Máquinas locais (domésticas) migram misteriosamente para o servidor de domínio

tag-icon tag-icon windows migration
Máquinas locais (domésticas) migram misteriosamente para o servidor de domínio

Eu tenho uma pilha de 4 laptops pessoais (executando tudo, desde o Windows 7 Pro até o Windows 10 Home) que se tornaram inúteis após serem migrados para um servidor de domínio e executados para executar um grande número de aplicativos em segundo plano, nenhum dos quais pode ser removido de inicialização, mesmo pelo melhor software de malware/antipirataria.

Após a última recuperação em um Sony VAIO executando o Win 10 10.0.17134 Build 17134, abri imediatamente o visualizador de eventos e vi uma série bizarra de ações realizadas antes mesmo de fazer login como usuário/administrador:

  1. Migração offline de nível inferior de objetos de segurança

  2. Informações adicionais do banco de dados ESENT adicionadas

  3. Serviço de proteção de software definido para reiniciar em alguns dias

  4. A proteção de software foi desativada

  5. Serviço VideoUI iniciado (nota: isso ocorre antes de qualquer outro programa)

  6. Recuperação do mecanismo de banco de dados VideoUI

  7. Nova sessão VideoUI iniciada

  8. Configuração de inicialização definida para desabilitar verificação e depuração

  9. Usuário do grupo de trabalho criado (Font Driver Host) e com privilégios especiais, incluindo representação

  10. Vários novos usuários são criados e recebem privilégios especiais

  11. SID S-1-5-21... consulta contas de usuário em busca de senhas em branco

  12. SID S-1-5-21 migra chave criptográfica para contas de usuários locais

Como não sei nada sobre tecnologia, demorei muito para descobrir o que estava acontecendo. Mas parece que qualquer laptop (eu tenho um VAIO, ASUS, DELL e LENOVO) rodando Windows é sequestrado dessa forma e migrado para um servidor de domínio controlado por outra pessoa. Eu os configurei em redes públicas e privadas em casa ou no escritório. Não parece se importar. A única constante é que todos eles foram configurados em redes conectadas a conexões Spectrum/TWC.

Quando eu opero as máquinas como se elas estivessem funcionando como computadores pessoais normais, surgem problemas e elas desligam... às vezes alegando erros de registro que nem mesmo permitem que elas inicializem no WinRE.

Ao longo de 6 anos, levei-os a especialistas em TI. Executei todos os scanners de malware do universo conhecido. Nada ajuda.

O que está acontecendo? Como posso identificar a origem dos SIDs que estão causando o problema? Como posso identificar quem controla o servidor de domínio para onde eles são migrados?

Você é meu herói se puder ajudar! CoopNYC

Responder1

Eu faria isso em ordem:

  • Atualize o firmware do seu roteador (instale novamente, mesmo que já esteja na versão mais recente) e depois redefina-o de fábrica. Certifique-se de que seu firewall esteja ativado e que o acesso à Internet não seja permitido em sua página de configurações.
  • Desligue todos os computadores e desconecte-se da rede.
  • Ligue-os um por um, formate e reinstale o Windows e certifique-se de que o firewall esteja ativado.
  • Conecte os computadores um por um à rede e aplique patches completos em cada um.

Se isso acontecer novamente, você mesmo está instalando o malware ou talvez seu roteador esteja vulnerável (substitua antes de começar se for de 6 anos atrás).

Veja também a seguinte postagem:
Como posso remover spyware, malware, adware, vírus, trojans ou rootkits maliciosos do meu PC?

informação relacionada