Вопрос направлен ко всем, но в первую очередь к мэтрам
(volodya, dr_Golova, Svin, ...).

На данный момент почти все интернет черви обнаруживаются
простым поиском по реестру. Или если заглянуть в taskmanager.

Как я вижу невидимость в taskmanager и реестре:

1) При запуске вставляется свой код (CreateRemoteThread) в
explorer.exe и на него передаётся управление. Это позволяет быть невидимым от taskmanagera.

2) Ставится хук на нажатие клавиш (перехватываем ctrl+alt+del)

3) Патчится в explorer.exe "ExitWindowsEx"

При перезагрузке записываем себя в авторан в реестре и как
только поселимся в эксплорере вытираем себя от туда.

А теперь внимание вопрос, что делать при перезагрузке по
супер кнопке РЕЗЕТ ???

Если где-то что-то напутал и неверно написал, наверное от того что глупый ...

Гы, а руткиты например ставят драйвер который хучит все нужные функции так что ни процессов не видно ни ключей в реестре ни файлов на диске =)

Не пойдёт третье кольцо нуна, а файл пусть найдут ещё.
к примеру составляется массивчик из всех директорий и по рандомеру в одну из них вставляется файлик со случайным именем.

Так задача скрыться из 3-го кольца или защититься от РЕЗЕТ
(а имена случайные куча вирусов мэйкает - сразу же видно - нужен массив из близко-похожих-системных имен)

Если делать драйвер то его нужно будет прилепить к исполнимому файлу, после этого отгрызть и загрузить.

А перед всем этим ещё и написать Ж))

А смысл чтобы не было в реестре и не видно было из таск манаджера.

А насчёт имён верно подмечено, но ещё как вариант пропадчить FindFirstFile/FindNextFile в эксплорере по моему это в новом фраке и предлагалось чтобы файл видно не было.

sl0n
2) Ставится хук на нажатие клавиш (перехватываем ctrl+alt+del)

Насколько я помню, это сочетание клавиш зарезервировано за системой, и хук на него не срабатывает. Кстати подобный вопрос здесь уже поднимался.

Ну раз зарезервировано значит не ставим %).
Хоть кто-то по делу что-то сказал ...

Мне кажется через драйвер реально скрытая загрузка, но вот как его скрытно установить?

драйвер - страшное слово для виров :)
Я тут http://www.wasm.ru/forum/index.php?action=vthread&forum=6&topic=6824&page=1 уже предлогал замутить всё это дело черезд иньекцию (например kernel32.dll) :), тоесть моно даже записать своё тело целиком туда под какую нить функцию, и при обращении DLL_PROCESS_ATTACH вызвать себя.
Ни будет ни тела ни процесса :)

p.s. по ламерски конечно я рассуждаю, но идея не плохая ;)

[ DaemoniacaL: Насколько я помню, это сочетание клавиш зарезервировано за системой, и хук на него не срабатывает. ]

Ищите на codeproject.com "Lock Windows Desktop".

Есть же статья Невидимость в Windows NT Holy_Father'а.
Там всё хорошо написано.