A dla bardziej zaawansowanych przeanalizowanie tych kluczy w rejestrze:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr ent_Version\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre nt_Version\Run
Można jeszcze sprawdzić pliki boot.ini i folder autostartu.
Następnie podejrzane pliki traktujemy notatnikiem/deassemblerem/innym edytorem i szukamy wystapien typu
http://(czyli wysylanie passow na strony www, @(na maile).
Jezeli to nie przyniesie rezultatow to mozna ten plik uruchomic i szukac za pomoca tsearch, w sposob specyficzny
Wiekszosc keylogow odczytuje tylko to co naciskacie w Tibii, wiec musi miec w sobie zapisany uchwyt okna. A wiec piszecie program na pare linijek znajdujacy ow uchwyt(mozna uzyc procedury: FindWindow('TibiaClient', nil); ), otwieracie TSearchem proces sprawdzanego pliku i szukacie czy nigdzie nie znajduje sie wczesniej wygenerowany przez nas uchwyt
A jezeli powyzsze dzialania nie przyniosa rezultatow, to na 95% plik jest czysty ..pod warunkiem, ze wszystko zrobiliscie poprawnie.