文件夹内文件突然大批量丢失求助

oolmfoo

在 Event Viewer -> Windows Log -> Security
看看有沒有 Event ID: 4656 (刪除), 4663 (開啟) 的記錄
如果文件有 Audit Policy 就應該有記錄的.

VincentHu

oolmfoo 发表于 2022-9-8 23:22
在 Event Viewer -> Windows Log -> Security
看看有沒有 Event ID: 4656 (刪除), 4663 (開啟) 的記錄
如 ...

多谢多谢  我百度了好久也没找到你这个   

我试试

wxlg1117

VincentHu 发表于 2022-9-8 21:46
同事开始用磁盘精灵  做了一次误删文件扫描,.  结果发现,  有一部分丢失的文件, 确实被扫出来了,  然后把文 ...

第一时间做扇区复制,比如用DiskGenius扇区复制或winhex磁盘克隆(扇区复制).然后源盘不再上电.用数据恢复软件扫描做出来的镜像文件或虚拟RAID重组出来的文件.

VincentHu

oolmfoo 发表于 2022-9-8 23:22
在 Event Viewer -> Windows Log -> Security
看看有沒有 Event ID: 4656 (刪除), 4663 (開啟) 的記錄
如 ...

我自己的电脑,  都没有这两个id  诶..

4648 直接跳到   4672   中间的都没有

VincentHu

wxlg1117 发表于 2022-9-8 23:24
第一时间做扇区复制,比如用DiskGenius扇区复制或winhex磁盘克隆(扇区复制).然后源盘不再上电.用数 ...

诶  只做了克隆分区 想着赶紧吧目前剩下的文件保住
当时没想起来做扇区克隆..    因为在我接手之前, 已经用了一天.. 而且被别人用恢复软件扫描过一次了..

oolmfoo

你可以參考這個 網址 , 刪除應該是 4660

如果文件一開始就沒有設置權限, event viewer 未必有記錄.
你只能在文件丟失大概時間看有沒有奇怪的記錄, 但這個我就不清楚了.

VincentHu

oolmfoo 发表于 2022-9-8 23:43
你可以參考這個 網址 , 刪除應該是 4660

如果文件一開始就沒有設置權限, event viewer 未必有記錄.

多谢多谢

fangl2002

tide~ 发表于 2022-9-8 22:44
你是觉得人为干这事，比较繁琐是吗？

文件管理器-搜索-输入"*.*"，会把所有文件/文件夹显示出来，不同的 ...

和我想到一起了，我我估计就是用的同步软件，很轻松的就慢慢删除文件，并保留自己需要的文件。方便，还隐秘。都不需要动别人的电脑。

夏天

WIN SERVER  系统 共享访问日记的功能是有的，但默认是没有开的，我估计肯定没设置过。

系统肯定不会删除的，我公司的共享文件服务器十几年了都没出过这种问题，肯定是恶意删除。如果是病毒只会是加密，或者全部删除，不会针对性。

至于公司的人说不在现场，这年头远程开一个，半夜在家操作自己的电脑远程上去给你删了，你又不知道。

adminzj

看来是保密数据，最好还是叫数据恢复公司的人来上问恢复吧

gbawrc

为什么要猜测呢？
直接看服务器系统日志，谁删除的一目了然，然后在排查是人为还是病毒

fooobar

感觉是被人搞了啊，只能是被人主动恶意删除了。

深圳老胡

先执行搜索*.*，然后在搜索结果列表里面选择所有文件->删除，得到的就是这种效果

云飞扬

进这个部门文件夹，搜索*.*，Shift+Del删除
就会保留所有目录结构但是文件全无

pxlxh

everything删除文件但保留文件夹结构 很方便

bei1991

Windows Server安全日志能看出来谁在什么时候删除了什么文件，能查到的吧？

平时有用Windows Server Backup做备份吗？有的话能恢复

zhgna

100%是人为的，病毒或磁盘故障是不会有选择性删文件的。

zsnw9527

这活一开始就不能接，同情你呀。

zsnw9527

bei1991 发表于 2022-9-9 12:55
Windows Server安全日志能看出来谁在什么时候删除了什么文件，能查到的吧？

平时有用Windows Server Backu ...

请问这个日志在哪看？

wun_008

能看见那个ip 访问过吗？如果第二次消失时没有被访问过说明你同事被收买了

bei1991

zsnw9527 发表于 2022-9-9 14:01
请问这个日志在哪看？

参考31楼，可以通过删除的ID去查日志

LightningWu

人为90%
日志应该是找不到，或者你问问有没有启用了有个记录日志的组策略，默认好像是没有来找（不知道是不是）
发现类似的要断开网络加所有的访问端，切断外部回复。

Satan023

我感觉认为，你还是去查日志吧

shine360

装了360杀毒？

rukky

VincentHu 发表于 2022-9-8 21:52
就像是十个文件夹, 里面的小几十个子文件夹里面的文件 都没了

但是文件夹都给留下了     真有可能有人做 ...

很简单啊，搜索文件 ，del ，目录都在

imyz

在管理员权限 Cmd 命令行下，输入以下指令应该就是同样效果：

cd \
del *.* /s/q/f

注意：请勿自行尝试、或做好数据备份后尝试！！！！

yangzi123aaa20

不是应该第一时间设备离线，报警一条路？自己瞎鼓捣破坏第一现场是什么思路

VincentHu

夏天 发表于 2022-9-9 01:10
WIN SERVER  系统 共享访问日记的功能是有的，但默认是没有开的，我估计肯定没设置过。

系统肯定不会删除 ...

嗯  老哥说的这几方面确实是比较合理的

但是这事情吧, 第一时间并不是我在处理,
我接手的时候, 已经被磁盘精灵扫过一次了

虽然我不是很理解为什么不拿出去
但是他们说不拿  那就不拿   昨晚整个磁盘扫描一次, 今天早上就在复制这所有扫到的文件出来, 一直到现在也没结束  

VincentHu

rukky 发表于 2022-9-9 16:25
很简单啊，搜索文件 ，del ，目录都在

这样删除确实是能做到,  但是我就很纳闷, 为什么这种操作我在自己U盘复现之后
百分之九十都能找回来  而且我试了好多次  都完全没问题
昨晚我爬论坛的时候,  看到好多个这种数据恢复软件, 在直接删除掉的文件方面, 都是完全没问题能百分之九十回复的,  但是我感觉在我这机器上,  就有很多是找不回来的...   
他只是作为一个共享盘连接登录,  为啥我就感觉有很多扫不出来呢

VincentHu

yangzi123aaa20 发表于 2022-9-9 16:52
不是应该第一时间设备离线，报警一条路？自己瞎鼓捣破坏第一现场是什么思路 ...

这一句话说不清楚  

反正他们让我做的我到目前为止绝对是 认真负责了
其他的我不打算多管