加载*dll出错,系统找不到指定的模块(2)
(4)LogonShell
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Winlogon_Shell
Shell外壳指的是可视化的用户资源管理界面,默认值Explorer.exe,即显示资源管理器、“我的电脑”、文件夹、桌面、开始菜单、任务栏、托盘的程序。当我们从任务管理器结束Explorer.exe,可看到桌面只剩一张壁纸,文件夹界面全体消失,应用程序窗口仍在。
如果开机进入桌面后出现这种情况,说明Explorer.exe程序被修改了或在注册表此项被阻止启动了。这时先可试着从资源管理器运行explorer,不行的话从别人电脑里拷贝explorer.exe到Windows文件夹覆盖,同时还要进入这里查看Shell的默认值Explorer.exe有没有被篡改,后面有没有被加上“尾巴”即病毒附着在Explorer.exe上面的加载项。
(5)ExplorerAutoRun
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
ExplorerAutoRun
图中项为Windows某更新所产生的正常项,但注意这里也可以被病毒嵌入加载项。
(6)ShellServiceObjectDelayLoad
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
ShellSvcLoad
这些是“外壳服务”,例如CDBurn是鲜为人知的Window自带刻录功能,SysTray是系统托盘显示程序,这项没了开机后一些托盘图标就会消失。当然病毒加载项也可在这里滥竽充数。
(7)ShellExecuteHooks
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
ShellExeHook
这是“外壳挂钩程序”,图中正常项对应shell32.dll,包括系统图标、工具栏等界面元素。如果病毒在这里有眼线,它生前一定会随外壳运行,死后也会继续弹框出错。
(8)计划任务
这种情况比较特殊,是指用户自定义的计划任务,因找不到文件而弹出加载出错。典型例子就是“自定义桌面”里的“桌面清理向导”,如图:
计划任务——清理桌面
清理桌面任务是由system32目录下的fldrclnr.dll负责的,很多系统精简了这个文件,如果用户又不小心勾上了“每60天运行桌面清理向导”,60天后开机肯定会弹出“加载fldrclnr.dll出错”,这时无论你怎样折腾注册表,都是竹篮打水。
以上八家,围剿完毕,加载dll纷纷原形毕露,删之,就能彻底告别那当头一棒的“加载失败”框了!把这些常见位置加入Registry Workshop的收藏夹,以后就再也不怕它弹了!更多隐秘期待诸君自己积累。
这里谈的都是加载项,不是大家平时熟悉的启动项。即便是启动项,也有很多的注册表位置,远不止Msconfig那么简单。欲知详情,下回再见。