手工杀毒拾零——注册表中的自启动项及其详解
1、
HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\Windows\load
这个，load是指“值”，在注册表中，位于右边窗口的“名称”一列。

一般新安装的操作系统，他的数据是空的。

病毒可以把自身路径写到他的数据里，这样实现开机自启动。

如下图所示：
其它的注册表中的自启动项都是如此实现开机启动了。

后面的教程不再重复。

2、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Run
这里"Run"是在左边窗口中找，也就是说它是个“项”。

我们的输入法指示器，也就是右下角更改输入法的地方的图标，就是从这里自启动的。

启动项名称为“ctfmon.exe”。

注意不是ctfmon。

要想找ctfmon.exe，请在注册表的窗口的右边找。

3、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion
\RunOnce
这里"Run"是在左边窗口中找，也就是说它是个“项”。

它的启动项请从右侧找。

当然可能没有。

4、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Policies\Explorer\Run
这里"Run"是在左边窗口中找，也就是说它是个“项”。

它的启动项请从右边找，当然可能没有。

这个启动项可能会被很多人包括很多杀毒辅助工具所忽略
5、
HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\Windows\run
这个，run是指“值”，在注册表中，位于右边窗口的“名称”一列。

默认的可能没有此run值。

病毒会修改run的数据一列的数据。

6、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command
Processor\autorun
这个启动项，是随cmd程序一起启动的。

也就是说，只有当打开cmd 窗口的时候，才会启动相应的项。

要想找到“autorun”，请从右侧
窗口找。

7、
HKEY_CURRENT_USER\Software\Microsoft\Command
Processor\autorun
这个和上面的一样。

8、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\Run
这个和前面第2个相同。

9、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\RunOnce
这个和前面第3个相同。

10、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio n\policies\Explorer\Run
这个和前面第4个相同。

11、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Shell
找到这个项之后，请从右边找到名称为“shell”的一个字符串值。

它的默认值是“Explorer.exe”。

也就是我们的桌面。

而病毒会利用这个项来启动自身，比如病毒路径名是：c:\windows\abc.exe，那么病毒会如此修改数据："Explorer.exe c:\windows\abc.exe"。

注意explorer.exe和后面的部分中间有空格。

这样在打开桌面的同时，abc.exe这个病毒也同时启动了。

12、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Userinit
要找到“userinit”，请从右边窗口找。

该值的数据默认是“C:\WINDOWS\system32\userinit.exe,”病毒可以通过修改这个来达到启动自身的目的。

比如病毒路径名是：c:\windows\abc.exe，那么病毒会如此修改数据：“C:\WINDOWS\system32\userinit.exe,c:\windows\abc.exe”，这样，开机的时候病毒也一起启动了。

13、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Windows\AppInit_DLLs
要找到“AppInit_DLLs”，请从窗口右侧找。

这个启动项会启动一个dll文件。

而据我遭遇到的病毒，他们一般不只有一个dll文件存在于该启动项里。

而且通常这些病毒会不断地监视这个键值有没有被发动，如有发动，立即恢复。

关于这个启动项如何处理，请参阅：/thread-5167-1-2.html
14、
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
这是当前用户的启动文件夹，只有当前用户启动系统之后才会启动这里的病毒。

卡巴斯基7.0不会对其监控。

估计它不认为这是一个启动项，至少不是一个有技术含量的启动项，病毒用一个copy命令就写进去了。

但是忽略这个启动项，可能导致卡巴被和谐。

其中，如果你的用户名不是administrator，那么请把路径中的administrator替换成你的用户名即是。

15、
C:\Documents and Settings\All Users\「开始」菜单\程序\启动这个是所有用户的启动文件夹。

所有用户启动系统后都可以激活这里的病毒。

卡巴斯基这时会认为这是一个有技术含量的启动项了，因为是所有用户。

权限有所提升哈。

第14和15个启动项，hijackthis称之为common start up 项。