新更新了Autoruns9才发现的，中了个驱动木马，8.xx的AutoRuns看不到，注册表位置添加的服务为axw4eir2，这个名称随机变（前面的a不变，后面随机）

添加了这东西
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\ACPI\PNPA000\4&5d18f2df&0
4&5d18f2df&0这个在GOOGLE中也找不到有几个，这个不会改变的
在HKEY_LOCAL_MACHINE\HARDWARE\DEVICEMAP\Scsi下也添加了一个
添加服务：
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\axw4eir2
服务中连ImagePath这一项都不存在

根本清不掉，NOD32没反应,更垃圾的360就更别说了

我把注册表中的所有与之有关的项删除（可删，并未保护），删除后并未见恢复，再直接断电都不行（防止关机时有自己恢复），开机还有，安全模式试上面的也不行。

用了一堆工具都看不到它的文件，文件根本像不存在的一样，IceSword120看不到有文件存在，就连开机进PE系统都看不到这个文件的存在！WinHex直接磁盘编辑也看不到这个文件，神了？

它每次机必看到有一服务，证明它还没有神到绝无痕迹自启动的地步，但为什么文件就找不到呢？

IceSword120虽说看不到有文件存在，但可以看到有内核模块存在，但IceSword120除了能看，也没有任何功能能动它的！右键除了个刷新什么都没有，在SSDT中无它的任何痕迹！

Sysinternals Process Explorer也可以在进程DLL中看到System进程中有此SYS被加载，但没有看到它创建任何线程，一样，除了看，没有任何能动这个模块的功能

怪只怪MS的操作系统太要命了，要是能自动执行的地方只有一个入口就好了，什么东西都会一目发然！搞得现在N个地方都可以执行起来，工具一堆，还没一个真正万能的啊。

有人能支支招不？

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法