https://baike.baidu.com/item/regedit/6103411

regedit和资源管理器很类似，也提供了类似目录和文件方式的界面。其中系统把每一种清单保存在不同的目录下面，而具体清单的信息就是那些“文件”了。那么系统每次启动时加载的程序清单在哪里呢？其中一个清单你可以根据下面的这个路径找到：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run。你可能会看到这样的画面：其中最左边一栏是程序的名字，当然他们作用不大，而最右边的就是程序的路径了。系统启动后就会按照这张清单一次加载文件。不过很不巧的时，其实病毒已经隐藏在了上面这个清单中了。或许你已经有所发现。你也可以看看自己注册表中的那些条目。这些路径下的文件都可能是病毒：AutoUpdate c:\windows\winsys.exe Explorer c:\windows\system32\explorer.exe（默认）c:\commond. com首先，这里只能说是可能是病毒，并不能马上确定，但是为什么说这些文件的嫌疑最大呢？下面给出一些规则，在加载清单中大部分程序都是系统中安装的应用程序，而很少是系统自身的组件。由第一条得出，系统组件几乎不会出现在清单中有第一条得出，清单中的程序并不是系统所必须的，也就是说即使不去加载他们，你的windows还是照样可以运行。正常情况下，（默认）这个条目应该是空白的病毒喜欢隐藏：多藏于windows目录之下或者是很简单的路径格式：如C:\virus.com。这样有利于其传播为了伪装自己，大多是病毒喜欢将自己的名字伪造成系统中的一些组件名。所以对于第一次尝试手工杀毒的人来说，如果很难确定哪些是病毒的话不妨删除所有的清单条目（注意，那个叫做“默认”的条目是无法清除的，但你可以把它的内容删除）那么为什么那些文件可能为病毒呢？首先我们看“AutoUpdate ”这个文件。第一从他的名字上，很多人会以为他是windows的自动更新程序。而且它的途径：windows系统目录下，又叫做winsys.exe，似乎他是个非常正常的程序？如果你这么想就是中了圈套。按照上面给出的第2条规则，如果真的是“自动更新程序”，他不太可能出现在这个清单中（真正的自动更新程序是一个系统服务）。那么这个家伙就非常可疑了其次是explorer。或许你也会觉得这很正常，造成这种想法的原因可能是他正好是windows资源管理器的名字。而且细心的你可能发现每次系统开机的确会有个叫做explorer.exe的文件在运行（其实它是在其他地方加载的，explorer.exe叫做系统外壳：shell，除了资源管理器的功能外，你的桌面也是他“变”成的）。但是真正的资源管理器是位于windows\目录下而非windows\system32\下。并且根据第二条规则，自然也就有很大嫌疑了那么这个叫做（默认）项目为什么也会是病毒呢？其实注册表的每个目录下都会有一个（默认）的项目。它是注册表自动产生的。而根据规则第四条，这里的“默认”条目一般是留空的，所以马上就能确定c:\commond. com有很大嫌疑了。并且很搞笑的是，这个程序的作者似乎想和以前DOS系统的命令行提示程序command. com取同样名字来欺骗我们。事实上，上面提到的的确就是病毒，不过这里只是我为了演示所以加进去的，但现实中如果你真看到了这样的项目，那么别犹豫，他们99%就是病毒或恶意程序！接下来要做的就是先找到那些文件的位置，然后将他们清除即可，最后再删除注册表中的那些项目。不过为了预防万一，往往删除前我们还需要一个确认的过程。而且很糟糕的时，windows一项混乱的作风使得启动程序的清单并不是只有这一个，并且还有一类叫做系统服务的程序，他们也会自我启动。所以在下回中，我将告诉你所有的启动清单的地方，同时介绍系统服务的一些事情。不过60%-70%的病毒都是在上述的清单中加入自己的作案痕迹的，所以今后如果怀疑自己系统中毒那么先看看注册表的这里：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 。