案例二、通过“比较”检验自己当前的自启动项是否有问题。

　　如果以前在机器正常时保存了AUTORUNS的日志，而当前感觉机器明显有问题，可以通过以下办法简单确认恶意软件可能添加的自启动项：

　　1、双击打开autoruns.exe，进入AUTORUNS窗口，依次点“文件”--“比较”；

图22

　　2、在弹出的对话框中选定前面保存的日志后，点“打开”；

图23

　　3、这时AUTORUNS将会对当前自启动项同打开日志的自启动项进行比较，对当前自启动项如果比老日志多或者少，整个列表的项目将以绿色突出显示！

图24

　　4、接下来，可以再保存一份新日志，与老日志比对，寻找有差异的自启动项。如果新日志比老日志启动项目多，则先确认多的启动项目是否是恶意自启动项，可以按照案例一第2到第6步的办法检测，如果确认多出的自启动项是不正常的，参照案例一第7-8步的办法清理。

　　案例三、利用“跳转到……”这个AUTORUNS和注册表编辑器快速链接方式，修复被病毒修改且不能删除自启动值项值。

　　我们知道HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit这个自启动项是不能删除的，否则系统无法登陆，其注册表值项值正常情况下“c: windowssystem32userinit.exe ，”（注意逗号是必须有的！），当病毒或者恶意软件入侵后，可能造成该注册表值项值被改成“c:windowssystem32 userinit.exe ，ABC.EXE”，这个多出的ABC.EXE就是病毒（流氓软件）插入的病毒随系统登陆自启动的病毒进程。在AUTORUNS中是不允许修改自启动项值的，怎么办？别着急，AUTORUNS已经想到这点啦，按照下面的办法就可以搞定了：

　　1、双击打开autoruns.exe，进入AUTORUNS窗口，；

　　2、“选项”--勾选“隐藏微软项目”--按菜单栏下常用工具栏的“刷新”按钮，排除不必要的正常自启动项目；