Lokale (Heim-)Computer migrieren auf mysteriöse Weise zum Domänenserver

tag-icon tag-icon windows migration
Lokale (Heim-)Computer migrieren auf mysteriöse Weise zum Domänenserver

Ich habe einen Stapel von 4 privaten Laptops (auf denen alles von Windows 7 Pro bis Windows 10 Home läuft), die nach der Migration auf einen Domänenserver unbrauchbar geworden sind und auf denen eine große Zahl von Hintergrundanwendungen ausgeführt wird, von denen keine aus dem Startvorgang entfernt werden kann, nicht einmal mit der besten Malware-/Antipiraterie-Software.

Nach der letzten Wiederherstellung auf einem Sony VAIO mit Win 10 10.0.17134 Build 17134 öffnete ich sofort die Ereignisanzeige und sah eine bizarre Reihe von Aktionen, die ausgeführt wurden, bevor ich mich überhaupt als Benutzer/Administrator angemeldet hatte:

  1. Offlinemigration von Sicherheitsobjekten auf niedrigere Level

  2. Zusätzliche ESENT-Datenbankinformationen hinzugefügt

  3. Der Softwareschutzdienst wird in wenigen Tagen neu gestartet

  4. Der Softwareschutz wurde dann deaktiviert

  5. VideoUI-Dienst gestartet (Hinweis: Dies geschieht vor allen anderen Programmen)

  6. Wiederherstellung der VideoUI-Datenbank-Engine

  7. Neue VideoUI-Sitzung gestartet

  8. Boot-Konfiguration so eingestellt, dass Überprüfung und Debugging deaktiviert sind

  9. Arbeitsgruppenbenutzer erstellt (Font Driver Host) und mit Sonderberechtigungen ausgestattet, einschließlich Identitätswechsel

  10. Eine Reihe neuer Benutzer werden erstellt und mit Sonderrechten ausgestattet

  11. SID S-1-5-21...fragt Benutzerkonten nach leeren Passwörtern ab

  12. SID S-1-5-21 migriert kryptografische Schlüssel für lokale Benutzerkonten

Da ich keine Ahnung von Technik habe, hat es lange gedauert, bis ich herausgefunden habe, was los war. Aber es scheint, dass jeder Laptop (ich habe einen VAIO, ASUS, DELL und LENOVO), auf dem Windows läuft, auf diese Weise gekapert und auf einen Domänenserver migriert wird, der von jemand anderem kontrolliert wird. Ich habe sie über öffentliche und private Netzwerke zu Hause oder im Büro eingerichtet. Scheint egal zu sein. Die einzige Konstante ist, dass sie alle über Netzwerke eingerichtet wurden, die mit Spectrum/TWC-Verbindungen verbunden sind.

Wenn ich die Maschinen wie normale Personalcomputer bediene, treten Probleme auf und sie schalten sich ab ... manchmal mit angeblichen Registrierungsfehlern, die nicht einmal den Start von WinRE zulassen.

Über 6 Jahre lang habe ich sie zu IT-Experten gebracht. Ich habe jeden Malware-Scanner im bekannten Universum ausgeführt. Nichts hat geholfen.

Was ist los? Wie kann ich den Ursprung der SIDs ermitteln, die das Problem verursachen? Wie kann ich feststellen, wer den Domänenserver kontrolliert, auf den sie migriert werden?

Du bist mein Held, wenn du mir irgendwie helfen kannst! CoopNYC

Antwort1

Ich würde dies der Reihe nach tun:

  • Aktualisieren Sie die Firmware Ihres Routers (installieren Sie sie erneut, auch wenn sie bereits die neueste Version ist) und setzen Sie sie dann auf die Werkseinstellungen zurück. Stellen Sie sicher, dass die Firewall aktiviert ist und der Internetzugriff auf die Einstellungsseite nicht erlaubt ist.
  • Schalten Sie alle Computer aus und trennen Sie die Verbindung zum Netzwerk.
  • Schalten Sie sie nacheinander ein, formatieren Sie Windows, installieren Sie es neu und stellen Sie sicher, dass ihre Firewall aktiviert ist.
  • Verbinden Sie die Computer nacheinander mit dem Netzwerk und führen Sie für jeden die vollständigen Patches durch.

Wenn dies erneut passiert, installieren Sie die Schadsoftware selbst oder Ihr Router ist möglicherweise anfällig (wenn er 6 Jahre alt ist, ersetzen Sie ihn vor Beginn).

Siehe auch folgenden Beitrag:
Wie kann ich bösartige Spyware, Malware, Adware, Viren, Trojaner oder Rootkits von meinem PC entfernen?

verwandte Informationen