Hab gerade einen von USB eingeschleppten Virus im letzten Moment erkannt und Gröberes vermutlich verhindern können - durch rechtzeitiges Abwürgen des Compis. Avira macht gerade Voll-Durchlauf - von Malware hab ich derzeit genug. Später vielleicht einmal - nicht böse sein bitte!
Wie verhält man sich da (meiner Meinung nach) richtig?
Die Wahrscheinlichkeit, dass Malware nicht bereis im Autostart sitzt (wenn es Malware war und sie sich auf dem Rechner ablegen wollte) oder ihre Aktionen durchgeführt hatte, die zu dem Zeitpunkt möglich waren (wenn es Malware war), bevor du den Rechner aus hattest, ist eigentlich null.
Du hast bei dieser Sache drei große Vorteile, die du nutzen kannst, um darauf zu stoßen, was denn da passiert ist:
- Du kennst die genaue Uhrzeit, zu der etwas passiert ist.
- Du weißt sehr genau, was dich auf die Idee gebracht hat, dass da Malware auf dem Stick sein könnte.
- Wenn es Malware war, kennst du den Infektionsweg.
Das letzte, was ich tun würde, wäre es, einen Komplettscan mit Antivir durchführen zu lassen.
Ich würde auf jeden Fall erst mal verhindern, dass der betroffene Rechner irgendwie ins Netzwerk kann. Ich würde den also vom Internet und Bluetooth trennen.
Da du die genaue Uhrzeit des Vorfalls weißt, würde ich dannl nach Dateien suchen, die zu diesem Zeitpunkt erstellt oder geändert wurden. Das sollte mit einer Software geschehen, mit der man das auch wirklich sicher kann. Also nicht mit Windowsmitteln. Eine Software, die man dazu verwendet, sollte auf jeden Fall mit Adminrechten laufen und sich intern das Privileg SeBackupPrivilege aktivieren - um wirklich alles finden zu können.
Als nächstes würde ich mir nach dem Konzept, das hier vorgestellt wurde, sehr genau die Autostarts etc. anschauen. Da es die API SetFileTime gibt, ist eine alleinige Suche nach dem Dateidatum nicht immer komplett zuverlässig.
Hat dich ein Aufpoppen einer Meldung von Antivir darauf gebracht, das Malware auf dem Stick sein könnte, würde ich mir die Meldung genauer ansehen. Der Guard von Antivir legt in der Regel diese Meldungen in der Ereignisanzeige ab.
Anhand der Meldung kannst du sehen, welche Art von Trojaner dort vielleicht gefunden wurde und ob Antivir das Ausführen der Malware nicht bereits erfolgreich verhindert hat.
Den Stick würde ich beiseite legen und nochmals etwas genauer auf einem Rechner und System ansehen, das speziell dafür eingerichtet wurde. Ideal wäre hier eine frisch installierte Version von Windows7 ohne Updates und Virenscanner.
Ob 32Bit oder 64Bit müsste man mal testen - meist ist 32Bit für so etwas besser geeignet, weil die Malware da mehr Möglichkeiten hat.
Hat dich irgendeine Aktivität des Rechner darauf gebracht, dass dort Malware etwas tut, würde ich schauen, ob man die Aktivitäten auf einem solchen Testrechner nachvollziehen kann. Ein wichtiges Werkzeug dafür wäre der Performance Monitor von Windows in Verbindung mit einer Software, die gleichzeitig Infos über laufende Prozesse liefert (um später auffällige Prozesse auch wirklich zuordnen zu können).
Den Inhalt des Sticks würde ich mir ebefalls sehr genau auf dem Testrechner ansehen. Auch hier wieder nicht mit Windowsmitteln, sonder mit einer Software, mit der ich vernünftig nach Dateien und Ordnern suchen kann und die mir folgende Infos liefert:
- Attribute
- Erstellungsdatum
- Änderungsdatum
- Pfad und kompletter Name mit Dateiendung
- Infos aus der Dateiresource:
- Produktname
- Firmenname
- Beschreibung der Datei
- Signatur der Datei
Bevor der Stick in den Testrechner eingesteckt wird, würde ich eine Software starten, die mir alle Dateiänderungen listet - so was zum Beispiel:
AH Folderspy
Registryänderung würde ich ebefalls überwachen:
Man kann auch andere Sachen dafür einsetzen.