找到系统里被黑客建立的隐藏管理员

1.

CMD:  net localgroup administrators或者查看计算机管理管理员用户组，是否有未知的账户。

cmd：net user 用户名    查看用户详细详细，知道用户是什么时候创建和设置的密码

2.

注册表：HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

和“计算机管理”中存在的账户进行比较

3.

运行“组策略”：gpedit.msc

依次展开“计算机配置”→“Windows 设置”→“安全设置”→“本地策略”→“审核策略”，双击右边的“审核策略更改”，在弹出的设置窗口中勾选“成功”，然后点“确定”。对“审核登陆事件”和“审核过程追踪”进行相同的设置。

4、开启登陆事件审核功能

　　进行登陆审核后，可以对任何账户的登陆操作进行记录，包括隐藏账户，这样我们就可以通过“计算机管理”中的“事件查看器”准确得知隐藏账户的名称，甚至黑客登陆的时间。即使黑客将所有的登陆日志删除，系统还会记录是哪个账户删除了系统日志，这样黑客的隐藏账户就暴露无疑了。

　　5、通过事件查看器找到隐藏帐户

　　得知隐藏账户的名称后就好办了，但是我们仍然不能删除这个隐藏账户，因为我们没有权限。但是我们可以在“命令提示符”中输入“net user 隐藏账户名称 654321”更改这个隐藏账户的密码。这样这个隐藏账户就会失效，黑客无法再用这个隐藏账户登陆。