Цитирай Първоначално написано от m3talmania
Нормално е антивирусните да го засичат вече. В крайна сметка научих това, което исках:
YOUR-DAD-NAKED-hahahaha.PIF

След стартирането му се създават следните файлове

C:\RECYCLER\S-1-5-21-9294549739-0647770151-142479755-5336\Desktop.ini
C:\RECYCLER\S-1-5-21-9294549739-0647770151-142479755-5336\winservices.exe

C:\WINDOWS\Prefetch\YOUR-DAD-NAKED-HAHAHAHA.PIF-1E79AD12.pf <- не е от важност..

Desktop.ini <- ini файл който служи за препратка за да не може да се влезе във директорйята тя прехвърля към друга дитектория

Пример: Desktop.ini

[.ShellClassInfo] CLSID={645FF040-5081-101B-9F08-00AA002F954E}


winservices.exe < това е ехе-то което върши целия хаулс касперски го хваща като Backdoor.Win32.Aqent.aatw

За да се стартира използва регистрите RegKey...

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run] "Windows Service help"="C:\\RECYCLER\\S-1-5-21-9294549739-0647770151-142479755-5336\\winservices.exe"

[HKEY_USERS\S-1-5-21-1177238915-746137067-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run] "Windows Service help"="C:\\RECYCLER\\S-1-5-21-9294549739-0647770151-142479755-5336\\winservices.exe"
Изтриване... ммм скоро може да предложа скрипт ако някой не ме изпревари...

П.С.

Внимавайте какво приемате...


Я се порови малко из чичо google и го питай, за какво служат - winservices.exe и desktop.ini-то Като си толко умен