Собственно темка интересная. Бьюсь уже 4 сутки подряд...
Попался хАроший экземплярчик вирусни, который грузится через лоадер, как пишут на форуме дрвеба непосредственно как процесс (якобы файла нигде не оставляет за собой), после черных дел самоуничтожается.
След в реестре привел в папочку локал сеттингс, поддиректория темп. Собственно вирусни там нет.
Что было сделано - всякие R-studio, ntfs recovery, ntfs undeleted, и пр. пр. студии по восстановлению инфы.
Джпеги, бмп, текстовые, длл-ки, все находит, окромя этого екзешника за тот день.
Решил пойти от обратного, подумав, что может быть я такой тупой недалекий - скачал вирус (полная копия моему, но с небольшим отличием, не играющим роли для эксперимента), при его запуске вручную он себя сам прописал в локал-сеттингс темп. Сделал свое черное дело, и не удалился )))
Собственно я взял и ручками удалил. Лезу в рекавери студио, и прочие...программки (одна из них 6,3 часов тотально весь раздел сканировала на предмет всего). Так вот - моего экзешника тоже нигде нет.
Собственно встал спор на форуме дрвеба с ихними программистами. Они уверяют что вирусня грузится в процесс, и в системе не оставляет файлов. Как я знаю, процесс это некий запуск файла (а не мифическое что-то призрачное, запускающееся из ниоткуда), плюс свидетельство реестра о том, что данный .exe файл был прописан в папку темп.
Так вот у меня вопрос - может быть есть какие нормальные проги по поднятию из глубин винта екзешников?
Или я не до конца понимаю устройство системы "Окошек"?