（4）LogonShell

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell 

Winlogon_Shell

　　Shell外壳指的是可视化的用户资源管理界面，默认值Explorer.exe，即显示资源管理器、“我的电脑”、文件夹、桌面、开始菜单、任务栏、托盘的程序。当我们从任务管理器结束Explorer.exe，可看到桌面只剩一张壁纸，文件夹界面全体消失，应用程序窗口仍在。

　　如果开机进入桌面后出现这种情况，说明Explorer.exe程序被修改了或在注册表此项被阻止启动了。这时先可试着从资源管理器运行explorer，不行的话从别人电脑里拷贝explorer.exe到Windows文件夹覆盖，同时还要进入这里查看Shell的默认值Explorer.exe有没有被篡改，后面有没有被加上“尾巴”即病毒附着在Explorer.exe上面的加载项。

　　（5）ExplorerAutoRun

HKLMSOFTWAREMicrosoftWindowsCurrentVersionpoliciesExplorer 

ExplorerAutoRun

　　图中项为Windows某更新所产生的正常项，但注意这里也可以被病毒嵌入加载项。

　　（6）ShellServiceObjectDelayLoad

HKLMSOFTWAREMicrosoftWindowsCurrentVersionShellServiceObjectDelayLoad 

ShellSvcLoad

　　这些是“外壳服务”，例如CDBurn是鲜为人知的Window自带刻录功能，SysTray是系统托盘显示程序，这项没了开机后一些托盘图标就会消失。当然病毒加载项也可在这里滥竽充数。

　　（7）ShellExecuteHooks

HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerShellExecuteHooks 

ShellExeHook

　　这是“外壳挂钩程序”，图中正常项对应shell32.dll，包括系统图标、工具栏等界面元素。如果病毒在这里有眼线，它生前一定会随外壳运行，死后也会继续弹框出错。

　　以上七家，围剿完毕，加载dll纷纷原形毕露，删之，就能彻底告别那当头一棒的“加载失败”框了！把这些常见位置加入Registry Workshop的收藏夹，以后就再也不怕它弹了！当然更多隐秘期待诸君自己积累。

　　这里谈的都是加载项，不是大家平时熟悉的启动项。即便是启动项，也有很多的注册表位置，远不止Msconfig那么简单。欲知详情，下回再见。