Dateien gelöscht, Datei mit UID im Netzlaufwerk
Hallo zusammen,
wir haben hier ein etwas interessantes Phänomen.
Die Umgebung:
Microsoft Netzwerklaufwerke auf verschiedenen Servern 2022, Share verteilt über DFS. Active Directory vorhanden.
Office 365 Apps for Enterprise - Version 2305 Build 16501.20272 - monatlicher Kanal
Die Kollegen haben in verschiedenen Netzlaufwerken *.pdf und PowerPoint *.pptx Dateien gespeichert.
Die Powerpoint bearbeiten die Kollegen und drucken diese über die Funktion "Microsoft Print to PDF".
Es passiert dann vereinzelt folgendes:
Die PowerPoint-Dateien werden in dem Verzeichnis nicht nachvollziehbar manchmal gelöscht. Diese müssen wir dann aus der Sicherung / Vorherige Version wiederherstellen.
In dem eigentlichen Verzeichnis liegt dann eine Datei ab, die rein eine UUID im Dateinahmen aufweist. Größe ist immer 42KB. Die Powerpoint fehlt. Von der Powerpoint-Datei fehlt jede Spur. Laut den Benutzern passiert das auch ganz vereinzelt bei Excel Dateien.
Wir können uns nicht erklären, warum die Dateien gelöscht werden bzw. warum in den Verzeichnissen auf einmal eine Datei mit einer reinen GUID zu finden ist.
Grüße
wir haben hier ein etwas interessantes Phänomen.
Die Umgebung:
Microsoft Netzwerklaufwerke auf verschiedenen Servern 2022, Share verteilt über DFS. Active Directory vorhanden.
Office 365 Apps for Enterprise - Version 2305 Build 16501.20272 - monatlicher Kanal
Die Kollegen haben in verschiedenen Netzlaufwerken *.pdf und PowerPoint *.pptx Dateien gespeichert.
Die Powerpoint bearbeiten die Kollegen und drucken diese über die Funktion "Microsoft Print to PDF".
Es passiert dann vereinzelt folgendes:
Die PowerPoint-Dateien werden in dem Verzeichnis nicht nachvollziehbar manchmal gelöscht. Diese müssen wir dann aus der Sicherung / Vorherige Version wiederherstellen.
In dem eigentlichen Verzeichnis liegt dann eine Datei ab, die rein eine UUID im Dateinahmen aufweist. Größe ist immer 42KB. Die Powerpoint fehlt. Von der Powerpoint-Datei fehlt jede Spur. Laut den Benutzern passiert das auch ganz vereinzelt bei Excel Dateien.
Wir können uns nicht erklären, warum die Dateien gelöscht werden bzw. warum in den Verzeichnissen auf einmal eine Datei mit einer reinen GUID zu finden ist.
Grüße
Please also mark the comments that contributed to the solution of the article
Content-ID: 8078861902
Url: https://administrator.de/contentid/8078861902
Printed on: October 16, 2024 at 00:10 o'clock
7 Comments
Latest comment
Hallo,
Mal über erweitertes LOGging nachgedacht zumindest bei den .PPT* Dateien? Das OS bietet dar was an. Wer bzw welche Gerätschaften haben alles LÖSCH Rechte?
Gruß,
Peter
Zitat von @Missionsphinx:
In dem eigentlichen Verzeichnis liegt dann eine Datei ab, die rein eine UUID im Dateinahmen aufweist. Größe ist immer 42KB. Die Powerpoint fehlt. Von der Powerpoint-Datei fehlt jede Spur. Laut den Benutzern passiert das auch ganz vereinzelt bei Excel Dateien.
Mal in einer solchen Datei reingeschaut was in den 42kb so an Zeichen drin stehen? Notfalls mit einem Hex-Editor.In dem eigentlichen Verzeichnis liegt dann eine Datei ab, die rein eine UUID im Dateinahmen aufweist. Größe ist immer 42KB. Die Powerpoint fehlt. Von der Powerpoint-Datei fehlt jede Spur. Laut den Benutzern passiert das auch ganz vereinzelt bei Excel Dateien.
Wir können uns nicht erklären, warum die Dateien gelöscht werden bzw. warum in den Verzeichnissen auf einmal eine Datei mit einer reinen GUID zu finden ist.
Was sagen denn die Dateieigenschaften aus wer Besitzer usw. ist? Was da geändert?Mal über erweitertes LOGging nachgedacht zumindest bei den .PPT* Dateien? Das OS bietet dar was an. Wer bzw welche Gerätschaften haben alles LÖSCH Rechte?
Gruß,
Peter
Zitat von @O.Gensch:
Hallo,
wie sieht es mit Virenprogrammen aus? eventuell werden die Dateien von einer Sicherheitsrelevanten Anwendung gelöscht?
Hallo,
wie sieht es mit Virenprogrammen aus? eventuell werden die Dateien von einer Sicherheitsrelevanten Anwendung gelöscht?
z.B. einem Trojaner, der selektiv vorgeht.
lks
PS: Ist die UID immer die gleiche oder variiert diese? Hast Du die UID schon mal gegoogelt?
Hatte noch nicht die Ehre mit solch einer Sorte (ich meinte den Trojaner und nicht....)
Nö Beim FirtiClient werden z.B. Dateien die er als INfiziert identifiziert auf dem EMS Server in Karantene gestellt bzw. gelöscht Da ich nicht weis wie sein Netz ist habe eine Möglichkeit angedeuted
LG
Zitat von @O.Gensch:
Hatte noch nicht die Ehre mit solch einer Sorte (ich meinte den Trojaner und nicht....)
Nö Beim FirtiClient werden z.B. Dateien die er als INfiziert identifiziert auf dem EMS Server in Karantene gestellt bzw. gelöscht Da ich nicht weis wie sein Netz ist habe eine Möglichkeit angedeuted
Hatte noch nicht die Ehre mit solch einer Sorte (ich meinte den Trojaner und nicht....)
Nö Beim FirtiClient werden z.B. Dateien die er als INfiziert identifiziert auf dem EMS Server in Karantene gestellt bzw. gelöscht Da ich nicht weis wie sein Netz ist habe eine Möglichkeit angedeuted
Ich durfte schon bei (Neu-)Kunden Feuerwehr spielen. Da gibt es manchmal sehr komische/lustige Exemplare von Trojanern.
lks