Quelle est cette étrange erreur d'ouverture de session que je vois tous les jours?

J'ai quelque chose d'étrange sur un server Windows Server 2008 R2.
Chaque jour, exactement à 21h00, une défaillance d'audit est enregistrée dans l'Observateur d'events, en disant qu'un count a échoué à se connecter pour la raison «Nom d'user inconnu ou mot de passe incorrect». La partie étrange est que le nom du count est une string de 161 caractères, en commençant par @@, le rest étant une string de caractères apparemment random. Ce nom est identique tous les jours. Il semble venir du server localement. Le type d'ouverture de session est 4, le process appelant est svchost et, sous Informations d'authentification détaillées, le process d'ouverture de session est Advapi et le package d'authentification est négocié. Des idées sur lesquelles cela pourrait venir? Toute autre information pertinente que je n'ai pas fournie?

Il s'avère que c'est la tâche programmée de sauvegarde qui ne démarre pas. Apparemment, à un moment donné, le paramètre de stratégie de groupe "Accès réseau: ne permet pas le stockage des informations d'identification ou les passeports .NET pour l'authentification réseau" a été activé. Cela interdit de stocker les informations d'identification à utiliser avec la tâche planifiée, comme on l'a vu dans le message d'erreur:

Une search Google rapide plus tard, et la cause a été révélée. J'ai pu spécifier les informations d'identification dans Task Scheduler, et demain matin, je verrai si le problème est résolu ou non. Je ne sais toujours pas où "@@ CyBAAAAUBQYAMHArBwUAMGAoBQZAQGA1BAbAUGAyBgOAQFAhBwcAsGA6AweAkDA0AAOAEEA5AQQAIEABBQLAEDABBAOAEDAtAANAEEAFBwQA0CA4AAMAEDAEBQLAMDABBAMAUDA1AgNAADABBwQAkDAyAAOA0HA" est venu, mais j'espère que ce n'est plus important. Merci pour votre aide!

Ma première inclination est que cela a été causé par une tâche planifiée qui a été exécutée sous le count Active Directory d'un user qui a été désactivé ou supprimé, mais il semble qu'il puisse y avoir une origine plus sinistre.

Advapi semble faire partie du package de logiciels malveillants BKDR_NETDEVIL.12, de sorte qu'il semble probable que votre server soit compromis .