我有 4 台个人笔记本电脑(运行从 Windows 7 Pro 到 Windows 10 Home 的所有系统),在迁移到域服务器并运行大量后台应用程序后变得毫无用处,即使是最好的恶意软件/反盗版软件也无法从启动中删除任何应用程序。
在运行 Win 10 10.0.17134 Build 17134 的 Sony VAIO 上进行最后一次恢复后,我立即打开了事件查看器,看到在我以用户/管理员身份登录之前发生了一系列奇怪的操作:
安全对象的离线向下级迁移
添加了额外的 ESENT 数据库信息
软件保护服务将于几天后重启
然后关闭软件保护
VideoUI 服务已启动(注意:这在任何其他程序之前)
VideoUI 数据库引擎的恢复
新的 VideoUI 会话已开始
启动配置设置为禁用验证和调试
创建工作组用户(字体驱动程序主机)并赋予其特殊权限,包括模拟
创建了一批新用户并赋予其特殊权限
SID S-1-5-21...查询用户帐户的空白密码
SID S-1-5-21 迁移本地用户帐户的加密密钥
由于我对技术一无所知,我花了很长时间才弄清楚发生了什么。但是,似乎任何运行 Windows 的笔记本电脑(我有一台 VAIO、ASUS、DELL 和 LENOVO)都以这种方式被劫持并迁移到由其他人控制的域服务器。我已经在家里或办公室的公共和私人网络上设置了它们。似乎并不在意。唯一不变的是,它们都是通过连接到 Spectrum/TWC 连接的网络设置的。
当我操作这些机器时,就好像它们像普通个人计算机一样,问题出现了,它们就关闭了……有时会声称注册表错误,甚至不允许它们启动到 WinRE。
6 年来,我曾向 IT 专家咨询过这些问题。我运行过已知的所有恶意软件扫描程序。但都无济于事。
发生了什么?我如何确定导致问题的 SID 的来源?我如何确定谁控制着迁移到的域服务器?
如果你能提供任何帮助,你就是我的英雄!CoopNYC
答案1
我会按以下顺序进行操作:
- 更新路由器固件(即使已经是最新版本,也请重新安装),然后将其恢复出厂设置。确保防火墙已启用,并且不允许 Internet 访问其设置页面。
- 关闭所有计算机并断开网络。
- 逐个打开它们,格式化并重新安装 Windows,并确保其防火墙已启用。
- 将计算机一台一台地连接到网络并对每台计算机进行全面修补。
如果这种情况再次发生,则说明您自己正在安装恶意软件,或者您的路由器可能存在漏洞(如果它是 6 年前的,请在开始之前更换)。