PowerShell für Info über letzte Dateieänderung von welchen ADS User?

Hi!

Habe einen Verschlüsselungs Virus auf einem Server.
Hab ich die Möglichkeit per Powershell die Information zu bekommen
welcher ADS User bzw Computer (wahrscheinlich dann Auslöser des Virus) die
Datei zuletzt geändert hat???

Gruß an in Mitleidenden

Micky

Please also mark the comments that contributed to the solution of the article

Content-Key: 286240

Url: https://administrator.de/contentid/286240

Printed on: April 25, 2024 at 22:04 o'clock

4 Comments

Latest comment

Moin,
dazu müsstest du schon die NTFS-Überwachung(Auditing) eingeschaltet haben damit du das am Server aus den Eventlogs auslesen kannst. Ohne wird das schwierig, dann müsstest du schon die Logs aller Rechner checken.

http://blogs.msdn.com/b/oldnewthing/archive/2013/04/18/10412074.aspx

Denn das OS zeichnet sonst nicht auf wer als letztes eine Datei verändert hat.

Gruß jodel32

Gruß an in Mitleidenden

Ich spreche ein Gebet für dich Kein Backup und keine Schattenkopien ??

Doch doch .... Daten sind schon da....

Aber ich will weiteres Chaos vermeiden! Und noch habe ich keinen
schuldige gefunden

Aber Danke!!!!

Habt Ihr keine Virenscanner auf den Clients ? Normalerweise hat man in Firmen diese doch so eingerichtet das man die Logs dieser zentral checken kann. Mindestens "etwas" sollte sich in den Logs doch finden lassen zumal bei verhaltensbasierter Überwachung diese anschlagen sollten, wenn nicht kannst du die Virenscanner in die Tonne kloppen.

Trend Micro ist drauf

German Question Batch, Shell Development

Hotly discussed

Check of ZFW Firewallgleixnerd - 5 Comments