In der Regel wird zuerst der Rechner untersucht, an den der Stick angeschlossen wurde und bei dem das Problem aufgefallen ist.
Mir geht es dabei darum, ob der Trojaner erfolgreich ausgeführt werden konnte und ob er weitere Malware nachladen konnte.
Beides war hier eindeutig nicht der Fall. Laut den LOGs hat der Virenscanner das Ding beim ersten Anschließen bereits gelöscht:
Zitat von Eventlog.txtAlles anzeigen7.3.2017 19:17 Uhr 1s
Record #88718
Computername->xxx
Sophos Anti-Virus:
Warning
Datei "E:\WindowsServices\movemenoreg.vbs" gehört zu Virus/Spyware 'Troj/Miner-BH'.
__________________________________________
7.3.2017 19:16 Uhr 51s
Record #88717
Computername->xxx
Sophos Anti-Virus:
Warning
Datei "E:\WindowsServices\movemenoreg.vbs" gehört zu Virus/Spyware 'Troj/Miner-BH'.
Wäre das Script nicht bereits gelöscht worden, hätte ich es mir über den PPFScanner zuschicken lassen, um es weiter zu analysieren. Es geht mir vor allen Dingen dann darum, welche Server da kontaktiert werden und ob die im Netz noch erreichbar sind.
Konnte das Script erfolgreich ausgeführt werden, können weitere externe Datenträger infiziert sein (Kameras, Festplatten, USB-Sticks, Speicherkarten, Handys...). Auch dafür wäre das wichtig.
Ist der Rechner infiziert, muss zuerst der Rechner bereinigt werden. Zuerst muss dabei der Prozess beendet werden, der das Script ausführt (bei VBS Scripten WSCRIIPT.EXE oder CSCRIPT.EXE). Danach kann das Script gelöscht und seine Autostarteinträge (in der Regel mehr als einer) gelöscht werden.
Im gleichen Zug entfernt man auf die gleiche Art weitere vom Script eventuell nachgeladene Malware.
Danach kümmert man sich um die Malware auf dem externen Datenträger. Man schaut nach, wo sie sich befindet:
Spoiler anzeigen
#####################
#LNK Dateien auf E:\#
#####################
07.03.2017
E:\.lnk --- MD5: 14e6503a922bf80c6e0c259d6f3f24de
-> C:\Windows\System32\cmd.exe /C .\WindowsServices\movemenoreg.vbs
Dann LNK und Malware vom Stick löschen und Daten wieder sichtbar machen.
Zitat von AHTund ob er weitere Malware nachladen konnte
Im Prinzip muss man da per Augenmaß sehr genau abschätzen können, was Malware sein könnte und was nicht. Dazu ist wichtig, sich auch mit Techniken auszukennen, die dort verwendet werden.
Aber nicht nur mit den Techniken der Malware, sondern auch mit den Techniken der Tools, die man nutzt und mit Techniken des Betriebssystems.
Malware nutzt nicht immer einen eigenen Prozess (oft Prozesse von Microsoft). Sie legt sich auch nicht nur in Dateien ab, sondern, seit Powershell, auch vermehrt komplett nur in der Registry.
Sehr oft ähnelt das Ganze einer Spurensuche, bei der man durch Spuren auf Sachen stößt, die man eigentlich gar nicht sieht.