Scorp1337 10 Geschrieben 27. September 2010 Melden Geschrieben 27. September 2010 Hallo liebe Adminkollegen, vermutlich ist Con****ER in unserem Netz "gefangen" und so langsam komme ich ihm immer weiter auf die Schliche! Bekanntermaßen legt er geplante Tasks (sog. At1.job - At10.job) an, welche regelmäßig ausgeführt werden sollen. Für die Sicherstellung, dass diese Jobs nicht angefasst werden verändert Con****er die Rechte des Ordners in dem die Jobs abgelegt werden: C:\Windows\Tasks Ich habe vergangenen Freitag die Rechte via cacls.exe des Ordners wiederhergestellt und anschließend alle Eventlogs gelöscht. Nun sind übers Wochenende folgende Einträge im Eventviewer zu finden: 3.050 Securitylog 18 Systemlog 4 Applicationlog Ich vermute jetzt, dass im Securitylog einiges erfahren werden kann. Leider weiss ich nicht genau wonach ich suchen soll, da dort eine ganze Menge Meldungen stehen die für mich keinen Sinn ergeben (bzw. mit denen ich nichts anfangen kann). Interessant wäre ja z.B. wann die Rechte des Ordners geändert wurden bzw. ob die Zeit immer die gleiche ist. Als nächstes würde ich die Quelle suchen, also irgendwoher muss der Auftrag der Rechteänderung ja kommen ;-) Hat jemand Ansätze wie es weiter gehen könnte? Viele Grüße, Scorpion
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden