徹底告別加載dll出錯

1、提到開機加載（load）項，大家不要以為就是系統(tǒng)啟動（run）項。最簡單的例子是，殺毒軟件或者用戶手動刪除病毒文件后，注冊表中的自動加載信息仍在，登陸系統(tǒng)時就會提示“加載*dll出錯，系統(tǒng)找不到指定的模塊”，這些dll就是病毒寄生在系統(tǒng)進程之下的加載項。加載dll出錯病毒本身被阻止運行，卻“挾系統(tǒng)以令用戶”，輾轉(zhuǎn)藏在系統(tǒng)進程后面繼續(xù)狐假虎威，大行其道；它們被發(fā)現(xiàn)并刪除后，下次系統(tǒng)登陸、啟動服務(wù)、初始化用戶配置、啟動外殼explorer.exe時，依然會按注冊表的指示運行rundll32.exe調(diào)用這些加載項，這時系統(tǒng)找不到文件實體，就會提示加載失敗。雖然不影響使用，但那“嗡”的一聲，有如晴天霹

2、靂，讓人一開機就憋得慌！點擊確定后也一直如坐針氈，總感覺自己中毒了。其實，只要在注冊表中搜索這個dll刪掉，一般就能就地解決。問題是，很多dll在注冊表中根本搜索不到，但開機時它就是要彈框！別慌，只要去注冊表中如下固定位置掃蕩一遍，疏而不漏，總能找到蛛絲馬跡。以下位置最前四字母均為首字母縮寫，在注冊表利器Registry Workshop的地址欄中通用，可直接粘貼回車轉(zhuǎn)到，并加入收藏，收藏還可分類哦Let's Go！（1）WinLoadHKCUSoftwareMicrosoftWindows NTCurrentVersionWindowsloadWindows_load如圖，這項原本不

3、存在，或者默認為空。如果病毒將自己的dll添加到這里，可想而知系統(tǒng)啟動時就會自動加載它。（2）NotifyHKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonNotifyWinlogon_notify這里是windows登陸“通知”，圖中的項都是正常項。以前Windows 正版增值計劃通知（WGA）提示W(wǎng)indows不是正版，就是通過wgalogon.dll在這里添加了一個項，登陸時通知調(diào)用WgaTray.exe，在托盤彈出提示的。如果病毒也在這里嵌入一個“通知”，開機時當然會有所表現(xiàn)并有所動作。（3）UserinitHKLMSOFTWARE

4、MicrosoftWindowsNTCurrentVersionWinlogonUserinitWinlogon_Userinit當“歡迎使用”或“正在加載個人配置”的窗口飄過后，我們打開任務(wù)管理器，可以看到這個Userinit.exe進程逗留了很久方去，它就是用戶個人配置初始化程序。其默認值是C:WINDOWSsystem32userinit.exe,（帶英文半角逗號），如果這項被修改，加載個人配置時就會難產(chǎn)彈錯；如果被改成病毒程序，后果不堪設(shè)想。（4）LogonShellHKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonShellWin

5、logon_ShellShell外殼指的是可視化的用戶資源管理界面，默認值Explorer.exe，即顯示資源管理器、“我的電腦”、文件夾、桌面、開始菜單、任務(wù)欄、托盤的程序。當我們從任務(wù)管理器結(jié)束Explorer.exe，可看到桌面只剩一張壁紙，文件夾界面全體消失，應(yīng)用程序窗口仍在。如果開機進入桌面后出現(xiàn)這種情況，說明Explorer.exe程序被修改了或在注冊表此項被阻止啟動了。這時先可試著從資源管理器運行explorer，不行的話從別人電腦里拷貝explorer.exe到Windows文件夾覆蓋，同時還要進入這里查看Shell的默認值Explorer.exe有沒有被篡改，后面有沒有被加上

6、“尾巴”即病毒附著在Explorer.exe上面的加載項。（5）ExplorerAutoRunHKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorerExplorerAutoRun圖中項為Windows某更新所產(chǎn)生的正常項，但注意這里也可以被病毒嵌入加載項。（6）ShellServiceObjectDelayLoadHKLMSOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoadShellSvcLoad這些是“外殼服務(wù)”，例如CDBurn是鮮為人知的Window

7、自帶刻錄功能，SysTray是系統(tǒng)托盤顯示程序，這項沒了開機后一些托盤圖標就會消失。當然病毒加載項也可在這里濫竽充數(shù)。（7）ShellExecuteHooksHKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooksShellExeHook這是“外殼掛鉤程序”，圖中正常項對應(yīng)shell32.dll，包括系統(tǒng)圖標、工具欄等界面元素。如果病毒在這里有眼線，它生前一定會隨外殼運行，死后也會繼續(xù)彈框出錯。（8）計劃任務(wù)這種情況比較特殊，是指用戶自定義的計劃任務(wù)，因找不到文件而彈出加載出錯。典型例子就是“自定義桌面”里的“桌面清理向?qū)А?，如圖：計劃任務(wù)清理桌面清理桌面任務(wù)是由system32目錄下的fldrclnr.dll負責的，很多系統(tǒng)精簡了這個文件，如果用戶又不小心勾上了“每60天運行桌面清理向?qū)А保?0天后開機肯定會彈出“加載fldrclnr.dll出錯”，這時無論你怎樣折騰注冊表，都是竹籃打水。以上八家，圍剿完畢，加載dll紛紛原形畢露，刪之，就能徹底告別那當頭一棒的“加載失敗”框了！把這