Jde vrátit ztracený admin Win10
Zdar,
mam pocitac, kde neni zadny administratorsky ucet. Existuje nejake reseni, ktere by dokazalo do Windows 10 21H1 pridat administratora?
Drive fungovalo nahrazeni utilman.exe za cmd.exe a na prihlasovaci obrazovce pridat admina, ale to uz nefunguje. Existuje jina moznost?
---
Podle me neni dulezite psat, jak ke ztrate admina doslo. Pokud to nekoho hodne zajima, tak mistni Yty odebral z pocitacu lokalni adminy a ponechal jen domenove. Kdyz prisel do firmy na navstevu ransomware, tak vypnul domenu. Ted jsou PC bez admina, takze pokud ho tam nedostanu zpatky nejakym hackem, tak me ceka reinstal Win.
Mozna pomuzou
https://windowsreport.com/recover-windows-10-password/
To nemuze pomoct. Nepotrebuji obnovit heslo administratora, ja tam zadneho admina nemam, potreboval bych uzivatele s administratorskym opravnenim vytvorit.
Z tých doménových účtov čo tam zostali nebol ani jeden lokálny admin? Stačí pozrieť len na profily v c:\users.
Urcite je pryc ? Dival ses aspon do seznamu net users ? Nebo zmizel z Active Directory ?
![[93013-red-m-png]](https://pc.poradna.net/files/93013-red-m-png)
Hack nepotrebujes jestli potrebujes jen mistniho admina, spust lusrmgr.msc pres prikazovy radek "uzivatelé → administrators", a "Groups" → "administrators domeny" a nastaveni v gpedit.msc pod administratorskyma sablonama .
Mozna by stacilo obnoveni z urciteho data nekdy pred napadenim (jestli se vam to nerozezlo uz po cele siti) a po restartu provest mensi osetreni na strane zabezpeceni a prav + zasad skupiny.
PS: Jinak se podivej zde : "USE GROUP POLICY" :
https://www.checkyourlogs.net/gpogpp-control-the-local-administrators-group/
ucet s nazvem "administrator" tam je, jen nebyl nikdy aktivovan?
viz vypis: net users
zkusil bych nabootovat z instalacniho media, tusim shift+f10 je cmd okno:
net use administrator /active:yes
net user administrator ""
(syntaxi nekde zkontroluj)
nebo boot hirens64, co je tam na odemknuti uctu a reset hesla.
https://www.hirensbootcd.org/howtos/#collapse-1-208
překlep:
ale je pravda, že člověk by musel být přihlášený k tomu systému (v jeho recovery console). čili jednodušší je obnovit zakázaný admin účet pomocí nějakého toho resetovače hesel z hirens64 apod.
Pokud tam byl jenom účet Administrátor z AD, tak by se mělo dát přihlásit i bez AD.
Heslo by mělo být nakešované - pokud tedy se do toho PC někdy přihlašoval...
Odpovim sem jednotne a zaroven vsem dekuji za rady.
Domena, active directory vsechno je pryc.
Administrator nebyl nikdy aktivovan a do toho cmd s instalacniho media se nedostanu, protoze mi to predtim nahlasi, ze se na pocitaci nenachazi zadny uzivatel s administratorskym opravnenim a nelze pokracovat.
Nacacheovane to bohuzel neni, nevim proc, ale pod svym domenovym adminem uz se nedokazu prihlasit, uzivatel neexistuje.
Jedine co by slo zkusit a na to jsem pravda zapomnel, jestli tam je treba mesic stary bod obnoveni, tam by to melo byt jeste v poradku a treba bych se k tomu dokazal dostat. Hned, jak budu v praci, tak to zkusim. Dik.
Jeste k tomu bodu obnoveni:
Spustim obnovu systemu z bodu obnoveni i pod pravy Usera z bezicich Windows?
A pak teda my tam mame dva problemy na ruznych pocitacich:
1. Nenapadenym pocitacum chybi Administrator, je tam User a prihlasim se do Windows.
2. U napadenych pocitacu se vubec nedokazu prihlasit, dal jak na obrazovku prihlaseni se nedostanu.
Bod obnoveni by teoreticky mel jit spustit pomoci instalacky, je to tak?
snad všechny ransomware mažou body obnovení. obsah adresáře může zobrazit nějaké live-cd (o hirens64 už byla řeč).
výpis co je tam za účty jsi nedodal, případně s výpisem přejmenovaného admoše:
Protoze me napadlo se zeptat az ted z domova.
Ale je tam zakazany Administrator, zakazany Ghost, byvaly administratorsky ucet Spravce momentalne bez jakehokoli opravneni a ucet Pracovnik s opravnenim User. Nic jineho tam nezustalo.
Kazdopadne nezasazene pocitace ransomwarem, ktere zasahla jenom hloupost IT oddeleni, bych mel byt schopen obnovit pres bod obnoveni. Zasazene pocitace asi budes mit pravdu, ze body obnovy budou maznute.
https://www.hirensbootcd.org/files/HBCD_PE_x64.iso
že je zakázaný administrator nic neznamená - tím NT Password Edit v0.7 jde znovu povolit. (účet ghost je k ničemu, nemá práva)
u nás v korporátu nastavují it doménové pc úplně stejně.
ochranou proti ransomware není ani tak antivir, jako funkční záloha.
Tie nástroje na reset hesla vedia okrem iného aj pridať admin skupinu bežnému júzrovi.
Takže pokiaľ tam aspoň nejaký účet zostal, tak by to nemal byť problém.
Myslis ten hirensboot nebo ktery nastroj presne? (dik)
Offline NT password, a podobné na ňom založené
ok dik, zkusim a dam vedet, jestli se zadarilo.
Celkom by ma zaujímalo, ako sa podarilo takto hromadne kompromitovať toľko win10 klientov? Predpokladám, že aktualizované boli, a minimálne ten základný a dostačujúci windows "antivir" tam bežal.
na všechny funguje stejné doménové přihlášení. zavlečená nákaza nejdřív sleduje cvrkot a hesla, a taky třeba neošetřené zranitelnosti smb v1,2,3. taky výsledný vir se stahuje a sestavuje postupně.
A urcite to byl ransomware ?
Po tom samem update na dvou PC u obou problemy. Na mem vlastnim mi tato aktualizace zcela rozhazela Hyper-V a WinRM po oprave i kdyz sluzba bezi, vyhazuje nesmyslne chyby ze hypervizer neni v provozu, vzdalene pripojeni jsem ani nezkousel protoze vim co by mne cekalo kdyz jsem videl ty nezdarene pokusy o obnoveni registru v logu o prubehu update.
Na druhem PC po restartu jen cerna obrazovka a zvetsena sipka od mysi.
Rutina, misto klidneho vikendu opravovat bordel co tam nachcal nakej pomalovanej Hiradgara Jumaduk kdyz se ripal ve onecore. To uz nejsou Updaty ale migrace celeho OS mezi verzema i s ucty.
jj, u nas tam byl ransomware.
zkusim tu obnovu bodu obnoveni systemu a odemknout admina pres hirens boot cd nebo tu dalsi utilitu, co mi tu dali odkaz.
Já to řeším Hirens bootem. A normálně přes Průzkumníka Windows v Hirens bootu zálohuju utilmana.exe (třeba zkopíruju na C:\) a pak ho nahradím cmd.exe. Pak jen nabootuji Win 10 a zadám potřebné příkazy.
21H1 to nefunguje, Windows si hlida tyhle soubory kontrolnima souctama a toho falesneho utilmana alias cmd zase hned nahradi tim pravym.
Já jsem blbec... Nahraď sethc.exe. A ten sethc.exe si zálohuj. Prostě místo utilmana, kterýho si Windows hlídá nahraď sethc.exe a toho si myslím nehlídá. A pak před zamykací obrazovkou mačkej Shift a vyskočí ti cmd.exe.
ok, zkusim, dik, dam pak vedet.
Jak dopadlo?
Nijak, tvoja "stará škola" v prípade skutočného ransomware nemôže byť úspešná. Ani u ostatných snažílkov z radov tunajších rádcov.
Body obnoveni byly smazane, pocitace zasazene ransomwarem preinstaluju, ale u tech nezasazenych, kde byl problem jen s tim prihlasenim pomohlo to boot CD, jak daval odkaz Brtnik: Hirens boot CD. Byla tam utilita na povoleni zakazaneho Administratora a pres to, to slo vyresit.
Ta utilita od citatele: Offline NT password, to nejak bylo nefunkcni, kousel jsem to jako prvni, ale myslim, ze jsem to v tom prikazovem radku vsechno zadal dobre ale po restartu to neudelalo nic.
Kazdopadne teda Hirens Boot CD je fakt dobra vecicka, diky vsem za pomoc.
některý z těch viditelně zasažených ransomwarem proskenuj boot antivirem...
Kaspersky Rescue Disk: https://support.kaspersky.com/us/viruses/utility
rufusem na usb: https://support.kaspersky.com/14226
nebo Dr.Web LiveDisk: https://free.drweb.com/aid_admin/
poznač si nalezené skripty či .exe viru i s cestami a zkontroluj na všech nenakažených pc, že se tyto soubory nevyskytují.
doporučuju tuto kontrolu nechat delší dobu zapnutou (po spuštění, doménová přihlašovací batka...)
Tim Kaspersky Rescue Diskem uz jsem to projizdel, nenajde to nic. Zkusim naschval i ten Dr.Web.
https://www.youtube.com/watch?v=lnLKwuStyyA
když říkáš že eset byl v detekci úspěšnější: https://www.eset.com/sk/podpora/sysrescue/
Na jednom PC nebylo zasifrovane vsechno a Eset ohlasil soubory:
psnmc00X.inf_amd64_c3bdcb6fc975b614.cab.lockbit
Takovyhlech podobnych bylo na ceste "C:\Windows\System32\spool\drivers\x64\PCC" celkem pet.
Jinde nebyly i tam, kde bylo zasifrovano komplet a Kaspersky a Dr. Web nedetekovaly nikde nic.
Jestli to byla nejaka zabalena sifrovana knihovna, odkud si to vir rozbalil do pameti a na pocitacich po sobe nasledne uklidil a nezanechal stopy? Netusim.
---
Kazdopadne je to jedno. Dneska jsem mel stastny den. Neco jsem hledal a nasel jsem externi disk, koukam na nej, rikam si, proc jsem ho tu vlastne mel? No, tak kouknu do nej a tam image vsech pocitacu v oddeleni. V tu chvili se mi rozbresklo, ze jak se loni mluvilo o ty Benesovsky nemocnici, tak jsem si rekl, ze se na nikoho nebudu spolehat a udelal jsem si image systemu pocitacu.
Takze to obnovuju, sice se mezitim neco menilo, ale je to v podstate zivacka.
Funkčný je, ale ty si tie zmeny podľa všetkého asi nedal uložiť.
Je to mozny, kazdopadne to Hirens Boot CD tam ma peknou grafickou utilitu, takze proc to nevyuzit, kdyz je to tak jednoduse pouzitelne. Za me teda urcite dobry, ze jsem to zkusil a ted vim, ze kdyz bude nekdy zase nejaky takovyto problem, tak hned jdu pro Hirens CD.