无忧启动论坛

标题: [求助]无法取消的ntuser.dat自启动项! [打印本页]
作者: dudubird    时间: 2008-3-13 08:34
标题: [求助]无法取消的ntuser.dat自启动项!
前两天上网,突然感觉象中了什么病毒,不停地弹出几十个IE窗口,用了九牛二虎之力才把它们关掉,但系统运行很慢,想死机一样,接着查看任务管理器的内存和CPU情况,未发现异常,然后又用最新的卡巴和金山来杀毒,并未发现有病毒,重启几遍后系统才恢复正常,可运行msconfig,发现启动项里多了几个陌生的启动项,分别是:NTUSER.DAT、ntuser.dat.LOG、ntuser.ini、ntuser.pol。问题就在于取消这四个启动项后,重启电脑后发现它们又被选上了,真是郁闷!    上网查得到的解释是:属于正常的系统文件。可以前也从未见过在msconfig启动项里会有这四个选项啊,看了本贴的朋友,请问你们中有多少人的电脑里也有这几个选项啊?而且用超级兔子和360安全卫士根本无法看见这四个选项。在C盘中搜索到了这几个文件,但是删不掉的,提示文件正在被使用。在注册表编辑器里查找到:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared tools\MSConfig\startupfolder里有这四个选项,但删掉后下次启动又会出现。(附图)    而且还有一个奇怪的现象,每次开机屏幕都会提示“Reboot and select proper Boot device or Insert Boot media in selected Boot device and perss a key”,然后到CMOS里看到第一启动顺序被改成了软驱,可每次改成硬盘并按F10保存后,下次启动又被改回来了,到底是不是病毒搞的鬼?如果是,那病毒的用意是什么?为什么修改我的启动项?对病毒有什么好处?我的主板电池可是新换的,上个月在人人乐超市买的,绝对没问题。    现请各位高手帮帮忙,有什么办法可以删掉或取消这四个烦人的启动项,实在不想在msconfig里看到它们!还有就是禁止CMOS里的启动顺序被自动修改!

Snap2.jpg (167.76 KB, 下载次数: 64)

查看msconfig

查看msconfig

Snap1.jpg (88.89 KB, 下载次数: 54)

搜索C盘结果

搜索C盘结果

Snap3.jpg (231.43 KB, 下载次数: 65)

搜索注册表结果

搜索注册表结果
作者: lvyanan    时间: 2008-3-13 10:21
用《深山红叶LONGU2005》工具光盘的ERD  COMMANDER 2005工具软件启动,选中你的系统,里面有很多工具,可以针对你选中的操作系统进行注册表修改、系统还原、启动项修改、更改超级用户密码以及不良文件删除等操作,由于是在你的系统未启动的情况下操作,病毒无法实时监控和保护它的程序,因此清除效果比较好,此外,要注意D盘以后的逻辑盘上自动运行的病毒,也要在静态下清除之。

[ 本帖最后由 lvyanan 于 2008-3-13 10:22 AM 编辑 ]
作者: dudubird    时间: 2008-3-15 09:04
我也试过用PE来对硬盘杀毒,但未能查出任何病毒,而且所有杀毒软件都用上了。不知道是病毒已被清除还是杀毒软件根本查不出病毒,总之,msconfig里那四个烦人的自启动项就是清除不掉。
作者: dudubird    时间: 2008-3-15 09:05
标题: 启动顺序被修改的原因找到了!
原来我把硬盘接到数据线中间的那个接口,造成BIOS里的Primary IDE Master项检测为空,而Primary IDE Slave项能检测到硬盘,但需回车后才能检测出来。也就是说Slave比Master检测要慢,从而引起系统出现“请插入启动设备”的提示。现在我把硬盘接到数据线较远端的接口就再也没有出现英文提示了。
      至于msconfig那四个烦人的自启动项还没解决,希望各位高手能出来指点迷津!
作者: lvyanan    时间: 2008-3-15 09:37
把启动项的命令路径及程序名作为搜索关键词,放到注册表里去搜索,将找到的键值删除即可。
作者: keygen    时间: 2008-3-20 14:14
没用erunt类软件备份注册表的话,只能重装了。
作者: hatling    时间: 2008-3-21 08:01
标题: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared tools\MSConfig\startupfolder
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared tools\MSConfig\startupfolder
把这个键的权限对所有用户设为禁止,,
再重启杀毒
作者: netwinxp    时间: 2008-3-21 08:58
NTUSER.DAT、ntuser.ini通常在"C:\Documents and Settings\用户名"里面,你那个好像在C:\Windows\pss下面,但通常只用来备份boot.ini、system.ini和win.ini。所以你应该——
1、检查是否有自动备份注册表的软件
2、查毒
另外,当你用msconfig把启动项禁用后,该项就会出现在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared tools\MSConfig\startupfolder下面,这个键下面的冬冬是不会自动启动的,也就是说会一而再再而三出现在启动项可能是因为有木马,你改这里毫无用处,建议你用upiea或360初步检查一下,最好用专业杀毒软件(你那个是什么破杀毒软件,毫无用处,卸了它)。
C:\Windows\pss\NTUSER.*可能是病毒。肯定还有别的地方有病毒体。

[ 本帖最后由 netwinxp 于 2008-3-21 09:01 AM 编辑 ]
作者: 御天    时间: 2008-3-21 14:38
360到安全模式下去查,不行就重新做系统了^_^
作者: qidianw    时间: 2008-3-22 09:20
同意楼上的,不如先把系统盘备份,在重装杀毒。最好使好点的杀毒软件,360也不一定就能查得很清晰
作者: zgzxp    时间: 2008-3-22 16:59
楼主检查下
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/explorer/User Shell
Folders
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/explorer/Shell
Folders
以及当前用户下的这两个项下的 common startup 子键的值有没有被修改为

C:\Documents and Settings\All Users

C:\Documents and Settings\hero

C:\Documents and Settings\Default Users
有的话改了就可以了
具体问题要具体分析
如果你自己没有优化过的话,可以用楼下的注册表文件恢复一下
作者: zgzxp    时间: 2008-3-22 17:03
自己修改过的就不需要下了,这是默认的

1.rar

502 Bytes, 下载次数: 124, 下载积分: 无忧币 -2





欢迎光临 无忧启动论坛 (http://bbs.wuyou.net/) Powered by Discuz! X3.3