на одном из форумов. (спасибо откликнувшимуся. жаль не помню имени..) мне написали вот этот список:

По умолчанию Своя антивирусная лаборатория

Пак программ для мини антивирусной лаборатории
API Monitor
HijackThis 2.0.3 (Beta)
MandiantRedCurtain 1.01
OSAM Autorun Manager 5.0
PDF tools
pefile
PEiD
Sandboxie
SysAnalyzer

далее я его дополнил:
Служебными программами от компании Sysinternals:
перечислять их не буду... их можно найти на ***/technet.microsoft.com/ru-ru/sysinternals/bb795533.aspx
которые кстати не юзал ..что конечно же надо было сделать, ибо весь ответ мог быть именно там...

дак вот.... перекачав и перерыв кучу ссылок и сборок с первого списка. я честно ни*уя там ничего не понял за исключением пары программ, по которым кстати мне удалось выявить некоторую активность подопытного трояна. какие ключи в реестре были созданы, какие файлы в папке Windows либо где то еще - появились- и еще там некоторые моменты... но половина програм нивкакую не поддавалсь на поиск в Google - тобишь - русский интерфейс и portable запуск. (что конечно можно было все таки найти, если бы не лопнуло терпение) пришлось юзать на интуицию с английскми интерфесом. еще некоторые на VMware совсем не запустились и в итоге получилось не очень удовлетворительная лаборатория ( что конечно можно было исправить при должных знаниях - но откуда они? как раз их бы найти надо на таких опытах )

дак вот .. может быть.. кто нибудь.. расскажет , если есть время, более подробное юзание прог. даст ссылки с русским интерфейсом, portable.(что немаловажно) чтобы наконец злорадные кидалы которые подсовывают трояны лишились своих админок.

как выявить записанные в (криптованном) ехе, ссылки на домены -
не имея подключения к интернету тоже бы очень хотелось узнать. потому что кажеться что очень умные трояны могут и не долбиться по сетевым адресам палясь через оутпосты и файрволы - если нет
подключения к интернету. а могут и долбиться - только быть свеже написанными и вследствии посылать на*уй все брандмауэры и прочие шведские стенки

можно конечно смотреть там перхваты функций API, выявлять где там место в котором происходит обман файрвола - но слова словами - а на деле ниче не получаеться. задайтесь вопросом... какие шаги надо выполнять , в подробностях и нюансах, чтоб адрес отстука узнать и список соданных ключей реестра и выставленные хуки, процесс в который трой внедрился. и там все прочее... иначе заражают и заражают.. даже уличить не получаеться. все просовывают и просовывают под разными предлогами своих зверей, вместо обещанного рабочего трояна .. мол для опыта.. паблик.... но рабочий...

либо здесь либо в Jbr: trumppayments@0nl1ne.at

спасибо

Я так понимаю Тебе должны троя передать,а ты его пропалить хочешь как он работает. Ставь голую операционку,потом вставляй тот диск и делай анал сходности -> вот тебе отличия, но это слижком тяжко. Зачем тебе чужой трой? если гораздо проще написать свой,ты будешь знать в нем все аспекты и нюансы,советую тебе потратить месяц твоего внимания на изучение С++ или Делфи и написать своё + ты начнешь понимать каким образом действует трой и как его можно пропалить, Мы можем насоветовать много: Поставить фаервол, смотреть по нему за портами,ставить антивирус и его аналоги анализировать трафик пакетными прогами и смотреть реестр на изминение значений, но лучше свой собственный опыт.

Поставь Убунту Линукс, ни тебе святой войны не великой депрессии.

а так,хотелось бы услышать еще мнения...