Nejjednodušší by bylo si z jinýho účtu načíst registry current_user problémového účtu a mrknout do sekce Run,jestli se mu tam nespouští bejkovina.
A dál bych vyzkoušel Autoruns ze Sysinternals a nechal si udělat log z problémového a admin účtu-ty bych porovnal a co je navíc bych odstřelil.
Další možností je kouknout do event vieweru - možná by něco naznačil.
A poslední:použít filemon a regmon a spustit explorer a mrknout na čem zhavaruje.
---
Vše ovládat z task manageru.