5． HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\

6． HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\

7． HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup\

8． HKEY_USERS\．Default\Software\Microsoft\Windows\CurrentVersion\Run\

9． HKEY_USERS\．Default\Software\Microsoft\Windows\CurrentVersion\RunOnce\

10． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

11． HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components\

12． HKEY_LOCAL_MACHINE\System\CurrentControlSet\Servic es\VxD\

13． HKEY_CURRENT_USER\Control Panel\Desktop

14． HKEY_LOCAL_MACHINE\System\CurrentControlSet\Contro l\Session Manager

15． HKEY_CLASSES_ROOT\vbsfile\shell\open\command\

16． HKEY_CLASSES_ROOT\vbefile\shell\open\command\

17． HKEY_CLASSES_ROOT\jsfile\shell\open\command\

18． HKEY_CLASSES_ROOT\jsefile\shell\open\command\

19． HKEY_CLASSES_ROOT\wshfile\shell\open\command\

20． HKEY_CLASSES_ROOT\wsffile\shell\open\command\

21． HKEY_CLASSES_ROOT\exefile\shell\open\command\

22． HKEY_CLASSES_ROOT\comfile\shell\open\command\

23． HKEY_CLASSES_ROOT\batfile\shell\open\command\

24． HKEY_CLASSES_ROOT\scrfile\shell\open\command\

25． HKEY_CLASSES_ROOT\piffile\shell\open\command\

26． HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\

27． HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog\Catalog_En tries\

28． HKEY_LOCAL_MACHINE\System\Control\WOW\cmdline

29． HKEY_LOCAL_MACHINE\System\Control\WOW\wowcmdline

30． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

31． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\ShellServiceObjectDelayLoad\

32． HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\run

33． HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\load

34． HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\run\

35． HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\Policies\Explorer\run\

（注释，凡是木马，必须要启动，所以这些简单的启动项目还是应该好好看一下的。）

3．检查服务，最简单的吧，服务列表太长，我估计你也不一定能全部记住。说一个简单的，运行msconfig，服务，把“隐藏所有的microsoft服务”选中，然后就看到了不是系统自带的服务，要看清楚啊，最后在服务里面找找看看属性，看看关联的文件。现在一般杀毒都要添加服务，我其实讨厌杀毒添加服务，不过好像是为了反病毒。

4．进程，这个网上资料更多，只说明两点，1．打开任务管理器，在“查看”，“选项列”中把“pid”选中，这样可以看到pid，所谓pid简单理解为就是进程的身份证，这样便于很多相关的处理。2．点一个进程的时候右键有一个选项，“打开所在目录”，这个很明显的，但是很多哥们都忽略了，这个可以看到进程文件所在的文件夹，便于诊断。

5．cmd下会使用，netstat –ano命令，觉得这一个命令对于简单的使用就可以了，可以查看协议端口连接和远程ip．

6．删除注册表｛F935DC22-1CF0-11D0-ADB9-00C04FD58A0B｝

{0D43FE01-F093-11CF-8940-00A0C9054228}

两个项目，搜索到以后你会看到是两个和脚本相关的，备份以后删除，主要是防止一下网上的恶意代码