注册表如何判断电脑中毒

‘壹’ 怎样才能知道自己的电脑是否中毒

工具/原料

联网电脑一台
方法/步骤

1、基于我上边说的中毒后的一些表象，我打开任务管理器（同时按下Ctrl+Shift+Delete）

2、这一页是我的机器正在运行的应用程序，看看是否有错？oK,没有错误，

3、点击进程，看看是否有陌生的进程运行（当然，这个对一般人有些难，需要经验才能够注意得到），并把它记下来，适当的时候可以结束这个进程

4、进入性能选项，查看CPU的使用情况，如果运行的程序很少，而CPU的使用情况非常高，那你中毒的几率就很高了！

5、再看联网情况，是否正常，有没有偷偷下载或上传的情况发生，在这里都可以看到

6、当然这些也可以在任务管理器的最下端看到

7、查看任务管理器是否异常只需要几秒钟，方向找到了，我们然后就可以依据你的判断就行有针对行的杀毒操作了——该启动杀毒软件就启动杀毒软件；该删除注册表的就删除注册表。

‘贰’ 怎么查看注册表有异常注册表的变化能 说明机子染病毒怎么判断啊

你好，病毒若是篡改注册表，一般容易篡改注册表的启动项，这样它们就能达到自己自我启动的目的。主要是集中在注册表的HKEY_LOCAL_、RunService、RunOnce以及HKEY_CURRENT_、RunOnce、RunServices等项的右侧窗口中出现可疑的启动键值，还有HKEY_LOCAL_ NTCurrentVersionImage File Execution Options也是病毒喜欢篡改的地方，它们会在其下创建与杀毒软件进程名称相同的子项，然后在创建一个Debugger键值，指向自己的病毒文件名，这样既可以实现自我启动，又让杀毒软件无法运行，一举两得。还有可能会在HKEY_LOCAL_CurrentVersionExplorerShellExecuteHooks创建相应的CLSID，并指向病毒的文件名，这也是Windows的启动项。还有如果说你使用的是XP，那么在注册表HKEY_LOCAL_MACHINEMicrosoftWindows NTCurrentVersionWindows右侧窗口中AppInit_DLL键值不再是默认的空白内容，而是出现了数值，那么也往往是代表着中毒。在HKEY_LOCAL_ NTCurrentVersionWinlogon右面窗口中如果发现Shell键值不再是默认Explorer，而是后面带有其它文件名，或者是Userinit键值不再是默认的“C:WindowsSystem32userinit.exe,”（注意，userinit.exe后有个半角的逗号）后面跟有可疑文件名，那么也往往代表着中毒了。

另外它也可以创建成为一个服务，这是存在于HKEY_LOCAL_项下，但这个地方要找出哪个是病毒的服务项可真如大海捞针了，下面的子项实在太多了，而且不能随意删除，删除失误的话，你的电脑系统就可能瘫痪并且无法成功启动了。

但病毒的启动可不仅仅依靠注册表，只是注册表是它们喜欢改写的地方罢了，它还可以通过驱动程序的形式进行加载，或者是将自己的模块插入到重要系统文件，如Explorer.exe中，实现自我启动。

不过你不觉得上面的检查很累？这需要你能够分辨哪些是可疑文件名或可疑启动项目，而且很多时候病毒并不会让你轻松注册表中的启动项，你若未清除病毒文件，它能够让你这边刚删除启动项，一刷新你会很郁闷地发现这个启动项又回来了。这事何不交给杀毒软件去判断，去处理？像腾讯电脑管家这样的杀毒软件，在其“杀毒”选项中点击闪电查杀之后，就会对系统关键位置，包括注册表中的启动项目，及驱动项、系统文件等进行检测，并且会列出可疑项目，你只需点击立即修复即可。若是你点击全盘查杀，不仅包括系统关键位置，连着硬盘上病毒文件可逃不了电脑管家的火眼金睛，因为电脑管家不仅拥有4+1核心杀毒引擎，还运用有CPU虚拟执行技术，能够发现可疑文件及注册表等地方的可疑项目，并能够对其进行修复和清除。

如果你还有其它电脑问题，欢迎你在电脑管家企业平台提出，我们将尽力为你解答。

‘叁’ 怎么才能看出来电脑是中毒了呢

一般电脑中毒有如下症状,可以对照一下,看看有没有,希望对你有所帮助:
1.平时运行好端端的电脑，却变得迟钝起来，反应缓慢，出现蓝屏甚至死机。
2.程序载入的时间变长。有些病毒能控制程序或系统的启动程序，当系统刚开始启动或是一个应用程序被载入时，这些病毒将执行它们的动作，因此要花更多的时间来载入程序。
3.可执行程序文件的大小改变了。正常情况下，这些程序应该维持固定的大小，但有些病毒会增加程序文件的大小。
4.对同样一个简单的工作，磁盘却花了要长得多的时间才能完成。例如，原本储存一页的文字只需一秒，但感染病毒可能会花更多的时间来寻找未感染的文件。
5.没有存取磁盘，但磁盘指示灯却一直在亮。硬盘的指示灯无缘无故一直在亮着，意味着电脑可能受到病毒感染了。
6.开机后出现陌生的声音、画面或提示信息，以及不寻常的错误信息或乱码。尤其是当这种信息频繁出现时，表明你的系统可能已经中毒了
。
7.系统内存或硬盘的容量突然大幅减少。有些病毒会消耗可观的内存或硬盘容量，曾经执行过的程序，再次执行时，突然告诉你没有足够的内存可以利用，或者硬盘空间意外变小。
8.文件名称、扩展名、日期、属性等被更改过。
9.文件的内容改变或被加上一些奇怪的资料。
10.文件离奇消失。

‘肆’ 除了用杀毒等软件，有没有可以简单判断电脑是否中毒（木马）的方法

首先，查看system.ini、win.ini、启动组中的启动项目。由“开始->运行”，输入msconfig，运行Windows自带的“系统
配置实用程序
”。
1、查看system.
ini文件
选中“System.ini”标签，展开[boot]目录，查看“shell=”这行，正常为“shell=Explorer.exe”
，
如果不是这样
，就可能中了木马了。下图所示为正常时的情况：
2、查看win.ini文件
选中win.ini标签，展开[windows]目录项，查看“run=”和“load=”行，等号后面正常应该为空
3、查看启动组
再看看启动标签中的启动项目，有没有什么非正常项目？要是有象netbus、netspy、bo等关键词，
极有可能就是木马了。本人一般都将启动组中的项目保持在比较精简的状态，不需要或无大用途的项目都
屏蔽掉了
4、查看注册表
由“开始-运行”，输入regedit，确定就可以运行
注册表编辑器
。再展开至：
“HKEY-LOCAL-”目录下，查看键值中有没有自己
不熟悉的自动启动文件项目，比如netbus、netspy、netserver等的单词。注意，有的
木马程序
生成的
服务器程序
文件很像系统自身的文件，想由此伪装
蒙混
过关。比如Acid
Battery木马，它会在
注册表项
“HKEY-LOCAL-”下加入
Explorer=“CWINDOWSexpiorer.exe”，木马服务器程序与系统自身的真正的Explorer之间只有一个字母
的差别！

‘伍’ 怎么查看电脑是不是中病毒了

怎么查看电脑是不是中病毒了？方法如下：

1、首先你的电脑会突然变的很卡顿，鼠标自己会动或者会卡顿，在任务管理器中发现很多不熟悉的软件和不明的进程。

‘陆’ 如何查看自已的电脑是否中毒

一、中毒的一些表现

其实电脑中毒跟人生病一样，总会有一些明显的症状表现出来。例如机器运行十分缓慢、上不了网、杀毒软件生不了级、word文档打不开，电脑不能正常启动、硬盘分区找不到了、数据丢失等等，就是中毒的一些征兆。

二、中毒诊断

1、按Ctrl+Shift+Ese键(同时按此三键)，调出windows任务管理器查看系统运行的进程，找出不熟悉进程并记下其名称(这需要经验)，如果这些进程是病毒的话，以便于后面的清除。暂时不要结束这些进程，因为有的病毒或非法的进程可能在此没法结束。点击性能查看CPU和内存的当前状态，如果CPU的利用率接近100%或内存的占用值居高不下，此时电脑中毒的可能性是95%。

2、查看windows当前启动的服务项，由“控制面板”的“管理工具”里打开“服务”。看右栏状态为“启动”启动类别为“自动”项的行;一般而言，正常的windows服务，基本上是有描述内容的(少数被骇客或蠕虫病毒伪造的除外)，此时双击打开认为有问题的服务项查看其属性里的可执行文件的路径和名称，假如其名称和路径为C:\winnt\system32\explored.exe，计算机中招。有一种情况是“控制面板”打不开或者是所有里面的图标跑到左边，中间有一纵向的滚动条，而右边为空白，再双击添加/删除程序或管理工具，窗体内是空的，这是病毒文件winhlpp32.exe发作的特性。

3、运行注册表编辑器，命令为regedit或regedt32,查看都有那些程序与windows一起启动。主要看Hkey_Local_Machine\Software\MicroSoft\Windows\CurrentVersion\Run和后面几个RunOnce等，查看窗体右侧的项值，看是否有非法的启动项。WindowsXp运行msconfig也起相同的作用。随着经验的积累，你可以轻易的判断病毒的启动项。

4、用浏览器上网判断。前一阵发作的Gaobot病毒，可以上yahoo.com,sony.com等网站，但是不能访问诸如www.symantec.com,www.ca.com这样着名的安全厂商的网站，安装了symantecNorton2004的杀毒软件不能上网升级。

‘柒’ 怎么看出电脑是否中毒了呢

一、木马（Trojan Horse）介绍

木马全称为特洛伊木马（Trojan Horse，英文则简称为Trojan）。此词语来源于古希腊的神话故事，传说希腊人围攻特洛伊城，久久不能得手。后来想出了一个木马计，让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城下，让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来，与城外的部队里应外合而攻下了特洛伊城。

在计算机安全学中，特洛伊木马是指一种计算机程序，表面上或实际上有某种有用的功能，而含有隐藏的可以控制用户计算机系统、危害系统安全的功能，可能造成用户资料的泄漏、破坏或整个系统的崩溃。在一定程度上，木马也可以称为是计算机病毒。

由于很多用户对计算机安全问题了解不多，所以并不知道自己的计算机是否中了木马或者如何删除木马。虽然现在市面上有很多新版杀毒软件都称可以自动清除木马病毒，但它们并不能防范新出现的木马病毒（哪怕宣传上称有查杀未知病毒的功能）。而且实际的使用效果也并不理想。比如用某些杀毒软件卸载木马后，系统不能正常工作，或根本发现不了经过特殊处理的木马程序。本人就测试过一些经编程人员改装过的着名木马程序，新的查杀毒软件是连检查都检测不到，更不用说要删除它了（哪怕是使用的是的病毒库）。因此最关键的还是要知道特洛伊木马的工作原理，由其原理着手自己来检测木马和删除木马。用手工的方法极易发现系统中藏匿的特洛伊木马，再根据其藏匿的方式对其进行删除。
二、木马工作的原理

在Windows系统中，木马一般作为一个网络服务程序在种了木马的机器后台运行，监听本机一些特定端口，这个端口号多数比较大（5000以上，但也有部分是5000以下的）。当该木马相应的客户端程序在此端口上请求连接时，它会与客户程序建立一TCP连接，从而被客户端远程控制。

既然是木马，当然不会那么容易让你看出破绽，对于程序设计人员来说，要隐藏自己所设计的窗口程序，主要途径有：在任务栏中将窗口隐藏，这个只要把 Form的Visible属性调整为False，ShowInTaskBar也设为False。那么程序运行时就不会出现在任务栏中了。如果要在任务管理器中隐身，只要将程序调整为系统服务程序就可以了。

好了，现在我们对木马的运行有了大体了解。让我们从其运行原理着手来看看它藏在哪。既然要作为后台的网络服务器运行，那么它就要乘计算机刚开机的时候得到运行，进而常驻内存中。想一想，Windows系统刚启动的时候会通过什么项目装入而运行一些程序呢？你可能会想到“开始->程序->启动”中的项目！没错，这是Windows启动时要运行的东西，但要是木马服务器程序明显地放在这就不叫木马了。

木马基本上采用了Windows系统启动时自动加载应用程序的方法，包括有win.ini、system.ini和注册表等。

在win.ini文件中，[WINDOWS]下面，“run=”和“load=”行是Windows启动时要自动加载运行的程序项目，木马可能会在这现出原形。必须要仔细观察它们，一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的或以前没有见到过的启动文件项目，那么你的计算机就可能中上木马了。当然你也得看清楚，因为好多木马还通过其容易混淆的文件名来愚弄用户。如AOL Trojan，它把自身伪装成command.exe文件，如果不注意可能不会发现它，而误认它为正常的系统启动文件项。

在system.ini文件中，[BOOT]下面有个“shell=Explorer.exe”项。正确的表述方法就是这样。如果等号后面不仅仅是 explorer.exe，而是“shell=Explorer.exe 程序名”，那么后面跟着的那个程序就是木马程序，明摆着你已经中了木马。现在有些木马还将explorer.exe文件与其进行绑定成为一个文件，这样的话，这里看起来还是正常的，无法瞧出破绽。

隐蔽性强的木马都在注册表中作文章，因为注册表本身就非常庞大、众多的启动项目及易掩人耳目。
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

上面这些主键下面的启动项目都可以成为木马的容身之处。如果是Windows NT，那还得注意HKEY-LOCAL-MACHINE\Software\SAM下的东西，通过regedit等注册表编辑工具查看SAM主键，里面下应该是空的。

木马驻留计算机以后，还得要有客户端程序来控制才可以进行相应的“黑箱”操作。要客户端要与木马服务器端进行通信就必须得建立一连接（一般为TCP连接），通过相应的程序或工具都可以检测到这些非法网络连接的存在。具体如何检测，在第三部分有详细介绍。

三、检测木马的存在

知道木马启动运行、工作的原理，我们就可以着手来看看自己的计算机有没有木马存在了。

首先，查看system.ini、win.ini、启动组中的启动项目。由“开始->运行”，输入msconfig，运行Windows自带的“系统配置实用程序”。

1、查看system.ini文件

选中“System.ini”标签，展开[boot]目录，查看“shell=”这行，正常为“shell=Explorer.exe”
，如果不是这样，就可能中了木马了。下图所示为正常时的情况：

2、查看win.ini文件

选中win.ini标签，展开[windows]目录项，查看“run=”和“load=”行，等号后面正常应该为空
3、查看启动组

再看看启动标签中的启动项目，有没有什么非正常项目？要是有象netbus、netspy、bo等关键词，
极有可能就是木马了。本人一般都将启动组中的项目保持在比较精简的状态，不需要或无大用途的项目都
屏蔽掉了
4、查看注册表

由“开始-运行”，输入regedit，确定就可以运行注册表编辑器。再展开至：
“HKEY-LOCAL-”目录下，查看键值中有没有自己
不熟悉的自动启动文件项目，比如netbus、netspy、netserver等的单词。注意，有的木马程序生成的
服务器程序文件很像系统自身的文件，想由此伪装蒙混过关。比如Acid Battery木马，它会在注册表项
“HKEY-LOCAL-”下加入
Explorer=“CWINDOWSexpiorer.exe”，木马服务器程序与系统自身的真正的Explorer之间只有一个字母
的差别！
通过类似的方法对下列各个主键下面的键值进行检查：
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

如果操作系统是Windows NT，还得注意HKEY-LOCAL-MACHINE\Software\SAM下面的内容，如果有项目，那极有可能就是木马了。正常情况下，该主键下面是空的。

当然在注册表中还有很多地方都可以隐藏木马程序，上面这些主键是木马比较常用的隐身之处。除此之外，象HKEY-CURRENT-USER\ Software\Microsoft\Windows\CurrentVersion\Run、HKEY-USERS\****\Software\ Microsoft\Windows\CurrentVersion\Run的目录下都有可能成为木马的藏身之处。最好的办法就是在HKEY-LOCAL -MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或其它主键下面找到木马程序的文件名，再通过其文件名对整个注册表进行全面搜索就知道它有几个藏身的地方了。

如果有留意，注册表各个主键下都会有个叫“（默认）”名称的注册项，而且数据显示为“（未设置键值）”，也就是空的。这是正常现象。如果发现这个默认项被替换了，那么替换它的就是木马了。

4、其它方法

上网过程中，在进行一些计算机正常使用操作时，发现计算机速度明显起了变化、硬盘在不停的读写、鼠标不听使唤、键盘无效、自己的一些窗口在未得到自己允许的情况下被关闭、新的窗口被莫名其妙地打开.....这一切的不正常现象都可以怀疑是木马客户端在远程控制你的计算机。

如果怀疑你现在正在被木马控制，那么不要慌张地去拔了网线或抽了Modem上的电话线。有可能的话，最好可以逮到“黑”你的那个家伙。下面就介绍一下相应的方法：

由“开始->运行”，输入command，确定，开一个MS-DOS窗口。或者由“开始->程序->MS-DOS”来打开它。在MS-DOS窗口的命令行键入“netstat”查看目前已与本计算机建立的连接。如下图所示：
显示出来的结果表示为四列，其意思分别为Proto：协议，Local Address：本地地址，Foreign Address
：远程地址，State：状态。在地址栏中冒号的后面就是端口号。如果发现端口号码异常（比如大于5000
），而Foreign Address中的地址又不为正常网络浏览的地址，那么可以判断你的机器正被
Foreign Address中表示的远程计算机所窥视着。在对应行的Foreign Address中显示的IP地址就是目前非
法连接你计算机的木马客户端。

当网络处于非活动状态，也就是目前没什么活动网络连接时，在MS-DOS窗口中用netstat命令将看不
到什么东西。此时可以使用“netstat -a”,加了常数“-a”表示显示计算机中目前处于监听状态的端口
。对于Windows98来说，正常情况下，会出现如下的一些处于监听状态的端口（安装有NETBEUI协议）：
如果出现有不明端口处于监听（LISTENING）状态，而目前又没有进行任何网络服务操作，那么在监听该
端口的就是特洛伊木马了！如下图所示的23456和23457端口都处于监听状态，很明显是木马造成的。
注意，使用此方法查询处于监听状态的端口，一定要保证在短时间内（最好5分钟以上）没有运行任何
网络冲浪软件，也没有进行过任何网络操作，比如浏览网页，收、发信等。不然容易混淆对结果的判断。

四、删除木马

好了，用上面的一些方法发现自己的计算机中了木马，那怎么办？当然要将木马删除了，难道还要保留它！首先要将网络断开，以排除来自网络的影响，再选择相应的方法来删除它。

1、由木马的客户端程序

由先前在win.ini、system.ini和注册表中查找到的可疑文件名判断木马的名字和版本。比如“netbus”、“netspy”等，很显然对应的木马就是NETBUS和NETSPY。从网上找到其相应的客户端程序，下载并运行该程序，在客户程序对应位置填入本地计算机地址： 127.0.0.1和端口号，就可以与木马程序建立连接。再由客户端的卸除木马服务器的功能来卸除木马。端口号可由“netstat -a”命令查出来。

这是最容易，相对来说也比较彻底载除木马的方法。不过也存在一些弊端，如果木马文件名给另外改了名字，就无法通过这些特征来判断到底是什么木马。如果木马被设置了密码，既使客户端程序可以连接的上，没有密码也登陆不进本地计算机。当然要是你知道该木马的通用密码，那就另当别论了。还有，要是该木马的客户端程序没有提供卸载木马的功能，那么该方法就没什么用了。当然，现在多数木马客户端程序都是有这个功能的。

2、手工

不知道中的是什么木马、无登陆的密码、找不到其相应的客户端程序、......，那我们就手工慢慢来删除这该死的木马吧。

用msconfig打开系统配置实用程序，对win.ini、system.ini和启动项目进行编辑。屏蔽掉非法启动项。如在win.ini文件中，将将[WINDOWS]下面的“run=xxx”或“load=xxx”更改为“run=”和“load=”；编辑system.ini文件，将 [BOOT]下面的“shell=xxx”，更改为：“shell=Explorer.exe”。

用regedit打开注册表编辑器，对注册表进行编辑。先由上面的方法找到木马的程序名，再在整个注册表中搜索，并删除所有木马项目。由查找到的木马程序注册项，分析木马文件在硬盘中的位置（多在C:\WINDOWS和C:\WINDOWS\COMMAND目录下）。启动到纯MS-DOS状态（而不是在Windows环境中开个MS-DOS窗口），用del命令将木马文件删除。如果木马文件是系统、隐藏或只读文件，还得通过“attrib -s -h -r”将对应文件的属性改变，才可以删除。

为保险起见，重新启动以后再由上面各种检测木马的方法对系统进行检查，以确保木马的确被删除了。

目前也有一些木马是将自身的程序与Windows的系统程序进行了绑定（也就是感染了系统文件）。比如常用到的Explorer.exe，只要 Explorer.exe一得到运行，木马也就启动了。这种木马可以感染可执行文件，那就更象病毒了。由手工删除文件的方法处理木马后，一运行 Explorer.exe，木马又得以复生！这时要删除木马就得连Explorer.exe文件也给删除掉，再从别人相同操作系统版本的计算机中将该文件 Copy过来就可以了。

五、结束语

Internet上每天都有新的木马冒出来，所采取的隐蔽措施也是五花八门。在信息社会里，计算机用户对自己的资料进行保密、防止泄漏也变得越来越重要。防范木马袭击也只是提高计算机安全性的一个方面。技术的发展，本文所讲述的检测、删除木马方法也总有一天会失效，最主要还是要靠用户提高警惕，防范所有的不安全事件于未然。

典型案例一：
我的机器已中了木马病毒Trojan.TRC.mIRC.f
是在c:\WINNT\system32\sy5tem文件中，我想要把文件删掉，可是提示为：源文件正在被使用，瑞星杀毒软件又不能杀掉，我的系统是win2oooprofessinal,并不能运行msconfig命令，请教：该怎么办？
回复：
从Windows XP中剥离的Msconfig程序完全可以在Windows 2000中使用。顺便提供 pchome下载点。

把它COPY 到Win2000的WinntSystem目录下，然后直接运行。

程序首先会弹出一个出错的消息框，提示找不到以下几个系统文件：Config.sys、Autoexec.bat、System.ini 及Win.ini，“忽略”它，点击“确定”之后就会看到 Msconfig 程序窗口。 呵呵 我也是网上看到的

‘捌’ 如何判断电脑是否中毒呢

判断电脑是否中毒可使用电脑上的腾讯电脑管家应用程序。

具体操作步骤如下：

1、首先在电脑上点击打开“腾讯电脑管家”应用程序，接着在此页面中点击左侧的“病毒查杀”功能选项。

‘玖’ 怎样判断电脑是否中毒

1、检测网络连接

如果怀疑自己的计算机中了病毒，可以使用Windows自带的网络命令来查看谁连接了你的计算机。以管理员身份打开命令提示符，在窗口中输入netstat -an回车，可以看到所有和本地计算机建立连接的IP。通过查看这些信息，可以完全监控计算机上的连接，达到控制计算机的目的。
2、禁止不明服务

电脑突然运行慢了，无论如何优化都无法解决，且使用杀毒软件也检查不出问题，这很可能是他人通过入侵你的计算机后给你开放了特别的某种服务，且杀毒软件也无法查出来。打开任务管理器，查看是否有类似病毒的服务开启了。如存在可疑的，右击选择停止服务。
3、查看是否有不明的启动项

如果你的电脑中有一些不明的启动项，很有可能是电脑中病毒了。按Win+R键打开运行窗口，输入regedit，回车进入注册表编辑器，进入以下两个目录找到run文件，查看是否有隐藏木马的键值，如有立即删除掉。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run；HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

‘拾’ 怎么检查电脑是否有病毒

一、进程
首先排查的就是进程了，方法简单，开机后，什么都不要启动！
第一步：直接打开任务管理器，查看有没有可疑的进程，不认识的进程可以Google或者网络一下。
PS：如果任务管理器打开后一闪就消失了，可以判定已经中毒；如果提示已经被管理员禁用，则要引起警惕！
第二步：打开冰刃等软件，先查看有没有隐藏进程（冰刃中以红色标出），然后查看系统进程的路径是否正确。
PS：如果冰刃无法正常使用，可以判定已经中毒；如果有红色的进程，基本可以判断已经中毒；如果有不在正常目录的正常系统进程名的进程，也可以判断已经中毒。
第三步：如果进程全部正常，则利用Wsyscheck等工具，查看是否有可疑的线程注入到正常进程中。
PS：Wsyscheck会用不同颜色来标注被注入的进程和正常进程，如果有进程被注入，不要着急，先确定注入的模块是不是病毒，因为有的杀软也会注入进程。
二、自启动项目
进程排查完毕，如果没有发现异常，则开始排查启动项。
第一步：用msconfig察看是否有可疑的服务，开始，运行，输入“msconfig”，确定，切换到服务选项卡，勾选“隐藏所有Microsoft服务”复选框，然后逐一确认剩下的服务是否正常（可以凭经验识别，也可以利用搜索引擎）。
PS：如果发现异常，可以判定已经中毒；如果msconfig无法启动，或者启动后自动关闭，也可以判定已经中毒。
第二步：用msconfig察看是否有可疑的自启动项，切换到“启动”选项卡，逐一排查就可以了。
第三步，用Autoruns等，查看更详细的启动项信息（包括服务、驱动和自启动项、IEBHO等信息）。
PS：这个需要有一定的经验。
三、网络连接
ADSL用户，在这个时候可以进行虚拟拨号，连接到Internet了。
然后直接用冰刃的网络连接查看，是否有可疑的连接，，对应的进程和端口等信息可以到Google或网络查询。
如果发现异常，不要着急，关掉系统中可能使用网络的程序（如迅雷等下载软件、杀毒软件的自动更新程序、IE浏览器等），再次查看网络连接信息。
四、安全模式
重启，直接进入安全模式，如果无法进入，并且出现蓝屏等现象，则应该引起警惕，可能是病毒入侵的后遗症，也可能病毒还没有清除！
五、映像劫持
打开注册表编辑器，定位到HKEY_LOCAL_，查看有没有可疑的映像劫持项目，如果发现可疑项，很可能已经中毒。
六、CPU时间
如果开机以后，系统运行缓慢，还可以用CPU时间做参考，找到可疑进程，方法如下：
打开任务管理器，切换到进程选项卡，在菜单中点“查看”，“选择列”，勾选“CPU时间”，然后确定，单击CPU时间的标题，进行排序，寻找除了SystemIdleProcess和SYSTEM以外，CPU时间较大的进程，这个进程需要一起一定的警惕。
目前这些办法足以应付常见的病毒和木马了