ES, несколько дней назад попалась утилитка на http://www.nirsoft.net/utils/ — показывающая, какие программы и когда устанавливались запускались. Не уверен, но не исключаю, что покажет и уже удалённые программы. Название не запомнил. http://www.nirsoft.net/utils/executed_programs_list.html

ES, несколько дней назад попалась утилитка »
Спасибо!
попробую завтра

Что-то не верится »Сами посудите: если бы все знали о способах при которых возможно получить информацию, то надеяться на эти же способы в которых малы шансы - смысла не было.
Например банальный и не совсем действенный способ:
Загрузить SOFTWARE из C:\Windows\System32\config\RegBack

Выполните запрос в Google задав условие "RegBack" - найдётся примерно 59т результатов.
В первых же из них рассказывается действие к применению (www.outsidethebox.ms/12505) - не трудно догадаться, что тем же способом можно получить какую-то информацию о ранее проделанных действиях (т.е загрузить и просмотреть) (Но нужно также учесть, что: резервная копия создаётся каждые 10 дней, и в этот период может не попасть то, на что надеетесь.).

Еще вспомнил, можно мониторить что юзера запускает по механизму Prefetcher. Можно заделать батнег/задание для создания списка из папки %SYSTEMROOT%\Prefetch\ и отправлять его куда-нибудь или сохранять. Там лежат файлы с именами запускаемых программ, всех достойных внимания ОС в виде REGSVR32.EXE-55A4EE79.pf

Еще вспомнил, можно мониторить что юзера запускает по механизму Prefetcher. »
Уже было выше:ES, несколько дней назад попалась утилитка на http://www.nirsoft.net/utils/ »
где ExecutedProgramsList - Shows programs previously executed on your system (http://www.nirsoft.net/utils/executed_programs_list.html) сказано:
Data Source

The list of previously executed programs is collected from the following data sources:

Registry Key: HKEY_CURRENT_USER\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
Registry Key: HKEY_CURRENT_USER\Microsoft\Windows\ShellNoRoam\MUICache
Registry Key: HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted
Registry Key: HKEY_CURRENT_USER\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store
Windows Prefetch folder (C:\Windows\Prefetch)

несколько дней назад попалась утилитка »
Она не всё показывает.

http://i3.imageban.ru/out/2016/10/09/7b26ec6244f90793f4d85922d372615e.png

Она не всё показывает. »
Показывает, что есть. Если в указанных местах нет информации о времени — понятно, что его неоткуда взять.

Помимо ExecutedProgramsList, есть LastActivityView (http://www.nirsoft.net/utils/computer_activity_view.html).

Если в указанных местах нет информации о времени — понятно, что его неоткуда взять. »Хотя бы дату/время создания (http://i1.imageban.ru/out/2016/10/09/dc98e354d606d8f2889b5999c12b4470.png) самого файла *.pf.

Также можно произвести анализ с помощью R-Studio (http://www.r-studio.com/ru/) или Recuva (https://www.piriform.com/recuva/builds) (про это точно всем известно, или может почти всем.).