Пропало содержимое папки "Мои документы"
 

Всем Добрый день!
Такая вот у меня беда:
Захожу в "мои документы" - а там пусто
Также прибавилось +10Гб памяти на жд (примерно столько и весила папка)
Перезагрузка результата не даёт.
Ну я долго не думая восстановил все файлы и залил их обратно в папку, для программ, исп. эту папку прошло всё безболезненно, всё ок, думаю я.
Но на след день - проблема повторилась!
Не могу найти закономерности в процессе удаления и вообще не понимаю, что происходит..
Программ никаких не устанавливал, антивир Авира посмотрел, сказал всё нормально..
Надеюсь на вашу помощь!!

Есть подозрение на плохое ПО, которое не определился антивирусом. Для начала пробуйте загрузиться с LiveUSB и посмотреть свои документы с включенной опцией просмотра всех скрытых файлов (т.е. системные файлы также отображаются). Если они будут на месте - значит шалит какая-то программа. Вам тогда сюда.

Хочу повториться, файлы УДАЛЕНЫ, т.к. места на жд они не занимают.
Я тоже подозреваю какое-либо ПО, но как его найти ?

Сделайте проверку HDD
http://shparg.narod.ru/index/0-22

Какова вероятность проблемы с жд?

Если стоит не домашняя версия Windows, то вы можете поставить аудит, отслеживающий удаления объектов в этой папке. После их исчезновения проверьте журнал. Если проблема вызвана именно тем, что какое-то ПО удаляет без вашего ведома, то там же найдёте имя процесса.

Надо проверить, хотя бы тот же SMART посмотреть. Что по поводу виктории по ссылке - вам необязательно пользоваться страшной консольной версией. В сборках LiveUSB с WinPE обычно вставляют виндовую версию виктории.

Покажите лучше содержимое автозагрузки msconfig, может там чего интересное есть.

Какую программу посоветуете, для слежки?

Это встроено в Windows, но недоступно в домашних и стартовых изданиях. В свойствах папки находишь вкладку безопасность, заходишь в дополнительные свойства безопасности, включаешь аудит удаления для всех пользователей, в настройках локальной политики включаешь аудит объектов (успех). После исчезновения файлов можете просто сюда скинуть содержимое журнала безопасность из просмотра событий.

Спасибо за информацию. Еще вопрос: Как достать информацию из журнала безопасность?

Я сам не понял всей нелепицы. Не умеют люди объяснять.

askei,

После запуска "Просмотра событий", в левой колонке перейдите: "Журналы Windows » Безопасность".
Затем, в правой колонке нажмите на "Сохранить все события как..."

Так же: События "Безопасность", находятся в файле "Security.evtx", который расположен в "%SystemRoot%\System32\Winevt\Logs\".

Nordek, спасибо за подробную информацию, нашел логи событий.
Надеюсь, Вам это даст хоть какую-нибудь зацепку...
https://yadi.sk/d/OU68vsWcdo78C

Кто-нибудь в состоянии разобраться с данной проблемой? Очень прошу...

А сами вы как думаете? В этом вашем журнале записей overдохрена, тем более что вы скинули события аж за полгода, нафиг бы они нужны нам. Чтобы разобраться, надо знать от чего отталкиваться. Например поиск облегчит знание точной даты и временного интервала, когда произошло нужное событие (удаление папки). Желательно знать полный путь к ней, т.е. не абстрактные "мои документы", а конкретно C:\Users\Администратор\Documents как пример. Дальше возникает такой вопрос - компьютер в домене или домашний?
И для уточнения. Вы включили аудит нужной папки и дождались её очередного удаления прежде чем скидывать свой журнал? Какой-то он странный у вас, одни "Сведения" и никаких событий аудита не видно.

Уважаемый, я не силен в этом вопросе! Поэтому само собой разумеется - меня попросили скинуть журнал безопасности, я это сделал.
Началось всё 29.12.14. После это повторялось несколько раз, включая и удаление, после включения аудита.
Возможно я что-либо делаю не так. Буду рад совету. Хочу наконец разобраться с проблемой...
путь: C:// Пользователи/Анна/Документы

Чтож, кажется нет осведомлённых в этом вопросе...Очень жаль!

Уважаемый, вам тут не чат и никто не обязан висеть именно в вашей теме в готовности номер 1. Я, к примеру, ничего не смогу сделать с вашим журналом, пока не выйду на работу, где есть подходящая ОС для его чтения.
Если вам так подгорает, можете попробовать самостоятельно разобраться, благо гугл ещё работает бесплатно.

Применение Аудита Windows для отслеживания деятельности пользователей

Мне кажется вы не достаточно отчетливо понимаете суть моей проблемы.
У меня удаляются файлы, аудит я скинул, что не так?

Я вам указал ресурс (дал удочку), где вы сможете относительно легко самостоятельно разобраться со своим журналом (поймать рыбу). Что не так? По-моему вы даже не открыли ссылку.

Цитата:

Цитата askei Мне кажется вы не достаточно отчетливо понимаете суть моей проблемы. »

Я все предельно четко понимаю. Вы хотите чтобы кто-то всё сделал за вас, да ещё и подгоняете "быстрей быстрей". Это очень некрасиво.

Подождали бы ещё пяток лет, тогда предоставили журнал - чтоб вес под гиг был.

Вы действительно надеялись: если вы примените аудит, то каким-то образом будет охвачена дата от 29.12.14?

Я дал выше информацию о том, "как достать журнал".
Остальное была ваша забота.
Трудно было догадаться: "очистить журнал » подождать момента когда выявится проблема » представить журнал здесь"? Те, кто помогает: приходится всё время догадываться и угадывать.
Ненужно писать "я не знаю, я ничего не умею", догадаться можно было - тем более, LehaMechanic, (я бы сказал) прямо написал: это момент, как раз означает: "очистить журнал » подождать момента когда выявится проблема » представить журнал здесь".