[求助]无法取消的ntuser.dat自启动项！

dudubird

前两天上网，突然感觉象中了什么病毒，不停地弹出几十个IE窗口，用了九牛二虎之力才把它们关掉，但系统运行很慢，想死机一样，接着查看任务管理器的内存和CPU情况，未发现异常，然后又用最新的卡巴和金山来杀毒，并未发现有病毒，重启几遍后系统才恢复正常，可运行msconfig，发现启动项里多了几个陌生的启动项，分别是：NTUSER.DAT、ntuser.dat.LOG、ntuser.ini、ntuser.pol。问题就在于取消这四个启动项后，重启电脑后发现它们又被选上了，真是郁闷！    上网查得到的解释是：属于正常的系统文件。可以前也从未见过在msconfig启动项里会有这四个选项啊，看了本贴的朋友，请问你们中有多少人的电脑里也有这几个选项啊？而且用超级兔子和360安全卫士根本无法看见这四个选项。在C盘中搜索到了这几个文件，但是删不掉的，提示文件正在被使用。在注册表编辑器里查找到：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared tools\MSConfig\startupfolder里有这四个选项，但删掉后下次启动又会出现。（附图）    而且还有一个奇怪的现象，每次开机屏幕都会提示“Reboot and select proper Boot device or Insert Boot media in selected Boot device and perss a key”，然后到CMOS里看到第一启动顺序被改成了软驱，可每次改成硬盘并按F10保存后，下次启动又被改回来了，到底是不是病毒搞的鬼？如果是，那病毒的用意是什么？为什么修改我的启动项？对病毒有什么好处？我的主板电池可是新换的，上个月在人人乐超市买的，绝对没问题。    现请各位高手帮帮忙，有什么办法可以删掉或取消这四个烦人的启动项，实在不想在msconfig里看到它们！还有就是禁止CMOS里的启动顺序被自动修改！

lvyanan

用《深山红叶LONGU2005》工具光盘的ERD  COMMANDER 2005工具软件启动，选中你的系统，里面有很多工具，可以针对你选中的操作系统进行注册表修改、系统还原、启动项修改、更改超级用户密码以及不良文件删除等操作，由于是在你的系统未启动的情况下操作，病毒无法实时监控和保护它的程序，因此清除效果比较好，此外，要注意D盘以后的逻辑盘上自动运行的病毒，也要在静态下清除之。

[ 本帖最后由 lvyanan 于 2008-3-13 10:22 AM 编辑 ]

dudubird

我也试过用PE来对硬盘杀毒，但未能查出任何病毒，而且所有杀毒软件都用上了。不知道是病毒已被清除还是杀毒软件根本查不出病毒，总之，msconfig里那四个烦人的自启动项就是清除不掉。

dudubird

原来我把硬盘接到数据线中间的那个接口，造成BIOS里的Primary IDE Master项检测为空，而Primary IDE Slave项能检测到硬盘，但需回车后才能检测出来。也就是说Slave比Master检测要慢，从而引起系统出现“请插入启动设备”的提示。现在我把硬盘接到数据线较远端的接口就再也没有出现英文提示了。
      至于msconfig那四个烦人的自启动项还没解决，希望各位高手能出来指点迷津！

lvyanan

把启动项的命令路径及程序名作为搜索关键词，放到注册表里去搜索，将找到的键值删除即可。

keygen

没用erunt类软件备份注册表的话，只能重装了。

hatling

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared tools\MSConfig\startupfolder
把这个键的权限对所有用户设为禁止，，
再重启杀毒

netwinxp

NTUSER.DAT、ntuser.ini通常在"C:\Documents and Settings\用户名"里面，你那个好像在C:\Windows\pss下面，但通常只用来备份boot.ini、system.ini和win.ini。所以你应该——
1、检查是否有自动备份注册表的软件
2、查毒
另外，当你用msconfig把启动项禁用后，该项就会出现在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared tools\MSConfig\startupfolder下面，这个键下面的冬冬是不会自动启动的，也就是说会一而再再而三出现在启动项可能是因为有木马，你改这里毫无用处，建议你用upiea或360初步检查一下，最好用专业杀毒软件(你那个是什么破杀毒软件，毫无用处，卸了它)。
C:\Windows\pss\NTUSER.*可能是病毒。肯定还有别的地方有病毒体。

[ 本帖最后由 netwinxp 于 2008-3-21 09:01 AM 编辑 ]

御天

360到安全模式下去查，不行就重新做系统了^_^

qidianw

同意楼上的，不如先把系统盘备份，在重装杀毒。最好使好点的杀毒软件，360也不一定就能查得很清晰

zgzxp

楼主检查下
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/explorer/User Shell
Folders
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Current Version/explorer/Shell
Folders
以及当前用户下的这两个项下的 common startup 子键的值有没有被修改为

C:\Documents and Settings\All Users
或
C:\Documents and Settings\hero
或
C:\Documents and Settings\Default Users
有的话改了就可以了
具体问题要具体分析
如果你自己没有优化过的话，可以用楼下的注册表文件恢复一下

zgzxp

自己修改过的就不需要下了，这是默认的