Пропали файлы

[Freeman665 6 545]

сегодня у меня случилась неприятность. Сел днем поиграть в небольшой скроллер на флеше, потратил на него пару часиков, а потом обнаружил, что почти все файлы на диске D исчезли, осталось лишь несколько файлов общим объемом менее 500 мб. Сначала решил, что подхватил вирусняк, сделавший все файлы скрытыми, но это оказалось не так, к тому же Касперский ничего не обнаружил. Поставил прогу для восстановления файлов, просканировал диск D, сейчас восстанавливаю потихоньку, хотя все равно часть наверняка будет испорчена.

Небольшое уточнение: физический диск у меня один, разбит на 3 раздела, системный С, затем D и E. Пострадал только D, как самый большой (почти терабайт, из них занято было больше 150 гб навскидку, может и больше), другие разделы оказались почему-то нетронуты. Система Win10, если это важно. Вроде никаких прог и обновлений не устанавливал (во всяком случае, так утверждают стандартные средства десятки, UninstallTool, которым я обычно пользуюсь для отслеживания подобной активности, тоже оказался стерт). Система новая, куплена в сентябре.

Вопрос: сталкивался ли кто с подобными случаями, чем они могут быть вызваны и что обычно вы делали в таких ситуациях?

[Bаcя 33]

Я бы, прежде всего, здесь поискал. До того, как начал восстанавливать файлы. Чтобы долго словами не объяснять, нашёл подходящую статью.

 

 Журнал событий в Windows 7/10

Даже когда пользователь ПК не совершает никаких действий, операционная система продолжает считывать и записывать множество данных. Наиболее важные события отслеживаются и автоматически записываются в особый лог, который в Windows называется Журналом событий. Но для чего нужен такой мониторинг? Ни для кого не является секретом, что в работе операционной системы и установленных программ могут возникать сбои. Чтобы администраторы могли находить причины таких ошибок, система должна их регистрировать, что собственно она и делает.

 

Итак, основным предназначением Журнала событий в Windows 7/10 является сбор данных, которые могут пригодиться при устранении неисправностей в работе системы, программного обеспечения и оборудования. Впрочем, заносятся в него не только ошибки, но также и предупреждения, и вполне удачные операции, например, установка новой программы или подключение к сети.

Где находится журнал событий Windows

Физически Журнал событий представляет собой набор файлов в формате EVTX, хранящихся в системной папке %SystemRoot%/System32/Winevt/Logs.

Хотя эти файлы содержат текстовые данные, открыть их Блокнотом или другим текстовым редактором не получится, поскольку они имеют бинарный формат. Тогда как посмотреть Журнал событий в Windows 7/10, спросите вы? Очень просто, для этого в системе предусмотрена специальная штатная утилита eventvwr.

Как открыть журнал

Запустить утилиту можно из классической Панели управления, перейдя по цепочке Администрирование — Просмотр событий или выполнив в окошке Run (Win+R) команду eventvwr.msc.

 

В левой колонке окна утилиты можно видеть отсортированные по разделам журналы, в средней отображается список событий выбранной категории, в правой — список доступных действий с выбранным журналом, внизу располагается панель подробных сведений о конкретной записи. Всего разделов четыре: настраиваемые события, журналы Windows, журналы приложений и служб, а также подписки.

Наибольший интерес представляет раздел «Журналы Windows», именно с ним чаще всего приходится работать, выясняя причины неполадок в работе системы и программ. Журнал системных событий включает три основные и две дополнительные категории. Основные это «Система», «Приложения» и «Безопасность», дополнительные — «Установка» и «Перенаправленные события».

Категория «Система» содержит события, сгенерированные системными компонентами — драйверами и модулями Windows.

Ветка «Приложения» включает записи, созданные различными программами. Эти данные могут пригодиться как системным администраторам и разработчикам программного обеспечения, так и обычным пользователям, желающим установить причину отказа той или иной программы.

Третья категория событий «Безопасность» содержит сведения, связанные с безопасностью системы. К ним относятся входы пользователей в аккаунты, управление учётными записями, изменение разрешений и прав доступа к файлам и папкам, запуск и остановка процессов и так далее.

Так как число событий может исчисляться тысячами и даже десятками тысяч, в eventvwr предусмотрена возможность поиска и фильтрации событий по свойствам — важности, времени, источнику, имени компьютера и пользователя, коду и так далее. Допустим, вы хотите получить список системных ошибок. Выберите слева Журналы Windows — Система, справа нажмите «Фильтр текущего журнала» и отметьте в открывшемся окне галочкой уровень события — пункты «Ошибка» и «Критическое». Нажмите «OK» и утилита тут же отфильтрует записи.

Чтобы просмотреть конкретную запись, кликните по ней дважды — сведения откроются в окошке «Свойства событий».

Как использовать содержимое журнала

Хорошо, теперь мы в курсе, где находится журнал событий и как его открыть, осталось узнать, как его можно использовать. Сразу нужно сказать, что в силу своей специфичности содержащиеся в нем сведения мало что могут поведать обычному пользователю. О чем говорит, к примеру, ошибка «Регистрация сервера {BF6C1E47-86EC-4194-9CE5-13C15DCB2001} DCOM не выполнена за отведенное время ожидания»? Не обладающему соответствующими знаниями юзеру будет непросто определить причину неполадки, с другой стороны, что мешает поискать ответ в Интернете?

Так, описание приведенной выше ошибки имеется на сайте Microsoft и указывает оно на проблемы со SkyDrive, кстати, не представляющие совершенно никакой угрозы. Если вы не пользуетесь этим сервисом, ошибку можно игнорировать или отключить ее источник в «Планировщике заданий». А еще описание ошибки можно отправить разработчику, предварительно сохранив его в файл XML, CSV или TХT.

 

Также пользователи могут связывать отслеживаемые события с задачами в «Планировщике заданий». Для этого необходимо кликнуть ПКМ по записи, выбрать «Привязать задачу к событию» и создать с помощью запустившегося мастера нужное задание. В следующий раз, когда произойдет такое событие, система сама запустит выполнение задания.

Очистка, удаление и отключение журнала

На жестком диске файлы журнала занимают сравнительно немного места, тем не менее, у пользователя может возникнуть необходимость их очистить. Сделать это можно разными способами: с помощью оснастки eventvwr, командной строки и PowerShell. Для выборочной очистки вполне подойдет ручной способ. Нужно зайти в журнал событий, кликнуть ПКМ по очищаемому журналу в левой колонке и выбрать в меню опцию «Очистить журнал».

Если вы хотите полностью удалить все записи журнала, удобнее будет воспользоваться запущенной от имени администратора командной строкой. Команда очистки выглядит следующим образом:

for /F «tokens=*» %1 in (‘wevtutil.exe el’) DO wevtutil.exe cl «%1»

Вместо командной строки для быстрой и полной очистки журнала также можно воспользоваться консолью PowerShell. Откройте ее с повышенными правами и выполните в ней такую команду:

wevtutil el | Foreach-Object {wevtutil cl «$_»}

При очистке через PowerShell в журнале могут остаться несколько записей. Это не беда, в крайнем случае события можно удалить вручную.

Итак, мы знаем, как открыть журнал событий, знаем, как его использовать и очищать, в завершение давайте посмотрим, как его полностью отключить, хотя делать это без особой нужды не рекомендуется, так как вместе с журналом событий отключатся некоторые, возможно нужные вам службы.

Командой services.msc откройте оснастку «Службы», справа найдите «Журнал событий Windows», кликните по нему дважды, в открывшемся окошке свойств тип запуска выберите «Отключено», а затем нажмите кнопку «Остановить».

Изменения вступят в силу после перезагрузки компьютера. Вот и все, больше системные и программные события регистрироваться не будут.

Изменено 3 января, 2019 пользователем Bаcя

[Ленивый 4 060]

Так стандартные наверно действия — какой нибудь прогой провериить физическое состояние диска и форматнуть раздел. Разделов много, ноут что ли? может индексация где подкалечилась

Я когда пробовал Аваст после удаления он зачем то удалил вместе с собой папку с установлеными Стим играми

[Freeman665 6 545]

8 часов назад, Ленивый сказал:

Так стандартные наверно действия — какой нибудь прогой провериить физическое состояние диска и форматнуть раздел. Разделов много, ноут что ли? может индексация где подкалечилась

диску месяца 4, рановато для сбоев в файловой системе. Вообще, насторожило то, что все произошло абсолютно тихо и незаметно: никаких вопросов от системы типа “а надо ли удалять то или это или ставить то или это?”, никаких тормозов и взбрыков. Грубо говоря, игрушку запустил — файлы были, поиграл — файлов нет. Если это вирус, то очень хитрый. Возможно, конечно, что на мой комп проник хакер, но тут я уже не знаю.

[Ленивый 4 060]

@ealeshin Ну без понятия… Сам давно уже разбивкой дисков не пользуюсь: 2 ssd для системы и игр + ЖД для хранения и установки всяких старых игрушек.

Возраст диска это не гарантия от сбоя, достаточно например скачка напряжения или типа того.Раз было когда слетела индексация на ЖД (тож где то с пол года после покупки) при подключении к компу он вгонял его просто в каматоз — ничего невозможно было сделать, думал что же хана ему, но всякими анальными методами всё же поправил — 2 года после этого крутится тьфу,тьфу вроде норм.

[CyberPioneer 2 490]

19 часов назад, ealeshin сказал:

сталкивался ли кто с подобными случаями, чем они могут быть вызваны

Плохое питание, файловая таблица могла попортиться.

19 часов назад, ealeshin сказал:

что обычно вы делали в таких ситуациях?

R.Saverом прогнать как вариант, восстановит структуру раздела.

3 часа назад, ealeshin сказал:

диску месяца 4, рановато для сбоев в файловой системе

Вообще не показатель, сейчас большой процент брака прямо с прилавков идёт.