Fórum Root.cz

Hlavní témata => Windows a jiné systémy => Téma založeno: alex6bbc 19. 06. 2023, 13:12:30

Název: Vyčistění napadených Windows
Přispěvatel: alex6bbc 19. 06. 2023, 13:12:30
synek breci, ze ma hacknuty pocitac a chteji po nem hackeri penize :-(

rekl jsem mu, at to nezapina do internetu a radeji at to nezapina vubec.

planuju nabootovat do linuxu a clamavem proscanovat disky co tam mame s fotkama, hrama, dokumentama.

pak bych nektery z disku naformatoval v linuxu a presunul na nej ciste soubory a tak postupne procistil vsecky disky a nakonec udelal novou instalaci woknous co ma na hrani.

nejake dalsi postrehy co je vhodne jeste udelat?
Název: Re:malware, zahnojene woknous
Přispěvatel: Halofon 19. 06. 2023, 13:30:01
V prvom rade by som pozrel, ci to je vobec realne hacknute, mnohokrat "hacker" je len fullscreen html okno s vystrahou, ktore ked zavries, tak je pocitac uplne v poriadku.
Název: Re:malware, zahnojene woknous
Přispěvatel: Jan Fikar 19. 06. 2023, 13:35:35
ten clamav nebýval moc dobrej, tak jsem to ani nepoužíval

Většina AV výrobců má záchranné USB/CD, což je v podstatě Linux pro BFU s jejich aplikací. To jsem párkrát úspěšně použil.

DrWeb: https://free.drweb.com/aid_admin/

Eset: https://www.eset.com/int/support/sysrescue

Kaspersky: https://www.kaspersky.com/downloads/free-rescue-disk

Avast má taky, ale nemám v něj důvěru.

Potom na Windows na dočištění asi MalwareBytes zdarma: https://www.malwarebytes.com/mwb-download/thankyou

Jestli má ale něco zašifrováno, tak to chce najít čím a potom se snažit najít automatický rozšifrovávač. Najít se dá buď tady https://www.nomoreransom.org nebo u Kaspersky třeba https://noransom.kaspersky.com
Název: Re:Vyčistění napadených Windows
Přispěvatel: alex6bbc 19. 06. 2023, 14:05:43
dik za linky. ja sem pravoverny linuxak a doposud jsem windows malware uspesne ignoroval.
ale decka windows pouzivaji, tak to musim resit.
rozjedu linux a postupne prozenu disky cistkou.
Název: Re:Vyčistění napadených Windows
Přispěvatel: František Ryšánek 19. 06. 2023, 14:17:39
Souhlas s čistou instalací Windows. Zachránit pouze data. Je to příležitost, udělat trochu v uživatelských datech pořádek.
Název: Re:Vyčistění napadených Windows
Přispěvatel: Karmelos 19. 06. 2023, 14:18:37
Já bych postupoval následovně:
Nejprve vyšetřil co se vlastně děje - jaký hekři, co za ty peníze chtějí apod. - dneska to může být "nevinná" hláška, vyskakovací okno z pornostránky v pohlížeči, nebo klasický email o údajném jednání/natočení apod, ale i relativně vážná hrozba zašifrovaní systému malwarem, nebo i blbý ftípek spolužáků.  Cokoliv...   
pak
1) Udělat offline zálohu - tj udělal kopie disků na NAS/externí disk
2) Přesunout a vymazat veškerý privátní obsah (fotky, videa, maily, dokumenty)
3) Pravděpodobně bych asi zfromátoval disky a provedl novou instalaci windows v dualbootu s linuxem
4) Nainstaloval bych na windowse nějakou slušnou ochranu antivir/fw (třeba bitdefender lze koupit za cca 3k pro 10 zařízení-počítačů na 3 roky) 
5) a proškolil o užitečnosti používání linuxu na "práci" včetně hraní her 8)
Název: Re:malware, zahnojene woknous
Přispěvatel: MalyTomi 19. 06. 2023, 16:46:58
V prvom rade by som pozrel, ci to je vobec realne hacknute, mnohokrat "hacker" je len fullscreen html okno s vystrahou, ktore ked zavries, tak je pocitac uplne v poriadku.
to bolo tak 15 rokov dozadu. Dnes je uplne bezne, ze ti to zasifruje subory tak, ze sa beznymi nastrojmi nedaju desifrovat.
Název: Re:Vyčistění napadených Windows
Přispěvatel: mikrom 19. 06. 2023, 22:12:15
Mne sa to pred niekolkymi rokmi podarilo vyriesit tak, ze som sa do PC prihlasil ako admin a synovi som vytvoril uplne novy user profil. Z toho stareho profilu som mu popresuval nejake subory do noveho a potom som stary profil vymazal.
Název: Re:Vyčistění napadených Windows
Přispěvatel: robac 19. 06. 2023, 23:08:09
Mne sa to pred niekolkymi rokmi podarilo vyriesit tak, ze som sa do PC prihlasil ako admin a synovi som vytvoril uplne novy user profil. Z toho stareho profilu som mu popresuval nejake subory do noveho a potom som stary profil vymazal.
No, zobecnit toto na bezpecne reseni, opravdu nejde...
Název: Re:Vyčistění napadených Windows
Přispěvatel: jjrsk 20. 06. 2023, 08:41:35
Vetsina soudobych "haxoru" jsou bridilove, takze se podivej - idealne pomoci systernals - co se spousti pri startu. IMO nepotrebujes ani nic reinstalovat (i kdyz to je pochopitelne sazka na jistotu).

Typicky to je neco na tema automaticky orevreni nejakyho webu.

U windows plati, ze vzdy a ve 100% bys mel mit system na samostatnym disku/partysne(od win 10 se ale odmitaji defaulne instalovat na disk kde neco je) - prave proto abys nemusel resit, a moh to snadno reinstalnout (coz je taky typicky zdaleka nejrychlejsi reseni jakyhkoli potizi).

to bolo tak 15 rokov dozadu. Dnes je uplne bezne, ze ti to zasifruje subory tak, ze sa beznymi nastrojmi nedaju desifrovat.
Disk(respektive soubory na nem) se da zasifrovat scriptem v powershellu (napriklad) ... a pokud se pouzije jakykoli normalni algoritmus, tak to bez klice nedesifrujes. Jenze tohle si samozrejme musis nejdriv pekne sam spustit.
Název: Re:Vyčistění napadených Windows
Přispěvatel: prevadecspojitostivole 20. 06. 2023, 12:33:36
Pouzij ESET SysRescue, nabootuj, zkontroluj, oprav. Pokud to opravdu je Ransomware, na data zkus dostupne decryptory.

Pro Windows se hodne dlouho nepouziva reinstalace, na opravy mas SFC/DISM.
Název: Re:Vyčistění napadených Windows
Přispěvatel: jjrsk 20. 06. 2023, 17:37:13
Citace: prevadecspojitostivole link=topic=27730.msg389571#msg389571
Pro Windows se hodne dlouho nepouziva reinstalace, na opravy mas SFC/DISM.
[/quote
Urcite, za tu dobu nez tahle volovina dobehne a nahlasi, ze nic opravit nemuze, se preinstajujou asi tak 3x.
Název: Re:Vyčistění napadených Windows
Přispěvatel: 𝑾𝑰𝑭𝑻 20. 06. 2023, 22:33:03

Pro Windows se hodne dlouho nepouziva reinstalace, na opravy mas SFC/DISM.
Urcite, za tu dobu nez tahle volovina dobehne a nahlasi, ze nic opravit nemuze, se preinstajujou asi tak 3x.

Třikrát asi ne, ale jinak souhlas, SFC/DISM je z mých zkušeností podobná rada jak „zkontrolujte, že máte aktuální ovladače, aktuální BIOS, aktuální aktualizace, že sedíte rovně a že máte čistou klávesnici“ apod. Ještě jsem nezažil, že by rada sfc /scannow a podobně pomohla. Přijde mi to jako zdržovací taktika :).

Pokud je stroj skutečně napaden, je navíc SFC absolutně k ničemu, čím déle ten stroj pojede, tím potenciálně hůře.

Jinak se přikláním k názoru, že jde s velkou pravděpodobností o nějakou fejkovou stránku apod. - kolikrát jsem od IT-negramotných známých slyšel, že si nainstalovali třeba na mobil ten a ten čistič a tohle a támhleto, protože jim telefon zahlásil, že je pomalý/zavirovaný/zkažený a potřebuje právě tohle a támhleto. A pak byl opravdu zablešený a zkažený. Bezvýhradně se jednalo o fejkové alerty v prohlížeči. A to nemusejí chodit ani na p-stránky, to byli důchodci, ti spíš hledají  různé babské rady a všelikeré produkty a návody a narazí na to taky.

Ostatně zda opravdu nějaký hacker požaduje peníze, protože nadělal nějakou paseku, se docela bezpečně pozná právě po prohlédnutí „napadeného“ disku v linuxu - buďto tam data budou a budou v pořádku, nebo už jsou zašifrovaná, hacker ví, co chce, a pak je na místě se s nimi rozloučit (v takovém případě nemusejí být zašifrována všechna). V dané situacije opět dobré již zde zmíněná rada udělat klon disku, aby se dalo vracet zpět, a pokud má někdo chuť a náladu si s tím hrát, tak si s tím hrát, samozřejmě ideálně na nějaké dobře oddělené síti, aby nedošlo k zavlečení těchto potíží na další skamaráděné počítače.
Název: Re:Vyčistění napadených Windows
Přispěvatel: prevadecspojitostivole 21. 06. 2023, 00:38:36
Proc si linuxaci vzdy vyberou komplikovanejsi cestu? O WinPE jsi uz asi slysel, DISM z nich pouzijes s parametrem offline.

Mas rad reinstalace? Reinstaluj a nezapomen na format c:

Název: Re:Vyčistění napadených Windows
Přispěvatel: jjrsk 21. 06. 2023, 07:49:16
...
Kolik stovek nebo tisicovek systemu si takhle opravil? To by me fakt zajimalo .... protoze to nefunguje naprosto nikdy a nanic.  Je to jen tradicni mantra opakovna na strankach MS u kazdeho dotazu, na ktery tazatel reaguje ve 100% pripadu tak, at si to strci nekam, protoze to nikdy nepomuze. Jen to v zavislosti na vykonu systemu bezi i par hodin. Maximalne to ten system dorazi do stavu, kdy uz nenastartuje.

Ostatne windowsi prece svuj anti nesmysl maji, a dokonce nejde nijak normalne vypnout, tak jak je mozny, ze senechaji zavirovat ze? Jediny co sem kdy videl ze to smazlo (bez ptani) byl naprosto neskodny aktivator windows - ktery navic do tech widli naprosto nijak nezasahuje.

Kazdej "normalni" antivir se bud zepta, nebo to presune ale nemaze, ze?
Název: Re:Vyčistění napadených Windows
Přispěvatel: prevadecspojitostivole 21. 06. 2023, 09:52:48
Nebud skromny, uz to hledam v zaznamech. Presne 7.765.192 PC

Podle tebe Microsoft vyrobil nastroj na kontrolu a opravu integrity systemu tak, aby tobe a dalsim linuxakum uskodil a systemy znefunkcnoval? Pouzivas na pokryvku hlavy dostatecne silny alobal, nebo delas chybu nekde jinde?

Kdyz ti system nestartuje, mas v logu, nebo na obrazovce napsane proc to dela. Logy Windows jsou fuj? Reinstalace je nastroj pro tebe, nezapomen na format c: a jeste nejaky nizkourovnovy z BIOSu a  SSD 10x prepsat nahodnymi daty.

DISM z WinPE ti na NVMe/SATA SSD bezi hodiny?

DISM NENI ANTIVIR! Tady je tvuj problem, nechpes co to je a k cemu to je!

Název: Re:Vyčistění napadených Windows
Přispěvatel: mhepp 21. 06. 2023, 12:46:19
Reálná zkušenost: Kamarád zapnul PC, Win naběhly, cca hodinu jsme pracovali (uživatelské věci, žádné změny v systému), pak PC vypnul. Další start už nenaběhly, doporučilo to nějaký režim opravy. Po 3.5h intenzivní práce se 256GB SSD hotovo a doporučen restart. PC skončil s hláškou o nenalezeném operačním systému. Kontrola z liveCD ukázala zbytky windows na disku, veškerá uživatelská data smazána.  Celou dobu jsem byl přítomen. Nikde nic o mazáni dat, v podstatě jen hláška "Obnovuji systém ze zálohy, chvilku strpení."

Vše zcela bez uživatelské interakce.

Takže ano, podle mne M$ vyrobil nástroj na kontrolu a opravu integrity systému, který je nefunkční a na hovno.

Nebud skromny, uz to hledam v zaznamech. Presne 7.765.192 PC

Podle tebe Microsoft vyrobil nastroj na kontrolu a opravu integrity systemu tak, aby tobe a dalsim linuxakum uskodil a systemy znefunkcnoval? Pouzivas na pokryvku hlavy dostatecne silny alobal, nebo delas chybu nekde jinde?

Kdyz ti system nestartuje, mas v logu, nebo na obrazovce napsane proc to dela. Logy Windows jsou fuj? Reinstalace je nastroj pro tebe, nezapomen na format c: a jeste nejaky nizkourovnovy z BIOSu a  SSD 10x prepsat nahodnymi daty.

DISM z WinPE ti na NVMe/SATA SSD bezi hodiny?

DISM NENI ANTIVIR! Tady je tvuj problem, nechpes co to je a k cemu to je!

Název: Re:Vyčistění napadených Windows
Přispěvatel: prevadecspojitostivole 21. 06. 2023, 13:49:48
Nejaky rezim opravy, ty nevis jaky a pak se divis? Nebylo to Obnovit system do tovarniho nastaveni a disk byl poradne jety a odepsany WD Green SSD, nebo podobna plecka?


Po temer 40 letech s Unixem a Linuxem, hajim na rootu Microsoft. To je bizar :D


Název: Re:Vyčistění napadených Windows
Přispěvatel: Rovano _ 21. 06. 2023, 17:52:27
Lidi, ten pán alex6bbc se už (zatím) neozval a zvolil špatný postup.
Jeho boj.

jjrsk+WIFT
Proč by nefungovaly? Protože jste je použili 1x neúšpěšně?

mhepp
To mám rád, když někdo hodí nějakou úplně jinou zkušenosti do takové diskuze a odvádí pozornost na chybu na židli.
Název: Re:Vyčistění napadených Windows
Přispěvatel: alex6bbc 21. 06. 2023, 19:36:17
Lidi, ten pán alex6bbc se už (zatím) neozval a zvolil špatný postup.
Jeho boj.

nestras, ja si dokazu poradit i sam :-)
jen jsem se ptal na dalsi moznosti antiviroveho scanu v linuxu.
projel jsem windows disky rescue diskem s antivirem a udelali jsme cistku.
Název: Re:Vyčistění napadených Windows
Přispěvatel: 𝑾𝑰𝑭𝑻 22. 06. 2023, 13:47:47
jjrsk+WIFT
Proč by nefungovaly? Protože jste je použili 1x neúšpěšně?
Přiznávám se bez mučení, byl jsem naivní a zkoušel jsem to víc než jednou. A protože mám už trošku představu, co to dělá a proč to dělá, tak vím, že na situace, se kterými jsem se setkal já, to zkrátka nezabírá.

TL;DR verze: Není čas s tím krámem ztrácet čas.
Název: Re:Vyčistění napadených Windows
Přispěvatel: Rovano _ 22. 06. 2023, 14:00:21
Lidi, ten pán alex6bbc se už (zatím) neozval a zvolil špatný postup.
Jeho boj.

nestras, ja si dokazu poradit i sam :-)
jen jsem se ptal na dalsi moznosti antiviroveho scanu v linuxu.
projel jsem windows disky rescue diskem s antivirem a udelali jsme cistku.
Tím ale nezaručíš vůbec nic. Prostě zbytečná práce k ničemu. Navíc jsou dnes viry i tam, kde je nemáš šanci detekovat.

Tudíž bych se vrátil na začátek úvahy, co to bylo za hlášku. Třeba to byla prkotina. Ale informace tu chybějí.