загадочные ntuser.dat

были какието вирусы но я их удалил.
при запуске msconfig появляются какието ntuser.dat.в реестре есть ветка HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder
в ней висят эти ntuser.dat. удаление из реестра не помогает. после запуска msconfig всё появляется обратно.

Обновления безопасности на Windows надо устанавливать. Лучше начать с [url=http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=5b33b5a8-5e76-401f-be08-1e1555d4f3d4]Service Pack 3[/url] (может потребоваться активация).
Установите IE8.

Поставил 3 пак ничего не поменялось. Где взять 8 эксплорер не знаю. Мне кажется это вряд ли поможет. Я уже и реестр с бакапа востанавливал и sfc /scannow делал. вроде и ничнго подозрительного в системе не видно, но какойто модуль формирует эти ветки в реестре и msconfigе.

[QUOTE='pyzha;448088']Где взять 8 эксплорер не знаю.[/QUOTE][url]http://www.microsoft.com/downloads/details.aspx?displaylang=ru&FamilyID=341c2ad5-8c3d-4347-8c03-08cdecd8852b[/url]
Если msconfig не запускать, то все в порядке?

абсолютно в порядке. поставил 8 ие то же самое.

- [QUOTE]Logfile of HijackThis[COLOR="Red"][B] v1.99.0[/B][/COLOR][/QUOTE]
[QUOTE][COLOR="Red"]*Если у Вас уже имеется HiJackThis, также убедитесь, что Вы используете последнюю версию программы.[/COLOR][/QUOTE]Почему не убедились?

- [COLOR="Red"][B]Внимание !!! База поcледний раз обновлялась 23.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)[/B][/COLOR]
[QUOTE][COLOR="Red"]3. Распакуйте из архива Антивирусную утилиту AVZ ....Запустите AVZ и обновите базы ("Файл" => "Обновление баз").....[/COLOR][/QUOTE]

- Где лог по п.1 Диагностики?

Все, что Вы до сих пор закачали - халтура. Если Вы рассчитываете на помощь с нашей стороны - переделайте все логи в строгом соответствии с правилами.

sorry

[COLOR="Red"][B]Восстановление системы: включено[/B][/COLOR] А надо выключатЬ.
В логах ничего подозрителЬного.
[url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=40118"]GMER[/URL]

report

удалено за ненадобностью

не запускается
но вообще то hfs.exe - моя программа для http сервера. Я ей давно пользуюсь на многих компах и ничего подобного с ними не происходит.

[QUOTE=pyzha;448976]не запускается[/QUOTE]Да, там ошибочка в скрипте ;)
[QUOTE=pyzha;448976]hfs.exe - моя программа для http сервера. Я ей давно пользуюсь на многих компах и ничего подобного с ними не происходит.[/QUOTE]Я сейчас изменю скрипт, а Вы потом файлик пришлите для анализа.
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\1\Рабочий стол\oppositions\http host on local comp\hfs.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

А лог GMER последней версией повторите.

[QUOTE=Rene-gad;449007]
А лог GMER последней версией повторите.[/QUOTE]
а где его взять то, с вашей ссылки он не грузится...

[QUOTE=pyzha;449024]с вашей ссылки он не грузится...[/QUOTE]грузится. Подождать надо чуток..

этот?
ссылка [url]http://www.gmer.net/gmer.zip[/url] перманентно недоступна. может вышлите на е маил?
[email][email protected][/email]
скрипт не помог...

[COLOR="Red"][B]Подозрительные файлы нужно присылать по правилам:[/B][/COLOR]
[SIZE="1"]Результат загрузки
Файл сохранён как 090815_105152_virus_4a865b0892215.zip
Размер файла 741938
MD5 b45aca12ad487dccc9f8fb282a4bcc78
Файл закачан, спасибо![/SIZE]

[QUOTE=pyzha;449034]этот?
ссылка [url]http://www.gmer.net/gmer.zip[/url] перманентно недоступна.[/QUOTE]
Попробуйте с другого зеркала: [url]http://www2.gmer.net/gmer.zip[/url]

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

[QUOTE=pyzha;449034]
скрипт не помог...
[/QUOTE] а скрипт только на карантин был

:)

-[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\1\Local Settings\Temporary Internet Files\Content.IE5\WST9IHAC\private[1].htm','');
QuarantineFile('C:\Documents and Settings\1\Local Settings\Temporary Internet Files\Content.IE5\WST9IHAC\dis3coun[2].htm','');
DeleteFileMask('C:\Documents and Settings\1\Local Settings\Temporary Internet Files\Content.IE5','*.*',true);
DeleteFileMask('%temp%','*.*',true);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).

скрипт не помог...
вообще я заметил что когда не запускаешь msconfig то запись в реестре не появляется. пробовал с другой системы запускать другой msconfig - безрезультатно

msconfig редактирует настройки активной системы.

У вас профиль какого-то пользователя попал в автозагрузку, похоже.

ну а что делать то?

IMHO, это из серии "везите к нам". Логи, заточенные на поиск зловредов, нужной информации не дают, надо смотреть глубже.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\1\рабочий стол\oppositions\http host on local comp\hfs.exe - [B]not-a-virus:Server-FTP.Win32.SFH.s[/B][*] c:\dokumente und einstellungen\vladi\desktop\hfs.exe - [B]not-a-virus:Server-FTP.Win32.SFH.s[/B][/LIST][/LIST]