Pourquoi la machine Windows XP mono-utilisateur dit-elle «D'autres utilisateurs sont connectés» à l'arrêt?

Ma mère exécute Windows XP sur son ordinateur. Apparemment, de manière aléatoire, à l’arrêt, la machine signalera que d’autres utilisateurs sont connectés et que poursuivre leur session risque de leur faire perdre des données. En tant que non-experte, cela lui fait penser que quelqu'un sur Internet pirate son ordinateur. En tant qu'expert partiel, je ne pense pas que cela se produise. Le pare-feu Windows est activé, sa connexion Internet se fait via NAT et je suis à peu près certain que l'adresse IP DHCP qu'elle reçoit n'est pas publiquement routable.

Je soupçonne qu'il y a sur sa machine un logiciel malveillant qui se connecte à l'aide d'un autre compte. Je ne sais pas comment l'identifier et le tuer.

En supposant que ma supposition soit correcte; Comment puis-je identifier un logiciel qui se connecte à l'aide d'un autre compte? J'ai regardé dans la liste de processus du gestionnaire de tâches; Je ne vois pas de comptes surprenants là-dedans.

Si je me trompe, quelle pourrait en être la cause?

Je suis un programmeur. Je suis heureux de parler technique, même si mes compétences en tant qu'administrateur système sont bien inférieures à mes compétences en programmation.

Il est possible que le PC ait été piraté, mais à moins que ce ne soit là que vous devriez commencer.

1. Y a-t-il des actions sur l'ordinateur? Les utilisateurs ou les appareils distants peuvent accéder à ces partages et utiliser des fichiers. La fermeture pourrait entraîner une perte de données pour eux. D'où le message. Vous pouvez également voir des actions comme $ IPC ou C $ , ce sont des partages administratifs et sont là par défaut.

2. Fermez toutes les applications que vous exécutez. Choisissez Démarrer - & gt; Courir. Dans la fenêtre qui apparaît, tapez cmd puis appuyez sur Entrée. tapez ceci dans la ligne de commande. netstat -an Cela vous montrera toutes les connexions actives sur ce PC. Les reconnaissez-vous tous?

3. Le bureau à distance est-il allumé? Cliquez sur Démarrer - & gt; Panneau de contrôle. Cliquez ensuite sur Système dans le Panneau de configuration. Sous l'onglet Distant, décochez la case Permettre aux utilisateurs de se connecter à distance à votre ordinateur, puis cliquez sur OK.

L'application Process Explorer de Microsoft / Sysinternals ( http://technet.microsoft.com/en-us/sysinternals/default.aspx ) affichera tous les processus utilisateur et système dans toutes les sessions, s’il est exécuté en tant qu’administrateur. S'il existe effectivement un "autre utilisateur" connecté, il est probable que des processus seront enregistrés dans une session utilisateur différente.