Vyčistění napadených Windows

alex6bbc

  • *****
  • 1 666
    • Zobrazit profil
    • E-mail
Vyčistění napadených Windows
« kdy: 19. 06. 2023, 13:12:30 »
synek breci, ze ma hacknuty pocitac a chteji po nem hackeri penize :-(

rekl jsem mu, at to nezapina do internetu a radeji at to nezapina vubec.

planuju nabootovat do linuxu a clamavem proscanovat disky co tam mame s fotkama, hrama, dokumentama.

pak bych nektery z disku naformatoval v linuxu a presunul na nej ciste soubory a tak postupne procistil vsecky disky a nakonec udelal novou instalaci woknous co ma na hrani.

nejake dalsi postrehy co je vhodne jeste udelat?
« Poslední změna: 19. 06. 2023, 13:43:37 od Petr Krčmář »


Re:malware, zahnojene woknous
« Odpověď #1 kdy: 19. 06. 2023, 13:30:01 »
V prvom rade by som pozrel, ci to je vobec realne hacknute, mnohokrat "hacker" je len fullscreen html okno s vystrahou, ktore ked zavries, tak je pocitac uplne v poriadku.

Re:malware, zahnojene woknous
« Odpověď #2 kdy: 19. 06. 2023, 13:35:35 »
ten clamav nebýval moc dobrej, tak jsem to ani nepoužíval

Většina AV výrobců má záchranné USB/CD, což je v podstatě Linux pro BFU s jejich aplikací. To jsem párkrát úspěšně použil.

DrWeb: https://free.drweb.com/aid_admin/

Eset: https://www.eset.com/int/support/sysrescue

Kaspersky: https://www.kaspersky.com/downloads/free-rescue-disk

Avast má taky, ale nemám v něj důvěru.

Potom na Windows na dočištění asi MalwareBytes zdarma: https://www.malwarebytes.com/mwb-download/thankyou

Jestli má ale něco zašifrováno, tak to chce najít čím a potom se snažit najít automatický rozšifrovávač. Najít se dá buď tady https://www.nomoreransom.org nebo u Kaspersky třeba https://noransom.kaspersky.com

alex6bbc

  • *****
  • 1 666
    • Zobrazit profil
    • E-mail
Re:Vyčistění napadených Windows
« Odpověď #3 kdy: 19. 06. 2023, 14:05:43 »
dik za linky. ja sem pravoverny linuxak a doposud jsem windows malware uspesne ignoroval.
ale decka windows pouzivaji, tak to musim resit.
rozjedu linux a postupne prozenu disky cistkou.

Re:Vyčistění napadených Windows
« Odpověď #4 kdy: 19. 06. 2023, 14:17:39 »
Souhlas s čistou instalací Windows. Zachránit pouze data. Je to příležitost, udělat trochu v uživatelských datech pořádek.


Karmelos

  • *****
  • 1 061
    • Zobrazit profil
    • E-mail
Re:Vyčistění napadených Windows
« Odpověď #5 kdy: 19. 06. 2023, 14:18:37 »
Já bych postupoval následovně:
Nejprve vyšetřil co se vlastně děje - jaký hekři, co za ty peníze chtějí apod. - dneska to může být "nevinná" hláška, vyskakovací okno z pornostránky v pohlížeči, nebo klasický email o údajném jednání/natočení apod, ale i relativně vážná hrozba zašifrovaní systému malwarem, nebo i blbý ftípek spolužáků.  Cokoliv...   
pak
1) Udělat offline zálohu - tj udělal kopie disků na NAS/externí disk
2) Přesunout a vymazat veškerý privátní obsah (fotky, videa, maily, dokumenty)
3) Pravděpodobně bych asi zfromátoval disky a provedl novou instalaci windows v dualbootu s linuxem
4) Nainstaloval bych na windowse nějakou slušnou ochranu antivir/fw (třeba bitdefender lze koupit za cca 3k pro 10 zařízení-počítačů na 3 roky) 
5) a proškolil o užitečnosti používání linuxu na "práci" včetně hraní her 8)
Gréta je nejlepší.

Re:malware, zahnojene woknous
« Odpověď #6 kdy: 19. 06. 2023, 16:46:58 »
V prvom rade by som pozrel, ci to je vobec realne hacknute, mnohokrat "hacker" je len fullscreen html okno s vystrahou, ktore ked zavries, tak je pocitac uplne v poriadku.
to bolo tak 15 rokov dozadu. Dnes je uplne bezne, ze ti to zasifruje subory tak, ze sa beznymi nastrojmi nedaju desifrovat.

mikrom

  • ****
  • 370
    • Zobrazit profil
    • E-mail
Re:Vyčistění napadených Windows
« Odpověď #7 kdy: 19. 06. 2023, 22:12:15 »
Mne sa to pred niekolkymi rokmi podarilo vyriesit tak, ze som sa do PC prihlasil ako admin a synovi som vytvoril uplne novy user profil. Z toho stareho profilu som mu popresuval nejake subory do noveho a potom som stary profil vymazal.

robac

  • ***
  • 203
    • Zobrazit profil
    • E-mail
Re:Vyčistění napadených Windows
« Odpověď #8 kdy: 19. 06. 2023, 23:08:09 »
Mne sa to pred niekolkymi rokmi podarilo vyriesit tak, ze som sa do PC prihlasil ako admin a synovi som vytvoril uplne novy user profil. Z toho stareho profilu som mu popresuval nejake subory do noveho a potom som stary profil vymazal.
No, zobecnit toto na bezpecne reseni, opravdu nejde...

jjrsk

  • *****
  • 527
    • Zobrazit profil
Re:Vyčistění napadených Windows
« Odpověď #9 kdy: 20. 06. 2023, 08:41:35 »
Vetsina soudobych "haxoru" jsou bridilove, takze se podivej - idealne pomoci systernals - co se spousti pri startu. IMO nepotrebujes ani nic reinstalovat (i kdyz to je pochopitelne sazka na jistotu).

Typicky to je neco na tema automaticky orevreni nejakyho webu.

U windows plati, ze vzdy a ve 100% bys mel mit system na samostatnym disku/partysne(od win 10 se ale odmitaji defaulne instalovat na disk kde neco je) - prave proto abys nemusel resit, a moh to snadno reinstalnout (coz je taky typicky zdaleka nejrychlejsi reseni jakyhkoli potizi).

to bolo tak 15 rokov dozadu. Dnes je uplne bezne, ze ti to zasifruje subory tak, ze sa beznymi nastrojmi nedaju desifrovat.
Disk(respektive soubory na nem) se da zasifrovat scriptem v powershellu (napriklad) ... a pokud se pouzije jakykoli normalni algoritmus, tak to bez klice nedesifrujes. Jenze tohle si samozrejme musis nejdriv pekne sam spustit.

Re:Vyčistění napadených Windows
« Odpověď #10 kdy: 20. 06. 2023, 12:33:36 »
Pouzij ESET SysRescue, nabootuj, zkontroluj, oprav. Pokud to opravdu je Ransomware, na data zkus dostupne decryptory.

Pro Windows se hodne dlouho nepouziva reinstalace, na opravy mas SFC/DISM.
« Poslední změna: 20. 06. 2023, 12:35:39 od prevadecspojitostivole »

jjrsk

  • *****
  • 527
    • Zobrazit profil
Re:Vyčistění napadených Windows
« Odpověď #11 kdy: 20. 06. 2023, 17:37:13 »
Citace: prevadecspojitostivole link=topic=27730.msg389571#msg389571
Pro Windows se hodne dlouho nepouziva reinstalace, na opravy mas SFC/DISM.
[/quote
Urcite, za tu dobu nez tahle volovina dobehne a nahlasi, ze nic opravit nemuze, se preinstajujou asi tak 3x.

Re:Vyčistění napadených Windows
« Odpověď #12 kdy: 20. 06. 2023, 22:33:03 »

Pro Windows se hodne dlouho nepouziva reinstalace, na opravy mas SFC/DISM.
Urcite, za tu dobu nez tahle volovina dobehne a nahlasi, ze nic opravit nemuze, se preinstajujou asi tak 3x.

Třikrát asi ne, ale jinak souhlas, SFC/DISM je z mých zkušeností podobná rada jak „zkontrolujte, že máte aktuální ovladače, aktuální BIOS, aktuální aktualizace, že sedíte rovně a že máte čistou klávesnici“ apod. Ještě jsem nezažil, že by rada sfc /scannow a podobně pomohla. Přijde mi to jako zdržovací taktika :).

Pokud je stroj skutečně napaden, je navíc SFC absolutně k ničemu, čím déle ten stroj pojede, tím potenciálně hůře.

Jinak se přikláním k názoru, že jde s velkou pravděpodobností o nějakou fejkovou stránku apod. - kolikrát jsem od IT-negramotných známých slyšel, že si nainstalovali třeba na mobil ten a ten čistič a tohle a támhleto, protože jim telefon zahlásil, že je pomalý/zavirovaný/zkažený a potřebuje právě tohle a támhleto. A pak byl opravdu zablešený a zkažený. Bezvýhradně se jednalo o fejkové alerty v prohlížeči. A to nemusejí chodit ani na p-stránky, to byli důchodci, ti spíš hledají  různé babské rady a všelikeré produkty a návody a narazí na to taky.

Ostatně zda opravdu nějaký hacker požaduje peníze, protože nadělal nějakou paseku, se docela bezpečně pozná právě po prohlédnutí „napadeného“ disku v linuxu - buďto tam data budou a budou v pořádku, nebo už jsou zašifrovaná, hacker ví, co chce, a pak je na místě se s nimi rozloučit (v takovém případě nemusejí být zašifrována všechna). V dané situacije opět dobré již zde zmíněná rada udělat klon disku, aby se dalo vracet zpět, a pokud má někdo chuť a náladu si s tím hrát, tak si s tím hrát, samozřejmě ideálně na nějaké dobře oddělené síti, aby nedošlo k zavlečení těchto potíží na další skamaráděné počítače.

Re:Vyčistění napadených Windows
« Odpověď #13 kdy: 21. 06. 2023, 00:38:36 »
Proc si linuxaci vzdy vyberou komplikovanejsi cestu? O WinPE jsi uz asi slysel, DISM z nich pouzijes s parametrem offline.

Mas rad reinstalace? Reinstaluj a nezapomen na format c:


jjrsk

  • *****
  • 527
    • Zobrazit profil
Re:Vyčistění napadených Windows
« Odpověď #14 kdy: 21. 06. 2023, 07:49:16 »
...
Kolik stovek nebo tisicovek systemu si takhle opravil? To by me fakt zajimalo .... protoze to nefunguje naprosto nikdy a nanic.  Je to jen tradicni mantra opakovna na strankach MS u kazdeho dotazu, na ktery tazatel reaguje ve 100% pripadu tak, at si to strci nekam, protoze to nikdy nepomuze. Jen to v zavislosti na vykonu systemu bezi i par hodin. Maximalne to ten system dorazi do stavu, kdy uz nenastartuje.

Ostatne windowsi prece svuj anti nesmysl maji, a dokonce nejde nijak normalne vypnout, tak jak je mozny, ze senechaji zavirovat ze? Jediny co sem kdy videl ze to smazlo (bez ptani) byl naprosto neskodny aktivator windows - ktery navic do tech widli naprosto nijak nezasahuje.

Kazdej "normalni" antivir se bud zepta, nebo to presune ale nemaze, ze?