Несколько папок в $Recycle.Bin

Часть имени папки, идентичная для обеих папок, - это SID (идентификатор безопасности), используемый в общем случае Windows для уникальной идентификации объекта, такого как пользователь или группа.

В этом случае он идентифицирует идентификатор домена или локального компьютера (или одно или несколько значений подчиненных прав) компьютера (или сети), создавшего папку.

Вы можете использовать бесплатную пакетную утилиту SidToName для преобразования этой строки в имя или найти ее в реестре под ключом.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileListкак последняя часть пути внутри элемента ProfileImagePath.

"500" или "1000" в конце называется относительным идентификатором (RID). "500" означает, что пользователь является встроенным системным администратором. Пользователь или группа, которые не были созданы по умолчанию, будут иметь относительный идентификатор 1000 и выше.

Таким образом, две папки, найденные в корзине, принадлежат администратору и вошедшему в систему пользователю, помеченные как созданные на локальном компьютере с использованием SID в качестве префикса.

Рекомендации:

• $ Recycle.Bin Forensics для Windows 7 и Windows Vista
• Википедия - Идентификатор безопасности
• Википедия - Относительный ID

Как говорит @Psycogeek, это представление действительно является необработанным представлением корзины. Эти идентификационные номера являются указателями на Windows. Если идентификатор в реестре совпадает, Windows знает, что эта папка действительно назначена указанному пользователю.

Если вы являетесь единственным пользователем, я предполагаю, что вы можете удалить оба без каких-либо серьезных событий.