谈论Windows XP。Comodo Killswitch 在 System Services 部分显示了一个 Boot Start 驱动程序,其中有一个随机的六个字母作为名称(每次重新启动时都是新的(可疑),总是 6 个字母)。Comodo Autorun Analyzer 未显示此驱动程序。Sysinternals Autoruns 未显示此驱动程序。Msconfig 没有显示此驱动程序。这是可疑的。我尝试过的任何防病毒和 antirootkit 软件都没有发现任何恶意软件。注册表中有这些名称的痕迹,但没有任何创建这些注册表项的痕迹。Comodo Killswitch 从不显示其二进制路径,当我尝试在启用加载模块选项卡的情况下启动 Killswitch 时,这些驱动程序不会显示在系统选项卡的服务部分(可疑)。我设法制作了一个内存转储文件 memory.dmp,但找不到打开和读取它的方法。
我怎样才能找到这些注册表项的来源,系统中部署此可疑驱动程序的组件位于何处?
更新:所以,我使用了进程监视器,根据那里的跟踪,似乎注册表中的条目是由 services.exe 创建的。可能是某些软件或恶意软件向 services.exe 提供了这些指令。我想知道如何找出软件的路径,负责services.exe制作的注册表项。