fugu
Goto Top

Geplante Tasks automatisiert löschen

Hallo Com!

Hier mal wieder eine Frage an die Batch und Powershell - Gurus unter euch... und wieder zücke ich meinen Hut...

Ich suche nach einer Skript-Möglichkeit zum automatisierten Löschen aller (ggf. mit benennbaren Ausnahmen) geplanten Tasks eines Users.
Das Skript soll bei der Benutzeranmeldung automatisch ausgeführt werden. Das ist soweit kein Problem über Zuweisung per GPO - nur für das Skript selbst habe ich keinen Ansatz.

Alle Tasks pauschal löschen wäre absolut ok.
Wenn die Möglichkeit bestünde, bestimme Tasks vor dem Gelöscht werden zu bewahren (z. B. die Google Chrome Update Tasks) dann wäre das optimal - aber nur wenn's problemlos möglich ist.

Noch besser wäre - im Hinblick auf die ganzen verborgenen System-Tasks - einfach ein Windows-Default wieder herzustellen... sodass alle von wem auch immer erzeugten Tasks gelöscht werden.

Vielen Dank im Voraus.
Wahrscheinlich wird's wieder ein Einzeiler und ich frage mich, welchen genialen Kopf man haben muss, um aus sowas zu kommen...

Greetz,
Fugu

Content-ID: 477519

Url: https://administrator.de/forum/geplante-tasks-automatisiert-loeschen-477519.html

Ausgedruckt am: 22.12.2024 um 22:12 Uhr

Kraemer
Kraemer 25.07.2019 um 15:14:23 Uhr
Goto Top
Bitboy
Bitboy 25.07.2019 um 15:30:35 Uhr
Goto Top
Hi,

bei sowas frage ich ja immer nach der Ursache warum die Tasks denn da sind.
Wenns von Standard Softwareinstallern kommt wäre es ja eine nachhaltigere Idee diese so auszurollen, dass auch der Task nciht installiert wird.
Wenns vom User selbstgebasteltes ist, wärs vllt sinnvoll den Zugriff darauf einzuschränken.

Was deine Frage angeht, du könntest mal schauen obs das löschen nciht direkt über die GPO geht
Computerkonfiguration -> Einstellungen -> Systemsteuerungseinstellungen -> Geplante Aufgaben
oder halt in der Benutzerkonfiguration.

mfg
fugu
fugu 25.07.2019 um 15:53:56 Uhr
Goto Top
Tut mir leid, wenn's schwammig wirkt - sollte nicht so sein.

Hintergrund:
Div. Verschlüsselungs-Trojaner machen bei dem fatalen Klick des Users nichts anderes, als einen geplanten Task anzulegen, mit dem später versucht wird der installierte Virenscanner auszutricksen.

Also würde ich gerne alle Tasks automatisiert löschen lassen, "die nicht original" sind - und das bei jeder User-Anmeldung.

Greetz,
Fugu
Kraemer
Kraemer 25.07.2019 um 15:57:30 Uhr
Goto Top
Zitat von @fugu:
Hintergrund:
Div. Verschlüsselungs-Trojaner machen bei dem fatalen Klick des Users nichts anderes, als einen geplanten Task anzulegen, mit dem später versucht wird der installierte Virenscanner auszutricksen.
nicht möglich bei einfachen Benutzern, es se denn, die AV-Software hat Fehler

Also würde ich gerne alle Tasks automatisiert löschen lassen, "die nicht original" sind - und das bei jeder User-Anmeldung.
dann mach es richtig und nutze eine Reborncard.
harbyadm
harbyadm 25.07.2019 um 16:16:03 Uhr
Goto Top
Hallo

schtasks /Delete /TN "Aufgabenname" /F

das sollte der erwähnte einzeiler sein.
mfg
DerWoWusste
DerWoWusste 26.07.2019 aktualisiert um 13:45:52 Uhr
Goto Top
Zu deinem Szenario mit den Verschlüsselungstrojanern:

Verbiete doch einfach, dass User Tasks anlegen können. Ich sehe wenig Sinn darin, dass sie es überhaupt können. Wenn Tasks gebraucht werden, dann werden diese in der Regel von Setups angelegt, die eh Adminrechte brauchen.
Man verbietet das, indem man die Schreibrechte auf demTasksordner für User entfernt.
capture
140447
140447 26.07.2019 um 13:42:11 Uhr
Goto Top
Sehe ich auch so, statt an den Symptomen rum zu doktorn besser gleich von vornherein Schutzmaßnahmen ergreifen, denn ist der Angreifer erst mal im System bringen nachträgliche Einzelaktionen meist wenig, und wenn dann meist zu spät.
Fireblastr2018
Fireblastr2018 26.07.2019, aktualisiert am 27.07.2019 um 02:39:03 Uhr
Goto Top
Sehe ich nicht so!
Der Virus wird aktiv durch User klick oder angelegter Aufgabe!
Wenn das Netz schon Kompromittiert ist durch schlechte Rechtevergabe, aber der Trojaner noch nicht komplett ist (Aufgaben) , könnte es sehr interessant sein die Aufgaben wieder auf Default zu setzen bzw. erst mal alle zu löschen um weiteres (NACHLADEN) an Code zu vermeiden!

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule

Vor einem neu installierten System exportieren und an dem PC alt importieren!?
Das ist doch denkbar oder?
140447
140447 27.07.2019 aktualisiert um 08:00:48 Uhr
Goto Top
Zitat von @Fireblastr2018:

Sehe ich nicht so!
Der Virus wird aktiv durch User klick oder angelegter Aufgabe!
Wenn der User keine Rechte hat Tasks anzulegen kommt es erst gar nicht dazu daß solche Tasks angelegt werden.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule

Vor einem neu installierten System exportieren und an dem PC alt importieren!?
Das ist doch denkbar oder?
Bringt aber nur was wenn das Viechzeuch nicht schon andere Teile verseucht hat. Tasks sind nicht die einzige Stelle an der sich ein Schädling einnisten kann, da gibt es hunderte mehr. Eine entsprechende Verhaltenserkennung die die Kisten vom Netz trennt ist da allemal effektiver. Eine bereits verseuchte Kiste säubere ich nicht mehr, die wird neu aufgesetzt, sonst hast du gleich wieder Probleme wenn du nur eine Kleinigkeit übersiehst. Das haben schon andere versucht, letztens erst wieder ein Krankenhaus. Die haben die Kisten manuell gesäubert und wieder ohne weitere Maßnahmen ans Netz genommen, kurz drauf war das ganze Netz wieder kompromittiert.
Fireblastr2018
Fireblastr2018 31.07.2019 aktualisiert um 13:21:19 Uhr
Goto Top
Zitat von @Fireblastr2018:

Sehe ich nicht so!
Der Virus wird aktiv durch User klick oder angelegter Aufgabe!
Wenn der User keine Rechte hat Tasks anzulegen kommt es erst gar nicht dazu daß solche Tasks angelegt werden.

Ja das ist schon klar, aber wenn es schon Aufgaben gibt im User Profil?

Ein Unternehmen mit 5 Server und 50 Workstation neu zu installieren ist halt nicht mal eben so gemacht!
140447
140447 31.07.2019 um 13:15:28 Uhr
Goto Top
Zitat von @Fireblastr2018:
Ja das ist schon klar, aber wenn es schon Aufgaben gibt im User Profil?
Dann gilt das Teil schon als verseucht und gehört von verantwortungsvollen Admins neu aufgesetzt.
Fireblastr2018
Fireblastr2018 31.07.2019 um 13:28:37 Uhr
Goto Top
Das ist alles richtig aber leider nicht die FRAGE!

Die Frage ist: "Ich suche nach einer Skript-Möglichkeit zum automatisierten Löschen aller (ggf. mit benennbaren Ausnahmen) geplanten Tasks"
Kraemer
Kraemer 31.07.2019 um 13:37:48 Uhr
Goto Top
Zitat von @Fireblastr2018:

Das ist alles richtig aber leider nicht die FRAGE!

Die Frage ist: "Ich suche nach einer Skript-Möglichkeit zum automatisierten Löschen aller (ggf. mit benennbaren Ausnahmen) geplanten Tasks"
siehe 1. Antwort in diesem Thread
DerWoWusste
DerWoWusste 31.07.2019 aktualisiert um 13:39:38 Uhr
Goto Top
Zur Frage: Man kann auslesen, was ein Referenzsystem (eines mit frischem Windows und der Software, die man als Referenz heranzieht) für Tasks hat und natürlich dieses auch bei anderen herstellen, ja. Aber ob das wirklich hinhaut? Wer hat denn ein so einheitliches Netzwerk?

Du hast doch keine komplett gleichen Systeme und musst vielmehr davon ausgehen, dass einigeTasks legitim drin sind, die von Software stammen, die installiert wurde.

Somit ist das einzig Vernünftige für Leute, die davon ausgehen, dass ihr Netzwerk derzeit nicht verseucht ist, die aber Tasks als Gefahr ansehen, das Anlegen selbiger für Nutzer zu sperren.

Für Leute, die davon ausgehen, dass Ihr Netzwerk verseucht ist ("eventuell verseucht" hat die selben Konsequenzen wie "verseucht"), steht dann eher eine sorgfältige Analyse an und nicht etwa ein Zurücksetzen von Tasks auf einen "Default", den es nicht wirklich gibt.
140447
140447 31.07.2019 aktualisiert um 14:36:11 Uhr
Goto Top
Zitat von @Fireblastr2018:
Die Frage ist: "Ich suche nach einer Skript-Möglichkeit zum automatisierten Löschen aller (ggf. mit benennbaren Ausnahmen) geplanten Tasks"
Ist eben in dem vom TO genannten ZUsammenhang nicht sinnvoll, wie DerWoWusste schon anmerkt, ist nicht jedes System gleich. Ein Einzeiler der dir alle Tasks löscht außer denen die unter "/Microsoft/.." liegen und wenn gewünscht zusätzlicher Außnahmen ist schnell runtergetippt, s. @Kraemer, berücksichtigt aber nicht im Root oder anderen Ordner liegende Tasks die ebenfalls von legitimier Software angelegt wurden, die du damit ebenfalls killst. Außerdem könnte sich ein Task ja auch in den Microsoft Ordnern verstecken. Ein Abgleich bringt nur was wenn alle Rechner wirklich den gleichen Softwarestand haben. In dem Fall ist das schnell gemacht:

Auf einem Referenz-System ausgeführt
Get-ScheduledTask | select TaskPath,TaskName | export-csv "D:\orginal.csv" -NoType -Encoding UTF8 -Delimiter ";"  
Zum Vergleich und löschen dann
Compare (Import-CSV "D:\orginal.csv" -Delimiter ";") (Get-ScheduledTask) -Property TaskPath,TaskName -PassThru | ?{$_.SideIndicator -eq '=>'} | Unregister-ScheduledTask -Confirm:$false -Verbose  
Weitere Eigenschaften der Tasks kann man natürlich nach Lust und Laune hinzufügen, im Beispiel sind das nur TaskPath und TaskName welche mit den exportierten Informationen verglichen werden.
Außnahmen lassen sich leicht im Where-Object festlegen wenn das zusätzlich gewünscht ist.
fugu
fugu 28.09.2019 um 14:10:52 Uhr
Goto Top
Verantwortungsvolle Admins setzten definitiv nicht jeden wie auch immer verseuchten PC neu auf... Eine Bereinigung ist häufig möglich und aus wirtschaftlicher Sicht angebracht - sofern das Bedrohungs-Szenario eindeutig ist - so wie hier!
fugu
fugu 28.09.2019 um 14:12:44 Uhr
Goto Top
Die Tasks wurden alle manuell gelöscht und die Server durch Image-Rücksicherungen wiederhergestellt.
Das Netzwerk ist inzw. wieder komplett sauber und funktioniert fehlerfrei.