注册表中的情况更为复杂。通过regedit命令打开注册表编辑器，进入“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录，检查键值中是否有自己不熟悉的自动启动文件，且扩展名为EXE。一些“木马”程序会生成看似系统自身文件的文件，企图蒙混过关。比如，“Acid Battery v1.0木马”将注册表中的Explorer键值改为Explorer=“C：Windowsexpiorer.exe”，两者之间只有“i”与“l”的差别。