我们需要检查的是，值项BootExecute存放的是否是默认的执行文件，是否还定义了其他的执行程序。

　　(3)注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Userinit

　　该值项类型为字符串值，定义了用户注册进入时执行的初始化程序。在用户注册时，注册管理程序(Winlogon)启动该初始化程序，默认值是 Userinit.exe。该程序首先运行注册脚本，建立网络连接，然后启动用户界面程序(Explorer.exe)。用户可以替换该初始化程序为自己的初始化程序(当然，病毒也可以做到)。一般地，用户自己的初始化程序可以在处理完自己需要进行的工作后，再调用Userinit.exe程序即可。

　　我们需要检查的是，Userinit值项的值是否是Userinit.exe。同时检查\Winnt\System32下的Userinit.exe文件的大小和时间是否是正常的。

　　(4)注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\Shell

　　该值项类型为字符串值，定义了用户界面程序，默认值为Explorer.exe。正常情况下，注册管理程序(Winlogon)启动 Userinit定义的初始化程序，该初始化程序会启动用户界面程序，因此不需要运行Shell值项定义的程序。如果注册管理程序没有能成功启动 Userinit定义的初始化程序，则注册管理程序会过来启动该Shell值项定义的用户界面程序。

　　我们需要检查的是， Shell值项的值是否是Explorer.exe。

　　(5)注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Current Version\Winlogon\System(适用于Windows NT)

　　该值项类型为字符串值，该值项中存放了安全管理器程序，默认值为Lsass.exe。安全管理器就是Windows NT启动时，或者屏幕保护后，要求输入用户和密码的画面。用户可以替换该安全管理器程序。

　　我们需要检查的是System值项的值是否是Lsass.exe。

　　(6)注册表项HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\ CurrentVersion\Policies\Explorer\Run

　　在该项下可以有若干个字符串类型的值项，每个值项的名称从1开始，值为程序或者文档的名称。在用户注册进入Windows时，该项下定义的程序将被启动起来。例如该项下有两个值项，第一个是1，值为Notepad.exe，第二个是2，值为C:\readme.doc，则在用户注册进入 Windows 2000时，系统会首先运行起Notepad.exe程序，然后会使用DOC的关联程序打开C:\readme.doc文档。

　　我们需要检查的是，如果定义了自动启动程序，则查找该程序是哪个软件对应的，是否为可疑程序。默认情况下，该注册表项下应该为空。

　　(7)注册表项HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Policies\Explorer\Run

　　该项与HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Policies\Explorer\Run的作用一样，不同之处在于，由于它位于HKEY_LOCAL_MACHINE下，所以它将应用于所有的用户。在启动顺序上，系统首先启动HKEY_LOCAL_MACHINE下的Run中的程序，再去启动HKEY_CURRENT_USER下Run中的程序。