Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWünsch Dir wasWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

EmoCheck: start per Powershell und Eventlog

Mitglied: Badger

Badger (Level 2) - Jetzt verbinden

05.02.2020 um 10:26 Uhr, 3255 Aufrufe, 9 Kommentare, 3 Danke

Seit kurzem kann man mit dem Tool EmoCheck nach spezifischen Prozessen von Emotet Ausschau halten.
Mehr Details dazu auf heise.

Leider ist das Programm so nicht geeignet, um es per Aufgabenplanung korrekt auszuführen.
Auch müssen die Log Files manuell gelesen werden.

Um diese "Probleme" zu umgehen habe ich mir ein kleines Powershell-Script geschrieben, welches das Programm startet, wieder beendet und das Ergebnis des Scans in den EventLog schreibt:
Nachdem ich nicht der große Powershell-Scripter bin, sind Verbesserungsvorschläge gerne willkommen
Auch habe ich das Script prinzipiell nur für mich geschrieben. Sprich all zu große Fehlerüberprüfungen gibt es nicht.
Daher auch: Die Anwendung des Skriptes geschieht auf eigene Gefahr. Ich übernehme keine Haftung für eventuelle Schäden!

Grüße
Patrick
Mitglied: Badger
11.02.2020, aktualisiert 31.03.2020
Update für die Version 0.0.2 von EmoCheck:
EDIT 01 13.02.2020: -WindowStyle hidden hinzugefügt
EDIT 02 13.02.2020: EntryType angepasst, da Critical nicht erlaubt ist
EDIT 03 17.02.2020: Löschen der Logfiles geändert, da diese fehlerhaft war
EDIT 04 31.03.2020: Löschen der Logfiles geändert, da diese fehlerhaft war
Bitte warten ..
Mitglied: saxe1234
13.02.2020 um 08:39 Uhr
Danke für deine Mühe.

Was mir auffällt dass sich trotzdem - zwar nur ganz kurz aber sichtbar - ein Fenster öffnet, gefühlt 25ms aber ist trotzdem unschön weil
es sichtbar ist.

mfg Sascha
Bitte warten ..
Mitglied: Badger
13.02.2020 um 09:04 Uhr
Code oben ist angepasst (bei Start-Process hab ich ein -WindowStyle hidden hinzugefügt).

Grüße
Patrick
Bitte warten ..
Mitglied: saxe1234
13.02.2020 um 09:41 Uhr
vielen Dank, läuft jetzt top und kann ich jetzt ausrollen.

Ich muss mich wohl mal mehr mit Powershell beschäftigen ...
Bitte warten ..
Mitglied: Badger
13.02.2020 um 09:55 Uhr
Das "Problem" mit den geöffneten Fenster kann man prinzipiell auch direkt per Aufgabenplanung umgehen.
Aktion -> Programm starten
Programm: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Argumente: -WindowStyle hidden "C:\scripts\emocheck\emocheck.ps1"

Nachdem ich solche Scripts immer so starte, ist mit der "Fehler" gar nicht aufgefallen.

Grüße
Patrick
Bitte warten ..
Mitglied: saxe1234
13.02.2020 um 10:14 Uhr
Ok, mein Ansatz ist es Skript und Programm per SCCM zu verteilen um dann im Falle eines Falles den 1001er Eventcode
zu senden.
Bitte warten ..
Mitglied: saxe1234
13.02.2020 um 14:09 Uhr
zur Info:

Write-EventLog : Der Parameter "EntryType" kann nicht gebunden werden. Der Wert "Critical" kann nicht in den Typ "System.Diagnostics.EventLogEntryType" konvertiert werden. Fehler: "Der Bezeichner "Critical" kann keinem gültigen Enumeratornamen zugeordnet werden. Geben Sie einen der folgenden
Enumeratornamen an, und wiederholen Sie den Vorgang:
Error, Warning, Information, SuccessAudit, FailureAudit"

das Anwendungs-Eventlog mag wohl kein Critical.... nicht dass es bei einer wirklichen Infektion nicht nicht-benachrichtigen würde...
Bitte warten ..
Mitglied: Badger
13.02.2020 um 14:24 Uhr
Danke für den Hinweis. Hab es angepasst!
Bitte warten ..
Mitglied: saxe1234
13.02.2020 um 14:28 Uhr
Sehr gut. Danke für die fixen Reaktionen
Bitte warten ..
Ähnliche Inhalte
Erkennung und -Abwehr

EmoCheck: Neues Tool kann Emotet-Infektionen aufspüren

Information von AnkhMorporkErkennung und -Abwehr7 Kommentare

Ich mache heute mal die Infomaus: Wer seinen Computer überprüfen möchte, kann EmoCheck kostenlos auf Github herunterladen. Wie der ...

Batch & Shell

Weiterentwicklung von Powershell

Information von Penny.CilinBatch & Shell

Anbei ein Artikel im Heise Newsticker bzgl. Powershell: Systemverwaltung: PowerShell goes Cross-Plattform

Windows 10

Powershell 5 BSOD

Tipp von agowa338Windows 108 Kommentare

Aktuell gibt es in PowerShell (Version 5.11.4393.206) einen sehr fiesen Bug. Wenn man die PowerShell "Als Administrator" startet und ...

Ubuntu

Tracker-miner-fs Error beim Ubuntu Start

Anleitung von FrankUbuntu

Solltet ihr wie ich beim Start von Ubuntu nach einem Update des Systems einen Fehler von "tracker-miner-fs" erhalten, muss ...

Neue Wissensbeiträge
Off Topic
Wann gibt es mehr Bits als Atome?
Information von AnkhMorpork vor 5 StundenOff Topic10 Kommentare

Boys 'n' girls, Freitagslektüre: Wenn Computertechnologie und Digitalisierung sich so weiterentwickeln, könnte die Zahl der digitalen Bits in 150 ...

Sicherheits-Tools

TrendMicro Worry-Free Business Security (WFBS) 10.0 SP1 - Critical Patch veröffentlicht!

Information von VGem-e vor 8 StundenSicherheits-Tools3 Kommentare

Servus, siehe hier. Download-Link hier swfbs/10.0WFBS_100_SP1_All_MSA_11.7_HFB1073.exe Nähere Infos habe ich online noch nicht gefunden. Gruß VGem-e

Humor (lol)

Wie verhindere ich, dass Websitebesucher die Werbecookies abschalten?

Information von DerWoWusste vor 2 TagenHumor (lol)9 Kommentare

Ich habe gerade auf die Antwort gefunden: ich täusche einen langwierigen Änderungsprozess vor und biete nebenbei einen Cancelbutton, den ...

Sicherheit

Windows Setup erlaubt elevation of privilege plus DC Updates

Information von DerWoWusste vor 2 TagenSicherheit4 Kommentare

Eine interessante neue Sicherheitslücke. Details gibt es wenig, edit: doch, jetzt hab ich was: aber die klare Empfehlung: ...

Heiß diskutierte Inhalte
Windows Server
Patchday August Server 2019 - zerstört Hyper V Dienste
Frage von ichkriegediekrieseWindows Server20 Kommentare

Guten Morgen alle zusammen Gestern habe ich, wie oft die Sicherheitsupdates vom Patchday eingespielt da ja doch einige Sicherheitsupdates ...

Hardware
Azubi Projekt - Serverhardware
Frage von nachgefragtHardware19 Kommentare

Hallo Administratoren, für ein Azubi-Projekt benötige ich euren Rat, um ihr das Thema Serverhardware näher zu bringen: Server zusammenbauen ...

Windows Server
MSI Installation als User auf TS funktioniert nicht
Frage von support-itWindows Server17 Kommentare

Guten Tag zusammen, ich habe eine Frage bezüglich der Installation von einer MSI-Datei auf einem Server 2016 Datacenter Terminalserver. ...

Windows Server
Administratorrechte im Dateisystem - Windows Server 2019 - DC
Frage von Indy06Windows Server15 Kommentare

Hallo, alle zusammen! Es kommt ja nun doch mal vor, dass man als Administrator auf einem Windows Server 2019, ...

Administrator Magazin
08 | 2020 Cloud-First-Strategien sind inzwischen die Regel und nicht mehr die Ausnahme und Workloads verlagern sich damit in die Cloud – auch Datenbanken. Dort geht es aber nicht nur um die Frage, wie die Datenbestände in die Wolke zu migrieren sind, sondern auch darum, welche Datenbank ...