missionsphinx
Goto Top

Dateien gelöscht, Datei mit UID im Netzlaufwerk

Hallo zusammen,

wir haben hier ein etwas interessantes Phänomen.

Die Umgebung:
Microsoft Netzwerklaufwerke auf verschiedenen Servern 2022, Share verteilt über DFS. Active Directory vorhanden.
Office 365 Apps for Enterprise - Version 2305 Build 16501.20272 - monatlicher Kanal

Die Kollegen haben in verschiedenen Netzlaufwerken *.pdf und PowerPoint *.pptx Dateien gespeichert.
Die Powerpoint bearbeiten die Kollegen und drucken diese über die Funktion "Microsoft Print to PDF".

Es passiert dann vereinzelt folgendes:
Die PowerPoint-Dateien werden in dem Verzeichnis nicht nachvollziehbar manchmal gelöscht. Diese müssen wir dann aus der Sicherung / Vorherige Version wiederherstellen.
In dem eigentlichen Verzeichnis liegt dann eine Datei ab, die rein eine UUID im Dateinahmen aufweist. Größe ist immer 42KB. Die Powerpoint fehlt. Von der Powerpoint-Datei fehlt jede Spur. Laut den Benutzern passiert das auch ganz vereinzelt bei Excel Dateien.

Wir können uns nicht erklären, warum die Dateien gelöscht werden bzw. warum in den Verzeichnissen auf einmal eine Datei mit einer reinen GUID zu finden ist.

Grüße
ergebnis
restore

Content-ID: 8078861902

Url: https://administrator.de/contentid/8078861902

Printed on: October 16, 2024 at 00:10 o'clock

Pjordorf
Pjordorf Aug 08, 2023 updated at 14:50:43 (UTC)
Goto Top
Hallo,

Zitat von @Missionsphinx:
In dem eigentlichen Verzeichnis liegt dann eine Datei ab, die rein eine UUID im Dateinahmen aufweist. Größe ist immer 42KB. Die Powerpoint fehlt. Von der Powerpoint-Datei fehlt jede Spur. Laut den Benutzern passiert das auch ganz vereinzelt bei Excel Dateien.
Mal in einer solchen Datei reingeschaut was in den 42kb so an Zeichen drin stehen? Notfalls mit einem Hex-Editor.

Wir können uns nicht erklären, warum die Dateien gelöscht werden bzw. warum in den Verzeichnissen auf einmal eine Datei mit einer reinen GUID zu finden ist.
Was sagen denn die Dateieigenschaften aus wer Besitzer usw. ist? Was da geändert?
Mal über erweitertes LOGging nachgedacht zumindest bei den .PPT* Dateien? Das OS bietet dar was an. Wer bzw welche Gerätschaften haben alles LÖSCH Rechte?

Gruß,
Peter
O.Gensch
O.Gensch Aug 08, 2023 at 15:47:56 (UTC)
Goto Top
Hallo,
wie sieht es mit Virenprogrammen aus? eventuell werden die Dateien von einer Sicherheitsrelevanten Anwendung gelöscht?

LG
Lochkartenstanzer
Lochkartenstanzer Aug 08, 2023 updated at 16:34:48 (UTC)
Goto Top
Zitat von @O.Gensch:

Hallo,
wie sieht es mit Virenprogrammen aus? eventuell werden die Dateien von einer Sicherheitsrelevanten Anwendung gelöscht?

z.B. einem Trojaner, der selektiv vorgeht. face-smile

lks

PS: Ist die UID immer die gleiche oder variiert diese? Hast Du die UID schon mal gegoogelt?
O.Gensch
O.Gensch Aug 08, 2023 updated at 16:41:31 (UTC)
Goto Top
Zitat von @Lochkartenstanzer:

z.B. einem Trojaner, der selektiv vorgeht. face-smile


Hatte noch nicht die Ehre mit solch einer Sorte face-wink (ich meinte den Trojaner und nicht....)

Nö Beim FirtiClient werden z.B. Dateien die er als INfiziert identifiziert auf dem EMS Server in Karantene gestellt bzw. gelöscht face-smile Da ich nicht weis wie sein Netz ist habe eine Möglichkeit angedeuted

LG
Lochkartenstanzer
Lochkartenstanzer Aug 08, 2023 at 16:52:26 (UTC)
Goto Top
Zitat von @O.Gensch:

Zitat von @Lochkartenstanzer:

z.B. einem Trojaner, der selektiv vorgeht. face-smile


Hatte noch nicht die Ehre mit solch einer Sorte face-wink (ich meinte den Trojaner und nicht....)

Nö Beim FirtiClient werden z.B. Dateien die er als INfiziert identifiziert auf dem EMS Server in Karantene gestellt bzw. gelöscht face-smile Da ich nicht weis wie sein Netz ist habe eine Möglichkeit angedeuted

Ich durfte schon bei (Neu-)Kunden Feuerwehr spielen. Da gibt es manchmal sehr komische/lustige Exemplare von Trojanern.

lks
Missionsphinx
Missionsphinx Aug 10, 2023 at 07:43:20 (UTC)
Goto Top
Zitat von @Pjordorf:

Hallo,

Zitat von @Missionsphinx:
In dem eigentlichen Verzeichnis liegt dann eine Datei ab, die rein eine UUID im Dateinahmen aufweist. Größe ist immer 42KB. Die Powerpoint fehlt. Von der Powerpoint-Datei fehlt jede Spur. Laut den Benutzern passiert das auch ganz vereinzelt bei Excel Dateien.
Mal in einer solchen Datei reingeschaut was in den 42kb so an Zeichen drin stehen? Notfalls mit einem Hex-Editor.

Wir können uns nicht erklären, warum die Dateien gelöscht werden bzw. warum in den Verzeichnissen auf einmal eine Datei mit einer reinen GUID zu finden ist.
Was sagen denn die Dateieigenschaften aus wer Besitzer usw. ist? Was da geändert?
Mal über erweitertes LOGging nachgedacht zumindest bei den .PPT* Dateien? Das OS bietet dar was an. Wer bzw welche Gerätschaften haben alles LÖSCH Rechte?

Gruß,
Peter

Hallo Peter,

in solch eine Datei habe ich natürlich reingeschaut. Hier sind für mich nur "wirre" Zahlen-Buchstabenkombinationen enthalten:
"MvcZeYxd7RxArKAhijVgRGwIWRESK4ve7m3W/84DzgEMPs/+H55iZnZ2ZnXnn/77v7Oxuxrdv32ZQoECBgvQAE+m/AgUKFBg9FMJSoEBBuoFCWAoUKEg3UAhLgQIF6QYKYSlQoCDdQCEsBQoUpBsohKVAgYJ0A4WwFChQkG6gEJYCBQrSDRTCUqBAQbqBQlgKFChIN1AIS4ECBekGCmEpUKAg3UAhLIMhMDAwIiJCiihQoCANYPr7779LwaQRHx//22+/7d6928bGpm....."

Mit dem Hex-Editor habe ich auch schon geschaut, auch hier nur für mich "wirre" Kombinationen.

Bei den Dateieigenschaften hat sich nichts verändert. Es sind die ursprünglichen Berechtigungen gesetzt. Mit den Berechtigungen bin ich mir nicht sicher. Das wurde lange vor meiner Zeit mir Solarwinds ARM umgesetzt. Da stecke ich nicht tief genug drin.

grüße
Tobias
Missionsphinx
Missionsphinx Aug 10, 2023 at 07:46:18 (UTC)
Goto Top
Zitat von @O.Gensch:

Hallo,
wie sieht es mit Virenprogrammen aus? eventuell werden die Dateien von einer Sicherheitsrelevanten Anwendung gelöscht?

LG

Wir haben das Produkt Microsoft 365 im Einsatz mit dementsprechend, eingestellten Microsoft Defender. Als Threat Prevention kommt DeepInstinct zum Einsatz.

Grüße
Tobias