Só porque não existe diretório de usuários, isso não significa que os usuários não existam. Verifique o usuário local e as contas de serviço no MMC para confirmar se elas realmente não existem.
Esses sintomas geralmente são um sinal de um worm RDP passando por uma rede. Também valide que qualquer utilitário antimalware que você esteja executando está atualizado e execute uma varredura completa nessa máquina. Se houver um worm RDP e houver logins bem-sucedidos, é provável que você já esteja infectado.