[Iska]

Запускаете «eventvwr.exe». В меню «Действие» выбираете «Открыть файл журнала…». В диалоговом окне указываете путь к файлу «%SystemRoot%\system32\config\SysEvent.Evt» для исследуемой машины (не для той, на которой Вы запустили «eventvwr.exe»!), с которой сняли образ диска. Тип журнала указываете «Система». Далее, выделив открытый журнал в дереве, указываете в диалоговом окне, открытом посредством меню \Вид\Фильтр…, следующее:

Код:

Тип события:		Уведомление
Источник события:	EventLog
Код события:		6005
С момента:		10.08.2012 00:00:00
До момента:		10.08.2012 23:59:59

Если полученный список событий окажется пустым — расширяйте область дат в фильтре.