个人一向的习惯不喜欢装防毒软件(怕影响效能)，
不乱载程式，定期更新Windows。
(目前的OS是Windows 10 x64 1703 build 15036.296。)
已这样作好一段时间了，但不幸的昨晚破功了。
昨晚在远端桌面到我的Win 10 PC时，发现居然无法登入，
而是显示已有一个IIS_USER的帐号已登入了。
后来想用Intel AMT的管理接口登入救援，
但使用OpenMDTK：
http://www.meshcommander.com/open-manageability
的Manageability Commander Tool却无法登入。
web登入接口可以开启，但输入帐密也无法登入。
但奇怪的是我回到本机PC操作，开机按Ctrl+P后，使用原密码却可以登入!
又奇怪的是当我在Windows 10要装防毒软件时，
居然有人用AMT的VNC连到我的电脑!(因为有人连进来，萤幕会闪一个框)
当下我开notepad，输入:
How do you crack my computer?
Please tell me.
那个人就切断VNC连线。
话说我还用Event Viewer查了一下IIS_USER的登入IP，来自台湾：
123.51.185.113
目前我在救援我的电脑，装了Kaspersky，抓到一些trojan。
还发现骇客在我电脑装了一些骇客工具：
https://github.com/gentilkiwi/mimikatz
目前是用Kaspersky作完整扫描中...
但目前有一未解问题，
就是只要Windows重开机后IIS_USER这个骇客建的帐号就会自动还原，
而且是管理者身分!请问有没有人知道除了重灌的解法?T.T

拜托你直接重灌

很可怕的病毒哈哈哈

之前用vpn被try一气之下把所有远端的东西都给关了。网络无安全

有ip就可以提告了

谢谢g大建议，不过重灌前研究一下骇客入侵所留下的线索也满有用的。像我进一步查出，骇客应该是利用AMT入侵的，我发现AMT被建了一些帐号，比如admon, user2。目前只好关闭AMT囧骇客似乎没骇进我的Windows帐号，所以才建了一个IIS_USER帐号，但他是怎么建的？不然我认为只要有人在我电脑前就能用相同手法(等同用AMT)建帐号囧

http://www.ithome.com.tw/news/113815 是用这个漏洞

谢谢p大。Kaspersky扫描看来解不了IIS_USER帐号问题，只好重灌了T.T

123.51.185.113我这边查是对岸那边的IP？

我用这个查IP: https://www.iplocation.net/

重+用一个中间的的媒介上网，好比有防火墙功能的ip分享器重灌+

123.51.185.113 我查了之后是远传,速博,新世纪资通旗下的网域。

所以这个漏洞就只能关远端了吗？还是已经有更新包修补了?

谢谢p大。但我还是有个疑惑，我的AMT密码与Windows密码不同。AMT如果先被破了，Windows应该没那么轻易被破!?骇客似乎不知我Windows密码，才另建一个IIS_USER管理者帐号

IP应该是香港那边

，再装mimikatz骇客工具想破我的Windows密码!?

更正 广东

survey了一下，骇客有可能破了AMT后，用AMT的远端挂载ISO加载自己的骇客OS。推论可能用此法新增管理者帐号...再没有更多线索的情形下，建议大家先去BIOS关闭AMT。感谢pl大提供重要建议。此网址有各家AMT韧体更新时程：http://intel.ly/2ps23kn

有ip去报案就ㄧ定能找出是谁骇进来。

IP也许是跳板

可借ISP取得来源