无忧启动论坛

标题: 本机有可疑用户名（SID形式）但无隐藏用户，各位兄弟帮忙啊！ [打印本页]

作者: 鹤冲天 时间: 2007-9-10 02:26
标题: 本机有可疑用户名（SID形式）但无隐藏用户，各位兄弟帮忙啊！
本机有可疑用户名（SID形式）但无隐藏用户，各位兄弟帮忙啊！
用户名是SID码但不是偶本机的SID码。我在注册表里也没看到隐藏用户。想不明白请无优各位兄弟帮忙看看啊！谢谢先！！
我先不说了，上图各位帮我看看先！

下图是本机SID玛和用户

作者: EnsonKing 时间: 2007-9-10 03:58
你的系统是不是重装过？这个文件是不是系统重装以前就有的？如果是的话应该是以前的系统上的用户删掉就是
另外可以用这个工具检查一下

Local Administrator Checker v0.9.rar (152.68 KB, 下载次数: 102)

作者: 鹤冲天 时间: 2007-9-10 21:47
感谢楼上的兄弟！
是从装过，但是格盘从做的啊！！？怎么可能会留下原来的用户？？（这偶想不明白请兄明示）
用兄提供的附件也没有找到隐藏用户
Not Found

作者: netwinxp 时间: 2007-9-10 21:48
那个好像是域用户，你的机子是在有域的局域网？

作者: 鹤冲天 时间: 2007-9-10 21:50
没在有域的局域网啊
偶个人的机器啊！

作者: netwinxp 时间: 2007-9-10 21:56
你是不是设置成有域的的局域网？(看看控制面板—网络连接—网络安装向导)

[ 本帖最后由 netwinxp 于 2007-9-10 09:58 PM 编辑 ]

作者: 鹤冲天 时间: 2007-9-10 21:58
如何察看请兄明示！！！！

作者: 鹤冲天 时间: 2007-9-10 22:10
偶是路由器连网从没有设置过，
在有偶在那里也看不到什么关于域的东西啊？

作者: kangyi 时间: 2007-9-10 23:35
windows不是通过sid来辨识用户的吗（因此把用户名改成什么样无所谓）

所以，如果注册表中没有与特定用户名对应的sid，那删掉我想也没什么关系的吧

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList这里也有帐户信息

http://www.microsoft.com/technet ... /dec04/hey1203.mspx

作者: 鹤冲天 时间: 2007-9-11 18:13
注册表中没有此SID。
在有系统盘中文件在安全选项中没有这个SID用户？
难道真是上次系统的SID吗？？为什么会保留下来？

作者: netwinxp 时间: 2007-9-11 18:21
你装哪个版本的XP？有好几个版本的有后门

作者: 鹤冲天 时间: 2007-9-11 18:36
偶装的是红叶修改的DEEPINV5.7应该不会的，有也应该能查到啊！偶什么都没查到·？

作者: netwinxp 时间: 2007-9-11 19:18
全格了，用DOS GHOST再看看

作者: 鹤冲天 时间: 2007-9-11 19:37
什么意思？
全盘都格了？
GO回去在看看？

作者: jdssong 时间: 2007-9-12 08:42
用whoami /user命令看看你的sid是什么和注册表对照一下，一样的话应该没问题，不同的话是不是红叶修改了什么。看lz的贴图这个sid应该是admin帐户

[ 本帖最后由 jdssong 于 2007-9-12 08:54 AM 编辑 ]

作者: 濁酒半壺 时间: 2007-9-12 09:50
你的问题就是用的GHOST版本的XP的问题，
哪个SID是在制作GHO文件前生成的，因为没有用工具删除他才会留下哪个用户，你如果想用安全点的XP最好用原版手工安装，或是用原版的手工集成个自己的XP安装盘，（我就是在论坛学习了知识后自己集成安装盘的，我心眼小怕别人的不安全 @^_^！）哪样就不会有隐藏用户和后门了，不过微软留下的后门，什么方法也解决不了，;P

作者: EnsonKing 时间: 2007-9-12 16:09
基本可以肯定是原来的系统遗留的而且是原来系统的管理员帐号因为你重装系统的时候只是格式化了系统分区其他分区（NTFS）的用户权限还是保留的
总之这样的用户在当前系统是不存在的放心删吧没问题的真正隐藏的用户你是看不到的

作者: zgzxp 时间: 2007-9-12 20:21
这个在多系统中很常见的了
不过楼主有心了

作者: 鹤冲天 时间: 2007-9-12 21:30
回15楼，那个SID不是偶现在系统的SID，一楼图上有！

作者: 鹤冲天 时间: 2007-9-12 21:37

原帖由 濁酒半壺 于 2007-9-12 09:50 AM 发表
你的问题就是用的GHOST版本的XP的问题，
哪个SID是在制作GHO文件前生成的，因为没有用工具删除他才会留下哪个用户，你如果想用安全点的XP最好用原版手工安装，或是用原版的手工集成个自己的XP安装盘，（我就是 ...

感谢兄弟的回复，偶从来不用GHOST版本的系统，偶还没那么懒，呵呵！！
偶用的是红叶的那个半原创
【半原创】深度XP5.7纯净、安全版！
http://bbs.wuyou.net/forum.php?mod=viewthread&tid=107807&highlight=%2Bemca
之所以用这个那到是因为懒，呵呵。

系统外壳对Autorun病毒免疫，用此重装系统后，根本不可能再重新自动激活其他磁盘中的Autorun型病毒；

复制代码

偶懒的自己改这个！

[ 本帖最后由鹤冲天于 2007-9-12 09:39 PM 编辑 ]

作者: 鹤冲天 时间: 2007-9-12 21:51

原帖由 EnsonKing 于 2007-9-12 04:09 PM 发表
基本可以肯定是原来的系统遗留的而且是原来系统的管理员帐号因为你重装系统的时候只是格式化了系统分区其他分区（NTFS）的用户权限还是保留的
总之这样的用户在当前系统是不存在的放心删吧没问题的真正 ...

偶也极度怀疑是原系统的问题，但是自己解释不通，为什么会遗留下来？
删除？！嘿嘿。兄可有批量删除的方法？一个一个删就累死了！！:L

真正隐藏的用户你是看不到的

复制代码

这句兄是虾米意思？是说在安全中不会显示？还是......

作者: 鹤冲天 时间: 2007-9-12 22:08

原帖由 zgzxp 于 2007-9-12 08:21 PM 发表
这个在多系统中很常见的了
不过楼主有心了

可俺是单系统:L
如果PE也算的话偶但是多系统！呵呵！！

作者: 濁酒半壺 时间: 2007-9-13 08:22
标题: 回复 #20 鹤冲天的帖子
不好意思我没有和过个版本的，我还以为是GHO版的，:L
不是GHO版的哪可能是其他原因，

作者: EnsonKing 时间: 2007-9-13 14:25
只要你设置了从父项继承权限项目那么在该分区上删除此用户就可以了

隐藏的用户可以同时在net命令下以及用户管理器中隐藏（注册表中可以查到）而要得到权限只要赋予相关用户组就可以所以也可以不在安全选项卡中出现

作者: 鹤冲天 时间: 2007-9-13 23:03

原帖由 EnsonKing 于 2007-9-13 02:25 PM 发表
只要你设置了从父项继承权限项目那么在该分区上删除此用户就可以了

郁闷的是，在逻辑驱动器上没有这个用户，要删除要一个一个文件夹那样删除。痛苦啊！
在有，我实在想不通为什么会遗留下上次系统的用户呢？？
兄可知道什么操作肯定会留下？！偶没操作什么啊！

作者: EnsonKing 时间: 2007-9-14 00:11

原帖由 鹤冲天 于 2007-9-13 11:03 PM 发表
郁闷的是，在逻辑驱动器上没有这个用户，要删除要一个一个文件夹那样删除。痛苦啊！

那我也没办法了用cacls命令好像也不能直接修改实在不行就不要删了反正留着也没什么大碍

原帖由 鹤冲天 于 2007-9-13 11:03 PM 发表
在有，我实在想不通为什么会遗留下上次系统的用户呢？？
兄可知道什么操作肯定会留下？！偶没操作什么啊！

是这样的如果你的注册表中有这个SID 那么说明是当前系统的用户删除后留下的但是你的注册表中没有所以并非当前系统的（手动删除注册表中该SID的除外:L ）另外从其他机器上复制过来的文件也可能保留相关的用户权限不过同时还要满足相关的存储设备都是NTFS文件系统的分区至于什么操作会留下我所知道的只要单独修改过权限的一般都会留下还有管理员帐号的权限好像不修改也会留下来（这个不是很确定）

作者: 鹤冲天 时间: 2007-9-14 00:55
那是不是可以这么理解，只要是NTFS分区，格盘从做后，都会有这样的问题/？？

作者: EnsonKing 时间: 2007-9-14 12:44
这个我也不清楚没注意过我一直都是用ghost还原的 SID不变所以不存在这个问题

要证明其实不难把移动硬盘格式化成NTFS 然后到其他电脑的NTFS分区上复制文件（一定要用管理员帐号登录受限用户是不能更改权限的）复制好后查看一下移动硬盘上刚刚复制的文件的用户权限里面应该有那台电脑上的管理员帐号的权限存在（默认本身就有的不要手动去改权限）然后再回到自己电脑上看刚刚复制的文件上有没有出现SID标识的不存在用户

作者: 鹤冲天 时间: 2007-9-14 19:50
恩，星期一了从单位把移动硬盘拿回来44，要是郁闷了，一会我就用虚拟机44。
现在就是删除比较郁闷！！
在有要是格了装有1个SID，那要在格在装呢？？不会2吧！！？:L

作者: 鹤冲天 时间: 2007-9-26 00:25
最近有空，在虚拟机中测试下了，用光盘直接安装和PE下安装都没出现1楼的情况。
郁闷！
这到底是怎么回事？？
什么情况才会产生？！！？

作者: EnsonKing 时间: 2007-9-26 01:53
你取消继承看看
（晕字数不够的说:L ）

作者: kai2002 时间: 2007-9-26 16:22
我的理解，该SID号是上个系统遗留下的，前个系统时估计曾改过文件夹的安全属性，把文件的一些安全属性都赋予给这个用户帐户，系统重装后，新系统是不存在这个用户的，而且就算是重建同名用户，SID也是不同的。所以在这些文件夹的安全属性中会出现SID,，可以直接在安全属性中删去这SID号，不影响系统正常使用的。

[ 本帖最后由 kai2002 于 2007-9-26 04:24 PM 编辑 ]

作者: 鹤冲天 时间: 2007-9-26 19:55

原帖由 EnsonKing 于 2007-9-26 01:53 AM 发表
你取消继承看看
（晕字数不够的说:L ）

说详细点。
说详细了你就不会字数不够了！;P

作者: 鹤冲天 时间: 2007-9-26 19:58

原帖由 kai2002 于 2007-9-26 04:22 PM 发表
我的理解，该SID号是上个系统遗留下的，前个系统时估计曾改过文件夹的安全属性，把文件的一些安全属性都赋予给这个用户帐户，系统重装后，新系统是不存在这个用户的，而且就算是重建同名用户，SID也是不同的。所 ...

没记得改过安全属性。
现在在想看什么情况能在出现这种现象。
我改改安全属性试试看，看会不会出显这种情况。
在有，这的却不影响使用！只是看着不爽。

作者: 6618 时间: 2007-9-30 19:24
各位朋友的回复已由头至尾看完，弄不清是什么原因造成的。看看有没有高手能解决这个问题，顶一帖。

作者: EnsonKing 时间: 2007-10-2 03:06
今天有空做了下测试

环境说明：

本地计算机+虚拟机+移动硬盘且移动硬盘格式化为NTFS
注意：不要使用映射网络驱动器的方法 NTFS流在网上传播时会丢失

帐户说明：

local=本地计算机 XP内置管理员Administrator（只隶属于Administrators）
vm=虚拟机 XP内置管理员Administrator（只隶属于Administrators）
testA=虚拟机（只隶属于Administrators）
testB=虚拟机（同时隶属于Administrators和Users）
testC=虚拟机（只隶属于Users）

下面是测试的结果：
　　测试时登录相应的帐号创建文件和文件夹结果如下图：

结论：

在没有手动更改权限的情况下 NTFS分区上的文件或文件夹会保留其创建者的信息注意复制/移动过来的文件或文件夹则会保留复制者/移动者的信息原始创建者的信息会丢失

补充说明：

1.本来以为只隶属于Users用户组的用户会由于没有权限而不保留结果却不是这样的比较意外
2.发现只隶属于Users用户组的用户是没有创建文件的权限的只能创建文件夹然后可以在自己创建的文件夹里面创建文件这个以前还不知道有收获 :lol
3.这个测试很不完整只测试了一小部分的情况还有好多情况没有测试如果你有兴趣可以自己再测试一下其他的比如文件修改后是否会加入修改者的信息等（最近比较忙接下来会更忙所以没办法帮你测试啦）
4.另外你说你测试时没有出现这类情况请把具体测试信息描述一下
5.Ghost安装或还原的用户SID是一样的
6.注意观察 XP内置管理员的帐号SID末尾都是500 这个就是为什么上次我说你那个帐号是管理员的原因

[ 本帖最后由 EnsonKing 于 2007-10-2 06:03 AM 编辑 ]

作者: zgzxp 时间: 2007-10-7 19:22
标题: 回复 #35 6618 的帖子
这有两种可能出现

1、多系统中（nt系列）

2、重新安装系统后

作者: xinyubbl 时间: 2007-10-7 20:20
可能是重装之前的用户或者是你删除了的用户。

作者: stlyq123 时间: 2007-10-7 20:34
同意36楼的观点，我每次格系统盘重装系统后，都有这种现象。

作者: M 时间: 2007-10-8 00:49
N久没用过XP了.一直使用2003,这时看了前面的几位发言.觉得应该是冲装系统而且是NTFS格式的才会出现的,不过这个没什么很大关系吧?

[ 本帖最后由 msad 于 2007-10-8 12:55 AM 编辑 ]

欢迎光临无忧启动论坛 (http://bbs.wuyou.net/)