Use o Windows PowerShell para localizar e excluir arquivos do proprietário específico

Por causa de um ataque de ransomware (não é grande coisa, todo recuperado do backup) Eu quero limpar os diretórios e subdiretórios no compartilhamento de rede onde o ataque criou vários arquivos scrambeled. Eles são todos de propriedade do usuário que trabalha no PC que foi infectado.

Minha melhor tentativa até agora é assim:

Get-ChildItem Z:\ -Recurse | get-acl | where {($_.Owner -eq "DOMAIN\username")} | foreach { $_.Delete()}

Mas isso não funciona porque get-acl não suporta $_.Delete()

Esse $ ou $_ não é problema meu, eu acho. Eu tenho alguns outros comandos que são um pouco prováveis. Eles correm.

Como este aqui:

Get-ChildItem -filter "~*.*" -path Z:\ -recurse | where {($_.LastWriteTime -lt (get-date).AddDays(-7))} | foreach { $_.Delete()}

Eu uso isso desde dias para excluir arquivos que foram criados restaurando arquivos do backup que não foram afetados pelo malware. Eu simplesmente restaurei o compartilhamento inteiro

Mas eu vou tentar.

Em relação à sua outra dica, preciso explicar que a conta de usuário que executou o ransomware não possui arquivos criados automaticamente nessa unidade de rede. Permissão de leitura teria sido suficiente para esse usuário.

Infelizmente, esse compartilhamento tem o Change Access para todos. Isso é de dias anteriores, onde todos nós não tivemos muito a ver com o ransomware. É claro que vou alterar esses direitos de acesso quando o trabalho principal estiver concluído.

Então, por favor, eu preciso de conselhos para excluir arquivos pertencentes a essa conta especial.