ntuser.dat je za normálnych okolností súbor so všetkými nastaveniami práve prihláseného užívatela a jeho kopia s príponou .log je kontrolný súbor eventlogu o činnosti práve prihláseného užívatela,za normálnych okolností by sa mal nachádzať v užívatelskej zložke práve prihláseného užívatela,takže sa môže jednať o nejako zamaskovaný malware,pokial je umiestnený mimo svojho originálneho umiestnenia