Restore nach Remotezugriff durch Betrüger - Unterschied zwischen PC zurücksetzen und System wiederherstellen?

Einhörnchen

Rear Admiral
Registriert
März 2007
Beiträge
5.145
Hintergrund:
  • Ein Freund von mir hatte den Worst Case. Er bekam beim Surfen eine Texteinblendung, dass er einen Trojaner hätte und er soll eine (deutsche) Rufnummer von Microsoft zwecks Support anrufen. Er wurde telefonisch zum Öffnen einer Remotedesktopverbindung aufgefordert, was er auch tat. Als der vermeintliche Support-Mitarbeiter Geld wollte, rief er mich an und ich sagte sofort Netzverbindung trennen und ausschalten.
  • Zwischenzeitlich habe ich via ct Desinfect seine Verzeichnisse gesichert und auch alle dort enthaltenen Virenscanner drüber laufen lassen. Allerdings wurde nur von ESET etwas uneindeutiges gefunden, "Win64/Adware.SecureDuck.A(Application)" (lag in Appdata\Roaming\Spywatch), installiert im Juni 21. Sophos, Avast, F-Secure fanden nichts. Da ich nicht weiß, was der Angreifer gemacht hat, möchte ich das System auf Werkseinstellungen zurücksetzen.
  • Leider hat er keine Medien und die Anleitung, die auf der HP Website für sein Notebook vorgeschlagen wird, (https://support.hp.com/de-de/document/c04777958) funktioniert nicht, da die dort angebotene Funktion "Recovery Manager" weder beim Öffnen außerhalb Windows (über den Bootmanager) noch in Windows angeboten wird.

Frage: Gibt es einen Unterschied zwischen "Diesen PC zurücksetzen > Alles entfernen" (4a) oder "System wiederherstellen" (4b)? Bei letzterem werden ich aufgefordert, mich mit einem Konto anzumelden. Zur besseren Verständlichkeit weiter unten die Boot-Dialoge, ich habe die entsprechenden Stellen mit einem (?) markiert.

Bonusfrage: Er verwendet Windows mit einem lokalen Profil (also ohne Microsoft Konto), unter Aktivierung steht, er verwendet Win 10 Home, das mit einer digitalen Lizenz aktiviert wurde. Folglich müsste, falls ich alternativ ein Clean Install über ein Setup-Medium mache, kein Product Key notwendig sein, da der Key im UEFI hinterlegt ist?

Screen 1
F1 System Information
F2 System Diagnostics
F9 Boot Device Options
F10 BIOS Setup
F11 System Recovery <-

Screen 2
Fortsetzen (Beenden und mit Windows 10 fortfahren)
Ein Gerät verwendet
Problembehandlung <-
PC Ausschalten

Screen 3
Diesen PC zurücksetzen (siehe 4a) (?)
Erweiterte Optionen (siehe 4b)

Screen 4a (Diesen PC zurücksetzen)
Eigene Dateien beibehalten
Alles entfernen

Screen 4b (Erweiterte Optionen)
Starthilfe
Starteinstellungen
Eingabeaufforderung
Updates deinstallieren
UEFI-Firmwareeinstellungen
System wiederherstellen (?)
System-Imagewiederherstellung
 
4a ist quasi eine Neu-Installation
4b ist das Laden eines Wiederherstellungspunktes

Ich würde weder noch, sondern mit einem über das MCT sauberen, auf einem anderen PC erstellen, USB-Stick Windows neu installieren und dabei alles platt machen. Und dann nur die Daten zurück kopieren, von denen man sicher ist, dass sie sauber sind.
Das alle Passwörter geändert sowie 2FA aktiviert werden sollte, sollte klar sein. Auch sollten alle Konten im Blick gehalten werden.
Eine Anzeige bei der Polizei kann auch nicht schaden. Die kann zwar nicht viel machen, hilft aber ggf. wenn er wo sein Geld zurückfordern möchte.

Bonusfrage: Über die Hardware-ID wird beim ersten Kontakt mit dem Internet das Windows so oder so aktiviert, egal ob der Key im UEFI ist oder nicht.
 
  • Gefällt mir
Reaktionen: fixedwater und Der Lord
Vielen Dank für die schnellen Antworten, dann wähle ich wohl Weg C, Clean install :-)
 
  • Gefällt mir
Reaktionen: whats4
PS: das MCT lasse auf deiner Maschine den Stick erzeugen, nicht auf der kritischen.
CN8
 
Zurück
Oben