提到開機加載（load）項（xiàng），大家不要（yào）以為就是係統啟動（run）項。最簡（jiǎn）單的例（lì）子是，殺毒軟（ruǎn）件或者用戶手動刪除病毒文件後，注（zhù）冊表中的自動加載信息仍在，登（dēng）陸係統時就會提示“加載*dll出錯，係統找不到指定的模塊”，這些dll就是（shì）病毒寄生在係統進程之下的加（jiā）載項。 

加載dll出錯

　　病毒本（běn）身被（bèi）阻止運行，卻“挾係統以令用戶”，輾轉藏在係統進程後麵繼續狐假虎威（wēi），大行其道（dào）；它們被發現並刪除後，下次（cì）係統登陸、啟動服務、初始化用戶（hù）配置、啟動外殼explorer.exe時，依然會按注冊表的指示運行rundll32.exe調用這些加（jiā）載項，這時係統找不到文件實體，就會提示加載失敗。雖然不影響使用（yòng），但那“嗡”的一聲，有如（rú）晴天霹靂，讓人一開機就憋（biē）得慌（huāng）！點擊確定後也一直如坐針（zhēn）氈，總感覺自己中毒了。

　　其實，隻（zhī）要在（zài）注冊表中搜索這個dll刪掉，一般就能就地（dì）解決。問題是，很多dll在注冊表中根本搜索不到，但開機時它就是要彈（dàn）框（kuàng）！別慌，隻要去注冊表中如下固定位置掃蕩一遍，疏而不漏，總能找到蛛絲馬跡。以（yǐ）下位置最前四（sì）字母均為首字母縮寫，在注（zhù）冊表利器Registry Workshop的（de）地址欄中通用，可直接粘貼回車轉到，並加入收藏，收藏還可分類哦～Let's Go！

　　（1）WinLoad

HKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsload 

Windows_load

　　如圖，這項原（yuán）本不存在，或者默認為空。如（rú）果病（bìng）毒將自己的dll添加到這裏，可想而知係統啟動時就會自動加（jiā）載它。

　　（2）Notify

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonNotify

Winlogon_notify

　　這裏是windows登陸“通知（zhī）”，圖中的項都是正常項。以前Windows 正版增值（zhí）計劃通（tōng）知（WGA）提示Windows不（bú）是（shì）正版，就是通（tōng）過wgalogon.dll在這裏添加了一個項（xiàng），登陸時通知調用WgaTray.exe，在托盤彈出提示的。如果病毒也在（zài）這裏嵌（qiàn）入一個“通知”，開機時當然會有所表現並有所動作。

　　（3）Userinit

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit 

Winlogon_Userinit

　　當“歡迎使用”或“正在加載個人配置（zhì）”的窗（chuāng）口飄（piāo）過後，我們（men）打開（kāi）任務（wù）管理器（qì），可以看到這個Userinit.exe進程逗留了很久方去，它就是用戶個人配置初始化程序。其默認（rèn）值是C:WINDOWSsystem32userinit.exe,（帶英文半角逗（dòu）號），如果這項被修（xiū）改，加載個人配置時就會難產彈錯；如果被改成病毒程序，後果不堪設（shè）想。

（4）LogonShell

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell 

Winlogon_Shell

　　Shell外殼指（zhǐ）的是可視化的用戶（hù）資源（yuán）管（guǎn）理界麵，默認值Explorer.exe，即顯示資源管理器、“我的電腦（nǎo）”、文件夾、桌（zhuō）麵、開（kāi）始菜單、任（rèn）務欄、托盤的程序。當我（wǒ）們從任務管理器結（jié）束（shù）Explorer.exe，可看到桌麵隻剩一張壁紙，文件夾界麵全體消（xiāo）失，應用程序窗口仍在。

　　如（rú）果開機（jī）進入桌麵後出現這種（zhǒng）情況，說明Explorer.exe程序被修改了或在注冊表此項被阻止啟動了。這時先可試著從資源管理（lǐ）器運行explorer，不行（háng）的（de）話從別人電腦裏拷貝explorer.exe到Windows文件夾覆蓋，同時還要進入這裏查看Shell的默認值Explorer.exe有沒有被篡（cuàn）改，後麵有沒有（yǒu）被加上（shàng）“尾巴”即病（bìng）毒附著在Explorer.exe上麵的加載項。

　　（5）ExplorerAutoRun

HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer 

ExplorerAutoRun

　　圖中項為Windows某更新所產生的正常項，但注意這裏也可以被病毒嵌入加（jiā）載項。

　　（6）ShellServiceObjectDelayLoad

HKLMSOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad 

ShellSvcLoad

　　這些是“外殼服務”，例如CDBurn是鮮為人知的Window自帶刻錄功能，SysTray是係（xì）統（tǒng）托盤顯示程序，這項沒了開（kāi）機後一些托盤圖標就會（huì）消失。當然病（bìng）毒加載項也可在這裏濫竽充數。

　　（7）ShellExecuteHooks

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks 

ShellExeHook

　　這是“外殼掛鉤程序”，圖中正常項對應shell32.dll，包括係統圖標、工具欄等界麵元素。如果病毒在這裏有眼線（xiàn），它（tā）生前一定會隨外殼運行，死後也（yě）會繼續彈框出錯。

　　以上七家，圍剿（jiǎo）完畢，加載dll紛紛原形畢露，刪之，就能徹底告別（bié）那當頭一棒的“加載失敗”框了！把（bǎ）這些（xiē）常（cháng）見位置加入Registry Workshop的收藏夾，以後就再也不怕它彈了！當然更多隱秘期（qī）待諸君自己（jǐ）積累。

　　這裏談的都是加載項，不是大家平時熟悉的啟動項。即便是啟（qǐ）動項，也（yě）有很多的（de）注冊表位置，遠（yuǎn）不止Msconfig那麽簡單。欲知詳情，下（xià）回再見。