Technisches Aktivitätenprotokoll Windows11 USB-Stick Ausziehzeitpunkt?

Hallo zusammen,

Mir wurde möglicherweise in etwa zwei Minuten Unachtsamkeit (Raumvertraulichkeit) in einem Fastfood Restaurant mein USB-Stick namens Philips moon gestohlen. An Computern allgemein basiert ja kein einziger Prozess unbemerkt vom Gerät selber. Kann mir jemand einen Programm ausführen Weg oder Hinweis auf Details in der registry möglicherweise der richtige Weg geben, damit ich nachlesen und dokumentieren kann für meine Diebstalanzeige, wann die letzte Verbindung mit diesem sogenannten mobile device zuletzt bestanden hat.

Answer 1

[datarescue]

Es tut mir leid, dass dir so etwas passiert ist. Ich hoffe du hattest wenigstens keine sensiblen Daten unverschlüsselt auf dem Stick.

In der Regel hinterlässt auch ein USB-Stick Spuren auf deinem Computer, die auch nach seiner Trennung noch einsehbar sein können. Du kannst versuchen, über die Registry oder Systemprotokolle Hinweise auf die letzte Verbindung deines USB-Sticks zu finden.

Hier sind mögliche Schritte:

1. Suche in der Registry nach dem USB-Stick

Windows speichert Informationen über angeschlossene USB-Geräte in der Registry.

Registry öffnen:

Win + R -> regedit

Zum USB-Bereich navigieren:

Hier findest du eine Liste aller USB-Massenspeichergeräte, die jemals an deinem PC angeschlossen waren:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR

Deinen Stick identifizieren:

• Suche nach einem Eintrag, der zu deinem Philips moon-Stick passt. Der Name kann in den Details des Eintrags oder unter dem Herstellernamen stehen.
• Überprüfe die LastWriteTime, die dir den Zeitpunkt der letzten Änderung zeigen.

2. Ereignisanzeige nutzen

Die Windows-Ereignisanzeige protokolliert die meisten Hardwareaktionen, einschließlich des Anschlusses von USB-Geräten:

Ereignisanzeige öffnen:

Win + R -> eventvwr

Relevante Logs durchsuchen:

Gehe zu Windows-Protokolle -> System und Suche nach Ereignissen mit der Quelle Kernel-PnP oder Disk. Diese protokollieren das Anschließen und Entfernen von USB-Geräten.

Du kannst die Protokolle nach Ereignis-ID 200 (Gerät angeschlossen) oder 210 (Gerät entfernt) filtern oder durchsuchen.

3. Forensische Tools nutzen

Falls dir die oben genannten Wege nicht genug Informationen liefern, gibt es spezialisierte Tools, die USB-Aktivitäten detailliert analysieren können:

• USBDeview (von NirSoft): Zeigt eine Liste aller jemals angeschlossenen USB-Geräte, inklusive Seriennummer, letzter Verbindung und Entfernung.
• USBLogView: Protokolliert die Aktivitäten von USB-Geräten auf deinem System. Hier bin ich mir nur nicht mehr sicher ob das auch historisch ist, oder nur ab der Installation.

Answer 2

[deruser1973]

Es gibt keinen Weg, den Weg deines Sticks nachzuverfolgen...

Wenn du schlau warst, hast du die darauf befindlichen Dateien verschlüsselt...

Ansonsten rechne damit, dass deine Dateien eventuell irgendwo auftauchen, wo du sie nicht haben willst...

Comments

[guterfrager5]

Kennst du die Nirsoft Utils (nirsoft.net)? Da könnte man für so Windows-Logging-Kram vielleicht fündig werden. Der Typ hat alle möglichen kleinen Programme um gefühlt alles aus Windows rauszukramen, was Microsoft auf den ersten Blick nicht zeigen will oder sich Mühe gibt es zu verstecken 😅

Ich hätte da jetzt an das Programm USBDeview gedacht. Damit kann man anzeigen, welche Geräte angeschlossen sind (mit dem Zeitpunkt wann es zuerst und wann zuletzt gesehen wurde) und welche Art von Gerät (also sowas wie Speicher, HID, Lautsprecher, Handy etc.

Es zeigt allerdings (wenigstens bei nicht angeschlossenen Geräten) keine ID an deswegen wüsste ich nicht, wie das bei einer Beweisführung helfen sollte weil es könnte ja jeder USB-Stick sein ;-;