p align="left">　　3、“文件”--“查找”--输入“c:windowssystem32userinit.exe”--回车，让AUTORUNS自动查找包括“c:windowssystem32userinit.exe”字段的自启动值项并定位；

图25

　　4、右键点击此自启动值项，选择“跳转到…………”，发现弹出注册表编辑器的窗口，表示AUTORUNS已经链接到注册表编辑器。在注册表编辑器中对应的注册表值项值中，发现病毒（流氓软件）已经入侵该自启动项目，并释放了一个ABC.EXE随userinit.exe一同自启动：

图26

　　5、用注册表编辑器修改[HKLMSOFTWAREMicrosoft Windows NTCurrentVersionWinlogonUserinit]这个值项的值，由被病毒修改后的“c:windowssystem32 userinit.exe ，ABC.EXE”改为正常的“c:windowssystem32userinit.exe，”（修改注册表值项值的操作这里就不罗嗦了）

图27

　　7、手工删除c:windowssystem32ABC.EXE这个病毒进程文件，清除结束。

　　小知识：有些自启动值项值是不能删除的，除了以上说的[HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit]的“c:windowssystem32userinit.exe，” 外，还有以下几个常用的自启动子项也属于这种情况：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindowsappinit_dlls,其正常值项值一般为空（安装卡巴斯基杀软的除外）；

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUIHost,其正常值项值应为“logonui.exe”。

　　总结：

　　1、总体来说autoruns是一款功能强大的软件，特别是对自启动项添加前后的比较功能，是其最大的亮点，对于那些机器突然从正常转为不正常的同志来说，将大大缩小了你的查找范围。

　　此外，按照登陆启动方式的不同分类表示，也便于使用者缩小范围，提高效率。当然， autoruns8.53的不足之处也是很明显的，主要是对不能删除的核心自启动项的保护不足，一旦误操作将造成严重后果，比如删除了[HKLM SOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinit]自启动项后，将直接造成开机反复注销帐户，连安全模式都进入不了，只能采取重装系统或用第三方软件（如ERD2003）来修复（这点上，瑞星卡卡貌似也差不多），因此，新手使用时请一定要慎重；还有，日志比较的功能不太人性化，当前自启动项和日志自启动项的差异不能准确定位，只能让使用者知道现在的自启动项与以前有变化，但不知道变化在哪里，还要通过再保存日志与老日志手工比较，有点麻烦；另外，随着SRENG等老牌系统扫描工具功能的加强，AUTORUNS的优势越来越不明显，最新版本AUTORUNS8.61还居然搞成了安装版…………。

　　不管怎么样，对于常在病毒身边走的我们，有一些好的系统扫描和检查工具是必要的，autoruns8.53虽然功能有一定局限性，但简单易学，也许能如你所愿。