个人计算机被黑客入侵：如何阻止该用户再次登录？我如何找到他们如何登录？

我确定99.9％的个人计算机上的系统已被入侵。请允许我先说明一下，这样情况将很清楚：

可疑活动的大致时间表以及随后采取的措施：

4-26 23:00
我结束了所有程序并关闭了笔记本电脑。

4-27 12:00
笔记本电脑进入暂停模式约13个小时后，我打开了笔记本电脑。打开了多个窗口，包括：两个chrome窗口，系统设置，软件中心。在我的桌面上有一个git安装程序（我检查过，尚未安装）。

4-27 13:00
Chrome历史记录显示登录到我的电子邮件的登录信息以及我未初始化的其他搜索历史记录（4-27的01:00到03:00之间），包括“安装git”。在我的浏览器中打开了一个选项卡，Digital Ocean“如何自定义bash提示”。我关闭它后，它又重新打开了好几次。我加强了Chrome的安全性。

我断开了与WiFi的连接，但是当我重新连接时，出现了一个向上的箭头符号，而不是标准的符号，并且Wifi的下拉菜单中不再有网络列表。
在“编辑连接”下，我注意到我的笔记本电脑已连接在4-27的〜05：30连接到名为“ GFiberSetup 1802”的网络。我在1802 xx Drive的邻居刚刚安装了谷歌光纤，所以我想这是相关的。

4-27 20:30
该who命令显示第二个名为guest-g20zoo的用户已登录到我的系统。这是我运行Ubuntu的私人笔记本电脑，我的系统上不应有其他人。恐慌，我跑步sudo pkill -9 -u guest-g20zoo并禁用了网络和Wifi

我看了看/var/log/auth.log，发现：

Apr 27 06:55:55 Rho useradd[23872]: new group: name=guest-g20zoo, GID=999  
Apr 27 06:55:55 Rho useradd[23872]: new user: name=guest-g20zoo, UID=999, GID=999, home=/tmp/guest-g20zoo, shell=/bin/bash    
Apr 27 06:55:55 Rho su[23881]: Successful su for guest-g20zoo by root  
Apr 27 06:55:55 Rho su[23881]: + ??? root:guest-g20zoo  
Apr 27 06:55:55 Rho su[23881]: pam_unix(su:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c3 of user guest-g20zoo.  
Apr 27 06:55:56 Rho su[23881]: pam_unix(su:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: Removed session c3.  
Apr 27 06:55:56 Rho lightdm: pam_unix(lightdm-autologin:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session closed for user guest-g20zoo  
Apr 27 06:55:56 Rho systemd-logind[767]: New session c4 of user guest-g20zoo.  
Apr 27 06:55:56 Rho systemd: pam_unix(systemd-user:session): session opened for user guest-g20zoo by (uid=0)  
Apr 27 06:56:51 Rho pkexec: pam_unix(polkit-1:session): session opened for user root by (uid=1000)  
Apr 27 06:56:51 Rho pkexec: pam_systemd(polkit-1:session): Cannot create session: Already running in a session

抱歉，它的输出很多，但这是几分钟内来自guest-g20zoo的大部分活动。

我还检查了/etc/passwd：

guest-G4J7WQ:x:120:132:Guest,,,:/tmp/guest-G4J7WQ:/bin/bash

和/etc/shadow：

root:!:16669:0:99999:7:::  
daemon:*:16547:0:99999:7:::  
.  
.  
.   
nobody:*:16547:0:99999:7:::  
rhobot:$6$encrypted-passwd-cut-for-length.:16918:0:99999:7:::  
guest-G4J7WQ:*:16689:0:99999:7:::  
.  
.

我不完全了解此输出对我的情况意味着什么。是guest-g20zoo和guest-G4J7WQ同一用户？

lastlog 显示：

guest-G4J7WQ      Never logged in

但是，last显示：

guest-g20zoo      Wed Apr 27 06:55 - 20:33 (13:37)

因此，似乎他们不是同一用户，但在的输出中找不到guest-g20zoo lastlog。

我想阻止用户guest-g20zoo的访问，但是由于（s）他没有出现，/etc/shadow并且我假设不使用密码登录，而是使用ssh，passwd -l guest-g20zoo行得通吗？

我尝试了systemctl stop sshd，但收到了以下错误消息：

Failed to stop sshd.service: Unit sshd.service not loaded

这是否意味着远程登录已在我的系统上禁用，因此上述命令是多余的？

我试图找到有关此新用户的更多信息，例如他们从哪个IP地址登录，但是我似乎什么也找不到。

一些潜在的相关信息：
目前，我已连接到大学网络，并且我的WiFi图标看起来不错，可以看到我的所有网络选项，并且没有弹出任何奇怪的浏览器。这是否表明任何登录我系统的人都在我家里WiFi路由器的范围之内？

我跑了chkrootkit，一切似乎都很好，但是我也不知道如何解释所有输出。我真的不知道该怎么办。我只想绝对确定这个人（或其他任何人）将永远无法再次访问我的系统，并且我想查找并删除由他们创建的任何隐藏文件。谢谢，麻烦您了！

PS-在禁用WiFi和网络功能的情况下，我已经更改了密码并加密了重要文件。