este exe corre de forma oculta verifica si corre egui.exe en el pc y
de ser asi desenvaina un .sys para terminar con este proceso
no funciona con ekrn.exe (vuelve a recuperase)
debe correrse como administrador en windows 7 si no no funciona
¡precausion al usarlo esta para testearlo solo lo probe en xp
no win7! el codigo es una modificacion de source publico de una web rusa
en un futuro se le puede agregar mas antivirus para terminar sus procesos
[Enlace externo eliminado para invitados]
pass:"no tiene"

interezanteee ..... voy a echarele un ojaso en mi virtual
thanks!

Gracias bro

Vamos a probarlo, gracias.

Ya vez que dices que se recupera, intenta matarlo con un bucle o sino detenle el servicio.

adwind escribió:Ya vez que dices que se recupera, intenta matarlo con un bucle o sino detenle el servicio.

matar ekrn.exe
voy a ver que puedo hacer es complicado pero lo tomo como un reto personal
quizas logre algo ,....vamos a verlo

encontre un soft antirootkit que funciona asi:
termina el proceso e inmediatamente elimina el archivo todo desde ring0
ejemplo :

me gustaria implementar esto pero la funcion deletefile que le puse al driver
no logra eliminarlo todabia .

Has usado ZwDeleteFile?
Saludos!

si te soy sincero aveces me cansa un tema y lo dejo por un tiempo
y despues lo retomo (para no saturar mi cabeza), tengo que volver a ver y buscar referencias, manuales(estudiar) para poder arreglar el zwdeletefile de mi driver ,cualquier cosa te consulto orlando.

Resubelo lo quiero testear!! gracias.

Yo mato los procesos ekrn.exe y Egui.exe con el servidor del Cybergate. Es decir, con la configuración del servidor mío. De modo que con eso te estoy diciendo todo. Si un servidor hecho en Visual Basic (Bah, creo que el Cybergate fue programado con Visual Basic) puede matar los dos procesos de Nod32; con Delphi (basado en Pascal, Pascal basado en C) sospecho se podrá hacer de una manera más elegante y menos invasiva y abrupta.
Cuando reincia Windows el remoto se queda sin Eset Nod32.
 

Gracias bro !!