Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Kann im AD nachvollzogen werden, wer sich als letztes auf einem Rechner angemeldet hat?

Frage Sicherheit Viren und Trojaner

Mitglied: c3r3br0

c3r3br0 (Level 1) - Jetzt verbinden

11.11.2013 um 18:36 Uhr, 3163 Aufrufe, 5 Kommentare, 3 Danke

Hallo zusammen

Heute habe ich nicht schlecht gestaunt, als ich bei einem Rechner im betriebsinternen Netz einen routinemässigen Virencheck gemacht habe. Verschiedene Trojaner wurden gefunden. Darunter Win32/Rotbrow.A (http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx ...) oder Win32/Wysotot.A (http://www.microsoft.com/security/portal/threat/Encyclopedia/Entry.aspx ...)

Da diese Schädlige erst seit ein paar Tagen im Umlauf sind, muss dieser durch einen User der sich aus der Domaine bei diesem Rechner angemeldet hat, eingeschleppt worden sein.

Gibt es eine Möglichkeit zur forensichen Zwecken zurück zu verfolgen, welche Domainenuser in den letzten Tagen auf dem Rechner gearbeitet hat und noch besser, welche Änderungen dieser am System vorgenommen hat?

Danke für eure Hinweise.

Grüsse

c3r3br0
Mitglied: Cthluhu
11.11.2013 um 18:42 Uhr
Hi,

User Logins stehen im Eventlog.
Du kannst ja mal alle Dateien durchsuchen welche zum fraglichen Zeitpunkt eine Änderung erfahren haben. Das kannst du als Anhaltspunkt nehmen was geändert wurde.

mfg

Cthluhu
Bitte warten ..
Mitglied: DerWoWusste
11.11.2013 um 20:30 Uhr
Moin.

Nur weil die AV-Leute den einen oder anderen Virus erst seit kurzem kennen, heißt es nicht, dass er nicht schon wochenlang unerkannt auf dem Rechner ist. Du weißt nicht, wann die erste Infektion rein kam, willst aber einen Nutzer raussuchen? Etwas fragwürdig, Deine Absichten.
Wichtiger ist, zu untersuchen, wie die Infektion entstanden sein könnte.
Bitte warten ..
Mitglied: dreckigersocken
12.11.2013 um 11:51 Uhr
Ich löse es so in einem Logonscript:

echo Benutzer %username% hat sich am PC %computername% zuletzt am %date% um %TIME% angemeldet >> \\verwaltung\Login\PC\%computername%.TXT
echo Benutzer %username% hat sich am PC %computername% zuletzt am %date% um %TIME% angemeldet >> \\verwaltung\Login\User\%username%.TXT
Bitte warten ..
Mitglied: Lochkartenstanzer
12.11.2013, aktualisiert um 12:35 Uhr
Moin,

dafür gibt es forensische Distributionen, um die gewünschten Informationen rauszuholen. Diese erfordern aber ein gutes Maß an Erfahrung.

lks

PS: Wie DWW schon sagte, muß ein Loginzeitpunkt nichts mit dem Infektiosnzeitpunkt zu tun haben und kann sogar einfach nur Koinzidenz sein.
Bitte warten ..
Mitglied: petjol3
21.02.2014 um 09:41 Uhr
hallo, es gibt bei "LUMAX" tolle GUI`s zum verwalten , datailierte Info`s etc. ..

grüße
Bitte warten ..
Ähnliche Inhalte
Netzwerkmanagement
gelöst Welche Freigaben haben welche Rechner im Netzwerk und welche User ist angemeldet? (5)

Frage von M.Marz zum Thema Netzwerkmanagement ...

Windows Netzwerk
gelöst Powershell skript zum Auslesen der im AD angemeldeten User (2)

Frage von jan.kleinel zum Thema Windows Netzwerk ...

Windows Server
gelöst Letzte Anmeldung auf Terminalserver einsehen (2)

Frage von Bierkopf zum Thema Windows Server ...

Samba
Neue user werden nur temporär angemeldet (5)

Frage von hoeced zum Thema Samba ...

Neue Wissensbeiträge
Windows Update

Microsoft Update KB4034664 verursacht Probleme mit Multimonitor-Systemen

(2)

Tipp von beidermachtvongreyscull zum Thema Windows Update ...

Viren und Trojaner

CNC-Fräsen von MECANUMERIC werden (ggf.) mit Viren, Trojanern, Würmern ausgeliefert

(4)

Erfahrungsbericht von anteNope zum Thema Viren und Trojaner ...

Windows 10

Windows 10: Erste Anmeldung Animation deaktivieren

(3)

Anleitung von alemanne21 zum Thema Windows 10 ...

Heiß diskutierte Inhalte
Netzwerkprotokolle
gelöst Leiten "dumme" Switches VLAN-Tags mit durch? (26)

Frage von coltseavers zum Thema Netzwerkprotokolle ...

Windows Server
gelöst Neues KB für W10 1607 und W2K16 wieder mal nicht im WSUS 3.0, hat das noch jemand? (16)

Frage von departure69 zum Thema Windows Server ...

Netzwerkgrundlagen
Kann auf Freigabe nicht Zugreifen (14)

Frage von leon123 zum Thema Netzwerkgrundlagen ...

Router & Routing
FTTH bzw FTTB Router (13)

Frage von ukulele-7 zum Thema Router & Routing ...