1.XP统一的启动项目

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{26923b43-4d38-484f-9b9e-de460746276c}]
    <Internet Explorer 访问><"C:\WINNT\system32\shmgrate.exe" OCInstallUserConfigIE>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}]
    <Outlook Express 访问><"C:\WINNT\system32\shmgrate.exe" OCInstallUserConfigOE>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA840-CC51-11CF-AAFA-00AA00B6015C}]
    <Microsoft Outlook Express 6><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{44BBA842-CC51-11CF-AAFA-00AA00B6015B}]
    <NetMeeting 3.01><rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\msnetmtg.inf,NetMtg.Install.PerUser.NT>  [(Verified)Microsoft Windows 2000 Publisher]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{6BF52A52-394A-11d3-B153-00C04F79FAA6}]
    <Microsoft Windows Media Player><rundll32.exe advpack.dll,LaunchINFSection C:\WINNT\INF\wmp.inf,PerUserStub>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{7790769C-0471-11d2-AF11-00C04FA35D02}]
    <Address Book 5><"%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}]

以上各注册表启动项目，为XP系统通用启动项目，即：正常启动项

2.系统服务

没有什么特别的，只有一个服务，值得注意：

[Human Interface Device Access / HidServ][Stopped/Disabled]
  <C:\WINDOWS\System32\svchost.exe -k netsvcs-->%SystemRoot%\System32\hidserv.dll><N/A>

这项虽然没经过微软签名，但为正常的系统服务项目

3. 驱动程序

和上面的一样，已知的未经过微软签名的，正常的驱动程序：

⑴ [Secdrv / Secdrv][Stopped/Manual Start]
<system32\DRIVERS\secdrv.sys><N/A>

⑵ [d347bus / d347bus]和[d347prt / d347prt]
此程序，为虚拟光驱软件：Daemon tools 这个软件的第三方驱动

4.关于 AppInit

这个项目，一般在sre报告里面分为2种，在报告中，它是如下样子显示：
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A]

注： 此值不能删除！！！！！！！！！！！！只能在SRE里面，双击后编辑，设置为 空 即可！

此值正常情况下，为 空，在SRE报告中，也就是反应为：[N/A]。如果出现值，则分两种情况考虑：
⑴ 经过美化的系统，一些美化软件，如：Windows Blinds，美化系统后，会修改此键值，并把它的值改为：wbsys.sys，这个是正常的
⑵ 病毒文件。这种，就靠自己判断了。一般都是无规则的字母、数字组成的DLL类型文件。

5. 关于 API HOOK
这个项目，目前大部分杀毒软件，都会修改此键值，目的是为了从更深层次的角度，查杀病毒。大家判断的时候，根据里面列出的文件路径判断就行了。常见的，大家经常迷惑的，就是卡巴斯基，它的HOOK，在SRE报告中的反应是这样：

RVA 错误： LoadLibraryA (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 错误： LoadLibraryExA (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 错误： LoadLibraryExW (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 错误： LoadLibraryW (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)
RVA 错误： GetProcAddress (危险等级: 高, 被下面模块所HOOK: \??\C:\WINDOWS\system32\drivers\klif.sys)

即：klif.sys，为卡巴斯基反病毒软件的正常系统驱动程序。

6.在SRE报告中，凡是出现：(Verified) 英文的值，均为正常值！

7.winrar

winrar，有一个没有经过签名的值，在SRE中，反应为：

[C:\Program Files\WinRAR\rarext.dll]  [N/A, ]

其实，大家根据路径判断就行了。这里还是给出来，这个 rarext.dll，为rar中，添加“右键菜单”的DLL文件。

8.Winsock 提供者
 此项默认的正常值为：N/A ，就是空，目前发现，一些安全类型的软件，（已知的有 NOD32）会添加一些项目，但可以肯定，这项项目，跟系统没任何关系。是没用的

例子：

Winsock 提供者
NVIDIA App Filter over [MSAFD Tcpip [TCP/IP]]
    C:\WINDOWS\system32\nvappfilter.dll(NVIDIA, NVIDIA IAM LSP)
NVIDIA App Filter over [MSAFD Tcpip [UDP/IP]]
    C:\WINDOWS\system32\nvappfilter.dll(NVIDIA, NVIDIA IAM LSP)
NVIDIA App Filter over [MSAFD Tcpip [RAW/IP]]
    C:\WINDOWS\system32\nvappfilter.dll(NVIDIA, NVIDIA IAM LSP)
NVIDIA App Filter
    C:\WINDOWS\system32\nvappfilter.dll(NVIDIA, NVIDIA IAM LSP)

9.Autorun.inf
此值必须为：N/A，如果有东西，则为病毒添加的！

10.HOSTS 文件
默认值就是一行：
127.0.0.1       localhost

有些系统，会添加一些项目，用来屏蔽黄色网站，广告等等。但和winsock类似，都是无关紧要的。如果遇到不好判断的，只保留最上面那行即可，剩下的，一律全部删除！

11.进程特权扫描

这个项目，需要大家根据详细的文件路径来判断。无论是正常的软件，还是病毒，都会在里面涉及到。

12.隐藏进程
⑴iexplore.exe
为灰鸽子变种之类的病毒，调用的正常文件，此进程本身没任何问题，只是被病毒文件调用。根据日志，清理病毒文件。如果清理的准确，则此项目，自动消失；
⑵杀毒软件，已知的，江民杀毒，会创建隐藏进程，用来保护自己！根据路径判断即可；
⑶Rundll32.exe
这个，和上面的IE性质是一样的，只是被病毒调用了。根据报告，删除病毒文件，就行了。此文件（Rundll32.exe）为正常的系统文件。

 13. 系统字体目录（xp）为： C:\WINDOWS\Fonts，在此文件夹下，只有，只会出现： *.ttf 这种文件，除此之外，不可能出现任何其他类型的文件，如：DLL,exe，等等。如果出现，均为病毒文件！

14. 系统驱动程序文件目录 为： c:\windows\system32\drivers，在此文件夹下，只有，只会出现： *.sys 这种文件，除此之外，不可能出现任何其他类型的文件，如：DLL,exe，等等。如果出现，均为病毒文件！

暂时我知道的，常见的就这些了，日后碰到特殊的，我会再添加。