hijackthis：处理浏览器劫持者和间谍软件的捣乱

在run =或load =之后列出的任何程序将在Windows启动时加载。这个run =语句在Windows 3.1,95和98年期间被使用，并且与旧程序保持向后兼容。大多数现代程序不使用此ini设置，如果您不使用旧程序，则可以正确地怀疑。load =语句用于为您的硬件加载驱动程序。在基于Windows NT的系统(Windows 2000，XP等)上，HijackThis将显示win.ini和system.ini中的条目，但基于Windows NT的系统将不会执行列出的文件。

　　F2和F3条目对应于与F0和F1等效的位置，但它们被存储在Windows版本XP，2000和NT的注册表中。这些Windows版本不使用system.ini和win.ini文件。为了向后兼容，他们使用一个名为IniFileMapping的函数。IniFileMapping将.ini文件的所有内容放在注册表中，其中存储有.ini密钥中找到的每行的键。然后，当您运行一个通常从.ini文件读取其设置的程序时，它将首先检查注册表项HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion IniFileMapping .ini映射，如果找到，将从在那里您可以看到这些条目，在下面的示例中，是指注册表，因为它将包含REG，然后。

　　当在值为Shell和Userinit的注册表项HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion Winlogon中存在未列入白名单或被认为是安全的值时，将显示F2条目。