本机有可疑用户名（SID形式）但无隐藏用户，各位兄弟帮忙啊！

鹤冲天

本机有可疑用户名（SID形式）但无隐藏用户，各位兄弟帮忙啊！
用户名是SID码但不是偶本机的SID码。我在注册表里也没看到隐藏用户。想不明白请无优各位兄弟帮忙看看啊！谢谢先！！
我先不说了，上图各位帮我看看先！

下图是本机SID玛和用户

EnsonKing

你的系统是不是重装过？ 这个文件是不是系统重装以前就有的？ 如果是的话 应该是以前的系统上的用户 删掉就是
另外 可以用这个工具检查一下 Local Administrator Checker v0.9.rar (152.68 KB, 下载次数: 102)

2007-9-10 03:58 上传

点击文件名下载附件
下载积分: 无忧币 -2

鹤冲天

感谢楼上的兄弟！
是从装过，但是格盘从做的啊！！？怎么可能会留下原来的用户？？（这偶想不明白请兄明示）
用兄提供的附件也没有找到隐藏用户
Not Found

netwinxp

那个好像是域用户，你的机子是在有域的局域网？

鹤冲天

没在有域的局域网啊
偶个人的机器啊！

netwinxp

你是不是设置成有域的的局域网？(看看控制面板—网络连接—网络安装向导)

[ 本帖最后由 netwinxp 于 2007-9-10 09:58 PM 编辑 ]

鹤冲天

如何察看请兄明示！！！！

鹤冲天

偶是路由器连网从没有设置过，
在有偶在那里也看不到什么关于域的东西啊？

kangyi

windows不是通过sid来辨识用户的吗（因此把用户名改成什么样无所谓）

所以，如果注册表中没有与特定用户名对应的sid，那删掉我想也没什么关系的吧

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList这里也有帐户信息

http://www.microsoft.com/technet ... /dec04/hey1203.mspx

鹤冲天

注册表中没有此SID。
在有系统盘中文件在安全选项中没有这个SID用户？
难道真是上次系统的SID吗？？为什么会保留下来？

netwinxp

你装哪个版本的XP？有好几个版本的有后门

鹤冲天

偶装的是红叶修改的DEEPINV5.7应该不会的，有也应该能查到啊！偶什么都没查到·？

netwinxp

全格了，用DOS GHOST再看看

鹤冲天

什么意思？
全盘都格了？
GO回去在看看？

jdssong

用whoami /user命令看看你的sid是什么和注册表对照一下，一样的话应该没问题，不同的话是不是红叶修改了什么。看lz的贴图这个sid应该是admin帐户

[ 本帖最后由 jdssong 于 2007-9-12 08:54 AM 编辑 ]

濁酒半壺

你的问题就是用的GHOST版本的XP的问题，
哪个SID是在制作GHO文件前生成的，因为没有用工具删除他才会留下哪个用户，你如果想用安全点的XP最好用原版 手工安装，或是用原版的手工集成个自己的XP安装盘，（我就是在论坛学习了知识后自己集成安装盘的，我心眼小怕别人的不安全 @^_^！）哪样就不会有隐藏用户和后门了，不过微软留下的后门，什么方法也解决不了，;P

EnsonKing

基本可以肯定是原来的系统遗留的 而且是原来系统的管理员帐号 因为你重装系统的时候只是格式化了系统分区 其他分区（NTFS）的用户权限还是保留的
总之  这样的用户在当前系统是不存在的 放心删吧 没问题的 真正隐藏的用户你是看不到的

zgzxp

这个在多系统中很常见的了
不过楼主有心了

鹤冲天

回15楼，那个SID不是偶现在系统的SID，一楼图上有！

鹤冲天

原帖由 濁酒半壺 于 2007-9-12 09:50 AM 发表
你的问题就是用的GHOST版本的XP的问题，
哪个SID是在制作GHO文件前生成的，因为没有用工具删除他才会留下哪个用户，你如果想用安全点的XP最好用原版 手工安装，或是用原版的手工集成个自己的XP安装盘，（我就是 ...

感谢兄弟的回复，偶从来不用GHOST版本的系统，偶还没那么懒，呵呵！！
偶用的是红叶的那个半原创
【半原创】深度XP5.7纯净、安全版！
http://bbs.wuyou.net/forum.php?mod=viewthread&tid=107807&highlight=%2Bemca
之所以用这个那到是因为懒，呵呵。

1. 系统外壳对Autorun病毒免疫，用此重装系统后，根本不可能再重新自动激活其他磁盘中的Autorun型病毒；

复制代码

偶懒的自己改这个！

[ 本帖最后由 鹤冲天 于 2007-9-12 09:39 PM 编辑 ]

鹤冲天

原帖由 EnsonKing 于 2007-9-12 04:09 PM 发表
基本可以肯定是原来的系统遗留的 而且是原来系统的管理员帐号 因为你重装系统的时候只是格式化了系统分区 其他分区（NTFS）的用户权限还是保留的
总之  这样的用户在当前系统是不存在的 放心删吧 没问题的 真正 ...

偶也极度怀疑是原系统的问题，但是自己解释不通，为什么会遗留下来？
删除？！嘿嘿。兄可有批量删除的方法？一个一个删就累死了！！:L

1. 真正隐藏的用户你是看不到的

复制代码

这句兄是虾米意思？是说在安全中不会显示？还是......

鹤冲天

原帖由 zgzxp 于 2007-9-12 08:21 PM 发表
这个在多系统中很常见的了
不过楼主有心了

可俺是单系统:L
如果PE也算的话偶但是多系统！呵呵！！

濁酒半壺

不好意思我没有和过个版本的，我还以为是GHO版的，:L
不是GHO版的哪可能是其他原因，

EnsonKing

只要你设置了从父项继承权限项目 那么在该分区上删除此用户就可以了

隐藏的用户可以同时在net命令下以及用户管理器中隐藏（注册表中可以查到） 而要得到权限 只要赋予相关用户组就可以 所以也可以不在安全选项卡中出现

鹤冲天

原帖由 EnsonKing 于 2007-9-13 02:25 PM 发表
只要你设置了从父项继承权限项目 那么在该分区上删除此用户就可以了

郁闷的是，在逻辑驱动器上没有这个用户，要删除要一个一个文件夹那样删除。痛苦啊！
在有，我实在想不通为什么会遗留下上次系统的用户呢？？
兄可知道什么操作肯定会留下？！偶没操作什么啊！

EnsonKing

原帖由 鹤冲天 于 2007-9-13 11:03 PM 发表
郁闷的是，在逻辑驱动器上没有这个用户，要删除要一个一个文件夹那样删除。痛苦啊！

那我也没办法了 用cacls命令好像也不能直接修改 实在不行就不要删了 反正留着也没什么大碍

原帖由 鹤冲天 于 2007-9-13 11:03 PM 发表
在有，我实在想不通为什么会遗留下上次系统的用户呢？？
兄可知道什么操作肯定会留下？！偶没操作什么啊！

是这样的 如果你的注册表中有这个SID 那么说明是当前系统的用户删除后留下的 但是 你的注册表中没有 所以并非当前系统的（手动删除注册表中该SID的除外:L ） 另外 从其他机器上复制过来的文件也可能保留相关的用户权限 不过同时还要满足相关的存储设备都是NTFS文件系统的分区 至于什么操作会留下 我所知道的 只要单独修改过权限的一般都会留下 还有管理员帐号的权限好像不修改也会留下来（这个不是很确定）

鹤冲天

那是不是可以这么理解，只要是NTFS分区，格盘从做后，都会有这样的问题/？？

EnsonKing

这个我也不清楚 没注意过 我一直都是用ghost还原的 SID不变 所以不存在这个问题

要证明其实不难 把移动硬盘格式化成NTFS 然后到其他电脑的NTFS分区上复制文件（一定要用管理员帐号登录 受限用户是不能更改权限的） 复制好后查看一下移动硬盘上刚刚复制的文件的用户权限 里面应该有那台电脑上的管理员帐号的权限存在（默认本身就有的 不要手动去改权限） 然后再回到自己电脑上 看刚刚复制的文件上有没有出现SID标识的不存在用户

鹤冲天

恩，星期一了从单位把移动硬盘拿回来44，要是郁闷了，一会我就用虚拟机44。
现在就是删除比较郁闷！！
在有要是格了装有1个SID，那要在格在装呢？？不会2吧！！？:L

鹤冲天

最近有空，在虚拟机中测试下了，用光盘直接安装和PE下安装都没出现1楼的情况。
郁闷！
这到底是怎么回事？？
什么情况才会产生？！！？