Jump to content

rt1970

Members
  • Content Count

    329
  • Joined

  • Last visited

Community Reputation

10 Neutral

About rt1970

  • Rank
    Member
  • Birthday 03/11/1970

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. @MurdocX ich denke auch, dass sich das im Kreis dreht. Alle Hinweise wurden gegeben. Weitere Fragen? Nein. Erst einmal nicht. Danke!
  2. Ja, das nehme ich an. Warum jetzt Paranoia schieben, wenn das Ding seit "Anfang der Aufzeichnung" läuft? Zur Ursachenfindung trägt eine Neuinstallation nicht bei. Nein. Keine externen Tools außer die oben gelisteten. Auch nicht Remote. Sollte das tatsächlich eine Schadsoftware sein, könnte sich diese genauso im Active Directory eingenistet haben...
  3. Da hast Du auch wieder recht. Allerdings "brennt" dann jetzt nicht die Luft. Ob man bei den Herstellern eine qualifizierte Antwort bekommt ala "erstellt ihr 2x täglich im Temp-Ordner eine script.ps1?" bekommt ist fragllich. Man kann doch schon froh sein, wenn man überhaupt eine Antwort bekommt... Ich werde jetzt ein Testsystem weitestgehend ohne Inet auf einer VM aufsetzen und schauen was passiert. Hatte gehofft, dass mal jemand auf seinen Exchange mit ähnlicher Konstellation im Eventlog schauen könnte...
  4. Wer sagt, das es Schadsoftware ist? Wenn das schon seit einem Jahr läuft ist hier Paranoia berechtigt? Nein, ich kann den Kasper nicht deinstallieren und dann 1-2 Tage warten - bei der Masse an Viren die rein kommen wäre das eine Katastrophe. Täglich 5-15 Mails mit .pdf.exe oder .iso.exe z.B. Trotzdem Danke an Alle für Eure Hinweise!
  5. Der Exchange wäre vielleicht schon wieder neu aufgesetzt. Aber im Active Directory bliebe das schlechte Gefühl weiterhin, solange ich nicht weiß wer der Auslöser des Scriptes war/ist. Backup (Acronis) und Virenscanner (Kaspersky) PS: auch am 19.03.2020 (Eventlog Anfang) wurde das Script schon ausgeführt.
  6. Danke testperson! So habe ich es auch interpretiert. Klingt nach Kaspersky for Mailserver oder Acronis... Das script wurde schon seit 20.11.2020 ausgeführt. Evtl. sogar schon vorher. Bin noch nicht weiter gekommen zu recherchieren. Bevor ich in Paranoia verfalle, möchte ich Kaspersky, Acronis, Teamviewer, CertAssistant und Popcon ausschließen. Mehr läuft auf dem System nicht. Bei einem anderen Exchange 2016-Server wird das Script in meinem User-Temp-Folder ausgeführt. Weitere Auffälligkeiten sind nicht vorhanden. Auch die Tools bzgl. Exchange-Katastrophe ze
  7. Danke für die Ausführungen. Eine Frage hätte ich noch: Was macht das Script?
  8. Und dann? Was willst Du mir damit sagen? Bis auf die fragwürdigen Kommentarzeilen sehe ich eine Abfrage des Exchange, was auch vom Kaspersky kommen könnte. Soll ich jetzt ein Auto verschrotten, nur weil eventuell ein Nagel im Reifen steckt?
  9. Sorry Nils, dass es so rüber kam. Bevor ich alles "Platt" machen muss brauche ich wenigstens 80%ige Gründe. Leider verstehe ich nicht, was das Script überhaupt macht. Kaspersky for Exchange ist ja auch noch aktiv und "tobt" sich in C:\Windows\Temp aus...
  10. Naja.... Soooo eindeutig ist das ja nicht (wie ich finde). Die Übersetzung kam ja NUR zustande, weil ich die .ps1 in Word geöffnet hatte und mit einer Sprache, die wie Chinesisch aus sah... Dann ab zum Google-Übersetzer. Ob der Kommentar in der .ps1 tatsächlich korrekt übersetzt ist weiß keiner. Ich finde auch keine weiteren Anomalien. Auch keine unklaren Aufgaben.
  11. @NilsK Die Idee klingt plausibel - aber... Hoffnung stirbt zuletzt, das System nicht neu zu installieren. Kann man raus bekommen, welcher Prozess/Datei die Datei erstellt? Oder gibt es einen Befehl, der ALLE Task´s ausliest? Was macht die script.ps1?
  12. Hallo! Im Zusammenhang mit der Exchange-Katastrophe forscht man ja tiefer. Dabei fiel mir in der Ereignisanzeige auf, dass hin und wieder Powershell gestartet wurde. EventLog: Der Anbieter "Registry" ist Started. Details: ProviderName=Registry NewProviderState=Started SequenceNumber=1 HostName=ConsoleHost HostVersion=5.1.14393.3866 HostId=76d14a53-5841-4ccd-a07a-df1836051da0 HostApplication=C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe -NoProfile -NonInteractive -NoLogo -File C:\Windows\TEMP\xfow3wj4.55h\script.ps1 EngineVersion= RunspaceId= Pipeli
  13. Damit scheint es zu funktionieren. Nachdem ich eine Richtlinie mit Anmeldescript ClnPrt.cmd erstellt habe passiert beim anmelden folgendes: erst wird der Standarddrucker ausgelesen, dann ALLE Netzwerkdrucker gelöscht und durch gpupdate die zugewiesenen Drucker verbunden. Anschließend wird der der anfängliche Standarddrucker gesetzt. Damit diese Prozedur nicht jedes mal beim anmelden ausgeführt wird, habe ich eine Datei PrtClean.log im Temp-Folder des Users erstellt. Ist diese vorhanden wird gleich beendet, da dieses Profil schon "gereinigt" wurde. Hier die Batch ClnPrt.cmd @echo
  14. Ich möchte hier keine Grundsatzdiskussion anfangen. Die Leute sollen ihren Job machen und ich meinen. Und ja - ich verhätschel die Leute - weil ich es (das meiste) kann. Powershell ginge sicher auch - muss nur mal schauen, wie wie es ging eine unsignierte .ps1 ausführen zu lassen... Überlegung wäre: 1. Standarddrucker auslesen und merken 2. alle (Netzwerk-) Drucker löschen 3. gpupdate /force /target:user
  15. Ich scheitere grad hier: For /F "Tokens=4 delims=\" %%I In ('reg query HKCU\Printers\Connections ^|find /I "Printer-A"') DO GOTO Ende1 ELSE rundll32 printui.dll PrintUIEntry /dn /q /n "Printer-A" Ende1: For /F "Tokens=4 delims=\" %%I In ('reg query HKCU\Printers\Connections ^|find /I "Printer-B"') DO GOTO Ende2 ELSE rundll32 printui.dll PrintUIEntry /dn /q /n "Printer-B" :Ende2 Durchsuche Registry, wenn gefunden gehe weiter (oder hier zu Ende1 bzw. 2) ansonsten - wenn nicht gefunden dann auch nicht existent, also löschen... Ideal wäre hier wenn er eine txt-
×
×
  • Create New...