案例二、通过“比较”检验自己当前的自启动项是否有问题。

如果以前在机器正常时保存了AUTORUNS的日志，而当前感觉机器明显有问题，可以通过以下办法简单确认恶意软件可能添加的自启动项：

1、双击打开autoruns.exe，进入AUTORUNS窗口，依次点“文件”--“比较”；

图22

2、在弹出的对话框中选定前面保存的日志后，点“打开”；

图23

3、这时AUTORUNS将会对当前自启动项同打开日志的自启动项进行比较，对当前自启动项如果比老日志多或者少，整个列表的项目将以绿色突出显示！

图24

4、接下来，可以再保存一份新日志，与老日志比对，寻找有差异的自启动项。如果新日志比老日志启动项目多，则先确认多的启动项目是否是恶意自启动项，可以按照案例一第2到第6步的办法检测，如果确认多出的自启动项是不正常的，参照案例一第7-8步的办法清理。

案例三、利用“跳转到……”这个AUTORUNS和注册表编辑器快速链接方式，修复被病毒修改且不能删除自启动值项值。

我们知道HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit这个自启动项是不能删除的，否则系统无法登陆，其注册表值项值正常情况下“c: \windows\system32\userinit.exe ，”（注意逗号是必须有的！），当病毒或者恶意软件入侵后，可能造成该注册表值项值被改成“c:\windows\system32\ userinit.exe ，ABC.EXE”，这个多出的ABC.EXE就是病毒（流氓软件）插入的病毒随系统登陆自启动的病毒进程。在AUTORUNS中是不允许修改自启动项值的，怎么办？别着急，AUTORUNS已经想到这点啦，按照下面的办法就可以搞定了：

1、双击打开autoruns.exe，进入AUTORUNS窗口，；

2、“选项”--勾选“隐藏微软项目”--按菜单栏下常用工具栏的“刷新”按钮，排除不必要的正常自启动项目；

3、“文件”--“查找”--输入“c:\windows\system32\userinit.exe”--回车，让AUTORUNS自动查找包括“c:\windows\system32\userinit.exe”字段的自启动值项并定位；

图25

4、右键点击此自启动值项，选择“跳转到…………”，发现弹出注册表编辑器的窗口，表示AUTORUNS已经链接到注册表编辑器。在注册表编辑器中对应的注册表值项值中，发现病毒（流氓软件）已经入侵该自启动项目，并释放了一个ABC.EXE随userinit.exe一同自启动：

图26

5、用注册表编辑器修改[HKLM\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Winlogon\Userinit]这个值项的值，由被病毒修改后的“c:\windows\system32\ userinit.exe ，ABC.EXE”改为正常的“c:\windows\system32\userinit.exe，”（修改注册表值项值的操作这里就不罗嗦了）

图27

7、手工删除c:\windows\system32\ABC.EXE这个病毒进程文件，清除结束。

小知识：有些自启动值项值是不能删除的，除了以上说的[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit]的“c:\windows\system32\userinit.exe，” 外，还有以下几个常用的自启动子项也属于这种情况：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\appinit_dlls,其正常值项值一般为空（安装卡巴斯基杀软的除外）；

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\UIHost,其正常值项值应为“logonui.exe”。

总结：
1、总体来说autoruns是一款功能强大的软件，特别是对自启动项添加前后的比较功能，是其最大的亮点，对于那些机器突然从正常转为不正常的同志来说，将大大缩小了你的查找范围。

此外，按照登陆启动方式的不同分类表示，也便于使用者缩小范围，提高效率。当然， autoruns8.53的不足之处也是很明显的，主要是对不能删除的核心自启动项的保护不足，一旦误操作将造成严重后果，比如删除了[HKLM\ SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit]自启动项后，将直接造成开机反复注销帐户，连安全模式都进入不了，只能采取重装系统或用第三方软件（如ERD2003）来修复（这点上，瑞星卡卡貌似也差不多），因此，新手使用时请一定要慎重；还有，日志比较的功能不太人性化，当前自启动项和日志自启动项的差异不能准确定位，只能让使用者知道现在的自启动项与以前有变化，但不知道变化在哪里，还要通过再保存日志与老日志手工比较，有点麻烦；另外，随着SRENG等老牌系统扫描工具功能的加强，AUTORUNS的优势越来越不明显，最新版本AUTORUNS8.61还居然搞成了安装版…………。

不管怎么样，对于常在病毒身边走的我们，有一些好的系统扫描和检查工具是必要的，autoruns8.53虽然功能有一定局限性，但简单易学，也许能如你所愿。