二、清剿擅自添加的启动项

    无论是IE恶意程序、木马还是其它有害的东东，进驻电脑后都喜欢自动添加在系统启动项中，以使自身能够长久地“存活”。因此，我们将着力清除这些“自作主张”入驻的启动项。

    藏身之处1：“启动”菜单项

    运行“开始”→“程序”→“启动”菜单，查看其中是否有擅自添加的项目，若有直接将其删除即可。但目前来说，从这里揪出恶意程序的情况已不多见了。因为“开始”菜单是用户用得最多的地方，只要一看到启动项中多出了一个莫名其妙的程序项，当然就会警惕起来。

    藏身之处2：Autorun.inf文件

    Windows系统载入后会自动查找每个磁盘根目录下的Autorun.inf文件，然后安装其中的内容运行相关的程序。因此，有些木马及恶意程序会将此已制作好的此文件复制到任意驱动器的根目录下。
其检测方法为：搜索所有驱动器根目录中的Autorun.inf文件，查看：

    [Autorun]
    open=xxxx.exe（此文件如果是非正常安装的程序，就将其删除）

    藏身之处3：win.ini文件

    在系统盘的windows目录下，查找并打开“win.ini”文件，其中[windows]下[load＝]和[run=]为启动程序内容。例如：

    [windows]
    load=c:\windows\xxxx.exe

    藏身之处4：system.ini文件

    在系统盘的windows目录下，查找并打开“system.ini”文件查看：

    [boot]
    shell=Explorer.exe

    这种即为正常的桌面程序，如果显示为：

    [boot]
    shell=Explorer.exe c:\windows\xxxx.exe

    则后面的那个程序很有可能为恶意程序。

    藏身之处5：注册表启动项中

    在注册表中添加键值自动运行恶意程序，是应用得最多，也是最为有效的一种方式。大家着重查看以下注册表项：

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce

    在以上的任意注册表项中，如果看到非正确添加的启动项，即可将其删除，但建议事先备份修改的注册表分支，若删除后出现问题也便于修复。

    藏身之处6：Windows服务

    有些恶意程序激活后，会作为系统服务而自动运行。我们查看“控制面板”→“管理工具”→“服务”，此后在显示界面中查看状态为已启动的服务，如果其中有未知的可疑服务，则在“属性”中查看该可执行文件的路径，若是不明程序则停止其运行。

检测系统启动项推荐工具软件：

    1.Absolute StartUp 4.1.0.3 
 
    软件大小：2310KB
    软件语言：英文
    软件类别：系统软件/系统维护
    软件评级：★★★★ 
    运行环境：Win9x/Me/NT/2000/XP

    点击下载>>>

    该软件能够清楚的列出所有随Windows开机启动的程序，包括隐藏在登录档中的的启动项目。它能够帮你监视、新增、删除、禁用以及监控Windows启动项目，还具有自动启动排程功能。

    2.RunViewer 2.00 
 
    软件大小：420KB
    软件语言：英文
    软件类别：系统软件/系统维护
    软件评级：★★★★
    运行环境：Win9x/Me/NT/2000/XP

    点击下载>>>

    RunViewer除了可以查看和删除跟随系统或浏览器一同启动的程序，还能够自动删除间谍程序。

    以上为大家详细介绍了IE被恶意修改后的几种对策，大家赶快试试吧！