系统启动项汇总

文件夹启动位置

1.C:\Documents and Settings\用户名\「开始」菜单\程序

2.C:\Documents and Settings\All Users\「开始」菜单\程序\启动

注册表加载的启动项

1.Run:

a.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

b.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run(病毒喜欢光顾的地方)

c.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

d.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

e.HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run(不常见)

2.RunOnce:

a.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

b.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

3.RunServicesOnce:(启动服务:在用户登录前启动)

a.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

b.HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce　　

4.RunServices:

a.HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

b.HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

(注:与3相同点:两者都在用户登录之前,不同点:RunServices注册键指定的程序紧接RunServicesOnce指定的程序之后运行。)

5.Load:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows右侧添加load字符串值,值为要启动程序的路径.(在HKEY_LOCAL_MACHINE中无用)

6.Winlogon:

a.HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon(下面新建Notify、Userinit值项不起作用,shell有用，但加载的程序运行后，explorer.exe不运行，要手动开启；)

b.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

(注:右侧的"shell"的值"Explorer.exe"后加载恶意程序启动项,还有"userinit"在值为"C:\WINDOWS\system32\userinit.exe,"后添加恶意程序启动.userinit.exe文件丢失或其相关注册表键值错误将导致不能正常登录系统)

c.HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify下新建项值可以(如:解决更新系统后,右下角托盘的五角形就是注册表中添加wgalogon项和基相关项值)

7.ShellServiceObjectDelayLoad:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

8.Scripts:

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\Scripts(右侧添加自启动项)

8.AppInit_DLLs:(一些病毒的DLL模块,利用它开机自启动,有时还会把此文件类型更改,正常的类型是REG_SZ值为空)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

系统配置文件:在Windows的配置文件（包括Win.ini、System.ini和wininit.ini文件）也会加载一些自动运行的程序。)

1.Win.ini:

"load"后面的程序在自启动后最小化运行，而"run="后程序则会正常运行.

2.System.ini:

"shell"=Explorer.exe(正常)"shell"=Explorer.exe+其它程序名或者"shell"=直接指定病毒程序路径.

3.wininit.ini:

Windows启动时自动执行后会被自动删除，这就是说该文件中的命令只会自动执行一次。该配置文件主要由软件的安装程序生成，

(注:或者运行msconfig在里面看)

组策略中开/关机/登录/注销脚本

在Windows 2000/XP中，单击"开始→运行"，输入gpedit.msc回车可以打开"组策略编辑器"，在左侧窗格展开"本地计算机策略→用户配置→管理模板→ 系统→登录"，然后在右窗格中双击"在用户登录时运行这些程序"，单击"显示"按钮，在"登录时运行的项目"下就显示了自启动的程序.

任务计划:(可以自行添加自启动项)

c:\windows\tasks\文件夹中后缀为.job为计划任务. 一个JOB代表一个计划任务.病毒一般使用隐藏.JOB文件来达到秘密运行病毒或破坏系统文件的目的.