Si, eso lo tiene que hacer algún código malicioso tratando de hacer que sea más difícil ver su actividad.

Te recomiendo que uses el System Safety Monitor, lee Guia System Safety Monitor

Esa aplicaicón te advertirá cuando se intente realizar el cambio, te dará la poisibilidad de elegir, por lo que lo podrás bloquear. Con suerte también podrás obtener información acerca del proceso.

Pásale un buen antivirus como Kaspersky que debería detectarlo.