在命令模式下刪除

1.你在MS-dos下先輸入net user 看有那些用戶， 注意第一步看不出隱藏的用戶

2.然后在輸入net localgroup administrators 或者 net localgroup users 說一下第2步是看出隱藏用戶屬于那個(gè)組，你明白我的意思嗎? aministrators和users 是組，我們以組的名義查看，一目了然!~隱藏用戶出現(xiàn)了。

在注冊(cè)表中刪除

去注冊(cè)表里刪除你在注冊(cè)表下，打開你的SAM把里面的東西刪除!再在用戶管理面中把這個(gè)帳號(hào)刪除掉!HKEY_LOCAL_MACHINESAMSAMDomainsaccountusers

用regedit打開注冊(cè)表編輯器

找到[HKEY_LOCAL_MACHINE]——[SAM]——[SAM]——[Domains]——[Account]——[Users]，這里下面的數(shù)字和字母組合的子鍵是你計(jì)算機(jī)中所有用戶帳戶的SAM項(xiàng)。

子分支[Names]下是用戶名，每個(gè)對(duì)應(yīng)上面的SAM項(xiàng)。

查找隱藏的帳戶就比較兩個(gè)用戶名的SAM值完全一樣的就說明其中一個(gè)是克隆帳戶。你可以在這里刪除其用戶名。

一般推薦分別導(dǎo)出用戶名項(xiàng)和對(duì)應(yīng)的SAM，然后找一個(gè)關(guān)鍵字分析比較。具體比較的方法多種多樣自己看了。

目前有種系統(tǒng)級(jí)后門，可以在有管理員帳戶登入的時(shí)候自動(dòng)刪除這里的克隆帳戶值，等你退出了又自動(dòng)恢復(fù)。遇到這種的情況，這里是查不出來的。一般這種后門都是高手搞的，免殺。

遇到這種情況，建議找專業(yè)安全人員處理。

另外：本地安全策略——本地策略——安全選項(xiàng)中可以查看默認(rèn)管理員和貴賓帳戶，這里可以查出默認(rèn)的guest是否被克隆了，如果這個(gè)帳戶被克隆這里會(huì)顯示出真正的克隆后的用戶名。