Las máquinas locales (domésticas) migran misteriosamente al servidor de dominio

tag-icon tag-icon windows migration
Las máquinas locales (domésticas) migran misteriosamente al servidor de dominio

Tengo una pila de 4 computadoras portátiles personales (que ejecutan todo, desde Windows 7 Pro hasta Windows 10 Home) que quedaron inservibles después de migrarlas a un servidor de dominio y ejecutar una gran cantidad de aplicaciones en segundo plano, ninguna de las cuales se puede eliminar de inicio, incluso con el mejor software antimalware/antipiratería.

Después de la última recuperación en un Sony VAIO con Win 10 10.0.17134 Build 17134, inmediatamente abrí el visor de eventos y vi una extraña serie de acciones realizadas incluso antes de iniciar sesión como Usuario/Administrador:

  1. Migración de nivel inferior sin conexión de objetos de seguridad

  2. Información adicional de la base de datos ESENT agregada

  3. El servicio de protección de software se reiniciará en unos días

  4. Luego se desactivó la protección del software.

  5. Se inició el servicio VideoUI (nota: esto es antes que cualquier otro programa)

  6. Recuperación del motor de base de datos VideoUI

  7. Nueva sesión de VideoUI iniciada

  8. Configuración de arranque configurada para deshabilitar la verificación y la depuración

  9. Se creó un usuario del grupo de trabajo (Font Driver Host) y se le otorgaron privilegios especiales, incluida la suplantación de identidad.

  10. Se crean un grupo de nuevos usuarios y se les otorgan privilegios especiales.

  11. SID S-1-5-21...consulta cuentas de usuario en busca de contraseñas en blanco

  12. SID S-1-5-21 migra clave criptográfica para cuentas de usuarios locales

Como no sé nada sobre tecnología, me tomó mucho tiempo descubrir qué estaba pasando. Pero parece que cualquier computadora portátil (tengo una VAIO, ASUS, DELL y LENOVO) que ejecuta Windows es secuestrada de esta manera y migrada a un servidor de dominio controlado por otra persona. Los configuré a través de redes públicas y privadas en casa o en la oficina. No parece importarle. La única constante es que todos fueron configurados a través de redes conectadas a conexiones Spectrum/TWC.

Cuando opero las máquinas como si estuvieran funcionando como computadoras personales normales, surgen problemas y se apagan... a veces alegando errores de registro que ni siquiera les permiten iniciar WinRE.

Durante 6 años, los he llevado a expertos en TI. He ejecutado todos los escáneres de malware del universo conocido. Nada ayuda.

¿Lo que está sucediendo? ¿Cómo puedo identificar el origen de los SID que causan el problema? ¿Cómo puedo identificar quién controla el servidor de dominio donde se migran?

¡Eres mi héroe si puedes ayudarme! CoopNYC

Respuesta1

Haría esto en orden:

  • Actualice el firmware de su enrutador (instálelo nuevamente incluso si ya tiene la última versión) y luego reinícielo de fábrica. Asegúrese de que su firewall esté habilitado y que no se permita el acceso a Internet a su página de configuración.
  • Apague todas las computadoras y desconéctese de la red.
  • Actívelos uno por uno, formatee y reinstale Windows y asegúrese de que su firewall esté habilitado.
  • Conecte las computadoras una por una a la red y parchee completamente cada una.

Si esto vuelve a suceder, entonces usted mismo está instalando el malware o quizás su enrutador sea vulnerable (reemplácelo antes de comenzar si data de hace 6 años).

Vea también la siguiente publicación:
¿Cómo puedo eliminar spyware, malware, adware, virus, troyanos o rootkits maliciosos de mi PC?

información relacionada