AntiMalware Doctor -> Vacuna y análisis [RETO] página 2

Foro de elhacker.net

Seguridad Informática

Hacking (Moderador: toxeek)

AntiMalware Doctor -> Vacuna y análisis [RETO]

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: 1 [2] 3 4

Autor

Tema: AntiMalware Doctor -> Vacuna y análisis [RETO] (Leído 27,101 veces)

seba123neo

Desconectado

Mensajes: 3.621

Re: AntiMalware Doctor -> Vacuna y análisis [RETO]

« Respuesta #10 en: 24 Marzo 2010, 21:48 pm »

dependencias:

Código:

activeds.dll		C:\WINDOWS\system32\activeds.dll
adsldpc.dll		C:\WINDOWS\system32\adsldpc.dll
advapi32.dll		C:\WINDOWS\system32\advapi32.dll
advpack.dll		C:\WINDOWS\system32\advpack.dll
apphelp.dll		C:\WINDOWS\system32\apphelp.dll
atl.dll			C:\WINDOWS\system32\atl.dll
authz.dll		C:\WINDOWS\system32\authz.dll
browseui.dll		C:\WINDOWS\system32\browseui.dll
cabinet.dll		C:\WINDOWS\system32\cabinet.dll
cdfview.dll		C:\WINDOWS\system32\cdfview.dll
certcli.dll		C:\WINDOWS\system32\certcli.dll
cfgmgr32.dll		C:\WINDOWS\system32\cfgmgr32.dll
clusapi.dll		C:\WINDOWS\system32\clusapi.dll
comctl32.dll		C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
comdlg32.dll		C:\WINDOWS\system32\comdlg32.dll
credui.dll		C:\WINDOWS\system32\credui.dll
crypt32.dll		C:\WINDOWS\system32\crypt32.dll
cryptui.dll		C:\WINDOWS\system32\cryptui.dll
cscdll.dll		C:\WINDOWS\system32\cscdll.dll
dbghelp.dll		C:\WINDOWS\system32\dbghelp.dll
devmgr.dll		C:\WINDOWS\system32\devmgr.dll
dhcpcsvc.dll		C:\WINDOWS\system32\dhcpcsvc.dll
dnsapi.dll		C:\WINDOWS\system32\dnsapi.dll
dot3api.dll		C:\WINDOWS\system32\dot3api.dll
dot3dlg.dll		C:\WINDOWS\system32\dot3dlg.dll
duser.dll		C:\WINDOWS\system32\duser.dll
eapolqec.dll		C:\WINDOWS\system32\eapolqec.dll
eappcfg.dll		C:\WINDOWS\system32\eappcfg.dll
eappprxy.dll		C:\WINDOWS\system32\eappprxy.dll
efsadu.dll		C:\WINDOWS\system32\efsadu.dll
esent.dll		C:\WINDOWS\system32\esent.dll
gdi32.dll		C:\WINDOWS\system32\gdi32.dll
gdiplus.dll		C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.5581_x-ww_dfbc4fc4\gdiplus.dll
hlink.dll		C:\WINDOWS\system32\hlink.dll
hnetcfg.dll		C:\WINDOWS\system32\hnetcfg.dll
ieframe.dll		C:\WINDOWS\system32\ieframe.dll
iertutil.dll		C:\WINDOWS\system32\iertutil.dll
ieshims.dll		Path not Found.
ieui.dll		C:\WINDOWS\system32\ieui.dll
imagehlp.dll		C:\WINDOWS\system32\imagehlp.dll
imgutil.dll		C:\WINDOWS\system32\imgutil.dll
imm32.dll		C:\WINDOWS\system32\imm32.dll
inetcomm.dll		C:\WINDOWS\system32\inetcomm.dll
iphlpapi.dll		C:\WINDOWS\system32\iphlpapi.dll
kernel32.dll		C:\WINDOWS\system32\kernel32.dll
linkinfo.dll		C:\WINDOWS\system32\linkinfo.dll
lz32.dll		C:\WINDOWS\system32\lz32.dll
mfc42u.dll		C:\WINDOWS\system32\mfc42u.dll
mlang.dll		C:\WINDOWS\system32\mlang.dll
mobsync.dll		C:\WINDOWS\system32\mobsync.dll
mpr.dll			C:\WINDOWS\system32\mpr.dll
mprapi.dll		C:\WINDOWS\system32\mprapi.dll
mprui.dll		C:\WINDOWS\system32\mprui.dll
msasn1.dll		C:\WINDOWS\system32\msasn1.dll
msfeeds.dll		C:\WINDOWS\system32\msfeeds.dll
msgina.dll		C:\WINDOWS\system32\msgina.dll
mshtml.dll		C:\WINDOWS\system32\mshtml.dll
msi.dll			C:\WINDOWS\system32\msi.dll
msimg32.dll		C:\WINDOWS\system32\msimg32.dll
msls31.dll		C:\WINDOWS\system32\msls31.dll
msoert2.dll		C:\WINDOWS\system32\msoert2.dll
msrating.dll		C:\WINDOWS\system32\msrating.dll
mssign32.dll		C:\WINDOWS\system32\mssign32.dll
msvcp60.dll		C:\WINDOWS\system32\msvcp60.dll
msvcrt.dll		C:\WINDOWS\system32\msvcrt.dll
mswsock.dll		C:\WINDOWS\system32\mswsock.dll
netapi32.dll		C:\WINDOWS\system32\netapi32.dll
netcfgx.dll		C:\WINDOWS\system32\netcfgx.dll
netman.dll		C:\WINDOWS\system32\netman.dll
netplwiz.dll		C:\WINDOWS\system32\netplwiz.dll
netrap.dll		C:\WINDOWS\system32\netrap.dll
netshell.dll		C:\WINDOWS\system32\netshell.dll
netui0.dll		C:\WINDOWS\system32\netui0.dll
netui1.dll		C:\WINDOWS\system32\netui1.dll
netui2.dll		C:\WINDOWS\system32\netui2.dll
normaliz.dll		C:\WINDOWS\system32\normaliz.dll
ntdll.dll		C:\WINDOWS\system32\ntdll.dll
ntdsapi.dll		C:\WINDOWS\system32\ntdsapi.dll
ntlanman.dll		C:\WINDOWS\system32\ntlanman.dll
occache.dll		C:\WINDOWS\system32\occache.dll
odbc32.dll		C:\WINDOWS\system32\odbc32.dll
ole32.dll		C:\WINDOWS\system32\ole32.dll
oleacc.dll		C:\WINDOWS\system32\oleacc.dll
oleaut32.dll		C:\WINDOWS\system32\oleaut32.dll
oledlg.dll		C:\WINDOWS\system32\oledlg.dll
olepro32.dll		C:\WINDOWS\system32\olepro32.dll
onex.dll		C:\WINDOWS\system32\onex.dll
powrprof.dll		C:\WINDOWS\system32\powrprof.dll
printui.dll		C:\WINDOWS\system32\printui.dll
psapi.dll		C:\WINDOWS\system32\psapi.dll
query.dll		C:\WINDOWS\system32\query.dll
qutil.dll		C:\WINDOWS\system32\qutil.dll
rasapi32.dll		C:\WINDOWS\system32\rasapi32.dll
rasdlg.dll		C:\WINDOWS\system32\rasdlg.dll
rasman.dll		C:\WINDOWS\system32\rasman.dll
regapi.dll		C:\WINDOWS\system32\regapi.dll
rpcrt4.dll		C:\WINDOWS\system32\rpcrt4.dll
rtutils.dll		C:\WINDOWS\system32\rtutils.dll
samlib.dll		C:\WINDOWS\system32\samlib.dll
scecli.dll		C:\WINDOWS\system32\scecli.dll
secur32.dll		C:\WINDOWS\system32\secur32.dll
setupapi.dll		C:\WINDOWS\system32\setupapi.dll
shdocvw.dll		C:\WINDOWS\system32\shdocvw.dll
shell32.dll		C:\WINDOWS\system32\shell32.dll
shlwapi.dll		C:\WINDOWS\system32\shlwapi.dll
shsvcs.dll		C:\WINDOWS\system32\shsvcs.dll
tapi32.dll		C:\WINDOWS\system32\tapi32.dll
urlmon.dll		C:\WINDOWS\system32\urlmon.dll
user32.dll		C:\WINDOWS\system32\user32.dll
userenv.dll		C:\WINDOWS\system32\userenv.dll
usp10.dll		C:\WINDOWS\system32\usp10.dll
utildll.dll		C:\WINDOWS\system32\utildll.dll
uxtheme.dll		C:\WINDOWS\system32\uxtheme.dll
version.dll		C:\WINDOWS\system32\version.dll
w32topl.dll		C:\WINDOWS\system32\w32topl.dll
wer.dll			Path not Found.
winhttp.dll		C:\WINDOWS\system32\winhttp.dll
wininet.dll		C:\WINDOWS\system32\wininet.dll
winmm.dll		C:\WINDOWS\system32\winmm.dll
winscard.dll		C:\WINDOWS\system32\winscard.dll
winspool.drv		C:\WINDOWS\system32\winspool.drv
winsta.dll		C:\WINDOWS\system32\winsta.dll
wintrust.dll		C:\WINDOWS\system32\wintrust.dll
wldap32.dll		C:\WINDOWS\system32\wldap32.dll
wmi.dll			C:\WINDOWS\system32\wmi.dll
ws2_32.dll		C:\WINDOWS\system32\ws2_32.dll
ws2help.dll		C:\WINDOWS\system32\ws2help.dll
wsock32.dll		C:\WINDOWS\system32\wsock32.dll
wtsapi32.dll		C:\WINDOWS\system32\wtsapi32.dll
wzcdlg.dll		C:\WINDOWS\system32\wzcdlg.dll
wzcsapi.dll		C:\WINDOWS\system32\wzcsapi.dll
wzcsvc.dll		C:\WINDOWS\system32\wzcsvc.dll
xmllite.dll		C:\WINDOWS\system32\xmllite.dll

esta en vb6 ?? me lo abrio un decompilador...no muestra nada por estar comprimido seguro..pero lo abrio..sino no lo abre.

EDITO: parece que esta en delphi la DLL..lindas cosas se ven en ella :xD

Código:

FastMM Borland Edition 

 2004, 2005 Pierre le Riche / Professional Software Development

SOFTWARE\Borland\Delphi\RTL

Apis usadas:

Código:


RegQueryValueExA
RegOpenKeyExA
RegCloseKey
GetKeyboardType
DestroyWindow
MessageBoxA
GetACP
Sleep
VirtualFree
VirtualAlloc
GetCurrentThreadId
VirtualQuery
GetStartupInfoA
GetCommandLineA
FreeLibrary
ExitProcess
WriteFile
UnhandledExceptionFilter
RtlUnwind
RaiseException
GetStdHandle
TlsSetValue
TlsGetValue
TlsFree
TlsAlloc
LocalFree
LocalAlloc
UnhookWindowsHookEx
SetWindowsHookExA
GetKeyState
CallNextHookEx
FreeLibrary

otra DLL ?

Código:

HRhookdll.dll

Comprimido con ASProtect v1.23 RC1 :xD

tiene el manifiesto de windows para usar los temitas :xD

usa una bocha de api's que no tengo ganas de poner..


« Última modificación: 24 Marzo 2010, 22:18 pm por seba123neo »	En línea

[Zero]

Wiki

Desconectado

Mensajes: 1.082

CALL DWORD PTR DS:[0]

Re: AntiMalware Doctor -> Vacuna y análisis [RETO]

« Respuesta #11 en: 24 Marzo 2010, 22:18 pm »

Si alguien lo desempaca me ahorraría trabajo, jodido Asprotect :¬¬

.

Saludos


	En línea

BlackStack

“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

skapunky

Electronik Engineer &
Colaborador

Desconectado

Mensajes: 3.667

www.killtrojan.net

Re: AntiMalware Doctor -> Vacuna y análisis [RETO]

« Respuesta #12 en: 24 Marzo 2010, 22:38 pm »

Como sabes que es el Asprotect? Había un programa que te decia si el exe estaba "empacado" y con cual, pero no me acuerdo del nombre y no lo tengo en mi repostorio de programas.


	En línea

Killtrojan Syslog v1.44: ENTRAR

[Zero]

Wiki

Desconectado

Mensajes: 1.082

CALL DWORD PTR DS:[0]

Re: AntiMalware Doctor -> Vacuna y análisis [RETO]

« Respuesta #13 en: 24 Marzo 2010, 22:43 pm »

Yo uso el RDG. Tengo el exe "desempacado", pero no logro reparar la IAT, desempacar no es lo mío :xD

.

Saludos


	En línea

BlackStack

“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

seba123neo

Desconectado

Mensajes: 3.621

Re: AntiMalware Doctor -> Vacuna y análisis [RETO]

« Respuesta #14 en: 24 Marzo 2010, 22:46 pm »

Cita de: skapunky en 24 Marzo 2010, 22:38 pm

Como sabes que es el Asprotect? Había un programa que te decia si el exe estaba "empacado" y con cual, pero no me acuerdo del nombre y no lo tengo en mi repostorio de programas.

anota este...FileAlyzer...te da bastante info importante.

saludos.


	En línea

RAID-MAM

Desconectado

Mensajes: 58

Re: AntiMalware Doctor -> Vacuna y análisis [RETO]

« Respuesta #15 en: 25 Marzo 2010, 00:46 am »

Pasame el exe para probar suerte


	En línea

Novlucker

Ninja y
Colaborador

Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces

Re: AntiMalware Doctor -> Vacuna y análisis [RETO]

« Respuesta #16 en: 25 Marzo 2010, 05:22 am »

Voy

El ejecutable dbf70700.exe esta programado en Delphi y comprimido con ASProtect

Citar

<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<assembly xmlns="urn:schemas-microsoft-com:asm.v1" manifestVersion="1.0">
<assemblyIdentity
type="win32"
name="DelphiApplication"
version="1.0.0.0"
processorArchitecture="*"/>
<dependency>
<dependentAssembly>
<assemblyIdentity
type="win32"
name="Microsoft.Windows.Common-Controls"
version="6.0.0.0"
publicKeyToken="6595b64144ccf1df"
language="*"
processorArchitecture="*"/>
</dependentAssembly>
</dependency>
</assembly>

Al ejecutarse crea las siguientes llaves de registro:

Clave
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\dbf70700.exe
HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor\datarl1
HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor\datarl2
HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor\datarlA
HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor\install_time
HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor\database_version
HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor\virus_signatures
HKCU\Software\Antimalware Doctor Inc\Antimalware Doctor\affid
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor\DisplayIcon
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor\DisplayName
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor\UninstallString
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor\InstallLocation
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor\NoModify
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor\NoRepair

Valor
C:\Worm\dbf70700.exe
KRoAGVdOQx4PARElG00dAQ==
KRoAGVdOQwQVExE3BAYNQRsl
KRoAGVdOQx4PARElG00dAQ==
40261,91524
258
60326
70700
C:\Worm\dbf70700.exe,0
Antimalware Doctor
C:\Worm\dbf70700.exe /uninstall
C:\Worm\
1
1

La primera de ellas para garantizar su inicio con cada reinicio del sistema, las de en medio con datos relativos a la versión del "soft", y las últimas contienen los valores relativos a los datos que aparecen si vamos a Agregar y quitar programas en el panel de control (aunque es falso, esto no funciona)

Además de las llaves anteriores, también son creados dos archivos, hookdll.dll y enemies-names.txt.
El primero de ellos aún no me queda claro que función cumple, ya que lo que tiene el proceso cargado en memoria son las siguientes librerías

Citar

------------------------------------------------------------------------------
dbf70700.exe pid: 1936
Command line: "C:\Worm\dbf70700.exe"

Base Size Version Path
0x00400000 0x1ce000 0.01.0000.0000 C:\Worm\dbf70700.exe
0x7c910000 0xb8000 5.01.2600.5755 C:\WINDOWS\system32\ntdll.dll
0x7c800000 0x103000 5.01.2600.5781 C:\WINDOWS\system32\kernel32.dll
0x770f0000 0x8b000 5.01.2600.5512 C:\WINDOWS\system32\oleaut32.dll
0x77da0000 0xac000 5.01.2600.5755 C:\WINDOWS\system32\ADVAPI32.dll
0x77e50000 0x92000 5.01.2600.5795 C:\WINDOWS\system32\RPCRT4.dll
0x77fc0000 0x11000 5.01.2600.5834 C:\WINDOWS\system32\Secur32.dll
0x77ef0000 0x49000 5.01.2600.5698 C:\WINDOWS\system32\GDI32.dll
0x7e390000 0x91000 5.01.2600.5512 C:\WINDOWS\system32\USER32.dll
0x77be0000 0x58000 7.00.2600.5512 C:\WINDOWS\system32\msvcrt.dll
0x774b0000 0x13d000 5.01.2600.5512 C:\WINDOWS\system32\ole32.dll
0x76330000 0x5000 5.01.2600.5512 C:\WINDOWS\system32\msimg32.dll
0x77bd0000 0x8000 5.01.2600.5512 C:\WINDOWS\system32\version.dll
0x7e6a0000 0x821000 6.00.2900.5622 C:\WINDOWS\system32\shell32.dll
0x77f40000 0x76000 6.00.2900.5912 C:\WINDOWS\system32\SHLWAPI.dll
0x773a0000 0x103000 6.00.2900.5512 C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
0x72f80000 0x26000 5.01.2600.5512 C:\WINDOWS\system32\winspool.drv
0x76360000 0x4a000 6.00.2900.5512 C:\WINDOWS\system32\comdlg32.dll
0x71a50000 0xa000 5.01.2600.5512 C:\WINDOWS\system32\wsock32.dll
0x71a30000 0x17000 5.01.2600.5512 C:\WINDOWS\system32\WS2_32.dll
0x71a20000 0x8000 5.01.2600.5512 C:\WINDOWS\system32\WS2HELP.dll
0x76340000 0x1d000 5.01.2600.5512 C:\WINDOWS\system32\IMM32.DLL
0x5b150000 0x38000 6.00.2900.5512 C:\WINDOWS\system32\uxtheme.dll
0x746b0000 0x4c000 5.01.2600.5512 C:\WINDOWS\system32\MSCTF.dll
0x75160000 0x2e000 5.01.2600.5512 C:\WINDOWS\system32\msctfime.ime
0x590d0000 0x7000 5.01.2600.5512 C:\WINDOWS\system32\Wship6.dll
0x719d0000 0x40000 5.01.2600.5625 C:\WINDOWS\System32\mswsock.dll
0x76ee0000 0x27000 5.01.2600.5625 C:\WINDOWS\system32\DNSAPI.dll
0x76f70000 0x8000 5.01.2600.5512 C:\WINDOWS\System32\winrnr.dll
0x76f20000 0x2d000 5.01.2600.5512 C:\WINDOWS\system32\WLDAP32.dll
0x66740000 0x59000 5.01.2600.5512 C:\WINDOWS\system32\hnetcfg.dll
0x71a10000 0x8000 5.01.2600.5512 C:\WINDOWS\System32\wshtcpip.dll
0x76f80000 0x6000 5.01.2600.5512 C:\WINDOWS\system32\rasadhlp.dll
0x5f1f0000 0x17000 5.01.2600.5512 C:\WINDOWS\system32\olepro32.dll
0x76f90000 0x7f000 2001.12.4414.0700 C:\WINDOWS\system32\CLBCATQ.DLL
0x77010000 0xd0000 2001.12.4414.0700 C:\WINDOWS\system32\COMRes.dll
0x40290000 0xa93000 8.00.6001.18876 C:\WINDOWS\system32\ieframe.dll
0x400a0000 0x1e8000 8.00.6001.18876 C:\WINDOWS\system32\iertutil.dll
0x76bb0000 0xb000 5.01.2600.5512 C:\WINDOWS\system32\PSAPI.dll

... pero en un volcado de memoria se puede ver como el hookdll.dll esta en la vuelta, sin tener en cuenta que sus funciones son StartHook y StopHook (nombres más que descriptivos)

Por el contenido de la dll se puede llegar a esto ..

Citar

FastMM Borland Edition
2004, 2005 Pierre le Riche / Professional Software Development

:http://sourceforge.net/projects/fastmm/

Por otra parte, el archivo de texto enemies-names.txt es el que contiene los nombres y descripciones de las supuestas amenazas que rondan nuestros ordenadores, así que bastan un par de modificaciones y ....

Por otra parte, el "bicho" también se conecta a la IP 92.212.226.53 (instat.in) y realiza un GET a la página principal, donde el único resultado es ...

Citar

Hay que agregar además, que durante todo el proceso se nos muestran molestos mensajes (como en todo Rogue) invitandonos a comprar la versión full del "producto", con lo cual llegamos a una web donde poder hacerlo, y claro esta ... la transacción obviamente es totalmente segura :¬¬

, además de estar en varios idiomas por si no entendemos

Y ya! Para eliminar el "bicho" no hace falta más que;

Matar el proceso, en este caso el dbf70700.exe
Eliminar los archivos dbf70700.exe, hookdll.dll y enemies-names.txt
Eliminar la clave de registro que se encuentra bajo HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ y que apunta al mismo ejecutable
Si se pretende dejar todo en "orden", eliminar además las otras claves mencionadas antes.

Nota: el archivo principal posiblemente cuente con otro nombre de similares características, por lo que es facilmente identificable en el adminstrador de tareas, además de que consume más de un 90% de nuestro CPU, así que no es necesario ningún tipo de vacuna

Nota 2: durante el proceso de eliminación el "bicho" no opone ningún tipo de resistencia, así que simplemente se mata procesos y elimina archivos y llaves

Saludos


« Última modificación: 25 Marzo 2010, 06:53 am por Novlucker »	En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro."

Albert Einstein

DarkItachi

Desconectado

Mensajes: 516

Itachi Uchiha

Re: AntiMalware Doctor -> Vacuna y análisis [RETO]

« Respuesta #17 en: 25 Marzo 2010, 06:09 am »

Buenos análisis, bien todos. Recordad que también tenéis que desarrollar una vacuna, como véis es bastante sencilla de hacer la vacuna, para automatizar el proceso para usuarios experimentados, repito, en cualquier lenguaje. Pero siempre queda más bonito en gráficos tipo keygens xD Así que solo haced que la vacuna busque los archivos, mate el proceso, borre los archivos y las entradas de registro.

Suerte


	En línea

Come to me when you have these eyes...

By more that you try it, a feather never will achieve to fly.

Novlucker

Ninja y
Colaborador

Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces

Re: AntiMalware Doctor -> Vacuna y análisis [RETO]

« Respuesta #18 en: 25 Marzo 2010, 07:24 am »

Ok, vbs ...

Código

Set objshell = createobject("Wscript.shell")
Set objfso = createobject("scripting.filesystemobject")
set taskmgr = GetObject("winmgmts:{impersonationLevel=impersonate}").ExecQuery ("select * from Win32_Process where name like '%dbf[0-9]%'")
for each process in taskmgr
	n = process.name
	p = process.executablepath
	f = replace(p,n,"")
	process.terminate
	wscript.sleep 2000
	objshell.run "cmd /c reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Run /v " & n & " /f", vbhide, true
	objshell.run "cmd /c reg delete ""HKCU\Software\Antimalware Doctor Inc"" /f", vbhide, true
	objshell.run "cmd /c reg delete ""HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor"" /f",vbhide, true
	objfso.deletefile p, true
	objfso.deletefile f & "enemies-names.txt", true
	objfso.deletefile f & "hookdll.dll", true
next
 
Msgbox "Listo :) !"

Ya, no es gráfico y además hay mejores maneras de hacer lo que hago anteriormente (como lo de eliminar llaves de registro por medio del cmd.exe), pero la verdad no me va estar creando una vacuna para eso :xD

Saludos


	En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro."

Albert Einstein

[Zero]

Wiki

Desconectado

Mensajes: 1.082

CALL DWORD PTR DS:[0]

Re: AntiMalware Doctor -> Vacuna y análisis [RETO]

« Respuesta #19 en: 25 Marzo 2010, 16:51 pm »

Nada, no puedo con el Asprotect, demasiado para mis conocimientos de unpacking $:-\$ .

Saludos


	En línea

BlackStack

“El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

Páginas: 1 [2] 3 4

Ir a:

Mensajes similares
	Asunto	Iniciado por	Respuestas	Vistas	Último mensaje
	[Reto] Zig Zag (OJO ANALISIS) « 1 2 3 4 » Programación Visual Basic	BlackZeroX	38	24,236	7 Enero 2011, 16:56 pm por 79137913
	malware doctor Seguridad	chavier3437	8	5,752	31 Marzo 2011, 01:17 am por Arcano.
	Doctor Who en Castellano? Software	Eleкtro	8	1,943	7 Mayo 2015, 21:57 pm por Eleкtro
	¿Os pondreis la vacuna del Coronavirus cuando este disponible?. « 1 2 3 4 » Foro Libre	crazykenny	36	13,754	21 Diciembre 2020, 20:23 pm por General Dmitry Vergadoski
	[API] XylonV2 : Librería Antimalware Completamente Gratuita! .NET (C#, VB.NET, ASP)	Aincrad	0	1,741	3 Febrero 2022, 18:57 pm por Aincrad