Also wie dem Titel schon entnehmen kann habe ich bei meinem momentanen Projekt ein kleines Problem .

Autostart ohne Trojan.Generic ?

Also ich habe 2 Autostart varianten ausprobiert aber bei beiden bekomme ich Trojan.Generic gesagt und ich denke nicht das Vics das dazu anstachelt das Programm weiter auszuführen.

Methode 1 :


Dim key As Microsoft.Win32.RegistryKey = Microsoft.Win32.Registry.LocalMachine.OpenSubKey("Software\Microsoft\Windows\CurrentVersion\Run", True)


key.SetValue("svhost.exe", """" & Environment.GetFolderPath(Environment.SpecialFolde r.LocalApplicationData) & IO.Path.GetFileName(fname) & """")

key.Close()bei dem alleine schlägt kein AV an. Aber so bringt es mir ja nicht viel wenn der Vic einfach das Programm löschen kann und Autostart is futsch .

Also habe ich es in System Ordner kopieren lassen per :


IO.File.Copy( , )und beides Kombiniert.

Schön und gut , aber wenn ich jetzt die datei Erstelle und Ausführe schlägt mein AV an.

Hab es auch schon auf eine andere weise versucht. Und zwar einfach direkt in den Autostart Ordner Kopieren zu lassen , aber auch da schlägt das AV mit der selben warnung an.

Könntet ihr mir da weiter helfen sowas findet man nicht in normalen VB.net Borads =P

Wie wärs mit crypten vorher ? lol

Weißt du denn das der Autostart die detection auslöst? - Dann nutz ActiveX - autostart.

Wie Th3_Cr4xX (http://free-hack.com/member.php?u=45006) es schon gesagt hat, du musst deinen Trojaner crypten, das Antivirusprogramm erkennt deinen Trojaner, da ist es egal ob du ihn in irgendein Windowsverzeichnis steckt, ihn dabei noch als rar packst oder was auch immer.

Außerdem wollte ich noch anmerken, dass die Datei svhost.exe wohl eher svchost.exe heißen soll. Aber Achtung damit, deine Programme nach Windows Systemdateien zu benennen, wenn die Datei svchost.exe heißt und du sie in den system32 Ordner schiebst, überschreibst du die originale svchost.exe bzw. sie lässt sich nicht überschreiben und du kannst dein Programm nicht starten.

Als Tipp: Wenn du ein gecryptetes Programm in den Autostart stellen willst und es nicht in den typischen Autostart schreiben willst, den jeder kennt, dann schreibe es hier rein: HKLM\SYSTEM\CurrentControlSet\Services\ Es wird dann als Dienst gestartet.

@Hadschi
Für HKLM braucht man aber ab Vista Admin Rechte..

@NavanBethrax
Machs wie cyser schon sagte mit ActiveX

Wiso haltet ihr mich alle für blöde es geht nicht um ein RAT
und ja ich weiß das der Autostart das Problem auslöst habs ausprobiert.

Es handelt sich um mein eigenes Projekt mit meinem Code und meinen Funktioenen und ich dneke nicht das es sowas schonmal gab ... und es ging mir einzig und allein um den Autostart .

Das mit ActiveX klingt gut ich werd mich mal Informieren und das mit den Diensten guck ich mir auch mal an da es eh schon als admin augeführt wird.

So stehts zumindest in der add.manifest.

Auf das mit svchost das man den nicht ersetzen sollte war mir auch klar.
Ubd wenn ich mich verschrieben hab N00bs fällt das nicht auf die kennen nichtmal im Taskmanager die Sektion Prozesse .

MfG Navan

Ich hatte bei meinem Trojaner zwar nicht das Problem mit dem AV-Programm, allerdings wollte ich auch vermeiden, das man den Autostart durch löschen der Anwendung zerstört.
Ich hab es wie folgend gelöst:

Beim Starten die Applikation prüfen lassen ob der eigene Pfad == @"C:\WINDOWS\system32\" ist.
Wenn ja, Programm weiterlaufen lassen und Regestry Eintrag anlegen.

Wenn nicht läd das Programm sich selber von einem FTP in den System32 Ordner und wird dann gestartet. (Das ursprüngliche Programm hier beenden)
Das "neue" Programm wird dann feststellen. "Okay Programm im richtigen Ordner vorhanden" --> schreibt dann ein Regestry Eintrag für Autostart


Bei mir und meinen Testern schlägt die FW bzw das AV-Program nicht an.

Habt ihr villeicht ein kleines Snippet das mir das mit ActiveX Autostart etwas erleichtert.

Find Nämlich im web nix zu Active X Autostart.

*lieb guck*

MfG Navan