en este caso por lo menos el usuario no indica una instalacion, tal actividad si quedará en el registro de windows y habrá unos cuantos indicios para rastrear, sobre los archivos recuperables, el usuario indica que usó el undeleter de tuneup, este programa como cualquiera equivalente, no solo eliminará el archivo de la tabla de archivo, sino que sobre escribirá los bytes donde se ubicaba el archivo para destruir las posibilidades de recuperacion de la informacion, sobre el resto (el archivo.db, pagefile.sys y ntuser.dat) te darán indicacion de instalacione y acciones importantes que pueden alterar el registro (y hasta cierto grado dumpeo de la ram, pero usualmente esto cambia con el uso inmediato) o secciones importantes, sin embargo, no sobre archivos, todo esto se sale totalmente del contexto descrito
un ejemplo simple... por ejemplo mi pc, windows 10, sin modificaciones y solo caon actualizaciones basicas, sin simpliezas extras mas alla de vaciar la papelera...
si se guardaran los registros de archivos borrados el log sería astronomico, he tenido que manejar millones de archivos (literalmente) porque los debo generar, procesar, comprimir y luego eliminar, estos archivos tienen nombre cerca de 35 caracteres de largo (10 digitos para fecha + 2 separadores, 6 digito para tiempo+1 separador, 8 cifras para el id del registro ) , si se almacenaran los nombres serían 35 bytes, por cada millon 35mb, al ser algo que hago un par de veces por semana hace mas de un año el orden estaría en los GB de discoduro solo en esos registros... y con un disco de 250GB inflaría archivos "fantasma" enormemente