提到开机加载（load）项【xiàng】，大家不👌要以为【yào yǐ wéi】🔯就是系统启动🐞（run）项【xiàng】。最简单的例子【de lì zǐ】是，杀毒软【shā dú ruǎn】件或者用户手动删除【dòng shān chú】病毒文件后，注册表中的自【zhōng de zì】🐉动加载👘信息仍【xìn xī réng】在，登陆系⚽统时就【tǒng shí jiù】会提示“加载*dll出错【chū cuò】🐟，系统找🚶不到指【bú dào zhǐ】定的模🌈块”，这些dll就是病毒寄生【dú jì shēng】在系统🏡进程之🖇下的加🆚载项【zǎi xiàng】。 

加载dll出错

　　病毒本👐身被阻【shēn bèi zǔ】止运行，却【què】“挟系统【jiā xì tǒng】以令用【yǐ lìng yòng】户”，辗转藏🎼在系统进程后面继续🐃狐假虎【hú jiǎ hǔ】威，大行其【dà háng qí】道【dào】；它们被发现并🐳删除后【shān chú hòu】，下次系【xià cì xì】统登陆🏤、启动服【qǐ dòng fú】务、初始化用户配🏩置【zhì】、启动外【qǐ dòng wài】🐹壳explorer.exe时【shí】🔨，依然会按注册表的指示运行rundll32.exe调用这🐩些加载📍项，这时【shí】系👩统找不【tǒng zhǎo bú】🕸到文件实体，就会提【jiù huì tí】示加载【shì jiā zǎi】失败。虽然不【suī rán bú】⬛影响使用，但那“嗡”的一声🙂，有如晴🔖天霹雳🥐，让人一🐌开机就【kāi jī jiù】憋得慌😀！点击确定后也一直如坐针毡，总感觉自己中毒了。

　　其实【qí shí】，只要在注册【zài zhù cè】🎙表中搜索这个dll删掉【shān diào】🧟，一般就【yī bān jiù】能就地📎解决【jiě jué】。问题是【wèn tí shì】🏳，很多dll在注册【zài zhù cè】🎙表中根本搜索不到👡，但开机⤴时它就是要弹框！别慌🤸，只要去🥝注册【zhù cè】表中如下固定位【gù dìng wèi】置扫荡【zhì sǎo dàng】一遍【yī biàn】，疏而不漏🚍，总能找到蛛丝【dào zhū sī】🎶马迹。以下位置最前四字母🚔均为首【jun1 wéi shǒu】字母缩写，在注册【zài zhù cè】🎙表利器💺Registry Workshop的地址栏中通用，可直接粘贴回车转到，并加入收藏【shōu cáng】🦋，收藏【shōu cáng】还🖨可分类哦【ò】🎦～Let's Go！

　　（1）WinLoad

HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsload 

Windows_load

　　如图【rú tú】🛹，这项原本不存在【zài】🛑，或者默认为空。如果病毒将自【dú jiāng zì】己的dll添加到【tiān jiā dào】这里🎄，可想而😝知系统📂启动时🕝就会自【jiù huì zì】动加载【dòng jiā zǎi】它。

　　（2）Notify

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify

Winlogon_notify

　　这里【zhè lǐ】是📏windows登陆【dēng lù】“通知【tōng zhī】💗”，图中的项都是正常项。以前Windows 正版【bǎn】📗增值计划通知【tōng zhī】💗（WGA）提示Windows不是正【bú shì zhèng】版【bǎn】📗，就是通【jiù shì tōng】⌚过【guò】wgalogon.dll在这里【zhè lǐ】🛷添加了😞一个项，登陆时【dēng lù shí】通知【tōng zhī】💗调用WgaTray.exe，在托盘📼弹出提🐾示的。如果病毒也在这里【zhè lǐ】🛷嵌入一【qiàn rù yī】个“通知【tōng zhī】💗”，开机时当然会【dāng rán huì】有所表😊现并有😿所动作🤝。

　　（3）Userinit

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit 

Winlogon_Userinit

　　当“欢迎使用👔”或“正在加📒载个人【zǎi gè rén】配置【pèi zhì】”的窗口【de chuāng kǒu】飘过后🤣，我们打【wǒ men dǎ】🍹开任务管理器，可以看到这个【dào zhè gè】Userinit.exe进程逗🎙留了很【liú le hěn】久方去【jiǔ fāng qù】，它就是🗃用户个【yòng hù gè】❌人配置【rén pèi zhì】初始化程序🚖。其默认【qí mò rèn】👴值是C:WINDOWSsystem32userinit.exe,（带英文半角逗号【hào】），如果这项被修改，加载个人【zǎi gè rén】配置【pèi zhì】时就会难产弹错【cuò】；如果被改成病🌲毒程序📽，后果不堪设想🐝。

（4）LogonShell

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell 

Winlogon_Shell

　　Shell外壳指的是可【de shì kě】视化的【shì huà de】🥩用户资源管理界面，默认值Explorer.exe，即显示🔋资源管理器【lǐ qì】🚛、“我的电【wǒ de diàn】脑🎠”、文件夹🏴、桌面⛑、开始菜⛵单、任务栏【rèn wù lán】、托盘的【tuō pán de】程序。当我们从任务管理器【lǐ qì】🚛结束【jié shù】Explorer.exe，可看到【kě kàn dào】桌面⛑只剩一张📘壁纸，文件夹🏴界面全【jiè miàn quán】体消失🐗，应用程🤨序窗口【xù chuāng kǒu】仍在【réng zài】。

　　如果开🙋机进入👎桌面后😺出现这种情况【zhǒng qíng kuàng】，说明🍞Explorer.exe程序被修改了🍀或在注册表此【cè biǎo cǐ】项被阻【xiàng bèi zǔ】💆止启动【zhǐ qǐ dòng】了🍀。这时先可试着从资源📂管理器🚚运行【yùn háng】explorer，不行的话从别人电脑😃里拷贝explorer.exe到Windows文件夹【wén jiàn jiá】覆盖【fù gài】，同时还要进入这里查【zhè lǐ chá】看Shell的默认☔值🕛Explorer.exe有没有【yǒu méi yǒu】🤹被篡改，后面有没有【yǒu méi yǒu】🤹被加上【bèi jiā shàng】“尾巴👅”即病毒附着在Explorer.exe上面的【shàng miàn de】加载项【jiā zǎi xiàng】。

　　（5）ExplorerAutoRun

HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer 

ExplorerAutoRun

　　图中项【xiàng】🔋为Windows某更新【mǒu gèng xīn】🙌所产生【suǒ chǎn shēng】🤑的正常【de zhèng cháng】项【xiàng】🔋，但注意这里也可以被👑病毒嵌入加载项【xiàng】🔋。

　　（6）ShellServiceObjectDelayLoad

HKLMSOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad 

ShellSvcLoad

　　这些是✉“外壳服🎅务”，例如【lì rú】CDBurn是鲜为🎠人知的Window自带刻录功能，SysTray是系统托盘显【tuō pán xiǎn】😿示程序【shì chéng xù】，这项没【zhè xiàng méi】了开机后一些【hòu yī xiē】托盘图标就会消失🚠。当然病💺毒加载项也可在这里🙁滥竽充【làn yú chōng】数【shù】。

　　（7）ShellExecuteHooks

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks 

ShellExeHook

　　这是🔎“外壳挂【wài ké guà】钩程序【gōu chéng xù】”，图中正【tú zhōng zhèng】常项对应🛄shell32.dll，包括系【bāo kuò xì】统图标🐒、工具栏等界面📼元素。如果病毒在这【dú zài zhè】里有眼🔭线，它生前一定会随外壳🏎运行【yùn háng】，死后也⏰会继续【huì jì xù】弹框出错。

　　以上七【yǐ shàng qī】家🐝，围剿完【wéi jiǎo wán】毕【bì】，加载dll纷纷原🏉形毕【bì】露，删之🎠，就能彻底告别那当头🤼一棒的👃“加载失【jiā zǎi shī】⛪败”框了！把这些常见位置加入【zhì jiā rù】🗒Registry Workshop的收藏🚱夹，以后就【yǐ hòu jiù】👥再也不【zài yě bú】怕它弹了！当然更多隐秘【duō yǐn mì】期待诸君自己积累【jī lèi】。

　　这里谈的都是💴加载项，不是大【bú shì dà】家平时熟悉的【shú xī de】👦启动项。即便是【jí biàn shì】启动项，也有很🌨多的注册表位【cè biǎo wèi】置，远不止【yuǎn bú zhǐ】Msconfig那么简单🔊。欲知详情【qíng】👫，下回再见🌓。