Windows XP の話。Comodo Killswitch は、システム サービス セクションにブート スタート ドライバーを表示し、ランダムな 6 文字の名前 (再起動するたびに新しい (疑わしい)、常に 6 文字) を使用します。Comodo Autorun Analyzer はこのドライバーを表示しませんでした。Sysinternals Autoruns はこのドライバーを表示しませんでした。Msconfig はこのドライバーを表示しませんでした。これは疑わしいです。私が試したウイルス対策およびルートキット対策ソフトウェアは、マルウェアを検出しませんでした。レジストリにはこれらの名前の痕跡がありますが、これらのレジストリ エントリの作成者の痕跡はありません。Comodo Killswitch はバイナリ パスを表示せず、[ロード済みモジュール] タブを有効にして Killswitch を起動しようとすると、これらのドライバーが [システム] タブの [サービス] セクションに表示されません (疑わしい)。メモリ ダンプ ファイル memory.dmp を作成することはできましたが、それを開いて読み取る方法が見つかりませんでした。
これらのレジストリ エントリのソースを見つけるにはどうすればよいですか? システム内のどこに、この疑わしいドライバを展開するコンポーネントが配置されていますか?
更新: そこで、私は Process Monitor を使用しました。そこでのトレースによると、この回避的な疑わしいブート開始ドライバー/サービスのレジストリ内のエントリは、services.exe によって作成されたようです。おそらく、services.exe は何らかのソフトウェアまたはマルウェアによってこれらの指示を受けます。services.exe によって作成されたレジストリ エントリを担当するソフトウェアへのパスを確認するにはどうすればよいでしょうか。