BadUSB - mein USB Stick gibt sich als Tatstaur aus. Habe ich nun Schadsoftware auf meinem Notebook?
 

Hallo zusammen,

erstmal besten Dank, dass ich hier die Gelegenheit habe, meine Frage zu posten und Unterstützung zu bekommen!

Ich habe vorgestern einen meiner USB Sticks an mein Notebook angeschlossen. Daraufhin öffnete sich ein Windows Fenster, in dem eine Meldung im Sinne von "Gerät wird installiert" angezeigt wurde. Dann kam noch die Frage ob ich zulassen möchte, dass das Gerät Änderungen an meinem System vornimmt - diese habe ich mit Ja bestätigt. Im Datei Manager konnte ich anschließend aber kein zusätzliches Laufwerk entdecken. Also habe ich den USB Stick wieder raus und nochmal angeschlossen und konnte nun sehen, dass dieser als Tatstaur erkannt wurde. Das hat mich einigermaßen irritiert, so dass ich danach googelte habe und auf Meldungen aus dem Jahr 2013-2015 über BadUSB stieß. Nun bin ich nicht nur iritiiert sondern auch in großer Sorge, dass ich mir irgendeine Schadsoftware auf das Notebook geladen haben, die dieses nun ausspäht wird oder was auch immer.

Den USB Stick hatte ich beim Media Markt neu gekauft (ich glaube, er ist von Hama, bin mir aber nicht ganz sicher und da es ein Winzlings-Teil ist, steht es auch nicht drauf). Ich habe ihn nur 2 oder 3 Mal bisher genutzt. Einmal an meinem eigenen Notebook, einmal an meinem dienstlichen Notebook und einmal an meinen Autoradio. Da bestand das - "wurde als Tatstaur erkannt Problem" - noch nicht - alles war ok. Insofern bin ich etwas verwundert, dass der Stick bei einer der beiden Gelegenheiten "was abbekommen" haben soll. Oder gibt es für dieses Phänomen evtl. auch eine ganz harmlose Ursache? Was muss ich tun, um ganz sicher zu gehen, dass mein Notebook tatsächlich nicht mit irgendwas infiziert ist? Meeine anderen beiden USB Sticks, die ich nicht an mein Dienst- Notebook angeschlossen hatte (es ist inzwischen durch ein neues ersetzt) werden einwandfrei als Laufwerk erkannt.

Ich nutze KIS 2017 und habe schon mal die Rootkit-Suche laufen lassen - ohne Fund. Das reicht mir aber nicht...

Für Eure Hilfe wäre ich wirklich ausgesprochen dankbar!

Beste Grüße

Traufrau

Ich nutze Windows 10, KIS 2017

Hi,

Und was genau ist das für ein Stick? Hersteller, Modell?
Den hast du bitte woher?
Auf der Straße gefunden, gekauft, von einem Freund, ???

Hallo,
das steht im Text: Den Stick hatte ich neu im Media Markt gekauft. Hersteller steht leider nicht drauf, da der Stick nur ca. 2-3 cm lang ist. Ich meine, er ist von Hama oder Intenso, bin mir aber nicht sicher.

Der Stick hat sich schon immer so verhalten? Media Markt sagt was dazu?

Nein, der Stick hat sich anfänglich normal verhalten, das hatte ich auch geschrieben. Deswegen war ich mit diesem Problem auch nicht beim Media Markt.

Der Stick wurde mal verliehen?

Nein, niemals. Und ich hatte ihn ausschließlich an meinem eigenen und meinem dienstlichen Notebook in Gebrauch.

Aha - dann erklär mal wie das sein kann, dass ein Stick aufeinmal zu einem bösen Device mutiert wenn du selbst nie was dran gemacht und diesen auch nie verliehen hast

Dein Stick wird einfach nur defekt sein. Geht zum MM und tausch das Teil um.

Wenn ich die Informationen dazu im Netz richtig verstanden habe, ist es möglich, den USB Port anzugreifen und den Stick sozusagen umzuprogrammieren. siehe z. B. die Infos hier: https://www.indevis.de/de/service-und-support/advisory/articles/badusb-boese-tastaturen-erkennen.html (Sorry, bekommme den Link nicht als anclickbaren Link eingefügt...).

Ich will ja gar nicht ausschließen, dass es eine völlig harmlose Ursache für das Problem gibt, deswegen hatte ich auch danach gefragt, ob diese Möglichkeit besteht. Aber ich weiß es eben nicht und bevor ich nun auf meinem Notebook ggf. eine Schadsoftware habe, die z. B. meine Tatstaureingaben ausliest und überträgt, hätte ich gerne Gewissheit, dass dem nicht so ist.

https://heise.de/-2281098

Ich hab darüber schon ewig nix mehr gelesen. Deine private Kiste können wir ja gern hier unter die Lupe nehmen aber was dein dienstliches Gerät angeht, damit gehst du mal lieber zu deinen Kollegen aus der IT-Abteilung.

Ok, ganz herzlichen Dank! Dann poste ich mal, was ich inzwischen gemacht habe. Hoffe, es ist so richtig...

Addition:

Dann habe ich den Adware Cleaner durchlaufen lassen. Hier das Protokoll:

Anschließend Malwarebytes Anti-Malware:

1. Schritt: Malwarebytes Anti-Rootkit (MBAR)

Downloade dir bitte Malwarebytes Anti-Rootkit und speichere es auf deinem Desktop.

• Starte bitte die mbar.exe.
• Folge den Anweisungen auf deinem Bildschirm gemäß Anleitung zu Malwarebytes Anti-Rootkit
• Aktualisiere unbedingt die Datenbank und erlaube dem Tool, dein System zu scannen.
• Klicke auf den CleanUp Button und erlaube den Neustart.
• Während dem Neustart wird MBAR die gefundenen Objekte entfernen, also bleib geduldig.
• Nach dem Neustart starte die mbar.exe erneut.
• Sollte nochmal was gefunden werden, wiederhole den CleanUp Prozess.

Das Tool wird im erstellten Ordner eine Logfile ( mbar-log-<Jahr-Monat-Tag>.txt ) erzeugen. Bitte poste diese hier.

Starte keine andere Datei in diesem Ordner ohne Anweisung eines Helfers




2. Schritt: Kaspersky TDSS-Killer

Downloade dir bitte TDSSKiller.exe und speichere diese Datei auf dem Desktop

• Starte die TDSSKiller.exe - Einstellen wie in der Anleitung zu TDSSKiller beschrieben.
• Drücke Start Scan
  
• Sollten infizierte Objekte gefunden werden, wähle keinesfalls Cure. Wähle Skip und klicke auf Continue.
  TDSSKiller wird eine Logfile auf deinem Systemlaufwerk speichern (Meistens C:\)
  Als Beispiel: C:\TDSSKiller.<Version_Datum_Uhrzeit>log.txt

Poste den Inhalt bitte in jedem Fall hier in deinen Thread.

Anschließend den Eset Online-Scanner. Hier das Log-File:

.

Das war es dann auch. Ich habe nichts gelöscht, bis auf die YCMServiceAgent, die der AdWCleaner gefunden hatte. Hoffe, das war nicht falsch.

Weil mir die Datei Tirafi.exe, die Eset gefunden hat, so gar nix sagtte, habe ich die mal bei VirusTotal hochgeladen: Hier das Ergebnis der Scanner, die was erkannt haben. Mir sagt das leider gar nichts...

Ich hoffe, ich habe dich jetzt nicht zugemüllt....

Sorry, ich habe eben erst deine Anweisung gelesen. Mache ich sofort....

Hier die mbar log:

Hier das ergebnis des TDSS-Killers:

Teil 2