Была ли установлен программа?
 

Пользователь говорит, что на компьютере была установлена программа, а потом удалена.
Можно ли как то узнать действительно ли была установлена эта программа?
Хранит ли Windows где-то журнал установки приложений?
И если можно это определить, то нужна дата установки, когда ее установили.
Откуда ее можно вытащить?

vinadm, что есть журнал событий это мне известно,
но что касается установки, то туда пишутся только события по установке самой системы и ее компонентов,

событие установки других прикладных приложений туда не пишется,
или я не прав?

По идее запись должна быть, нужно смотреть.
Как правило программы оставляют после себя логи либо в %temp% либо в каталог установки.

Не понятно о какой программе идет речь, трудно однозначно ответить на ваш вопрос.

Пользователи много чего говорят, для многих копирование ярлычка с другого компьютера (работать, естественно, ничего не будет) - тоже установка программы.
Поэтому сперва надо уточнить что подразумевалось под установкой.

Можно попробовать в реестре по названию программы поискать, может от неё какой-то хлам остался.

чеж вы все шифруетесь-то... что за программа, что за юзер, может ламер или сказочник?!
Самой финде пофиг, она журнал никакой не ведет, винда предоставляет "услуги для работы" программ. Т.е. если удалили, - то удалили. Другое дело что "стиратель" у программы может оставлять следы, не все удалять. Вот для этого и нужно имя программы чтоб подсказать, мож кто пользовался.
Вообще инфу винда пишет об установленных программах сюда
и сюда
Еще , если у проги есть свой, особый тип расширения или она брана на себя ассоциации с файлами, то можно поискать по пути или по имени в этом разделе
упоминания.
Еще есть TEMP(их несколько) где мог остаться инсталлятор программы. не обязательно с таким же именем, может быть нечто типа m34tru.msi И смотреть надо описания, свойства или лезть внутрь чтоб понять чей это *.msi
Так же %APPDATA% где может остаться папка программы, ее файлы.
Способоы, следов много, но единого центра нету. Можно найти , если знать что искать.

ES, дополню. Если не хотите искать в реестре, то воспользуйтесь т.н uninstaller-ами: Total Uninstaller или подобными.

Или так Revo Uninstaller

В реестре есть несколько мест, где лежат следы установленных ранее программ (если его не чистили вручную). Если вы знаете, какое имя конечной папки, куда программа ставится по умолчанию — можно попробовать сделать поиск в Реестре по этому имени.

Спасибо, попробую

А можно ли как-то винду настроить, чтобы она регистрировала все установленные программы, когда и куда они устанавливаются?
Может быть есть для этого специальное ПО?

ES, есть аудит, который при неумелом использовании поставит систему на колени http://www.oszone.net/11632/audit

Да, есть.
Из бесплатных ZSoft Uninstaller
Принцип работы программы такой же как и у Total Uninstall и Revo Uninstaller Pro
Предварительный снимок системы перед установкой софта и окончательный после установки.
ЗЫ Желательно после предварительного снимка и установки программы, запустить её, так как при первом запуске вновь установленной программы, часто в реестр пишется дополнительная информация и только после этого делать окончательный снимок.

yurfed, так это вручную же делать надо, а он хочет чтоб программа сама мониторила что и куда юзер устанавливает, а потом подойти и почитать лог в виде "такого-то числа установлена вот такая фигня вот по такому пути". Тут аудит помочь должен.

Сказано, причём в явном виде:
Т.е. речь не о своём компьютере, и к тому же речь о том, как узнать, когда и какие программы устанавливались на другом (других) компьютерах, с которым(и) сам топикстартер имеет дело лишь периодически.

Проблема получается такая.
На компьютере работают несколько пользователей.
Один из них начал жаловаться, что другой устанавливал и играл в игру.
На данный момент этой игры на компьютере нет.
Но в дальнейшем директор хочет знать: кто и что устанавливает на компьютере.

Административными мерами это не решить.
Ведь сейчас многие программы не требуют админских прав.

Для этого конечно лучше использовать какой-нибудь монитор с записью лога.
Есть что-нибудь такое?
Но в принципе я могу раз в неделю делать снимок и сравнивать с предыдущим снимком.
Я к компьютеру имею периодический доступ.

Цитата:

Цитата ES Один из них начал жаловаться, что другой устанавливал и играл в игру. »

А ему вообще какое дело? =\ Хоть порно смотрел, это же не влияет на работоспособность пк.
Да и вообще меры по мониторингу "установок" совершенно не спасают от того что какую-нибудь зуму можно принести на флешке, т.е. portable app.
В связи с чем поможет либо полный мониторинг всех запускаемых exe-шников (не знаю чем такое делать), либо групповые политики настроить на "запретить всё, кроме..." и добавить в вайтлист то что в работе необходимо.
Ну и, конечно же, самые базовые меры - две разные учетки под каждого из пользователей без прав администратора оба. На всех учетках с администраторскими правами, естественно, должен быть пароль. Включая стандартную учетную запись "Администратор", даже если она и отключена. Это для того чтобы не было возможности зайти в безопасном режиме с помощью этой учетки и дать себе админку.
Базовые меры, естественно, не спасают от всего, на то они и базовые - но геморроя в итоге намного меньше.

Но всё равно, даже учитывая все эти меры - всегда можно играть в браузерные игры на флеше.

Надо запретить, тогда и знать не надо будет. Знание дает аудит.

Знать и заниматься этим, должен админ - если не знает, то это плохой админ, уволить надо.
Как сделать, никто вам не скажет т.к это конфиденциальная информация. Хранит, пример.
Усиливаться Uninstaller'ами для такой работы - минимум глупость т.к Uninstaller'ы не осилят то, что ранее не включали в свой список при мониторе инсталляции (Т.е Uninstaller, который ранее не использовался в системе, но до него были установлены приложения - не сможет сходу промониторить ранее проделанные действия.).

То есть возможность такая есть, но про нее никто не знает?
Что-то не верится

ES, несколько дней назад попалась утилитка на http://www.nirsoft.net/utils/ — показывающая, какие программы и когда устанавливались запускались. Не уверен, но не исключаю, что покажет и уже удалённые программы. Название не запомнил. http://www.nirsoft.net/utils/execute...rams_list.html

Спасибо!
попробую завтра

Сами посудите: если бы все знали о способах при которых возможно получить информацию, то надеяться на эти же способы в которых малы шансы - смысла не было.
Например банальный и не совсем действенный способ:
Загрузить SOFTWARE из C:\Windows\System32\config\RegBack

Выполните запрос в Google задав условие "RegBack" - найдётся примерно 59т результатов.
В первых же из них рассказывается действие к применению - не трудно догадаться, что тем же способом можно получить какую-то информацию о ранее проделанных действиях (т.е загрузить и просмотреть) (Но нужно также учесть, что: резервная копия создаётся каждые 10 дней, и в этот период может не попасть то, на что надеетесь.).

Еще вспомнил, можно мониторить что юзера запускает по механизму Prefetcher. Можно заделать батнег/задание для создания списка из папки %SYSTEMROOT%\Prefetch\ и отправлять его куда-нибудь или сохранять. Там лежат файлы с именами запускаемых программ, всех достойных внимания ОС в виде

Она не всё показывает.

Показывает, что есть. Если в указанных местах нет информации о времени — понятно, что его неоткуда взять.

Помимо ExecutedProgramsList, есть LastActivityView.

Хотя бы дату/время создания самого файла *.pf.

Также можно произвести анализ с помощью R-Studio или Recuva (про это точно всем известно, или может почти всем.).