Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Alles rund um Windows (https://www.trojaner-board.de/alles-rund-um-windows/)
-   -   abschaltung überwachen (https://www.trojaner-board.de/60556-abschaltung-ueberwachen.html)

stefan2602 24.09.2008 08:33
abschaltung überwachen
 
Hallo an alle,

mir wurde der virenscanner abgeschaltet. Nun suche ich nach einer passenden methode (winxp) um das zu kontrollieren.
Mir schwebte bis jetzt vor, alle stunde die GUI.exe des virenprogramms mit einer batch aufrufen, wo ich dann gut grafisch sehen kann, ob der scanner "an" ist.

Ist aber irgendwie nicht das goldene.

hat jemand einen tipp? Wie kann mann in echtzeit überwachen, ob eine exe abgeschaltet wird/wurde?

vd Stefan

MightyMarc 24.09.2008 08:40
Windows XP Home oder Professional?
Geht es Dir, darum zu sehen ob der Wächter an ist oder ob Dein Scanner überhaupt noch aktiv ist?

Marc

stefan2602 24.09.2008 09:13
Zitat:
Zitat von %ComSpec% (Beitrag 376659)
Windows XP Home oder Professional?
Geht es Dir, darum zu sehen ob der Wächter an ist oder ob Dein Scanner überhaupt noch aktiv ist?

Marc
Hi Marc,

Professional!

Ja, ich will mitbekommen, wenn der scanner (.exe) ausgeschaltet wird, egal wie und von wem.

vg Stefan

MightyMarc 24.09.2008 09:29
Zitat:
Zitat von stefan2602 (Beitrag 376660)
Professional!
Ich entnehme Deinem ersten Posting, dass Du Dich mit Batch zumindest ein wenig auskennst.
Ich würde eine Batch schreiben, die per
Code:
tasklist | findstr "(Name der .exe)"
prüft ob der Wächter/Scanner noch aktiv ist. Ist die Variable %ERRORLEVEL% gleich 1, wurde der Prozess nicht gefunden. Wird er gefunden, hat %ERRORLEVEL% den Wert 9009. Damit kannst Du dann über IF-THEN-ELSE zB Schrift- oder Hintergrundfarbe auf etwas Knalliges ändern. Das sollte sofort ins Auge springen.


Marc

Edit: 9009 stimmt nicht. Es muss 0 heissen.

Code:
@echo off
:taskcheck
tasklist | findstr "Prozessname"
if "%errorlevel%" neq "0" color C0 & goto warnung
goto taskcheck

:warnung
echo.
echo WARNUNG!
echo.
echo Der Prozess Prozessname ist nicht
echo mehr aktiv!
echo.
pause
exit
Die eine Sprungmarke kann man sich sparen, wenn man den Taskplaner nimmt.

stefan2602 24.09.2008 11:31
Zitat:
Zitat von %ComSpec% (Beitrag 376661)
Ich entnehme Deinem ersten Posting, dass Du Dich mit Batch zumindest ein wenig auskennst.
Ich würde eine Batch schreiben, die per
Code:
tasklist | findstr "(Name der .exe)"
prüft ob der Wächter/Scanner noch aktiv ist. Ist die Variable %ERRORLEVEL% gleich 1, wurde der Prozess nicht gefunden. Wird er gefunden, hat %ERRORLEVEL% den Wert 9009. Damit kannst Du dann über IF-THEN-ELSE zB Schrift- oder Hintergrundfarbe auf etwas Knalliges ändern. Das sollte sofort ins Auge springen.


Marc

Edit: 9009 stimmt nicht. Es muss 0 heissen.

Code:
@echo off
:taskcheck
tasklist | findstr "Prozessname"
if "%errorlevel%" neq "0" color C0 & goto warnung
goto taskcheck

:warnung
echo.
echo WARNUNG!
echo.
echo Der Prozess Prozessname ist nicht
echo mehr aktiv!
echo.
pause
exit
Die eine Sprungmarke kann man sich sparen, wenn man den Taskplaner nimmt.
Danke Ihr 2, das klingt ja schon ganz gut.
Aber, muss ich dann die batch "immer" laufen lassen? Ist das nicht zu "anstrengend" für den pc?

nachtrag: ich möchte, wenns geht, den taskplaner nicht nehmen. Ansonsten könnte ich ja einfach die überwachungsgui des scanners starten.

vg Stefan

MightyMarc 24.09.2008 11:55
Zitat:
Zitat von stefan2602 (Beitrag 376682)
Danke Ihr 2, das klingt ja schon ganz gut.
Dann ist es also wahr: Ich bin schizzophren! Oder bist Du es? :crazy:

Zitat:
Aber, muss ich dann die batch "immer" laufen lassen?
Wie es Dir beliebt.

Option 1:
Du lässt die Batch laufen wie sie ist. Da verursacht durchaus CPU-Last.

Option 2:
Du baust eine Verzögerung ein. zB ein ping auf einen nichtexistierenden URI. Die CPU-Last ist dann deutlich geringer.
Beispiel
Code:
@echo off
:taskcheck
tasklist | findstr "iexplore.exe"
REM set error=%errorlevel%
if "%errorlevel%" neq "0" color C0 & goto warnung
ping z.de
goto taskcheck

:warnung
echo.
echo WARNUNG!
echo.
echo Der Prozess iexplore.exe ist nicht
echo mehr aktiv!
echo.
pause
exit
Option 3:
Du baust die Batch um, nimmst die Wiederholungen raus und lässt sie über den Taskplaner laufen. Am Ende folgt auch wieder eine Verzögerung, damit Du die Farbe der Schrift/des Hintergundes überhaupt wahrnehmen kannst. Ohne Verzögerung musst Du das pause am Ende lassen, welches Du aber jedesmal per Tastendruck bestätigen müsstest. Bis Du eh grad am tippen, löst Du den Stop und Du siehst das Fenster vermutlich nichtmal.
Beispiel:
Code:
@echo off
:taskcheck
tasklist | findstr "iexplore.exe"
REM set error=%errorlevel%
if "%errorlevel%" neq "0" color C0 & goto warnung
goto ende

:warnung
echo.
echo WARNUNG!
echo.
echo Der Prozess iexplore.exe ist nicht
echo mehr aktiv!
echo.
ping z.de

:ende
exit
Die Codeschnipsel musst Du selbst auf Funktiostüchtigkeit prüfen. Ich gebe darauf keine Garantie.

Marc

stefan2602 24.09.2008 12:07
Ok und danke :-) Damit komme ich klar.


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:11 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19