CassiX Geschrieben 15. September 2009 Geschrieben 15. September 2009 ein gemeiner kollege hat gestern meinen pc über den befehl shutdown -i und mittels meiner IP heruntergefahren... weil sich aber fürt den datenverlust keiner verantwortlich fühlt wollte ich gerne selber in erfahrung bringen wie ich herausfinden kann von welchem pc aus der befehl ausging. im rahmen unserer ausbildung experimentieren wir schon lange mit solchen netzwerktechniken und befehlen herum und da wäre es auch nur alzu interesant auch dies in erfahrung bringen zu können. vielen dank. bob
Guenny0815 Geschrieben 15. September 2009 Geschrieben 15. September 2009 Hast du schonmal die Erreignisanzeige des betroffenenen Computers zur besagten Uhrzeit durchforstet?
CassiX Geschrieben 15. September 2009 Autor Geschrieben 15. September 2009 wenn mir jemand erklärt wie das funktioniert... wir arbeiten im übrigen mit win xp, sollte nicht ganz unwichtig sein. jedenfalls wäre ich über eine möglichkeit den übeltäter pc herauszufinden sehr erfreut. meine kollegen und ich konnten leider keinen weg finden um den namen oder die ip zu ermitteln. jediglich die uhr zeit wissen wir
Guenny0815 Geschrieben 15. September 2009 Geschrieben 15. September 2009 Du musst doch wissen welcher PC heruntergefahren wurde wenn es zu Datenverlust etc gekommen ist. Oder versteh ich das Grad falsch? LG
Gast Geschrieben 15. September 2009 Geschrieben 15. September 2009 Der Zielpc (also der, der heruntergefahren ist) ist ja auch klar. Es geht um den Quellpc (von dem der Befehl ausging). Ereignisanzeige: Start - ausführen - eventvwr
CassiX Geschrieben 15. September 2009 Autor Geschrieben 15. September 2009 ja das ziel is klar, icke war das versuchskaninchen... ich mag ja nur wissen wie ich jetzt im ernstfall den verursacher ausfindig mache... schöner ansatz chief. leider find ich da nix gescheites. wie muss das protokoll denn aussehen bzw wo genau stehen?
Eye-Q Geschrieben 15. September 2009 Geschrieben 15. September 2009 Beim Herunterfahren gibt es mindestens einen Eintrag mit der Ereignis-ID 6006 ("Der Ereignisprotokolldienst wurde beendet."). Wenn Windows etwas protokolliert hat, von welchem Rechner aus das Kommando kam, muss das unmittelbar vor (also in der Anzeige unter) diesem Eintrag sein. Wenn Windows das nicht protokolliert hat, dann kann man das eben nicht heraus finden.
CassiX Geschrieben 16. September 2009 Autor Geschrieben 16. September 2009 ja das ist dem ähnlich was ich schon dursucht habe. in dem protokoll mit der id 6006 stehen keine relevanten informationen und in dem davor folgendes: Der Prozess winlogon.exe hat den Neustart von xxxx (name meines pcs) aus folgenden Gründen initialisiert: Es wurde kein Titel für den Grund gefunden. Nebensächlicher Grund: 0x14 Herunterfahrungstyp: Neustart Kommentar: quelle: user32 ereigniskennung: 1074 der rest wie zeit, datum, typ oder kategorie sei jetzt mal nebensächlich... als qulle hatte ich mir ja den vermeindlichen übeltäter vorgestellt aber das is ja nicht... wenn es denn nun wirklich keine möglichkeit gibt, was schade wäre, dann beenden wir das hier. allerdings funktioniert es bei vista auf grund verschiedener neuer protokolle ganz gut dies heraus zu finden
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde Dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde Dich hier an.
Jetzt anmelden