Bootkit v notebooku?
Zdravím mám dotaz. Je možné nějak rozpoznat infikování bootkitem? Systém občas bootuje pomaleji,někdy rychle. Firewall mám povolen v nastavení,integritu paměti v zabezpečení zařízení také. Provedl jsem úplný sken pomocí Malwarebytes i Defenderem,bez detekcí. Kde se na tyto problémy specializují? Firewall mám spuštěný a jsem připojen na domácí zabezpečené Wi-fi zabezpečené WPA 3 enkrypcí.
Také zdravím
https://learn.microsoft.com/cs-cz/sysinternals/downloads/autoruns
Koukni co se ti startuje při startu, tím bych začal
logon, services, schedule, toto nejvíc
úplne zbytočné spúšťať autoruns,bootkit/rootkit sa cez autoruns nedá detegovať ,na to treba nástroj,ktorý dokáže identifikovať bežiaci rootkit/bootkit a zneškodniť ho,tieto potvory totiž nabiehajú pred štartom systému a obvykle aj modifikujú štart systému a bežia úplne mimo systém,nebežia ako jeho súčasť,takže autorun ich nevidí,nebeží to ani ako program "po štarte",nebeží to ani ako system services.......keď už použiť niektorú utilitu zo sysinternals,tak RootkitRevealer,alebo rovno použiť špecializovaný nástroj a la Bitdefender Rootkit Remover/Sophos AntiRootkit a spol,ktorý to vie nielen nájsť,ale aj zlikvidovať....
Máš snad MBR? Na UEFI se bootkit nechytá.
Naozaj?
https://www.crowdstrike.com/en-us/cybersecurity-101/malware/bootkits/
Mas aktivovany v BIOS Secure Boot ? Pouzivas "TPM + BitLocker" ? ( tak kdyz se bootkit pokusi o zmenu, nebo zasah do bootloaderu, TPM mu zakaze vydat potrebne keys/klice)
Nejake anomalie nez nabehne Windows ? Ten bootkit se spousti jeste pred startem OS kde muze pozmenit, uprvavit nebo infikovat nektere polozky a to at je to v ohledu k firmware nebo zapisu rootkitu do pameti.
Secure boot je aktivovaný,tpm také.Windows bootuje rychle.
Nechci prudit, ale koukal si co se ti po startu spouští?
Ono tam může být i to co nemusí, dále poznáš co máš schválně a co vůbec nevíš co to je zač.
Ledaco si spustíš až to potřebuješ, do spouštění se to cpát nemusí.
V tom případě je bootkit prakticky nemožný ... sice je jakýsi certifikát zkompromitovaný, ale vyžaduje to fyzický přístup k PC (boot z cinklého média).
nákazu si do pc z netu většinou stahuješ dobrovolně. případně se může po síti šířit tak, že napadá zranitelné neaktualizové služby.
wpa3 s tím nijak nesouvisí a nechrání.
ale jednak máš firewall ve win, a hlavně předřazený router, takže kromě vlastního používání zranitelého sw nebo klikání na "útočné" odkazy bys měl být ok.
většina toho, čemu lidi říkají projevy virů, je systém zahnojený nežádoucími nesmysly po spuštění, které si instaluje sám majtel. případně stále běžícími službami od programů, na které už dávno zapomněl a nepoužívá je. a v neposlední řadě mohou systém brzdit čím dál nenažranějšími antiviry.
poučný výpis ti ukáže ms autoruns, případně ms process explorer (oba stáhnout a spustit).
Nemas nic nakazene, pretoze pravdepodobnost nakazy tvojho pc tym, co popisujes je miziva. Dostat do tvojho pc bootkit na dialku bez fyzickeho pristupu je takmer nemozne.
Je to rovnako ako keby som ti chcel hacknut pc...na dialku takmer nemozne, akonahle mi das k enmu fyzicky pristup uz takmer iste.
Moj system tiez obcas bootoje rychlo a obncas pomalsie, ale stale je to v rozmedzi 20-30s.
Fyzicky pristup ma uzivatel, staci aby stahl nejaky fuck aktivator, modifikovany ISO instalacky Windows z neoficialniho zdroje, nebo pouzil nejaky Crack z Werez pro nejakou hru nebo nejaky Chat SW pro podvadeni ve hre a je to tam.
Hackeri se neobtezuji chodit k nekomu dom, kdyz je dost blbych lidi co to nainstaluji za ne.
Bohuzel neznalost nezna meze, staci si treba v prohlizeci stahnout adekvatni Addon a neni problem ziskat jak hesla, tak kontrolu nad PC, spustit sifrovani, vydirat.
http://www.mediafire.com/file/ya4np28aisv557d/GT5_Garage_Editor_v131_slim355_q-k.zip/file Dávám zde odkaz. Je to ze stránky GT planet. Použil jsem to abych si odemkl dlc vozidla do Gran Turisma 5,které už se nedají zakoupit. Notebook asi přenechám odborníkovi.
takze navrhy ke kontrole systemu ignorujes.
pokud te zajima kontrola na neco jako rootkit, je dobre stahnout iso antiviru - rescue disk.
z nej nabootovat a zkontrolovat disk.
Minimalne spust Offline Scan Windows Defender : "Windows → Zabezpečení → Ochrana před viry → Offline scan" + klik na Scan.
(PC se vypne a a spusti offline scan)
Video navod :
[video]https://youtu.be/npF7iaXVJmo?si=SWI5mcavdNdrlJaa&t=76[/video]
A kde po kontrole najdu výsledky skenování?
Proč bys je měl hledat? Pokud něco najde, oznámí to ...
V nastaveni, Defender→ historie. Jestli neco nasel na coz by te upozornil (viz dsa), najdes to tam.
A jaký antivir mám použít?
https://www.kaspersky.com/downloads/free-rescue-disk
https://support.avira.com/hc/en-us/articles/360007776058-Creating-and-using-Avira-Rescue-System
https://www.majorgeeks.com/files/details/dr_web_livecd_liveusb.html
no a protože tam vir nutně být nemusí, spíš systém v nevhodném stavu, tak ještě na kontrolu ve windows:
https://www.malwarebytes.com/adwcleaner
https://learn.microsoft.com/cs-cz/sysinternals/downloads/autoruns
https://learn.microsoft.com/cs-cz/sysinternals/downloads/process-explorer
Zde kontrola adw cleanerem,jak mohu poslat log z Autoruns? Arn. soubor je příliš velký,
mrkneš se okem na záložky: logon, scheduled tasks, services
![[100965-autoruns-logon-scheduled-service-png]](https://pc.poradna.net/files/100965-autoruns-logon-scheduled-service-png)
hledáš atypické procesy (cizí, které nejsou od ms a nevíš že bys je instaloval), výrobce, cesty z divných míst na disku
log: existují i nějaké úschovny apod, ale komu se tam chce lozit.