首先我想说的是,百度真不是个好东西,搜索的结果都是些什么乱七八糟的东西?
服务器由于某些原因(下次会详细说明),被黑客入侵,紧急补救做了很多设置,以后黑客是不能再通过其他手段登录了,但是他留下了一个admin用户,隶属于administrators组,那么,再怎么设置也没用,几分钟他用admin这个用户就登录进来了,还好比较客气,没把我的administrator密码改了,让我有时间慢慢整。
但是居然找不到“本地用户和组”,让我怎么删除他的用户名?
于是开始百度……
不外乎就是这么些个结果:“运行regedit查看注册表HKEY_LOCAL_MACHINE\SAM\SAM\DOMAINS\Accout\Users\Names 查看不明账号删除如果到了SAM\SAM后没显示项,在SAM-右键-权限-administrator勾选完全控制和读取-确定或administrator高级--编辑-在"允许"框中选择"写入DAC"及"读取控制"--确定。重启后就见到选项了。”
抑或:“运行“gpedit.msc”打开组策略,在用户配置/管理模板/windows组件/Microsoft Management Console/受限的、许可的管理单元下面看到“本地用户和组”,双击并把它设为允许,即可。”
以上两个方法对我都无效,如果这时你试过也无效,你可以试下如下方法:
C盘搜索“localsec.dll” ,在system32文件夹里找到他了,这时查看他的权限,
原来如此,黑客贱到这个程度,把访问权限都屏蔽了,你只需要“允许”即可。
然后即刻删除他的帐号。
同理,也碰到了任务管理器无法运行,找到“taskmgr.exe”文件,把权限也设置为“允许”。还有一种可能,他把你的taskmgr.exe这个文件替换了,建了一个taskmgr批处理文件。这时你需要去找个同系统的taskmgr.exe覆盖服务器上的这个文件,也是在system32里。
(在这个操作之前,请确保你的系统不会再被他用其他方式新建用户,否则有可能惹火了他,后果不堪设想)
写一下仅记录用。
- 评论:(0)
发表评论 点击这里获取该日志的TrackBack引用地址