Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

gelöst Geplante Tasks automatisiert löschen

Mitglied: fugu

fugu (Level 2) - Jetzt verbinden

25.07.2019, aktualisiert 15:06 Uhr, 1203 Aufrufe, 17 Kommentare

Hallo Com!

Hier mal wieder eine Frage an die Batch und Powershell - Gurus unter euch... und wieder zücke ich meinen Hut...

Ich suche nach einer Skript-Möglichkeit zum automatisierten Löschen aller (ggf. mit benennbaren Ausnahmen) geplanten Tasks eines Users.
Das Skript soll bei der Benutzeranmeldung automatisch ausgeführt werden. Das ist soweit kein Problem über Zuweisung per GPO - nur für das Skript selbst habe ich keinen Ansatz.

Alle Tasks pauschal löschen wäre absolut ok.
Wenn die Möglichkeit bestünde, bestimme Tasks vor dem Gelöscht werden zu bewahren (z. B. die Google Chrome Update Tasks) dann wäre das optimal - aber nur wenn's problemlos möglich ist.

Noch besser wäre - im Hinblick auf die ganzen verborgenen System-Tasks - einfach ein Windows-Default wieder herzustellen... sodass alle von wem auch immer erzeugten Tasks gelöscht werden.

Vielen Dank im Voraus.
Wahrscheinlich wird's wieder ein Einzeiler und ich frage mich, welchen genialen Kopf man haben muss, um aus sowas zu kommen...

Greetz,
Fugu
Mitglied: Bitboy
25.07.2019 um 15:30 Uhr
Hi,

bei sowas frage ich ja immer nach der Ursache warum die Tasks denn da sind.
Wenns von Standard Softwareinstallern kommt wäre es ja eine nachhaltigere Idee diese so auszurollen, dass auch der Task nciht installiert wird.
Wenns vom User selbstgebasteltes ist, wärs vllt sinnvoll den Zugriff darauf einzuschränken.

Was deine Frage angeht, du könntest mal schauen obs das löschen nciht direkt über die GPO geht
Computerkonfiguration -> Einstellungen -> Systemsteuerungseinstellungen -> Geplante Aufgaben
oder halt in der Benutzerkonfiguration.

mfg
Bitte warten ..
Mitglied: fugu
25.07.2019 um 15:53 Uhr
Tut mir leid, wenn's schwammig wirkt - sollte nicht so sein.

Hintergrund:
Div. Verschlüsselungs-Trojaner machen bei dem fatalen Klick des Users nichts anderes, als einen geplanten Task anzulegen, mit dem später versucht wird der installierte Virenscanner auszutricksen.

Also würde ich gerne alle Tasks automatisiert löschen lassen, "die nicht original" sind - und das bei jeder User-Anmeldung.

Greetz,
Fugu
Bitte warten ..
Mitglied: Kraemer
25.07.2019 um 15:57 Uhr
Zitat von fugu:
Hintergrund:
Div. Verschlüsselungs-Trojaner machen bei dem fatalen Klick des Users nichts anderes, als einen geplanten Task anzulegen, mit dem später versucht wird der installierte Virenscanner auszutricksen.
nicht möglich bei einfachen Benutzern, es se denn, die AV-Software hat Fehler

Also würde ich gerne alle Tasks automatisiert löschen lassen, "die nicht original" sind - und das bei jeder User-Anmeldung.
dann mach es richtig und nutze eine Reborncard.
Bitte warten ..
Mitglied: harbyadm
25.07.2019 um 16:16 Uhr
Hallo

schtasks /Delete /TN "Aufgabenname" /F

das sollte der erwähnte einzeiler sein.
mfg
Bitte warten ..
Mitglied: DerWoWusste
26.07.2019, aktualisiert um 13:45 Uhr
Zu deinem Szenario mit den Verschlüsselungstrojanern:

Verbiete doch einfach, dass User Tasks anlegen können. Ich sehe wenig Sinn darin, dass sie es überhaupt können. Wenn Tasks gebraucht werden, dann werden diese in der Regel von Setups angelegt, die eh Adminrechte brauchen.
Man verbietet das, indem man die Schreibrechte auf demTasksordner für User entfernt.
capture - Klicke auf das Bild, um es zu vergrößern
Bitte warten ..
Mitglied: 140447
26.07.2019 um 13:42 Uhr
Sehe ich auch so, statt an den Symptomen rum zu doktorn besser gleich von vornherein Schutzmaßnahmen ergreifen, denn ist der Angreifer erst mal im System bringen nachträgliche Einzelaktionen meist wenig, und wenn dann meist zu spät.
Bitte warten ..
Mitglied: Fireblastr2018
26.07.2019, aktualisiert 27.07.2019
Sehe ich nicht so!
Der Virus wird aktiv durch User klick oder angelegter Aufgabe!
Wenn das Netz schon Kompromittiert ist durch schlechte Rechtevergabe, aber der Trojaner noch nicht komplett ist (Aufgaben) , könnte es sehr interessant sein die Aufgaben wieder auf Default zu setzen bzw. erst mal alle zu löschen um weiteres (NACHLADEN) an Code zu vermeiden!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule

Vor einem neu installierten System exportieren und an dem PC alt importieren!?
Das ist doch denkbar oder?
Bitte warten ..
Mitglied: 140447
27.07.2019, aktualisiert um 08:00 Uhr
Zitat von Fireblastr2018:

Sehe ich nicht so!
Der Virus wird aktiv durch User klick oder angelegter Aufgabe!
Wenn der User keine Rechte hat Tasks anzulegen kommt es erst gar nicht dazu daß solche Tasks angelegt werden.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule

Vor einem neu installierten System exportieren und an dem PC alt importieren!?
Das ist doch denkbar oder?
Bringt aber nur was wenn das Viechzeuch nicht schon andere Teile verseucht hat. Tasks sind nicht die einzige Stelle an der sich ein Schädling einnisten kann, da gibt es hunderte mehr. Eine entsprechende Verhaltenserkennung die die Kisten vom Netz trennt ist da allemal effektiver. Eine bereits verseuchte Kiste säubere ich nicht mehr, die wird neu aufgesetzt, sonst hast du gleich wieder Probleme wenn du nur eine Kleinigkeit übersiehst. Das haben schon andere versucht, letztens erst wieder ein Krankenhaus. Die haben die Kisten manuell gesäubert und wieder ohne weitere Maßnahmen ans Netz genommen, kurz drauf war das ganze Netz wieder kompromittiert.
Bitte warten ..
Mitglied: Fireblastr2018
31.07.2019, aktualisiert um 13:21 Uhr
Zitat von Fireblastr2018:

Sehe ich nicht so!
Der Virus wird aktiv durch User klick oder angelegter Aufgabe!
Wenn der User keine Rechte hat Tasks anzulegen kommt es erst gar nicht dazu daß solche Tasks angelegt werden.

Ja das ist schon klar, aber wenn es schon Aufgaben gibt im User Profil?

Ein Unternehmen mit 5 Server und 50 Workstation neu zu installieren ist halt nicht mal eben so gemacht!
Bitte warten ..
Mitglied: 140447
31.07.2019 um 13:15 Uhr
Zitat von Fireblastr2018:
Ja das ist schon klar, aber wenn es schon Aufgaben gibt im User Profil?
Dann gilt das Teil schon als verseucht und gehört von verantwortungsvollen Admins neu aufgesetzt.
Bitte warten ..
Mitglied: Fireblastr2018
31.07.2019 um 13:28 Uhr
Das ist alles richtig aber leider nicht die FRAGE!

Die Frage ist: "Ich suche nach einer Skript-Möglichkeit zum automatisierten Löschen aller (ggf. mit benennbaren Ausnahmen) geplanten Tasks"
Bitte warten ..
Mitglied: Kraemer
31.07.2019 um 13:37 Uhr
Zitat von Fireblastr2018:

Das ist alles richtig aber leider nicht die FRAGE!

Die Frage ist: "Ich suche nach einer Skript-Möglichkeit zum automatisierten Löschen aller (ggf. mit benennbaren Ausnahmen) geplanten Tasks"
siehe 1. Antwort in diesem Thread
Bitte warten ..
Mitglied: DerWoWusste
31.07.2019, aktualisiert um 13:39 Uhr
Zur Frage: Man kann auslesen, was ein Referenzsystem (eines mit frischem Windows und der Software, die man als Referenz heranzieht) für Tasks hat und natürlich dieses auch bei anderen herstellen, ja. Aber ob das wirklich hinhaut? Wer hat denn ein so einheitliches Netzwerk?

Du hast doch keine komplett gleichen Systeme und musst vielmehr davon ausgehen, dass einigeTasks legitim drin sind, die von Software stammen, die installiert wurde.

Somit ist das einzig Vernünftige für Leute, die davon ausgehen, dass ihr Netzwerk derzeit nicht verseucht ist, die aber Tasks als Gefahr ansehen, das Anlegen selbiger für Nutzer zu sperren.

Für Leute, die davon ausgehen, dass Ihr Netzwerk verseucht ist ("eventuell verseucht" hat die selben Konsequenzen wie "verseucht"), steht dann eher eine sorgfältige Analyse an und nicht etwa ein Zurücksetzen von Tasks auf einen "Default", den es nicht wirklich gibt.
Bitte warten ..
Mitglied: 140447
31.07.2019, aktualisiert um 14:36 Uhr
Zitat von Fireblastr2018:
Die Frage ist: "Ich suche nach einer Skript-Möglichkeit zum automatisierten Löschen aller (ggf. mit benennbaren Ausnahmen) geplanten Tasks"
Ist eben in dem vom TO genannten ZUsammenhang nicht sinnvoll, wie DerWoWusste schon anmerkt, ist nicht jedes System gleich. Ein Einzeiler der dir alle Tasks löscht außer denen die unter "/Microsoft/.." liegen und wenn gewünscht zusätzlicher Außnahmen ist schnell runtergetippt, s. @Kraemer, berücksichtigt aber nicht im Root oder anderen Ordner liegende Tasks die ebenfalls von legitimier Software angelegt wurden, die du damit ebenfalls killst. Außerdem könnte sich ein Task ja auch in den Microsoft Ordnern verstecken. Ein Abgleich bringt nur was wenn alle Rechner wirklich den gleichen Softwarestand haben. In dem Fall ist das schnell gemacht:

Auf einem Referenz-System ausgeführt
Zum Vergleich und löschen dann
Weitere Eigenschaften der Tasks kann man natürlich nach Lust und Laune hinzufügen, im Beispiel sind das nur TaskPath und TaskName welche mit den exportierten Informationen verglichen werden.
Außnahmen lassen sich leicht im Where-Object festlegen wenn das zusätzlich gewünscht ist.
Bitte warten ..
Mitglied: fugu
28.09.2019 um 14:10 Uhr
Verantwortungsvolle Admins setzten definitiv nicht jeden wie auch immer verseuchten PC neu auf... Eine Bereinigung ist häufig möglich und aus wirtschaftlicher Sicht angebracht - sofern das Bedrohungs-Szenario eindeutig ist - so wie hier!
Bitte warten ..
Mitglied: fugu
28.09.2019 um 14:12 Uhr
Die Tasks wurden alle manuell gelöscht und die Server durch Image-Rücksicherungen wiederhergestellt.
Das Netzwerk ist inzw. wieder komplett sauber und funktioniert fehlerfrei.
Bitte warten ..
Ähnliche Inhalte
Datenbanken
Datenbank gut geplant?
Frage von tobmesDatenbanken13 Kommentare

HI Experten, zur Zeit befasse ich micht etwas mit der Entwicklung von Webanwendungen. Dazu habe ich eine kleine Anwendung ...

LAN, WAN, Wireless

Spezielle Routerkaskade geplant: Netzabtrennung, Portforwardings und WLAN-Funkstrecke

gelöst Frage von PluwimLAN, WAN, Wireless62 Kommentare

Hallo zusammen, bin schon einige Zeit am recherchieren, was für mein Szenario die beste und einfachste Lösung wäre, da ...

Microsoft Office

Makros automatisiert signieren?

Frage von ITboonMicrosoft Office14 Kommentare

Guten Morgen, Meine Frage: Kann man Makros automatisiert signieren? Der Hintergrund: In meinem Unternehmen habe ich alle Makros deaktiviert ...

Router & Routing

4 Netzwerke geplant - und nur Probleme

gelöst Frage von Hexa09Router & Routing26 Kommentare

Hallo, ich habe eigentlich keine großen Probleme mit meinem Vorhaben erwartet, und nun steh ich vor einem Rätsel. Ich ...

Neue Wissensbeiträge
Router & Routing

FritzOS 7.20 kommt auch auf Deine Fritze (wahrscheinlich)

Information von Visucius vor 7 StundenRouter & Routing

Nachdem ich hier die Hassliebe zu den kleinen Kistchen kenne, sollten wir das nicht zu breit ausdehnen. Ein paar ...

Netzwerke
PfSense und OPNsense Client VPN mit L2TP Protokoll
Anleitung von aqui vor 15 StundenNetzwerke

Allgemeine Einleitung Das folgende VPN Tutorial ist eine Ergänzung zum bestehenden VPN_Client_Tutorial. Es beschreibt ebenfalls die VPN Anbindung von ...

Datenschutz

Berliner Datenschutzbeauftragten prüfen Videokonferenz-SW

Information von Visucius vor 3 TagenDatenschutz2 Kommentare

Eine grüne Ampel erhielten kommerziell bereitgestellte Instanzen der Open-Source-Software Jitsi, etwa von Netways oder sichere-videokonferenz.de. Eine positive Bewertung erhielten ...

LAN, WAN, Wireless
Sophos Central Wireless v2.3.0-6 massive Probleme
Information von Voiper vor 5 TagenLAN, WAN, Wireless

Hallo Zusammen, wenn Ihr Sophos Central nutzt und die neuen APX Accesspoints im Einsatz habt, vermeidet das Update der ...

Heiß diskutierte Inhalte
Firewall
Sophos XG Firewall mit RED 15 verbinden
Frage von roeggiFirewall23 Kommentare

Hallo Zusammen Ich verzweifle gerade an der Konfiguration mit einer RED 15 mit einer XG Firewall. Ich habe das ...

Festplatten, SSD, Raid
Raid5 SAS HDD auf RAID10 SSD ML350 G8
gelöst Frage von DCFan01Festplatten, SSD, Raid19 Kommentare

Hallo Community, ich habe hier bei mir einen HPE ML350G8, mit P440 Raid-Controller und derzeit 4x SAS 10K HDD ...

Video & Streaming
Kaufberatung gesucht: Überwachungskamera
Frage von SarekHLVideo & Streaming17 Kommentare

Hallo zusammen, der Bereich hinter unserer Kirche hat sich zu einem abendlichen Treffpunkt für Jugendliche entwickelt, die dort regelmäßig ...

VB for Applications
VB Script Webseite open
gelöst Frage von MrLabelVB for Applications13 Kommentare

Hallo, ich habe ein VB Script geschrieben zur Anmeldung an einer Webseite. Das läuft auch alles gut soweit - ...