ComputerBase Menü
Aktuelles

Spurensuche Fremdzugriff

G

GEEMAN

Cadet 3rd Year
Registriert
Juli 2018
Beiträge
51
hey,
mein rechner mit windows 11 stand 4 wochen unbeaufsichtigt, als ich nicht zu hause war und ich weiß, dass jemand in dieser zeit mindestens ein mal versucht hat, zugriff ins system zu erlangen (diese person war in meiner wohnung).

im ereignisprotokoll von windows konnte ich bereits sehen, dass es aktivitäten von ca. 30 minuten gab, als ich nicht da war.

ich habe ein benutzerpasswort beim windows-login, doch glaube nicht, dass dies ein große hürde darstellt.

angenommen meine ssd wurde ausgebaut und in einem anderen system eingebaut, so kann doch sehr einfach auf diese zugegriffen werden...sehe ich das richtig?

gibt es irgendeine möglichkeit, dass ich nachvollziehen kann, ob meine datenträger aus und wieder eingebaut wurden? kann man sehen, wann auf die anderen beiden datenträger im system zugegriffen wurde? oder sonstige spuren nachvollziehen, ob externe geräte angeschlossen wurden etc?

ich möchte irgendwie sehen, was passiert ist, doch das ereignisprotokoll gibt kaum nachvollziehbare informationen darüber.

danke für eure hilfe
 
Also ob der Datenträger ausgebaut und in einem anderen System gelesen wurde kannst du nicht ohne weiteres Feststellen. Was man damit anfangen kann hängt in erster Linie davon ab, ob du Verschlüsselung nutzt.
 
Zuletzt bearbeitet:
Wenn sich jemand an deinem Rechner zu schaffen gemacht hat, die Platte ausgebaut wurde und dann als zweit oder dritt Platte an einem anderen bestehenden System genutzt wurde, hast du an sich keine Rückmeldung auf deinem System / auf dieser Platte, wenn andere Geräte angekoppelt wurden...

...denn es wurde ja nicht von deinem System gestartet.

Das, was du machen kannst: bei den Dateien, wo du vermutest, daß sie geöffnet worden sein könnten, kannst du den letzten Zugriff in den Dateieigenschaften sehen. Ebenso die letzte Änderung. Heißt wenn die betreffende Person, die ggf. auf deine Word Dateien zugegriffen hat, so "blöd" war und aus reiner Gewohnheit auf Speichern drückte, ist das als letzte Änderung vermerkt.

Und vor allem solltest du dir Gedanken um deinen Umgang / dein Umfeld und genauer auch noch um die Personen machen, die Zugang zu deinen Räumlichkeiten haben.

Nachtrag: @GEEMAN und für die Zukunft: speichere wichtige Daten nur noch auf externe Medien. Wenn du weißt, daß du länger weg bist, wäre ein Gespräch mit einer Bank gut, wo du dann für den Zeitraum ein Schließfach mietest.
 
Zuletzt bearbeitet:
Ich würd den PC mit einem Linux Stick gestartet haben um dir deine belastenden Selfies zu klauen. Wüßte nicht ob/wie man das erkennen könnte. Würde ja nichts verändert sein.
 
Man boote ein Live-Linux und greife auf die Windows Partition zu solange die nicht verschlüsselt ist.

Edit: War abgelenkt von der Apple Domination über die Windows-Welt^^
Man könnte es von aussen auch mit einem Live-Linux nachvollziehen, in dem die Zeitstempel von zuletzt veränderten/benutzeten Dateien sich anschaut. Die Zeitstempel aus der Zeit wo du nicht da warst wären ein Indiz für einen Fremdzugriff.
 
Zuletzt bearbeitet:
Wenn die Person in deiner Wohnung war scheint sie ja Familie oder wenigstens befreundet zu sein.

Wie wäre es zu fragen was sie dort gemacht/gesucht hat?
 
cartridge_case schrieb:
Völlig am Thema vorbei. :D
Zum Vergrößern anklicken....
DIe Apple Domina sitzt mir noch tief in den Knochen. Hab mein Ryzen Notebook gestreichelt und KDE gesagt "Heute machst du mindestens 10 Stunden"

Hab den vorrigen Beitrag editiert^^
 
  • Gefällt mir
Reaktionen: amorosa und cartridge_case
Wenn die Person in deiner Wohnung war, scheint sie ja Familie oder wenigstens befreundet zu sein.
Zum Vergrößern anklicken....
Der Computer Forensiker müsste die Datenträger (Festplatte, Solid State Disks (SSD), Hauptspeicher (RAM) und Caches) untersuchen, um digitale Spuren zu finden. Wenn Du das sicher klären willst, brauchst Du externe Hilfe.
 
hier ist mal der log aus lastactivityview
ganz unten "sleep" war der zeitpunkt, als ich den rechner ausgeschaltet habe. alles danach ist nicht von mir. wie würdet ihr das deuten? es fand scheinbar kein login statt, aber warum wurden so viele dienste ausgeführt? der oberste eintrag war dann wieder ich, als ich mich eingeloggt habe.

so ist der erste eintrag beschrieben:
"Das System wurde aus einem Standbymodus reaktiviert."
"Reaktivierungsquelle: 5NVIDIA USB Type-C Port Policy Controller"

wie soll ich das deuten und was hat der nvidia usb-c controller damit zu tun? oder sind solche system-aktivitäten im standby modus möglich?

log.jpg
 
Wenn er nur in Stand-By war, kann er auch versehentlich aktiviert worden sein oder MS war der Ansicht den mal fuer irgendetwas zu reaktivieren.
 
30 minuten liegen zwischen erstem und letztem log. sieht eher nicht nach versehentlichem aktivieren aus. ich wage zu bezweifeln, dass MS den rechner selbst startet. die frage ist nur, ob so ein log im ausgeschalteten zustand entstehen kann.
 
Ich habe frueher regelmaeßig in den Logs gesehen, dass MS mein Surface fuer irgendetwas aus dem Stand-By holt (WLAN Verbindung und eine Verbindung nach außen wird aufgebaut).
Ist aber schon einige Monate her, dass ich das kontrolliert habe.
Ich musste auch feststellen, dass mein Bildschirm unnuetzerweise ab und an aus dem Stand-By geholt wird, obwohl keine Nutzinteraktion stattfindet.

Das einfachste ist, du fragst die Person einfach oder gehst davon aus, dass dein Rechner kompromittiert ist und machst ihn Platt.
 
Scientist schrieb:
Das einfachste ist, du fragst die Person einfach oder gehst davon aus, dass dein Rechner kompromittiert ist und machst ihn Platt.
Zum Vergrößern anklicken....
Vielleicht sogar beides.

Sollte ggf. die Partnerin / der Partner die Person sein, die sonst eventuell nie den Rechner nutzt, sollte man sich vielleicht vor dem Gespräch noch selbst hinterfragen, ob man irgendwelche Anlässe zur Spionage gegeben oder vielleicht wirklich Mist gebaut hat - oder ob es bei Unschuld nicht besser wäre, sich zu trennen.

Bei Freunden und Bekannten oder gar WG-Mitbewohnern würde ich selbst kein Blatt vor den Mund nehmen.
 
  • Gefällt mir
Reaktionen: DannyA4
rpsch1955 schrieb:
Bei der Einstellung solltest du nicht viele haben
Zum Vergrößern anklicken....
WG-Mitbewohner? Habe ich keine. Wohne mit meiner Freundin zusammen in einer 3-Zimmer Wohnung. Und wenn sie wollte, könnte sie jederzeit an meinen Rechner, da ich keine Geheimnisse vor ihr habe.

Was meine Freunde, Bekannte und Familienmitglieder anbelangt, brauche ich da keine Sorgen haben, daß jemand "mal eben so" an meinen Rechner muss. Und wenn doch, fragen diese Personen mich vorher.

Wenn man "Schiss" hat, seine Freunde auch mal etwas unbequemes zu fragen, dann sollte man sich lieber überlegen, welchem Umgang man pflegt. Echte Freunde werden nämlich unter Erklärung der Situation vernünftig reagieren.

Wenn du dies in deinem Kreis nicht könntest, dann tut es mir leid.

Nachtrag: da der TE ja keinerlei Andeutungen macht, um was für potentielle Personen und / oder potentielle Daten es sich dreht (was er ja auch nicht muss), kann man auch nur spekulieren.

Wie er potentiell vorgehen kann, um was rauszufinden, wurde genannt.
 
  • Gefällt mir
Reaktionen: DannyA4 und omavoss
GEEMAN schrieb:
30 minuten liegen zwischen erstem und letztem log. sieht eher nicht nach versehentlichem aktivieren aus. ich wage zu bezweifeln, dass MS den rechner selbst startet. die frage ist nur, ob so ein log im ausgeschalteten zustand entstehen kann.
Zum Vergrößern anklicken....
Dein Rechner wird sicher nicht von MS „fernaktiviert“. Aber Windows Update weckt den Rechner in bestimmten Zeitabständen automatisch aus dem Standby um nach Updates zu schauen und installiert die dann auch.
In Deinem Log war auch ein Wiederherstellungspunkt, das spricht dafür.
Schau mal in den Windows Updateverlauf ob zu besagtem Datum Updates installiert wurden, ggf. auch nur für Signaturen für Windows Defender.
Ergänzung ()

Hier noch ein Link wegen des “Nvidia USB-C port policy controllers“
https://www.nvidia.com/en-us/geforc...port-policy-controller-on-rtx-2070-super-alw/
 
Zuletzt bearbeitet:
Was war denn nun genau, war der Rechner nur im Standby oder richtig ausgeschaltet?
 
Nein, ohne Passwort kommt niemand auf dein Windows. 30minuten könnte in etwa hinhauen mit pc starten, ein paar Passwörter versuchen und genervt abstellen. Auf der aus- und wieder eingebauten Festplatte würde zumindest im Cache Ordner von Windows Datum und Uhrzeit stehen die zu deiner Abwesenheit passen würde.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Eigenbrötla
GMX-Sicherheitswarnung, Databreach
2 3
Antworten
56
Aufrufe
4.007
Eigenbrötla
Eigenbrötla
S
Fehlerhafte Meldung im Windows Defender löschen
Antworten
11
Aufrufe
1.426
SaCre
S
x1337
Nvidia Driver-Bildschirm Schwarz-Reboot
Antworten
14
Aufrufe
652
x1337
x1337
O
Aussetzer beim Streamen via FRITZ!Box
2 3
Antworten
46
Aufrufe
1.103
redjack1000
R
Reinhard77
autoAdminLogon funktioniert nicht
Antworten
4
Aufrufe
560
Reinhard77
Reinhard77
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz