Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

EmoCheck: start per Powershell und Eventlog

Mitglied: Badger

Badger (Level 2) - Jetzt verbinden

05.02.2020 um 10:26 Uhr, 1602 Aufrufe, 9 Kommentare, 3 Danke

Seit kurzem kann man mit dem Tool EmoCheck nach spezifischen Prozessen von Emotet Ausschau halten.
Mehr Details dazu auf heise.

Leider ist das Programm so nicht geeignet, um es per Aufgabenplanung korrekt auszuführen.
Auch müssen die Log Files manuell gelesen werden.

Um diese "Probleme" zu umgehen habe ich mir ein kleines Powershell-Script geschrieben, welches das Programm startet, wieder beendet und das Ergebnis des Scans in den EventLog schreibt:
Nachdem ich nicht der große Powershell-Scripter bin, sind Verbesserungsvorschläge gerne willkommen
Auch habe ich das Script prinzipiell nur für mich geschrieben. Sprich all zu große Fehlerüberprüfungen gibt es nicht.
Daher auch: Die Anwendung des Skriptes geschieht auf eigene Gefahr. Ich übernehme keine Haftung für eventuelle Schäden!

Grüße
Patrick
Mitglied: Badger
11.02.2020, aktualisiert 17.02.2020
Update für die Version 0.0.2 von EmoCheck:
EDIT 01 13.02.2020: -WindowStyle hidden hinzugefügt
EDIT 02 13.02.2020: EntryType angepasst, da Critical nicht erlaubt ist
EDIT 03 17.02.2020: Löschen der Logfiles geändert, da diese fehlerhaft war
Bitte warten ..
Mitglied: saxe1234
13.02.2020 um 08:39 Uhr
Danke für deine Mühe.

Was mir auffällt dass sich trotzdem - zwar nur ganz kurz aber sichtbar - ein Fenster öffnet, gefühlt 25ms aber ist trotzdem unschön weil
es sichtbar ist.

mfg Sascha
Bitte warten ..
Mitglied: Badger
13.02.2020 um 09:04 Uhr
Code oben ist angepasst (bei Start-Process hab ich ein -WindowStyle hidden hinzugefügt).

Grüße
Patrick
Bitte warten ..
Mitglied: saxe1234
13.02.2020 um 09:41 Uhr
vielen Dank, läuft jetzt top und kann ich jetzt ausrollen.

Ich muss mich wohl mal mehr mit Powershell beschäftigen ...
Bitte warten ..
Mitglied: Badger
13.02.2020 um 09:55 Uhr
Das "Problem" mit den geöffneten Fenster kann man prinzipiell auch direkt per Aufgabenplanung umgehen.
Aktion -> Programm starten
Programm: C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe
Argumente: -WindowStyle hidden "C:\scripts\emocheck\emocheck.ps1"

Nachdem ich solche Scripts immer so starte, ist mit der "Fehler" gar nicht aufgefallen.

Grüße
Patrick
Bitte warten ..
Mitglied: saxe1234
13.02.2020 um 10:14 Uhr
Ok, mein Ansatz ist es Skript und Programm per SCCM zu verteilen um dann im Falle eines Falles den 1001er Eventcode
zu senden.
Bitte warten ..
Mitglied: saxe1234
13.02.2020 um 14:09 Uhr
zur Info:

Write-EventLog : Der Parameter "EntryType" kann nicht gebunden werden. Der Wert "Critical" kann nicht in den Typ "System.Diagnostics.EventLogEntryType" konvertiert werden. Fehler: "Der Bezeichner "Critical" kann keinem gültigen Enumeratornamen zugeordnet werden. Geben Sie einen der folgenden
Enumeratornamen an, und wiederholen Sie den Vorgang:
Error, Warning, Information, SuccessAudit, FailureAudit"

das Anwendungs-Eventlog mag wohl kein Critical.... nicht dass es bei einer wirklichen Infektion nicht nicht-benachrichtigen würde...
Bitte warten ..
Mitglied: Badger
13.02.2020 um 14:24 Uhr
Danke für den Hinweis. Hab es angepasst!
Bitte warten ..
Mitglied: saxe1234
13.02.2020 um 14:28 Uhr
Sehr gut. Danke für die fixen Reaktionen
Bitte warten ..
Ähnliche Inhalte
Erkennung und -Abwehr

EmoCheck: Neues Tool kann Emotet-Infektionen aufspüren

Information von AnkhMorporkErkennung und -Abwehr7 Kommentare

Ich mache heute mal die Infomaus: Wer seinen Computer überprüfen möchte, kann EmoCheck kostenlos auf Github herunterladen. Wie der ...

Batch & Shell

Weiterentwicklung von Powershell

Information von Penny.CilinBatch & Shell

Anbei ein Artikel im Heise Newsticker bzgl. Powershell: Systemverwaltung: PowerShell goes Cross-Plattform

Windows 10

Powershell 5 BSOD

Tipp von agowa338Windows 108 Kommentare

Aktuell gibt es in PowerShell (Version 5.11.4393.206) einen sehr fiesen Bug. Wenn man die PowerShell "Als Administrator" startet und ...

Ubuntu

Tracker-miner-fs Error beim Ubuntu Start

Anleitung von FrankUbuntu

Solltet ihr wie ich beim Start von Ubuntu nach einem Update des Systems einen Fehler von "tracker-miner-fs" erhalten, muss ...

Neue Wissensbeiträge
Humor (lol)

Funny: Warum es immer schwieriger wird, die richtigen Produkte online zu finden

Information von Dilbert-MD vor 2 StundenHumor (lol)2 Kommentare

Wir befinden uns in der Rubrik "Off Topic - Humor" und in 15 Minuten ist Freitag. und ja, es ...

Windows Update
MS SQL Server Updates
Information von sabines vor 11 StundenWindows Update

Für 2012, 2014 und 2016 sind seit Dienstag wichtige Sicherheitsupdates verfügar, die eine remote, leicht auszunutzende Lücke im Reporting ...

Microsoft Office

Microsoft warnt: Office 365 am 29. Februar leider nicht nutzbar

Information von Lochkartenstanzer vor 1 TagMicrosoft Office8 Kommentare

Moin, Wie die Überschrift schon sagt, gibt es offensichtlicham 29. februar ein Problem: Microsoft warnt: Office 365 am 29. ...

Netzwerkmanagement
Siemens Switche initial konfigurieren
Tipp von brammer vor 1 TagNetzwerkmanagement2 Kommentare

Hallo, Bisher gab es für Siemens Switche die Möglichkeit die initiale Konfiguration über den Simatic Manager oder das Primary ...

Heiß diskutierte Inhalte
Windows Server
Active Directory: Fehler beim Re-Promoten eines Servers
Frage von jordelWindows Server38 Kommentare

Hallo zusammen, Wir hatten einige Replikationsprobleme, weshalb ich gestern Nacht einen Domain Controller erst demoten und danach wieder promoten ...

PHP
Dynamisches Array erstellen in PHP
Frage von Xaero1982PHP21 Kommentare

Moin Zusammen, ich bräuchte mal einen Geistesblitz. Ich habe ganz viele Daten in einer MongoDb. Ich möchte diese Daten ...

Microsoft Office
Welches MS Office Lizensmodell für 7 Arbeitsplätze in kleinen Unternehmen
Frage von harbyadmMicrosoft Office20 Kommentare

Hallo, Ich frage Euch welches Lizensmodell das günstigste ist.? ich benötige für z.Zeit 7 ARBEITSPLÄTZE , alles Windows 8-10, ...

Windows 8
Die digitale Signatur dieser Datei kann nicht überprüft werden
Frage von LochkartenstanzerWindows 820 Kommentare

Moin, Seit gestern ärgere ich mich mit einem verkorksten Windows 8 herum. Bei vielen EXE-Dateien starten will, kommt die ...