【转载】病毒隐藏在注册表中的位置总结

一、Run 启动项。常见的启动项如下：

1、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
2、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce
3、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
4、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce
5、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run
6、HKCU\Software\Microsoft\Windows\CurrentVersion\Run
7、HKCU\Software\Microsoft\Windows\CurrentVersion\Runonce
8、HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices
9、HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
10、HKCU\Software\Microsoft\Windows\CurrentVersion\policies\explorer\run

确定以上这些启动项包含病毒的方法：
1）根据已确定的病毒文件确定。键值即为该文件的路径。

2）只有Run 项是有键值的，如图1，其它的都只有一个默认串（98除外），所以若其它项中有键值，就可能是病毒启动项。

3）若键值是糊乱的文件名，如1.exe；或路径是在临时文件夹的；也可能是病毒启动项。

二、驱动启动项

位置：HKLM\System\CurrentControlSet\Services    
这里的项比较多，可以根据 windows/system32/drivers 目录下已确定的文件来确定。

三、Winlong 启动项    
位置：HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon    
主要检查 Userinit、Shell、Notify，看看键值是否有异常。

四、windows 启动项    
1、HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows 
下若有 Load 键，该键值是空的，若不为空可是病毒启动项。

2、HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders    
该项也是病毒常常出现的位置，注意检查。

3、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks    
若杀毒软件被关闭了，很可能病毒的启动项就写在这里；通常，很少有正常程序会写在这里。

4、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls    
若安全模式下杀毒软件被关闭了，病毒可能就写在这里，很少有正常程序会写在这里， 

5、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Shell    
 一般该项的 AppInit_DLLs 键值是空的，若有异常的文件名，可能是病毒启动项。

6、其它启动项     HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components      
HKLM\SOFTWARE\Microsoft\Command Processor\Autorun    
HKCU\Software\Microsoft\Command Processor\Autorun

五、explorer 启动项

位置：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects    
一般系统不会在此建立项，只有某些软件，如 QQ，迅雷等会，同时若有一些 ddl 文件对启动也是有影响的。如果发现一些异常名称的键，可能是病毒。

**六、有一些变种病毒可以把杀毒软件安装文件删除，**并且会修改 hosts 文件、在 QQ 目录下写入隐藏的病毒 dll 且修改 API HOOH。这时可以重点检查    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler

七、文件关联启动项。    
位置：HKLM\SOFTWARE\Classes\Exefile\Shell\Open\Command(Default)    
有些病毒会把该项的键值改为自己的关联文件，如“冰河”木马会把键值修改为“C:\WINDOWS\System32\Sysexplr.exe %1”。被修改后，就要用对应的注册表项值或已知的程序文件修改回来。修改后有些文件不能正常运行，如.exe；此时就需要用命令恢复他们的关联。以 .exe 为例，打开命令提示符（运行CMD）窗口，输入命令 assoc .exe=exefile 执行后就可修复此类文件关联，还不行就重启试试。

八、ShellServiceObjectDelayLoad 启动项。   
 位置：HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad    
 可以把组件关联到这个键。如果有组件关联到这里，系统启动时，EXPLORER 将自动加载目标组件。有是会遇到这样的事情，IE 的首页设置为Blank，注册表 Run 键的值也为空，但每隔一会儿，有网页自动弹出，这就是 ShellServiceObjectDelayLoad 被修改了，可把弹出的网址去掉。

九、IE 启动项    
 1、IE 默认页   
  位置：HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN
      HKCU\Software\Microsoft\Internet Explorer\Main\   ，
  主要检查 Start Page（IE 默认首页)、Default_Page_URL（IE 默认页）、Search Page（IE 搜索默认首页）、Default_Search_URL（IE 搜索默认页）,把这些键值修改about:blank（空白页）或者自己的主页。 
 

位置：HKLM\SOFTWARE\Microsoft\Internet Explorer\UrlSearchHooks
HKCU\Software\Microsoft\InternetExplorer\UrlSearchHooks   
处理方法同上。

2、IE 默认首页被禁止修改回来
    位置：HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel    
    把该项下的 “Settings”=dword:1、“Links”=dword:1、“SecAddSites”=dword:1 中的 1 改为 0 就可恢复。

3、IE 默认首页修改按扭被禁用（变灰色）    
位置：HKEY_USERS.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel
把该项下的“homepage”的键值改为 0 即可。

4、ToolsTars 和 ActiveX 加载项    
位置：HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar    
HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer bars     
HKCU\Software\Microsoft\Internet Explorer\Toolbar 
HKLCU\Software\Microsoft\Internet Explorer\Explorer bars    
ToolBars 主要在工具栏上显示一些快捷方式，如 QQ、迅雷等，发现有可疑的软件可删除；ActiveX 是一些插件，发现有可疑的也可删除。  
    
5、IE 默认搜索引擎被修改    
位置：HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\CustomizeSearch 
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant    
把“CustomizeSearch”和“SearchAssistant”的键值改为某个搜索引擎的网址即可。 
     
6、IE右键菜单被修改    
位置：HKLCU\Software\Microsoft\Internet Explorer\MenuExt    
删除被恶意添加的选项即可，注意不要把正常的选项也删除。 
     
7、浏览网页注册表被禁用    
位置：HKLCU\Software\Microsoft\Windows\CurrentVersion\Policies\System    
该项下的“DisableRegistryTools”被修改为 1，注册表就被禁用，将其键值恢复为“0”即可。用记事本建立以 reg 为后缀名的文件，将下面这些代码复制到里面双击导入注册表就可以了：REGEDIT4    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]    “DisableRegistryTools”=dword:00000000

8、浏览网页开始菜单被修改
这项涉及内容较多，包括禁止关闭系统、禁止注销、隐藏C盘等，具体请看《浏览网页注册表被修改及解决办法》一文。