У меня есть пара ящиков с Windows (Windows XP и Windows Server 2008), где есть несколько EXE-файлов (unwise.exe - из Мудрая система установки - среди прочего) просто исчезают время от времени.
Я попытался сузить этот вопрос, отключив антивирус, антишпионское ПО и т. Д. (Я начал с просмотра их файлов журналов и карантина), но безуспешно. В программе просмотра событий тоже не было никаких подсказок.
Любое предложение?
Вы можете запускать Process Monitor непрерывно, но с фильтром:
Будет накоплен журнал всех удаленных файлов. В следующий раз, когда вы заметите пропажу файла, откройте Process Monitor и посмотрите, какой процесс был ответственен за удаление файла.
Звучит как идеальная работа для Монитор процессов Windows Sysinternals. Этот мощный инструмент позволяет отслеживать практически все действия в вашей системе.
Несмотря на то, что он мощный, он также может быть опасным, потому что без использования надлежащих фильтров и методов ведения журнала он может оказать значительное влияние на вашу систему (например, исчерпание виртуальной памяти).
В вашем случае я бы сделал следующее:
Ctrl+EFile -> Backing Files... -> Use file named (для этого лучше всего подойдет отдельный диск / раздел)Filter -> Filter... Выбрать Event Class is File System затем Include и нажмите AddPath is <path> затем Include и нажмите Add и OKFilter -> Drop Filtered EventsCtrl+EЭто должно дать вам некоторые подсказки о том, что именно происходит с вашими файлами, при этом мало влияя на вашу систему.
Включите аудит файлов для соответствующих папок. В следующий раз, когда они будут удалены, в средстве просмотра событий будет информация о том, кто / что их удалил.
Возможно, вы захотите включить его только для событий удаления - в противном случае ваше средство просмотра событий будет быстро переполнено стандартными событиями (например, доступом к файлам и т. Д.).