加载*dll出错，系统找不到指定的模块(2)

　（4）LogonShell

　　HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Winlogon_Shell

　　Shell外壳指的是可视化的用户资源管理界面，默认值Explorer.exe，即显示资源管理器、“我的电脑”、文件夹、桌面、开始菜单、任务栏、托盘的程序。当我们从任务管理器结束Explorer.exe，可看到桌面只剩一张壁纸，文件夹界面全体消失，应用程序窗口仍在。

　　如果开机进入桌面后出现这种情况，说明Explorer.exe程序被修改了或在注册表此项被阻止启动了。这时先可试着从资源管理器运行explorer，不行的话从别人电脑里拷贝explorer.exe到Windows文件夹覆盖，同时还要进入这里查看Shell的默认值Explorer.exe有没有被篡改，后面有没有被加上“尾巴”即病毒附着在Explorer.exe上面的加载项。

　　（5）ExplorerAutoRun

　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

ExplorerAutoRun

　　图中项为Windows某更新所产生的正常项，但注意这里也可以被病毒嵌入加载项。

　　（6）ShellServiceObjectDelayLoad

　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

ShellSvcLoad

　　这些是“外壳服务”，例如CDBurn是鲜为人知的Window自带刻录功能，SysTray是系统托盘显示程序，这项没了开机后一些托盘图标就会消失。当然病毒加载项也可在这里滥竽充数。

　　（7）ShellExecuteHooks

　　HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks

ShellExeHook

　　这是“外壳挂钩程序”，图中正常项对应shell32.dll，包括系统图标、工具栏等界面元素。如果病毒在这里有眼线，它生前一定会随外壳运行，死后也会继续弹框出错。

　　（8）计划任务

　　这种情况比较特殊，是指用户自定义的计划任务，因找不到文件而弹出加载出错。典型例子就是“自定义桌面”里的“桌面清理向导”，如图：

计划任务——清理桌面

　　清理桌面任务是由system32目录下的fldrclnr.dll负责的，很多系统精简了这个文件，如果用户又不小心勾上了“每60天运行桌面清理向导”，60天后开机肯定会弹出“加载fldrclnr.dll出错”，这时无论你怎样折腾注册表，都是竹篮打水。

　　以上八家，围剿完毕，加载dll纷纷原形毕露，删之，就能彻底告别那当头一棒的“加载失败”框了！把这些常见位置加入Registry Workshop的收藏夹，以后就再也不怕它弹了！更多隐秘期待诸君自己积累。

　　这里谈的都是加载项，不是大家平时熟悉的启动项。即便是启动项，也有很多的注册表位置，远不止Msconfig那么简单。欲知详情，下回再见。