Ba da sunt ascunse. Un rootkit pana si in ring3 (sa nu mai vorbim de kernel-mode) poate sa injecteze anumite procese cum ar fii taskman.exe, regedit.exe, explorer.exe si sa faca hook la anumite functii ale proceselor. Astfel poate sa faca sa dispara procese din taskman, sa faca registry key-uri invizibile si sa ascunda chiar fisiere fara sa foloseasca flag-ul standard de "hidden". Adica nu se vor vedea nici daca dai tu "show hidden". Cauta pe google n00bkit. E un rootkit in ring3 open-source care ascunde procese,regkeys,fisiere chiar si port-uri care sunt folosite. Singura metoda sa te scapi este sa folosesti vreun program care detecteaza asemenea hook-uri cum ar fii GMER si sa le dai tu unhook.