Scorp1337 10 Geschrieben 27. September 2010 Melden Teilen Geschrieben 27. September 2010 Hallo liebe Adminkollegen, vermutlich ist Con****ER in unserem Netz "gefangen" und so langsam komme ich ihm immer weiter auf die Schliche! Bekanntermaßen legt er geplante Tasks (sog. At1.job - At10.job) an, welche regelmäßig ausgeführt werden sollen. Für die Sicherstellung, dass diese Jobs nicht angefasst werden verändert Con****er die Rechte des Ordners in dem die Jobs abgelegt werden: C:\Windows\Tasks Ich habe vergangenen Freitag die Rechte via cacls.exe des Ordners wiederhergestellt und anschließend alle Eventlogs gelöscht. Nun sind übers Wochenende folgende Einträge im Eventviewer zu finden: 3.050 Securitylog 18 Systemlog 4 Applicationlog Ich vermute jetzt, dass im Securitylog einiges erfahren werden kann. Leider weiss ich nicht genau wonach ich suchen soll, da dort eine ganze Menge Meldungen stehen die für mich keinen Sinn ergeben (bzw. mit denen ich nichts anfangen kann). Interessant wäre ja z.B. wann die Rechte des Ordners geändert wurden bzw. ob die Zeit immer die gleiche ist. Als nächstes würde ich die Quelle suchen, also irgendwoher muss der Auftrag der Rechteänderung ja kommen ;-) Hat jemand Ansätze wie es weiter gehen könnte? Viele Grüße, Scorpion Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.