我有一堆4 台個人筆記型電腦(運行從Windows 7 Pro 到Windows 10 Home 的所有系統),在遷移到網域伺服器並運行大量後台應用程式後,這些筆記型電腦已變得毫無用處,而這些應用程式都無法從系統中刪除。
在運行 Win 10 10.0.17134 Build 17134 的 Sony VAIO 上進行最後一次恢復後,我立即打開事件檢視器,看到在我以使用者/管理員身份登入之前發生的一系列奇怪的操作:
安全物件離線下級遷移
新增了附加 ESENT 資料庫信息
軟體保護服務將於幾天後重新啟動
然後關閉軟體保護
VideoUI 服務啟動(注意:這是在任何其他程式之前)
VideoUI資料庫引擎的恢復
新的 VideoUI 會話開始
引導配置設定為停用驗證和偵錯
建立工作群組使用者(字體驅動程式主機)並賦予特殊權限,包括模擬
創建了一堆新用戶並賦予了特殊權限
SID S-1-5-21...查詢使用者帳號的空白密碼
SID S-1-5-21 遷移本機使用者帳戶的加密金鑰
由於我對科技的了解為零,所以我花了很長時間才弄清楚發生了什麼事。但是,似乎任何運行 Windows 的筆記型電腦(我有一台 VAIO、ASUS、DELL 和 LENOVO)都會以這種方式被劫持並遷移到由其他人控制的網域伺服器。我已經在家裡或辦公室的公共和私人網路上設置了它們。似乎並不關心。唯一不變的是,它們都是透過連接到 Spectrum/TWC 連接的網路進行設定的。
當我像正常個人電腦一樣運行這些機器時,就會出現問題並關閉...有時會聲稱註冊表錯誤,甚至不允許它們啟動到 WinRE。
六年多來,我帶他們去找 IT 專家。我曾運行過已知宇宙中的所有惡意軟體掃描程式。沒有任何幫助。
怎麼了?如何辨識導致問題的 SID 來源?如何確定誰控制他們遷移到的網域伺服器?
如果你能提供任何幫助,你就是我的英雄!紐約庫普
答案1
我會按順序執行此操作:
- 更新路由器的韌體(即使已經是最新版本,也要重新安裝),然後將其恢復出廠設定。確保其防火牆已啟用,並且不允許對其設定頁面進行 Internet 存取。
- 關閉所有電腦並中斷網路連線。
- 將它們一一打開,格式化並重新安裝 Windows,並確保其防火牆已啟用。
- 將電腦一台一台地連接到網路並為每台電腦打完整補丁。
如果這種情況再次發生,那麼您自己正在安裝惡意軟體,或者您的路由器可能容易受到攻擊(如果是 6 年前的路由器,請在開始之前進行更換)。