Удалить Keyloger, Backdoor и другую нечисть

[Stilet]

Это может быть все что угодно )
Нужно анализировать саму ПО.

[Malriser]

Да е-мае, берешь отладчик, смотришь где внутри хранит малварь, забиваешь это место нулями и юзаешь прогу.

P.S. Сорри за некропост, раздел все равно неактивен нифига

[Stilet]

Цитата:

смотришь где внутри хранит малварь

Оптимистичненько )))

[Malriser]

Цитата:

Сообщение от Stilet

Оптимистичненько )))

Ну, чтобы исполнить код малвари для начало надо получить доступ к памяти, где она хранится. Если там склейка, то есть два варианта:

1) Загрузка происходит из памяти в память
2) Происходит извлечение файла на жесткий диск и старт процесса

Судя по логам тут именно 2-й вариант, хотя внимательно не смотрел. А значит ставим бряк на NtCreateProcess и ShellExecute/ShellExecuteEx, далее там просматриваем код и ищем где в памяти малварь. По другому никак не расклеить же. Или как вариант занопить вызовы этих функций

P.S. Если прога на .NET, то, вероятно, искать место хранения файла надо как-то по другому.

P.P.S. Если склейка нубская, то поищи по сигнатуре MZ в HEX-редакторе

P.P.P.S. Если файл заражен просто, то ищем OEP и ставим EntryPoint на этот OEP