Ca fait maintenant 3 semaines que je suis en permanence obligé de supprimer un utilisateur qui se créer tout seul. pas de profil dans le dossier utilisateur, Pas d’apparition dans la liste de profils du registre, Aucune occurrence dans HKEY_USERS, Et pourtant lorsque je me connecte à internet je me retrouve systématiquement le démarrage suivant avec un utilisateur de plus dans les choix de démarrage. Dont le nom a été calqué sur un utilisateur existant plus un suffixe numérique. "toto_1" par exemple.
J'ai retrouvé ceci que j'ai viré:
Code : Tout sélectionner
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PCDoctorBackgroundMonitorTask]
"Id"="{B55539E6-DDA2-4F5B-8AED-50D387BAA302}"
"Index"=dword:00000003
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{82408F5F-6BEE-4D55-A70D-F9677BC442B9}]
"Path"="\\PCDDataUploadTask"
"Hash"=hex:4a,d5,5d,a2,90,86,ff,be,70,d1,23,c5,fb,a4,35,b6,2b,f1,58,7a,5a,c0,\
77,ab,67,d8,cb,ef,e0,b6,7b,3b
"Triggers"=hex:15,00,00,00,00,00,00,00,01,6e,4b,01,00,00,00,00,00,94,41,7e,c5,\
e5,d1,01,00,6e,4b,01,00,00,00,00,ff,ff,ff,ff,ff,ff,ff,ff,40,21,41,01,48,48,\
48,48,f6,a2,57,a3,48,48,48,48,00,48,48,48,48,48,48,48,00,48,48,48,48,48,48,\
48,01,00,00,00,48,48,48,48,1c,00,00,00,48,48,48,48,01,05,00,00,00,00,00,05,\
15,00,00,00,10,f7,dc,9e,e0,e0,ab,e6,30,b1,81,cf,ea,03,00,00,48,48,48,48,22,\
00,00,00,48,48,48,48,6e,00,65,00,70,00,68,00,79,00,6c,00,2d,00,50,00,43,00,\
5c,00,6e,00,65,00,70,00,68,00,79,00,6c,00,00,00,48,48,48,48,48,48,38,00,00,\
00,48,48,48,48,00,00,00,00,f0,ff,0f,00,80,f4,03,00,ff,ff,ff,ff,05,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,dd,dd,00,00,00,00,00,00,01,6e,4b,01,00,00,\
00,00,00,94,41,7e,c5,e5,d1,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,\
ff,ff,ff,ff,02,00,00,00,01,00,01,00,00,00,00,00,00,01,00,00,01,00,00,00,00,\
00,00,00,00,00,00,00
"DynamicInfo"=hex:03,00,00,00,3d,e3,27,2a,0d,e4,d1,01,3b,0f,40,6f,7b,8c,d2,01,\
00,00,00,00,00,00,00,00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\PCDDataUploadTask]
"Id"="{82408F5F-6BEE-4D55-A70D-F9677BC442B9}"
"Index"=dword:00000003
Trouvez en pièce jointe le résultat complet de SysInspector de chez ESET.
Sachant que ESET ne trouve rien d'anormal....
Merci par avance de me faire savoir si vous avez des pistes en fonction de la pièce jointe.
PS:
J'ai un vieux Pctools registry mechanics qui tourne encore ... des fois que.
Et l'eset anti-stealth / oui je reviens d'un patelin pas tres sûr...des foi que ça serais lui qui recréerais un utilisateur pour fonctionner, cela dit, j'avais jamais eu ce genre de chose, et ca fait 5 ans que je tourne avec...( je l'ai désactivé pour voir et je reposte pour vous donner des nouvelles si vous n'avez rien trouvé de mieux dans le journal sysinspector).