Trojaner-Board - Komische Benutzernamen mit Adminberechtigung bestehend aus 10 Kleinbuchstaben + 9 Großbuchstaben (ke

Ahoi,

und vielen lieben Dank für dieses Board als unerschöpflichen Quell für alle Notlagen die das Thema Computer so mit sich bringt.

Hier mein Problem zu dessen Lösung ich trotz umfangreicher Suche nichts gefunden habe:

Eine Firma mit einer Filiale.
In der Firma stehen zwei Server 2008 (nicht R2), Nr. 1 = DomänenController, Nr. 2 = TerminalServer.
In der Firma stehen noch 6 Computer, in der Filiale 4.
Die Computer sind keine Domänenmitglieder, weder in der Firma selbst noch in der Filiale.
Es wird ausschließlich über Remote-Desktop am TS gearbeitet.

Bei den lokalen Computern handelt es sich ausschließlich um Lenovo-Geräte.
Alle mit Windows XP-Pro SP3 32-Bit inkl. aller Updates.
Virenscanner war bis vor einigen Monaten
Norman Endpoint Protektion und wurde auf
ESET Smart Security umgestellt.

Die Benutzer melden sich nur mit Benutzerrechten an den lokalen Computern an und starten dann die RDP-Sitzungen zum eigentlichen Arbeiten.

Im Rahmen der Behebung eines Druckerproblems habe ich auf jeden lokalen Computer jeweils einen Benutzer mit Adminrechten entdeckt der nicht von uns angelegt wurde.

Die Benutzer haben Namen in der Art:
snwqftbmrxXUFGUJOQG
xhscirbihwOLZOCTLPJ
xzaocyoaqtILZYLVZCJ
und haben noch einen Haken vor: Muss Kennwort bei nächster Anmeldung ändern

Bevor ich hier jetzt eine große Log-Schlacht starte wollte ich nur kurz Fragen ob das jemand Zuordnen kann.

Es gibt ja verschiedene Ursachen für solche Benutzeranlagen, z. B. für die Nutzung des Sicherheitchips oder eine Software. Die Benutzer habe ich heute zum ersten Mal gesehen und sie wären mir sicher in der Vergangenheit schon aufgefallen, wenn diese schon immer da gewesen wären.

Im Voraus vielen Dank für Eure Mühe.