PowerShell für Info über letzte Dateieänderung von welchen ADS User?
Hi!
Habe einen Verschlüsselungs Virus auf einem Server.
Hab ich die Möglichkeit per Powershell die Information zu bekommen
welcher ADS User bzw Computer (wahrscheinlich dann Auslöser des Virus) die
Datei zuletzt geändert hat???
Gruß an in Mitleidenden
Micky
Habe einen Verschlüsselungs Virus auf einem Server.
Hab ich die Möglichkeit per Powershell die Information zu bekommen
welcher ADS User bzw Computer (wahrscheinlich dann Auslöser des Virus) die
Datei zuletzt geändert hat???
Gruß an in Mitleidenden
Micky
Please also mark the comments that contributed to the solution of the article
Content-Key: 286240
Url: https://administrator.de/contentid/286240
Printed on: April 25, 2024 at 22:04 o'clock
4 Comments
Latest comment
Moin,
dazu müsstest du schon die NTFS-Überwachung(Auditing) eingeschaltet haben damit du das am Server aus den Eventlogs auslesen kannst. Ohne wird das schwierig, dann müsstest du schon die Logs aller Rechner checken.
http://blogs.msdn.com/b/oldnewthing/archive/2013/04/18/10412074.aspx
Denn das OS zeichnet sonst nicht auf wer als letztes eine Datei verändert hat.
Gruß jodel32
dazu müsstest du schon die NTFS-Überwachung(Auditing) eingeschaltet haben damit du das am Server aus den Eventlogs auslesen kannst. Ohne wird das schwierig, dann müsstest du schon die Logs aller Rechner checken.
http://blogs.msdn.com/b/oldnewthing/archive/2013/04/18/10412074.aspx
Denn das OS zeichnet sonst nicht auf wer als letztes eine Datei verändert hat.
Gruß jodel32
Gruß an in Mitleidenden
Ich spreche ein Gebet für dich Kein Backup und keine Schattenkopien ??
Habt Ihr keine Virenscanner auf den Clients ? Normalerweise hat man in Firmen diese doch so eingerichtet das man die Logs dieser zentral checken kann. Mindestens "etwas" sollte sich in den Logs doch finden lassen zumal bei verhaltensbasierter Überwachung diese anschlagen sollten, wenn nicht kannst du die Virenscanner in die Tonne kloppen.