lowbyte1
Goto Top

Prozess ermitteln der diesen Ordner erstellt

Hi

Seit letzter Zeit ist mir aufgefallen das ich ein leeren Ordner unter C:\ habe. Dieser Ordner trägt den Namen AuthLog.
Aber ich weiss nicht wo der herkommt ! Ich habe ihn ja auch nicht erstellt. Wen ich ihn lösche ist er nach einem neustart wider vorhanden ! Sehr komisch.
Darum möchte ich diesen Prozess oder Service ermitteln, der diesen Ordner erstellt.
Zum anderen... Ich habe keine Malware auf dem rechner zu 100%. Das würde vollständig geprüft. local und extern.
Gibt es ein Programm das soetwas kann ?

Trapwire fällt mir da grade spontan ein. Doch würde es eben auch gerne ermitteln ohne so ein (Brocken).

Danke schonmal

lowbyte

Content-Key: 140200

Url: https://administrator.de/contentid/140200

Ausgedruckt am: 29.03.2024 um 04:03 Uhr

Mitglied: StefanKittel
StefanKittel 09.04.2010 um 08:17:57 Uhr
Goto Top
Moin,

probiers mal mit http://technet.microsoft.com/en-us/sysinternals/bb896646.aspx
oder http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

Die zeichnen alles auf was auf der Festplatte passiert.

Stefan
Mitglied: lowbyte1
lowbyte1 09.04.2010 um 19:06:14 Uhr
Goto Top
Hi

Müsste ein Program haben das beim hochfahren loggt. Wen ich procmon.exe autostarte , ist das zu spät !


lowbyte
Mitglied: matze2010
matze2010 09.04.2010, aktualisiert am 18.10.2012 um 18:41:41 Uhr
Goto Top
Hallo lowbyte,

SuFu benutzt?

AuthLog-Verzeichnis

Hast du auch einen Lenovo/IBM? Ist zwar nicht gelöst markiert, aber wenn sich der TO nicht mehr meldet ist es ja meist gelöst face-smile

Lg
Matze
Mitglied: lowbyte1
lowbyte1 10.04.2010 um 15:45:42 Uhr
Goto Top
Hi

Nei habe die Hd platt gemacht ! Habe keine Solche Programme von Lenovo/Ibm drauf. Ausser treiber. Und ich denke auch das es von einem sein wird.
Die Platte hatt genau 2 Partitionen von mir und sonnst nichts. Das Ibm zeugs wurde alles gelöscht (recoveryparti.) etc.
procmon.exe und dergleichen brauche ich schon sehr lange, aber wie gesagt wen ich es auto mitstarten lasse ist das zu spät.


lowbyte
Mitglied: matze2010
matze2010 11.04.2010 um 15:29:13 Uhr
Goto Top
Hallo lowbyte,

ohne es getestet zu haben, aber du könntest z.B. alle Berechtigungen für diesen Ordner entziehen, vielleicht meldet sich das entsprechende Programm beim nächsten Start durch einen Absturz (fehlt ein Prozess nach dem Start?) oder eine Meldung im Syslog?

Wenn du z.B. die Benachrichtigung von Zugriffsverletzungen im Syslog aktivierst, dann sollte da was drin stehen.

Lg
Matze
Mitglied: lowbyte1
lowbyte1 18.05.2010 um 07:34:28 Uhr
Goto Top
Hi

Hallo matze

Habe ich schon probiert. Doch es taucht nirgends etwas im syslog auf !!
Komisch komisch. Denke es kommt von einem Driver !
Mein lenovo/ibm hat einen Fingerprint reader. Denke es kommt von dem. Da ich ihn auch benütze (bios / sys password) ! Habe es zwar nicht getestet, doch bin mir zu 99% sicher, das es von diesem Driver kommt. ! Es gibt auch keine interaktion mit dem Folder, da ich das wia Hooking getestet habe. Warum dieser Folder erstellt wird, ist mir schleierhaft.

lowbyte