持久性MDM劫持 - 病毒、木马和恶意软件清除帮助

问题描述

多年来，用户一直注意到计算机出现无法解释的异常行为，传统的杀毒软件和恶意软件扫描器无法检测到问题。经过数周的调查，借助Perplexity和GPT等工具，用户最终确定问题根源是某种MDM（移动设备管理）类型的强制注册，但无法彻底解决此问题。

该问题已接管用户的PC和ROG Ally设备，Mac设备状况尚不确定。

技术分析详情

系统扫描结果

Farbar恢复扫描工具(FRST)扫描结果显示多个异常项目：

进程白名单分析：

• 多个AMD相关进程正常运行
• Steam客户端及其组件
• Sublime Text编辑器进程
• iCloud相关服务进程
• 各种系统工具进程（NetScanner、SSView等）

注册表异常：

1
2

HKLM Group Policy restriction on software: \\?\C:\WINDOWS\system32 <==== 注意
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ProgramW6432Dir% <==== 注意

多个组策略限制指向关键系统目录

策略配置异常：

• Windows Defender策略受限
• Windows Update策略受限
• Windows防火墙策略受限
• 智能屏幕功能被强制启用并设置为阻止级别

计划任务：

• AMD相关更新任务
• Windows Defender维护任务
• Google更新程序任务
• 各种系统维护任务

网络配置：

• DNS服务器设置为1.1.1.1和9.9.9.9
• DHCP服务器为192.168.1.254

浏览器扩展：

• Edge和Chrome浏览器安装了多个扩展
• 包括翻译工具、广告拦截器、VPN扩展、密码管理器等

服务分析：

• Windows Defender服务正常运行
• M-Audio音频设备服务
• OSSEC代理服务（未签名）
• AMD相关服务

驱动程序：

• AMD显卡驱动程序
• M-Audio音频驱动程序
• Npcap网络抓包驱动
• Windows Defender相关驱动

安全事件日志

应用程序错误

• ctfmon.exe输入服务模块崩溃
• 卷影复制服务错误
• SCEP证书注册失败
• 代码完整性违规事件

系统错误

• DCOM服务启动失败
• 连接设备平台服务依赖问题
• 网络连接代理服务启动失败

Windows Defender事件

• 漏洞防护阻止了未授权操作
• 涉及lsass.exe和svchost.exe进程
• 安全智能版本：1.437.174.0

内存和硬件信息

• BIOS: American Megatrends Inc. 1202
• 主板: ASUS ROG STRIX B550-F GAMING (WI-FI)
• 处理器: AMD Ryzen 7 5700X 8-Core
• 内存: 64GB RAM（使用率29%）
• 存储: Samsung SSD 990 PRO 4TB + Vi7000G PCIe M.2 SSD

MDM注册证据

通过PowerShell查询发现多个MDM注册项：

• 23个不同的注册ID
• 注册状态均为激活（EnrollmentState: 1）
• 包含多种注册类型（EnrollmentType: 1,2,10,11,18）
• 策略管理器提供程序配置存在企业级设置

技术影响

1. 系统控制权丧失：MDM注册导致系统被远程管理
2. 策略强制执行：组策略限制影响软件安装和系统访问
3. 安全监控：企业级安全策略可能监控用户活动
4. 证书管理：SCEP证书注册尝试指向企业证书颁发机构

此情况表明确实存在实质性的计算机技术内容，涉及系统安全、恶意软件分析和企业设备管理技术架构。