515 Aufrufe
Gefragt in Skripte(PHP,ASP,Perl...) von mikoop Experte (2.7k Punkte)

Hallo,

Vor ein paart Tagen musste ich wg. eines Hardware Fehlers den PC ersetzen, mit dem ich die Bewässerung steuere. 

Jeden Morgen wird per Aufgabe ein vbs Script gestartet, dass wiederum ein batch-Datei aufruft, die dann den ganzen Tag durchläuft. Die Aufgabe des Scripts ist es, zu Überwachen, ob die Batch noch läuft, und falls diese beendet wurde eine andere batch aufzurufen.

Auf dem alten PC lief das über Jahre problemlos, auf dem neuen PC für ca. 1 Woche auch, heute wurde die Ausführung des Scripts mit folgender Fehlermeldung geblockt:

Das Script enthält schädliche Daten und wurde von Ihrer Antivirensoftware blockiert.: 'Run'
Code 800A802D
Laufzeitfehler in Microsoft VBSScript

hier die Meldung:

Als Antivirensoftware nutze ich den bei Win 10 mitgelieferten Defender, wenn ich diesen das Script überprüfen lasse findet er keine Bedrohung.

Was kann ich da tun habt ihr einen Tipp?

Danke und Grüße,  Mikoop

 

4 Antworten

0 Punkte
Beantwortet von computerschrat Profi (29.8k Punkte)

Hallo Mikoop,

man kann im Defender Ausschlüsse definieren, die ein Programm nicht blockieren sollen. Ob das für Scripte funktioniert, weiß ich nicht, aber vielleicht hilft diese Seite:

https://support.microsoft.com/de-de/windows/hinzuf%C3%BCgen-eines-ausschlusses-zu-windows-sicherheit-811816c0-4dfd-af4a-47e4-c301afe13b26

Ob es wirklich der Defender ist, kannst du sehen, wenn du den zum Test kurz ausschaltest.

Die Fehlermeldung verweist auf eine eindeutige Stelle im Script. Steht da etwas, was ggf. aufgrund verschobener oder geänderter Daten nicht ausgeführt werden kann?

Gab es in den Einstellungen zum Defender eventuell Änderungen in den letzten Tagen?

Gruß computerschrat

0 Punkte
Beantwortet von mikoop Experte (2.7k Punkte)

Hallo,

und danke für die Mühen.

Änderungen gab es meines Erachtens keine. Hier mal das Script, ich kann zum Original (aus der Sicherung des alten PC) keinen Unterschied feststellen. Zeile 13 ruft ja nur die wasser.bat auf.

Option Explicit

' Declaration of variables
Dim objWScriptShell
Dim objWMIService
Dim colEvents
Dim objEvent

' Create WScript Shell object
Set objWScriptShell = WScript.CreateObject("WScript.Shell")

' Execute Wasser
objWScriptShell.Run "C:\Users\Anwender\Mattenbewässerung\batch\wasser.bat"

' Deallocate WScript Shell object
Set objWScriptShell = Nothing

' Connect to Windows Management Instrumentation (WMI) object using a moniker
Set objWMIService = GetObject("winmgmts:\\.\root\cimv2")

' Execute a query to monitor process deletion
Set colEvents = objWMIService.ExecNotificationQuery("Select * From __InstanceDeletionEvent " _
& "Within 1 Where TargetInstance ISA 'Win32_Process' And TargetInstance.Name = 'cmd.exe'")

' Wait for process deletion event
Set objEvent = colEvents.NextEvent

' Create WScript Shell object
Set objWScriptShell = WScript.CreateObject("WScript.Shell")

' Execute Wasser
objWScriptShell.Run "C:\Users\Anwender\Mattenbewässerung\batch\auszu.bat"
' Deallocate event object
Set objEvent = Nothing

' Deallocate WMI object
Set objWMIService = Nothing

' Quit Visual Basic Script
WScript.Quit()

Das eintragen des Script in die Ausnahmen hat nichts gebracht, Windows gibt die wscript.exe als infiziert an.
Allerdings finden weder der Win Defender noch das MS Emergency Responce Tool eine Bedrohung. 

Es soll sich um folgenden Trojaner handeln:

Gibt es ein externes Programm, mit dem ich noch prüfen sollte (früher gab es doch mal den stinger)?

Danke und Grüße,

Mikoop

0 Punkte
Beantwortet von computerschrat Profi (29.8k Punkte)
Hallo Mikoop,

der Virenscanner schaut bisweilen nur auf einen Hash-Wert, den er aus der geprüften Datei bildet und dann mit einer Liste von Hash-Werten bekanntermaßen kritischer Dateien vergleicht. Da könnte es natürlich zufälligerweise sein, dass es mittlerweile ein kritisches Programm gibt, das den gleichen Hash-Wert hat, wie deine Batch-Datei. Das ließe sich sehr einfach ändern, indem du eine beliebige kleine Änderung, z.B. ein Leerzeichen einfügen, in der Batch machst.

Gruß computerschrat
0 Punkte
Beantwortet von mikoop Experte (2.7k Punkte)
Hallo,

Ich habe den Windows Defender mehrmals durchlaufen lassen, einmal schnell, 1x intensiv - es wurde aber nichts gefunden.

Trotzdem hat das Script am folgenden Tag wieder problemlos funktioniert, und so ist es bisher auch geblieben - ich habe extra ein paar Tage abgewartet. Am Wochenende fahre ich für eine Woche in den Urlaub - hoffentlich bleibt es so.

Danke für die Unterstützung,

Grüsse,  Mikoop
...