Buenas tardes amigos
Tengo el siguiente problema. El caso es que tengo un server del H-Worm 100% FUD y este es capaz de remotear pero este solo va a correr 1 sola vez, pues al añadirse al startup y al crear llaves en registro (RUN), al siguiente reinicio AVG lo detecta y acaba con el de una vez por todas. He probado de todo, meter el .vbs en startup, luego solo un .lnk que enlaza al .vbs que se encuentra en %temp%. Ademas todas las llaves en el registro en HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN tambien son detectadas.
Al principio pensé que lo que detectaba AVG era el .vbs de la ruta en regedit asi que monte un ejecutable que se auto-añadiera en regedit y fuera capaz de lanzarse y este lanzar el .vbs pero nada.
Al final me he cansado, lo único que se me ocurre es aprovechar esta única ejecución que se me permite al momento de remotear para destruir el puto AV hay 4 procesos que se pueden cerrar sin problema con un while constantemente pero luego se crean otros que hay que cerrarlos con privilegios mas elevados.
Lo único que he conseguido por el momento es que avgui.exe avguix.exe etc.. entren en una lucha constante donde avg es incapaz de eliminar el bichito del registro y de startup ya que el bichito va cerrando sin parar sus procesos que se abren una y otra vez pero al mismo tiempo no ejecuta las instrucciones esenciales. Es una lucha donde nadie gana.
Necesito ideas, alguien se le ocurre un metodo para hacer un startup indetectable o por otro lado, alguien sabe si podria abrirse el script subir su nivel de privilegios y cerrar los procesos de avg y matarlo?
Muchas gracias.
PD: perdon si no se entendio algo tengo mucha prisa.
Skype: Janpr99
