[COMPTE UTILISATEUR FANTOME] Utilisateur inconnu apparaît

[xart]

Bonjour,

Je travaille sur un ordinateur HP ProBook 6460b, tournant sous Windows 7 64 bits Professionnel avec un processeur Intel Core i5-2520M cadencé à 2.50GHz, disposant de 4Go de RAM.
Je suis protégé par ESET Smart Security 8.0.304.0

Je crois avoir un sujet d'infection intéressant, mais très préoccupant pour un néophyte comme moi.
Depuis quelques temps, un nouveau compte utilisateur s'est ajouté à l'apparition de la page bleue pour l'ouverture de session. Je suis pourtant le seul utilisateur de cette machine, et je ne loue pas les services d'un administrateur réseau, ou PLUS DEPUIS LONGTEMPS, pour être exact.
Le compte Invité est pourtant désactivé, donc théoriquement ne s'affichent que mon compte à moi (droits administrateur) et un compte créé par ESET pour son dispositif Anti-Theft représenté par un prénom usuel. Or un compte au nom de "pvplfaeohqw" se crée régulièrement malgré mon réflexe de le supprimer dès que j'y pense après l'ouverture de session. Celui-ci est systématiquement recréé après un ou deux redémarrages, avec le même nom "pvplfaeohqw". J'ai par ailleurs tenté de le limiter avec le contrôle parental, et ai constaté qu'aucun changement ne venait supprimer ensuite ce contrôle parental en apparence.
J'essaye d'utiliser l'observateur d'événements Windows après avoir activé l'audit (secpol.msc) sur les ouvertures de sessions et l'utilisation de privilèges, mais interpréter les résultats dépasse de loin mes compétences. J'ai tout de même repéré qu'il se produisait des ouvertures de sessions spéciales et des redéfinitions des privilèges...

Quelqu'un peut-il m'aider ? J'ai pu constater l'effraction, mais je n'ai aucune idée des mesures à prendre pour m'en protéger et neutraliser l'agent responsable...

NB important : Ceci dure depuis plusieurs mois. Mais je travaille en parallèle avec une tablette Surface Pro 2 tournant sous Win 8. Oh surprise ! J'ai découvert il y a qques jours le même phénomène sur cette tablette avec le compte utilisateur "saoblzuy". L'invite ne me présentant pas tous les utilisateurs mais seulement le mien en général, je ne sais pas depuis combien de temps cela se produit sur cette autre machine.

Merci aux Tech Mercs qui pourront m'aider à faire rendre gorge à cette ordure d'utilisateur fantôme.

Un padawan en détresse
Xart

[Malekal_morte]

Salut,

Ca m'a l'air bizarre ton histoire, enfin surtout si ça le fait aussi sur la tablette.

Pour voir sur le PC :

Suis ce tutoriel FRST: https://www.malekal.com/tutorial-farbar ... tool-frst/
Cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

[xart]

Salut,

et merci de ta réponse rapide. Les liens pour consulter les 3 fichiers sont les suivants :
http://pjjoint.malekal.com/files.php?id ... n88l9v8h15
http://pjjoint.malekal.com/files.php?id ... s15t6d5f12
http://pjjoint.malekal.com/files.php?id ... t15q11q8b9

Avant de lancer FRST, depuis mon dernier post, j'ai fait un nettoyage CCleaner. Ca n'éradique pas l'infection mais ça permettra peut-être d'y voir plus clair sans être parasité par des vieux trucs.

Xart

[Malekal_morte]

Rien de malicieux sur les rapports.

[xart]

Je vais tenter de faire le même diagnostic sur ma Surface Pro 2.

Autrement les journaux d'audit de Windows sont-ils exploitables ? Ils me permettent de suivre les créations de comptes, tous changements de droits etc... mais je ne sais pas vraiment décrypter ce genre de rapport.

Merci.
Xart

[xart]

Je ne suis manifestement pas le seul à connaître ce souci, mais la solution ne court pas les forums :
http://www.pc-infopratique.com/forum-in ... 72958.html

Après avoir supprimé à nouveau ce compte, j'ai suivi la procédure indiiqué à l'adresse ci-dessous pour identifié les restes possible d'anciens comptes et les supprimer :
http://protuts.net/supprimer-definitive ... eur-vista/
mais le seul qui reste en plus du mien est le "Profil par défaut" qui est impossible à supprimer. Chose étonnante : le profil créé par Eset, qui apparaît au démarrage sous un prénom usuel et que je n'ai bien sûr pas supprimé, n'est pas listé, lui.

Serait-ce un dysfonctionnement de Win 7 et 8 (ma tablette fonctionne sous Win 8.1) plutôt qu'une infection ?

Xart

[Malekal_morte]

Tu peux activer les audits dans les sécurités locales (secpol.msc), par contre, ce n'est pas disponible sur un Windows 7 Home, faut un Pro.
Cela devrait créé des entrées dans l'observateur d'évènements, ce qui devrait donner plus d'informations.

Je doute que tu aies un Pro.