HKCU + %APPDATA% no debería darte problemas

Sigamos la conversación por privado si lo deseas, aunque veo que tus cualidades aquí se desaprovecharían. No podemos medirnos con tu capacidad y precisión lingüística. Comprenderé si deseas irte.

Cualquier otro mensaje fuera de tema será eliminado.

Esto se está saliendo del tema. Primer aviso.

La complejidad del cifrado no es tan importante. A los AVs les es más fácil detectar una rutina que haga un bucle de lectura/escritura que probar a crackear la contraseña que tengas en tu XOR.
Por otro lado los AVs buscan patrones a la hora de realizar llamadas. Ciertas APIs tienen parámetros muy particulares y es fácil "taggear" una combinación de pushes particular.

ferleg, APOKLIPTICO utiliza el término "virus" para referise a malware en general. Entiendo que sin replicación. Procura exponer tu opinión sin ofender y respetando al resto de participantes, sin importar tus conocimientos.

Esto se conoce como Endianness. Lo forma más fácil de invertirla es usando la instrucción bswap.

Saludos

Pensaba que te referías a proactiva. Siendo un escaneo manual aplicará un nivel más paranoico de heurística o emulación. ¿Qué AV es? ¿Has probado a eliminar constantes como HKEY_LOCAL_MACHINE?

Si se trata de una detección proactiva te detecta el acceso a la clave de registro, no la forma en qué lo haces.

Iba a enlazarte al mismo post haha, me alegra ver que un código de hace 2 años sigue siendo útil

Esto es todo lo que encontré espero que te sea de utilidad:

Suerte con la investigación y espero poder ver pronto de qué se trata

Un dissector sería sin duda la mejor opción. ¿Para qué desarrollar un sniffer completo teniendo ya el trabajo hecho?

Revisando el log no he visto nada raro, como mucho alguna DLL, muevo el tema a seguridad por si te pueden ayudar mejor a encontrar la amenaza.

Tal vez tengas un fantasma en el PC