%20%D0%BC%D0%B0%D1%88%D0%B8%D0%BD%D1%8B%20%D1%82%D0%B0%D0%B8%D0%BD%D1%81%D1%82%D0%B2%D0%B5%D0%BD%D0%BD%D1%8B%D0%BC%20%D0%BE%D0%B1%D1%80%D0%B0%D0%B7%D0%BE%D0%BC%20%D0%BC%D0%B8%D0%B3%D1%80%D0%B8%D1%80%D1%83%D1%8E%D1%82%20%D0%BD%D0%B0%20%D1%81%D0%B5%D1%80%D0%B2%D0%B5%D1%80%20%D0%B4%D0%BE%D0%BC%D0%B5%D0%BD%D0%B0%20.png)
У меня есть стопка из 4 персональных ноутбуков (на которых установлены все версии — от Windows 7 Pro до Windows 10 Home), которые стали бесполезными после переноса на сервер домена и запуска большого количества фоновых приложений, ни одно из которых не может быть удалено из автозагрузки даже лучшим антивирусным/антипиратским ПО.
После последнего восстановления на Sony VAIO под управлением Win 10 10.0.17134 Build 17134 я сразу же открыл просмотр событий и увидел странную серию действий, выполненных еще до того, как я вошел в систему как пользователь/администратор:
Автономная миграция объектов безопасности на более низкий уровень
Добавлена дополнительная информация в базу данных ESENT
Служба защиты программного обеспечения будет перезапущена через несколько дней
Затем защита программного обеспечения отключается.
Служба VideoUI запущена (примечание: это происходит до запуска всех остальных программ)
Восстановление ядра базы данных VideoUI
Начался новый сеанс VideoUI
Конфигурация загрузки настроена на отключение проверки и отладки
Создан пользователь рабочей группы (хост драйвера шрифта) и ему предоставлены особые привилегии, включая олицетворение
Создается группа новых пользователей, которым предоставляются особые привилегии.
SID S-1-5-21...запрашивает у учетных записей пользователей пустые пароли
SID S-1-5-21 переносит криптографический ключ для локальных учетных записей пользователей
Так как я ничего не смыслю в технологиях, мне потребовалось много времени, чтобы понять, что происходит. Но, похоже, любой ноутбук (у меня VAIO, ASUS, DELL и LENOVO) под управлением Windows был взломан таким образом и перенесен на сервер домена, контролируемый кем-то другим. Я настраивал их через публичные и частные сети дома или в офисе. Кажется, его это не волнует. Единственное, что неизменно, — все они были настроены через сети, подключенные к соединениям Spectrum/TWC.
Когда я управляю машинами так, как будто они работают как обычные персональные компьютеры, возникают неполадки, и они выключаются...иногда сообщая об ошибках реестра, которые даже не позволяют им загрузить WinRE.
За 6 лет я отвез их к IT-специалистам. Я запустил все сканеры вредоносных программ в известной вселенной. Ничего не помогает.
Что происходит? Как определить происхождение SID, вызывающих проблемы? Как определить, кто контролирует сервер домена, на который они переносятся?
Вы мой герой, если можете оказать какую-либо помощь! CoopNYC
решение1
Я бы сделал это в следующем порядке:
- Обновите прошивку вашего маршрутизатора (установите заново, даже если уже установлена последняя версия), затем сбросьте настройки до заводских. Убедитесь, что его брандмауэр включен, а доступ в Интернет на его странице настроек запрещен.
- Выключите все компьютеры и отключите их от сети.
- Включайте их по одному, форматируйте и переустанавливайте Windows, а также убедитесь, что их брандмауэр включен.
- Подключите компьютеры к сети по одному и полностью обновите каждый из них.
Если это повторится, значит, вы сами устанавливаете вредоносное ПО или, возможно, ваш маршрутизатор уязвим (перед началом работы замените его, если он был выпущен более 6 лет назад).
См. также следующий пост:
Как удалить вредоносное шпионское ПО, вредоносное ПО, рекламное ПО, вирусы, трояны или руткиты с моего ПК?