Jde vrátit ztracený admin Win10
Zdar,
mam pocitac, kde neni zadny administratorsky ucet. Existuje nejake reseni, ktere by dokazalo do Windows 10 21H1 pridat administratora?
Drive fungovalo nahrazeni utilman.exe za cmd.exe a na prihlasovaci obrazovce pridat admina, ale to uz nefunguje. Existuje jina moznost?
---
Podle me neni dulezite psat, jak ke ztrate admina doslo. Pokud to nekoho hodne zajima, tak mistni Yty odebral z pocitacu lokalni adminy a ponechal jen domenove. Kdyz prisel do firmy na navstevu ransomware, tak vypnul domenu. Ted jsou PC bez admina, takze pokud ho tam nedostanu zpatky nejakym hackem, tak me ceka reinstal Win.
Odpovim sem jednotne a zaroven vsem dekuji za rady.
Domena, active directory vsechno je pryc.
Administrator nebyl nikdy aktivovan a do toho cmd s instalacniho media se nedostanu, protoze mi to predtim nahlasi, ze se na pocitaci nenachazi zadny uzivatel s administratorskym opravnenim a nelze pokracovat.
Nacacheovane to bohuzel neni, nevim proc, ale pod svym domenovym adminem uz se nedokazu prihlasit, uzivatel neexistuje.
Jedine co by slo zkusit a na to jsem pravda zapomnel, jestli tam je treba mesic stary bod obnoveni, tam by to melo byt jeste v poradku a treba bych se k tomu dokazal dostat. Hned, jak budu v praci, tak to zkusim. Dik.
Jeste k tomu bodu obnoveni:
Spustim obnovu systemu z bodu obnoveni i pod pravy Usera z bezicich Windows?
A pak teda my tam mame dva problemy na ruznych pocitacich:
1. Nenapadenym pocitacum chybi Administrator, je tam User a prihlasim se do Windows.
2. U napadenych pocitacu se vubec nedokazu prihlasit, dal jak na obrazovku prihlaseni se nedostanu.
Bod obnoveni by teoreticky mel jit spustit pomoci instalacky, je to tak?
Tie nástroje na reset hesla vedia okrem iného aj pridať admin skupinu bežnému júzrovi.
Takže pokiaľ tam aspoň nejaký účet zostal, tak by to nemal byť problém.
Myslis ten hirensboot nebo ktery nastroj presne? (dik)
Celkom by ma zaujímalo, ako sa podarilo takto hromadne kompromitovať toľko win10 klientov? Predpokladám, že aktualizované boli, a minimálne ten základný a dostačujúci windows "antivir" tam bežal.
na všechny funguje stejné doménové přihlášení. zavlečená nákaza nejdřív sleduje cvrkot a hesla, a taky třeba neošetřené zranitelnosti smb v1,2,3. taky výsledný vir se stahuje a sestavuje postupně.
Já to řeším Hirens bootem. A normálně přes Průzkumníka Windows v Hirens bootu zálohuju utilmana.exe (třeba zkopíruju na C:\) a pak ho nahradím cmd.exe. Pak jen nabootuji Win 10 a zadám potřebné příkazy.
21H1 to nefunguje, Windows si hlida tyhle soubory kontrolnima souctama a toho falesneho utilmana alias cmd zase hned nahradi tim pravym.
Já jsem blbec... Nahraď sethc.exe. A ten sethc.exe si zálohuj. Prostě místo utilmana, kterýho si Windows hlídá nahraď sethc.exe a toho si myslím nehlídá. A pak před zamykací obrazovkou mačkej Shift a vyskočí ti cmd.exe.
ok, zkusim, dik, dam pak vedet.
Jak dopadlo?
Nijak, tvoja "stará škola" v prípade skutočného ransomware nemôže byť úspešná. Ani u ostatných snažílkov z radov tunajších rádcov.
Body obnoveni byly smazane, pocitace zasazene ransomwarem preinstaluju, ale u tech nezasazenych, kde byl problem jen s tim prihlasenim pomohlo to boot CD, jak daval odkaz Brtnik: Hirens boot CD. Byla tam utilita na povoleni zakazaneho Administratora a pres to, to slo vyresit.
Ta utilita od citatele: Offline NT password, to nejak bylo nefunkcni, kousel jsem to jako prvni, ale myslim, ze jsem to v tom prikazovem radku vsechno zadal dobre ale po restartu to neudelalo nic.
Kazdopadne teda Hirens Boot CD je fakt dobra vecicka, diky vsem za pomoc.
některý z těch viditelně zasažených ransomwarem proskenuj boot antivirem...
Kaspersky Rescue Disk: https://support.kaspersky.com/us/viruses/utility
rufusem na usb: https://support.kaspersky.com/14226
nebo Dr.Web LiveDisk: https://free.drweb.com/aid_admin/
poznač si nalezené skripty či .exe viru i s cestami a zkontroluj na všech nenakažených pc, že se tyto soubory nevyskytují.
doporučuju tuto kontrolu nechat delší dobu zapnutou (po spuštění, doménová přihlašovací batka...)
Tim Kaspersky Rescue Diskem uz jsem to projizdel, nenajde to nic. Zkusim naschval i ten Dr.Web.
https://www.youtube.com/watch?v=lnLKwuStyyA
když říkáš že eset byl v detekci úspěšnější: https://www.eset.com/sk/podpora/sysrescue/
Na jednom PC nebylo zasifrovane vsechno a Eset ohlasil soubory:
psnmc00X.inf_amd64_c3bdcb6fc975b614.cab.lockbit
Takovyhlech podobnych bylo na ceste "C:\Windows\System32\spool\drivers\x64\PCC" celkem pet.
Jinde nebyly i tam, kde bylo zasifrovano komplet a Kaspersky a Dr. Web nedetekovaly nikde nic.
Jestli to byla nejaka zabalena sifrovana knihovna, odkud si to vir rozbalil do pameti a na pocitacich po sobe nasledne uklidil a nezanechal stopy? Netusim.
---
Kazdopadne je to jedno. Dneska jsem mel stastny den. Neco jsem hledal a nasel jsem externi disk, koukam na nej, rikam si, proc jsem ho tu vlastne mel? No, tak kouknu do nej a tam image vsech pocitacu v oddeleni. V tu chvili se mi rozbresklo, ze jak se loni mluvilo o ty Benesovsky nemocnici, tak jsem si rekl, ze se na nikoho nebudu spolehat a udelal jsem si image systemu pocitacu.
Takze to obnovuju, sice se mezitim neco menilo, ale je to v podstate zivacka.
Funkčný je, ale ty si tie zmeny podľa všetkého asi nedal uložiť.
Je to mozny, kazdopadne to Hirens Boot CD tam ma peknou grafickou utilitu, takze proc to nevyuzit, kdyz je to tak jednoduse pouzitelne. Za me teda urcite dobry, ze jsem to zkusil a ted vim, ze kdyz bude nekdy zase nejaky takovyto problem, tak hned jdu pro Hirens CD.