загадочные ntuser.dat

**pyzha** · 13.08.2009, 04:56

были какието вирусы но я их удалил.
при запуске msconfig появляются какието ntuser.dat.в реестре есть ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder
в ней висят эти ntuser.dat. удаление из реестра не помогает. после запуска msconfig всё появляется обратно.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**AndreyKa** · 13.08.2009, 09:08

Обновления безопасности на Windows надо устанавливать. Лучше начать с Service Pack 3 (может потребоваться активация).
Установите IE8.

**pyzha** · 13.08.2009, 15:57

Поставил 3 пак ничего не поменялось. Где взять 8 эксплорер не знаю. Мне кажется это вряд ли поможет. Я уже и реестр с бакапа востанавливал и sfc /scannow делал. вроде и ничнго подозрительного в системе не видно, но какойто модуль формирует эти ветки в реестре и msconfigе.

**AndreyKa** · 13.08.2009, 16:05

Сообщение от pyzha

Где взять 8 эксплорер не знаю.

http://www.microsoft.com/downloads/d...3-08cdecd8852b
Если msconfig не запускать, то все в порядке?

**pyzha** · 13.08.2009, 21:19

абсолютно в порядке. поставил 8 ие то же самое.

**Rene-gad** · 13.08.2009, 23:54

-

Logfile of HijackThis v1.99.0

*Если у Вас уже имеется HiJackThis, также убедитесь, что Вы используете последнюю версию программы.

Почему не убедились?

- Внимание !!! База поcледний раз обновлялась 23.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

3. Распакуйте из архива Антивирусную утилиту AVZ ....Запустите AVZ и обновите базы ("Файл" => "Обновление баз").....

- Где лог по п.1 Диагностики?

Все, что Вы до сих пор закачали - халтура. Если Вы рассчитываете на помощь с нашей стороны - переделайте все логи в строгом соответствии с правилами.

**pyzha** · 14.08.2009, 03:21

sorry

**Rene-gad** · 14.08.2009, 12:55

Восстановление системы: включено А надо выключатЬ.
В логах ничего подозрителЬного.
Очистите темп-папки, кэш проводников и корзину.
Сделайте лог GMER

**pyzha** · 14.08.2009, 18:16

report

**Rene-gad** · 14.08.2009, 19:23

удалено за ненадобностью

**pyzha** · 14.08.2009, 20:50

не запускается
но вообще то hfs.exe - моя программа для http сервера. Я ей давно пользуюсь на многих компах и ничего подобного с ними не происходит.

**Rene-gad** · 14.08.2009, 21:51

Сообщение от pyzha

не запускается

Да, там ошибочка в скрипте

Сообщение от pyzha

hfs.exe - моя программа для http сервера. Я ей давно пользуюсь на многих компах и ничего подобного с ними не происходит.

Я сейчас изменю скрипт, а Вы потом файлик пришлите для анализа.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\1\Рабочий стол\oppositions\http host on local comp\hfs.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

А лог GMER последней версией повторите.

**pyzha** · 14.08.2009, 22:11

Сообщение от Rene-gad

А лог GMER последней версией повторите.

а где его взять то, с вашей ссылки он не грузится...

**Rene-gad** · 14.08.2009, 22:12

Сообщение от pyzha

с вашей ссылки он не грузится...

грузится. Подождать надо чуток..

**pyzha** · 14.08.2009, 22:18

этот?
ссылка http://www.gmer.net/gmer.zip перманентно недоступна. может вышлите на е маил?
[email protected]
скрипт не помог...

Подозрительные файлы нужно присылать по правилам:
Результат загрузки
Файл сохранён как 090815_105152_virus_4a865b0892215.zip
Размер файла 741938
MD5 b45aca12ad487dccc9f8fb282a4bcc78
Файл закачан, спасибо!

**Rene-gad** · 15.08.2009, 10:57

Сообщение от pyzha

этот?
ссылка http://www.gmer.net/gmer.zip перманентно недоступна.

Попробуйте с другого зеркала: http://www2.gmer.net/gmer.zip

Добавлено через 2 минуты

Сообщение от pyzha

скрипт не помог...

а скрипт только на карантин был

**pyzha** · 15.08.2009, 23:16

**Rene-gad** · 16.08.2009, 11:14

-Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\1\Local Settings\Temporary Internet Files\Content.IE5\WST9IHAC\private[1].htm','');
QuarantineFile('C:\Documents and Settings\1\Local Settings\Temporary Internet Files\Content.IE5\WST9IHAC\dis3coun[2].htm','');
DeleteFileMask('C:\Documents and Settings\1\Local Settings\Temporary Internet Files\Content.IE5','*.*',true);
DeleteFileMask('%temp%','*.*',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

**pyzha** · 18.08.2009, 00:06

скрипт не помог...
вообще я заметил что когда не запускаешь msconfig то запись в реестре не появляется. пробовал с другой системы запускать другой msconfig - безрезультатно