No hay una forma directa de averiguar quién creó el archivo en NTFS con exactitud. Sin embargo, es posible que tenga la oportunidad de revisar los registros de eventos para determinar quién inició sesión como administrador en ese momento. Si tienes suerte, solo había un administrador presente.
Si desea supervisar dichas actividades para ciertos directorios a partir de ahora, hay varias herramientas disponibles. Se puede hacer con monitor de proceso , por ejemplo, y si no es una cuenta local que está creando esos archivos. puede realizar una búsqueda con netstat en el PID para obtener la IP del usuario.