрены) а вот детей и пенсионеров с запасом))))

OlegSh

Да уж, ситуевина еще та! Про форматирование ничего в системных журнала не нашел. Есть одна идейка: посмотрите дату и время создания на диске D папки System Volume Information и Recycler. Они должны были создаться сразу после включения компа после форматирования. Я понимаю, что это не панацея, но все же что-то!

shershen57

OlegSh, комп вообще не выключают))))

я так понимаю что надо смотреть : журнал событий ==>> безопасность!! но он сцуко пустой(((

OlegSh

Еще лучше. Смотрите время создания данных папок.

shershen57

что то я их не обнаружил((((

---------- Добавлено в 22:19 ---------- Предыдущее сообщение было написано в 22:03 ----------

ура!!! все всем спасибо!!!! у меня есть жертва или раб (завтра решу кто он по жизни))))))

piton331

shershen57, как вычислили если не секрет ?

shershen57

как OlegSh сказал так и получилось!!! просто папки сразу не нашлись а через севензип обнаружил!!!!

---------- Добавлено в 22:34 ---------- Предыдущее сообщение было написано в 22:34 ----------

но в любом случае спасибо ВСЕМ!!!

OlegSh

Дык они ж скрытые! Вот я тормоз! Не мог сразу объяснить, что для того, чтобы их увидеть необходимо включить отображение скрытых файлов и папок! Сорри! Бывает.