在命令模式下刪除

1.你在MS-dos下先輸入net user 看有那些用戶(hù)， 注意第一步看不出隱藏的用戶(hù)

2.然后在輸入net localgroup administrators 或者 net localgroup users 說(shuō)一下第2步是看出隱藏用戶(hù)屬于那個(gè)組，你明白我的意思嗎? aministrators和users 是組，我們以組的名義查看，一目了然!~隱藏用戶(hù)出現(xiàn)了。

在注冊(cè)表中刪除

去注冊(cè)表里刪除你在注冊(cè)表下，打開(kāi)你的SAM把里面的東西刪除!再在用戶(hù)管理面中把這個(gè)帳號(hào)刪除掉!HKEY_LOCAL_MACHINESAMSAMDomainsaccountusers

用regedit打開(kāi)注冊(cè)表編輯器

找到[HKEY_LOCAL_MACHINE]——[SAM]——[SAM]——[Domains]——[Account]——[Users]，這里下面的數(shù)字和字母組合的子鍵是你計(jì)算機(jī)中所有用戶(hù)帳戶(hù)的SAM項(xiàng)。

子分支[Names]下是用戶(hù)名，每個(gè)對(duì)應(yīng)上面的SAM項(xiàng)。

查找隱藏的帳戶(hù)就比較兩個(gè)用戶(hù)名的SAM值完全一樣的就說(shuō)明其中一個(gè)是克隆帳戶(hù)。你可以在這里刪除其用戶(hù)名。

一般推薦分別導(dǎo)出用戶(hù)名項(xiàng)和對(duì)應(yīng)的SAM，然后找一個(gè)關(guān)鍵字分析比較。具體比較的方法多種多樣自己看了。

目前有種系統(tǒng)級(jí)后門(mén)，可以在有管理員帳戶(hù)登入的時(shí)候自動(dòng)刪除這里的克隆帳戶(hù)值，等你退出了又自動(dòng)恢復(fù)。遇到這種的情況，這里是查不出來(lái)的。一般這種后門(mén)都是高手搞的，免殺。

遇到這種情況，建議找專(zhuān)業(yè)安全人員處理。

另外：本地安全策略——本地策略——安全選項(xiàng)中可以查看默認(rèn)管理員和貴賓帳戶(hù)，這里可以查出默認(rèn)的guest是否被克隆了，如果這個(gè)帳戶(hù)被克隆這里會(huì)顯示出真正的克隆后的用戶(hù)名。