在命令模式下刪除
1.你在MS-dos下先輸入net user 看有那些用戶, 注意第一步看不出隱藏的用戶
2.然后在輸入net localgroup administrators 或者 net localgroup users 說一下第2步是看出隱藏用戶屬於那個組,你明白我的意思嗎? aministrators和users 是組,我們以組的名義查看,一目了然!~隱藏用戶出現了。
在注冊表中刪除
去注冊表里刪除你在注冊表下,打開你的SAM把里面的東西刪除!再在用戶管理面中把這個帳號刪除掉!HKEY_LOCAL_MACHINESAMSAMDomainsaccountusers
使用regedit打開注冊表編輯器
找到[HKEY_LOCAL_MACHINE]——[SAM]——[SAM]——[Domains]——[Account]——[Users],這里下面的數字和字母組合的子鍵是你計算機中所有用戶帳戶的SAM項。
子分支[Names]下是用戶名,每個對應上面的SAM項。
查找隱藏的帳戶就比較兩個用戶名的SAM值完全一樣的就說明其中一個是克隆帳戶。你可以在這里刪除其用戶名。
一般推薦分別導出用戶名項和對應的SAM,然后找一個關鍵字分析比較。具體比較的方法多種多樣自己看了。
目前有種系統級后門,可以在有管理員帳戶登入的時候自動刪除這里的克隆帳戶值,等你退出了又自動恢復。遇到這種的情況,這里是查不出來的。一般這種后門都是高手搞的,免殺。
遇到這種情況,建議找專業安全人員處理。
另外:本地安全策略——本地策略——安全選項中可以查看默認管理員和貴賓帳戶,這里可以查出默認的guest是否被克隆了,如果這個帳戶被克隆這里會顯示出真正的克隆后的用戶名。