Здравствуйте. Каждую неделю пропадают папки и файлы с диска, R-Studio (программа восстановления удаленных файлов) находит их в папке system volume information
Как попадают туда, почему исчезают с диска и что делать чтобы предотвратить это?
Windows 10 кор х64
Диск Hitachi HDD 1 Т.

Костя_Лу@vk,


Automatically delete files in Downloads folder & Recycle Bin after 30 days in Windows 10 (http://www.thewindowsclub.com/automatically-delete-files-download-folder-recycle-bin-30-days)
Apply a basic audit policy on a file or folder (https://docs.microsoft.com/en-us/windows/device-security/auditing/apply-a-basic-audit-policy-on-a-file-or-folder)


Они удаляются по определенным путям или по рандомным?? Если по определенным, то что это за пути??

определный путь с вложенными папками
h:/progi -всё пропало который раз.. там гигов 100

Automatically delete files in Downloads folder & Recycle Bin after 30 days in Windows 10 »

В моей нет такого. есть только перечень дисков с указание занятого пространства, и выбор куда сохранять новые файлы.

h:/progi всё пропало который раз»

То есть, папка и путь абсолютно конкретны. Аудит в помощь:

Use auditing to track who deleted your files (http://www.intelliadmin.com/index.php/2008/03/use-auditing-to-track-who-deleted-your-files/)
Using Windows Auditing to track user activity (http://blog.windowsnt.lv/2011/11/15/tracking-user-activity-english/)
Apply a basic audit policy on a file or folder (https://docs.microsoft.com/en-us/windows/device-security/auditing/apply-a-basic-audit-policy-on-a-file-or-folder)


Возможен так же вариант с ProcMon, если не пугает размер лога, но лучше аудит.

Включил аудит,попробовал удалить файл. но в журнале записи нет.
Скрин http://joxi.ru/brRGBMZTQE7WYm.png

Костя_Лу@vk,

В строке Выполнить:
gpedit.msc
Windows Settings -> Security Settings -> Local Policies -> Audit Policy
https://i.imgur.com/EU7kdc3.png
https://i.imgur.com/MnaGNWy.png

Спасибо,теперь пишется. жаль что в логах конкретно не указывается что файл удален ,а только коды,коды
на диск стало мого писаться, почти 100% нагрузка пошла. В логах фиксируются все файлы со всех дисков,а не только которым я указал

В логах фиксируются все файлы со всех дисков »

Determines whether to audit the event of a user accessing an object--for example, a file, folder, registry key, printer, and so forth--that has its own system access control list (SACL) specified.
Note: You can set a SACL on a file system object using the Security tab in that object's Properties dialog box.
Источник (https://docs.microsoft.com/en-us/windows/device-security/auditing/basic-audit-object-access)
There are no objects configured to be audited by default. Once this auditing setting for an object is configured, log entries on access attempts (Successful and Failed) start getting recorded and you will be able to view the object access related events in the security log in Event Viewer. (See Screen Shot Below)
Источник (https://blogs.manageengine.com/it-security/eventloganalyzer/2012/06/20/object-access-auditing-simplified-find-the-who-what-where-when-of-file-folder-access.html)


В вашем случае, кстати, политику можно ограничить, сняв галочку с:
https://i.imgur.com/wuKhuD2.png

Да и поиск использовать никто не запрещал: Find - Desktop.
Вместо Desktop можно использовать любую составляющую часть пути необходимой папки.

Еще возможен вариант с помощью программы LeeLu Monitors (http://www.majorgeeks.com/files/details/leelu_soft.html). Незарегистрированная версия позволяет мониторить только одну папку, но вам этого должно хватить:
https://i.imgur.com/TiQkHSg.png
https://i.imgur.com/t7AlqMc.png
https://i.imgur.com/Pto4R4P.png
https://i.imgur.com/CheveKR.png

в папке system volume information »
Каждую неделю »
Восстановление системы, история файлов включено? Программ бэкапа нет?
Где именно? Какой путь становится у украденных исчезнувших папок?

Восстановление системы, история файлов включено? Программ бэкапа нет?
Где именно? Какой путь становится у украденных исчезнувших папок? »
Востановление системы и файлов отключены. Программы бекапа есть, но для для 100 гб папки нету(не логично использовать). Их никто не крал. ПУсть становится h:/system Volume Inforemation / progi и так далее по иерархии

Казбек,

Пока оставлю Аудит, но потом придется логи лопатой вычишать, пару камазов... Сегондя вроде на месте все. Мне кажется это толи от cleanmgr CHKDSK
sfc /scannow
DISM /Online /Cleanup-Image /ScanHealth

время от времени выполняю

Было аналогично вчера после чистки мусора на диске через программу Ccleaner\В журнале данных о удалении нет, но папка появляется в System Volune information/
Я так думаю Если ее удалили,была бы запись и она не появилась бы в System Volune information
Но в журнале есть запись о закрытии дискриптора для этой папки в тот момент когда работал CCleaner

Что скажите?

Я его проверил, там этого диска в помине нет. Повторяю если он удалял они не были бы в этой папки

находит их в папке system volume information »

Именно в этой папке, прямо в её корне — или они гнездятся в какой-то вложенной в неё, например — в папке "System Volume Information\ChkDsk" или в System Volume Information\Found" (или что-либо в этом духе)?

в самой папке без вложенных.
Самой самой доступа у меня у ней небыло. Пришлось добавить себя в свойствах чтобы оттуда ее вытащить.

После того как они попали,часть файлов из папки старли поврежденные,хотя размер сходится

Костя_Лу@vk, а покажите-ка SMART винчестера...
На https://crystalmark.info/download/index-e.html свеженькая CrystalDiskInfo 7.5.0, с помощью которой можно посмотреть, лежит.

Скрин http://dl4.joxi.net/drive/2017/11/05/0021/3348/1416468/68/acd3cdb91c.png (http://joxi.ru/52aExOlCGqPPn2)

Скрин »
Ну что ж, проблем вообще не видно, да ещё и при таком почётном времени наработки. Значит дело не в этом.

Диск не съёмный?

mwz, да нет обычный HDD на сата2 купленый на базаре ebay.
А я вот до сих пор вообще в smart так и не понял что там почем,,как-то не понашему намучено: 100 100 100 и тп
Был случай когда я случайно удалил папкуэту. потом посстановил через r-studio (пол года назад), может система видит что Файловая система или файлы некоторые поврежденные и кидает их в system Volume Information?

в smart так и не понял что там почем »

Как читать SMART (http://forum.oszone.net/post-577468.html#post577468)