提到开机加载（load）项🍴，大家不【dà jiā bú】要以为就是【jiù shì】🎱系统启【xì tǒng qǐ】动【dòng】🌟（run）项🍴。最简单😡的例子💜是🎱，杀毒软件或者用户手动【hù shǒu dòng】删除病毒文件🛒后🔘，注册表😝中的自【zhōng de zì】动【dòng】加载信息仍在📃，登陆系统时就【tǒng shí jiù】会提示【huì tí shì】“加载*dll出错【chū cuò】🥅，系统找不到指【bú dào zhǐ】定的模⏯块”，这些📢dll就是【jiù shì】🎱病毒寄【bìng dú jì】生在📃系统进【xì tǒng jìn】程之下【chéng zhī xià】的加载项🍴。

加载dll出错

　　病毒本🚈身被阻止运行🔊，却“挟系统🌄以令用🏄户😳”，辗转藏在系统进程后面继续狐假虎威😦，大行其【dà háng qí】道【dào】；它们被发现并🔍删除后，下次系⏹统登陆【tǒng dēng lù】🏈、启动服🏢务、初始化【chū shǐ huà】用🏄户😳配置【pèi zhì】🐱、启动外壳【ké】explorer.exe时，依然会按注册【àn zhù cè】表的指🥔示运行rundll32.exe调用【diào yòng】🏄这些加载项【zǎi xiàng】⛵，这时系【zhè shí xì】统找不到文件【dào wén jiàn】❄实体，就会提示加载【shì jiā zǎi】失败。虽然不影响使【yǐng xiǎng shǐ】🐴用🏄，但那“嗡”的一声🍵，有如晴天霹雳，让人一开机就憋得慌【biē dé huāng】！点击确🔢定后也【dìng hòu yě】一直如【yī zhí rú】✏坐针毡，总感觉【zǒng gǎn jiào】自己中【zì jǐ zhōng】毒了【dú le】。

　　其实，只要在【zhī yào zài】注册表【biǎo】👶中搜索🌵这个【zhè gè】dll删掉，一般就能就地🚨解决【jiě jué】。问题是【wèn tí shì】，很多dll在注册表【biǎo】👶中根本搜索不到，但开机时它就是要弹框！别慌，只要去【zhī yào qù】🍦注册表【biǎo】👶中如下固定位置扫荡【zhì sǎo dàng】一遍🐝，疏而不【shū ér bú】漏，总能找🍫到蛛丝马迹✔。以下位🌆置最前四字母均为首【jun1 wéi shǒu】字母缩写，在注册表【biǎo】👶利器Registry Workshop的地址【de dì zhǐ】栏中通用【yòng】，可直接👑粘贴回车转到，并加入【bìng jiā rù】🐢收藏🕡，收藏还【shōu cáng hái】🏻可分类【kě fèn lèi】🏑哦【ò】～Let's Go！

　　（1）WinLoad

　　HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

Windows_load

　　如图，这项原【zhè xiàng yuán】本不存【běn bú cún】在🛐，或者默🧗认为空【rèn wéi kōng】🎍。如果病毒将自【dú jiāng zì】己的🏉dll添加到这里，可想而🤤知系统🏓启动时【qǐ dòng shí】就会自【jiù huì zì】动加载它。

　　（2）Notify

　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify

Winlogon_notify

　　这里是🍌windows登陆【dēng lù】“通知【tōng zhī】😛”，图中的项都是【xiàng dōu shì】🥃正常项。以前Windows 正版【bǎn】增值计划通知【tōng zhī】😛（WGA）提示Windows不是正版【bǎn】，就是通【jiù shì tōng】过wgalogon.dll在这里【zài zhè lǐ】添加了⚽一个项，登陆【dēng lù】时通知【tōng zhī】😛调用WgaTray.exe，在托盘⚓弹出提示的🕐。如果病毒也在【dú yě zài】🌫这里嵌入一个🌩“通知【tōng zhī】😛”，开机时【kāi jī shí】⏮当然会【dāng rán huì】有所表【yǒu suǒ biǎo】🏐现并有所动作。

　　（3）Userinit

　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

Winlogon_Userinit

　　当“欢迎使【huān yíng shǐ】用”或【huò】📝“正在加⚽载个人配置”的窗口【de chuāng kǒu】飘过后，我们打【wǒ men dǎ】开任务🗺管理器【guǎn lǐ qì】，可以看🔢到这个Userinit.exe进程逗留了很【liú le hěn】🎋久方去，它就是用户个🚎人配置初始化【chū shǐ huà】程序【chéng xù】💓。其默认值是C:\WINDOWS\system32\userinit.exe,（带英文半角逗【bàn jiǎo dòu】号），如果这【rú guǒ zhè】💷项被修💢改🚃，加载个【jiā zǎi gè】人配置时就会难产弹错【cuò】⤵；如果被改🚃成病毒【chéng bìng dú】程序【chéng xù】🥤，后果不堪设想。

　（4）LogonShell

　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Winlogon_Shell

　　Shell外壳指的是可视化的【shì huà de】用户资【yòng hù zī】源管【yuán guǎn】👎理界面🎭，默认值【mò rèn zhí】Explorer.exe，即显示资源管【yuán guǎn】👎理器、“我的电【wǒ de diàn】🚍脑”、文件夹【wén jiàn jiá】🥤、桌面【zhuō miàn】、开始菜单、任务栏【rèn wù lán】、托盘的🥔程序。当我们从任务管理器【guǎn lǐ qì】结束🌽Explorer.exe，可看到🐡桌面【zhuō miàn】只剩一张壁纸🉐，文件夹【wén jiàn jiá】🥤界面🎭全体消失，应用程【yīng yòng chéng】📔序窗口【xù chuāng kǒu】仍在。

　　如果开机进入桌面后出现这【chū xiàn zhè】种情况【zhǒng qíng kuàng】，说明⤴Explorer.exe程序被修改了【xiū gǎi le】🗯或在注👋册表此🚃项被阻止启动【zhǐ qǐ dòng】了【le】。这时先【zhè shí xiān】可试着🖌从资源【cóng zī yuán】管理器【guǎn lǐ qì】运行🐠explorer，不行的话从别【huà cóng bié】人电脑里拷贝explorer.exe到Windows文件夹【wén jiàn jiá】🎄覆盖【fù gài】，同时还要进入【yào jìn rù】这里查🛶看Shell的默认值Explorer.exe有没有🚢被篡改🃏，后面有📗没有被加上🐁“尾巴”即病毒附着在Explorer.exe上面的加载项【jiā zǎi xiàng】➖。

　　（5）ExplorerAutoRun

　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

ExplorerAutoRun

　　图中项【xiàng】⛴为【wéi】Windows某更新⚓所产生的正常🦀项【xiàng】，但注意【dàn zhù yì】这里也【zhè lǐ yě】可以被病毒嵌入加载⏰项【xiàng】。

　　（6）ShellServiceObjectDelayLoad

　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

ShellSvcLoad

　　这些是【zhè xiē shì】“外壳服【wài ké fú】务”，例如CDBurn是鲜为人知的【rén zhī de】🦈Window自带刻录功能，SysTray是系统🕺托盘显示程序【shì chéng xù】，这项没了开机【le kāi jī】🔕后一些托盘图🥙标就会消失✒。当然病【dāng rán bìng】毒加载项也可🥍在这里滥竽充数【shù】📅。

　　（7）ShellExecuteHooks

　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

ShellExeHook

　　这是“外壳挂【wài ké guà】钩程序”，图中正【tú zhōng zhèng】💢常项对应【yīng】shell32.dll，包括系【bāo kuò xì】统图标🖱、工具栏等界面元素。如果病🍿毒在这【dú zài zhè】里有眼🏗线，它生前【tā shēng qián】➗一定会随外壳运行🍨，死后也【sǐ hòu yě】会继续弹框出错🚭。

　　（8）计划任务

　　这种情【zhè zhǒng qíng】况比较特殊，是指用【shì zhǐ yòng】🈷户自定🎥义的计【yì de jì】划任务【huá rèn wù】，因找不【yīn zhǎo bú】到文件【dào wén jiàn】💰而弹出🛶加载出错。典型例子就是“自定义桌面🙋”里的“桌面清🏪理向导”，如图：

计划任务💕——清理桌【qīng lǐ zhuō】面【miàn】🥉

　　清理桌面任务是由system32目录下📦的【de】🙁fldrclnr.dll负责的【de】😩，很多系🖨统精简了这个文件，如果用户又不小心勾🚀上了【shàng le】“每【měi】60天运行桌面清【zhuō miàn qīng】🥞理向导【lǐ xiàng dǎo】”，60天后开【tiān hòu kāi】机肯定会弹出“加载fldrclnr.dll出错【chū cuò】🍅”，这时无【zhè shí wú】🏁论你怎👘样折腾注册表，都是竹篮打水【lán dǎ shuǐ】。

　　以上八【yǐ shàng bā】🦍家，围剿完【wéi jiǎo wán】⏺毕，加载dll纷纷原形毕露，删之🐬，就能彻🛬底告别【dǐ gào bié】🌻那当头一棒的【yī bàng de】“加载失【jiā zǎi shī】🎺败”框了【kuàng le】！把这些【bǎ zhè xiē】🖨常见位置加入Registry Workshop的收藏🚊夹，以后就再也不怕它弹了！更多隐【gèng duō yǐn】秘期待诸君自【zhū jun1 zì】己积累🎴。

　　这里谈的都是【de dōu shì】加载项，不是大【bú shì dà】家平时熟悉的启动项【qǐ dòng xiàng】。即便是启动项【qǐ dòng xiàng】，也有很⛔多的注【duō de zhù】册表位🎟置🎖，远不止Msconfig那么简【nà me jiǎn】🌇单。欲知详情【qíng】〰，下回再⭐见。