CMD/BAT

MegaZAC · Отправлено: **00:23, 17-07-2013** | #11

Блин, ну вот извините за ламерство, но у меня указанные вещи не вызывают никаких ассоциаций.

Iska · Отправлено: **00:45, 17-07-2013** | #12

MegaZAC, непонятно, что именно Вам непонятно.

Цитата cmd.exe /?:

Если ключ /D НЕ УКАЗАН в командной строке, то при запуске CMD.EXE выполняется проверка значений переменных REG_SZ или REG_EXPAND_SZ для следующих разделов системного реестра:

Код:

HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor\AutoRun

и/или

Код:

HKEY_CURRENT_USER\Software\Microsoft\Command Processor\AutoRun

и если одна из них или обе они присутствуют, то сначала выполняются они.

Один из примеров использования параметра: AutoIt: смена языка ввода на Английский в новых окнах консоли cmd.exe. — Прочее (Реестр, 1С, текстовые редакторы и т.д.) — Серый форум.

MegaZAC · Отправлено: **10:28, 17-07-2013** | #13

Это то что нужно! Громадное спасибо всем кто поучаствовал, мы уже на финишной прямой.

Осталось где-то создать REG_SZ или REG_EXPAND_SZ , а то в лог так и пишутся %xxx% записи. Где что создавать?

Поправочка - в логе записи имеют неоднозначный вид. Т.е. где-то в дате указывается 2013 вместо года, а где-то просто 13. И с пользователем где-то реально пишется имя пользователя, а где-то по-прежнему %username%. Остальные все как один %cmdline%...

Всё, тему можно закрывать, я окончательно допёр с помощью хелпа к cmd и гугла

Всем большое спасибо, особенно ветерану

Iska · Отправлено: **12:45, 17-07-2013** | #14

MegaZAC, когда какие-то вопросы решаются Вами/отпадают, и Вы правите свой пост — не поленитесь воспользоваться тэгом [strike] — ~~вот так~~ — и пометить им текст, на который уже не нужно обращать внимание.

MegaZAC · Отправлено: **17:51, 18-07-2013** | #15

Iska,
ОК, учту.

Господа, не работает решение. Всё так, пишет лог того что делает CMD, даже с батниками, однако искомая информация туда не попала. Есть другой лог (через аудит event), там отражено что cmd.exe во время чч:мм:сс удалило такой-то файл. А в логе созданном с помощью данной темы ничего про это нет. Т.е. ни BATа который запустил CMD, ни самого удаления, ни вообще в указанное время в логе тишина.

Iska · Отправлено: **17:55, 18-07-2013** | #16

Цитата MegaZAC:

там отражено что cmd.exe во время чч:мм:сс удалило такой-то файл. »

Хоть покажите это событие, что ли.

MegaZAC · Отправлено: **16:32, 19-07-2013** | #17

Iska,
там два события подряд, доступ, и удаление.

MegaZAC · Отправлено: **12:54, 22-07-2013** | #18

Идей нет?

MegaZAC · Отправлено: **16:19, 22-07-2013** | #19

Появилась идея. Папка расшарена, и в неё могут писать другие компы. Есть ли способ узнать какое приложение какого удалённого компа могло стереть файлы?