[s] Dropper.gen wegmachen

[IRET]

ja , nur zeigt der bei dem link an [ die pdf datei in dem link ] das der root down ist.

Lies mal weiter unten.
http://ebfe.de.vu/manualfix.pdf

muss man den Pe header manuell ändern?

ja

[DizzY_D]

Zum entfernen von Dropper sollte man lieber nich LordPE benutzen, da der eine Signatur in der exe hinterlässt, auf die AVs anspringen können. Zum korrekten einbinden der EOF Daten sollte der PE Fix von EBFE am besten geeignet sein.
Wenn du das Icon auch schon geänder hast. bleiben ja immer noch ein Paar Punkte, die du noch überprüfen solltest.
Außerdem kann es sein, dass trotz korrekter Werte im PE Header EOF Daten erkannt werden. Da kannst du dann recht wenig gegen machen.

BTW: Um zu testen, ob der Header erkannt wird (also die EOF Daten) kannst du einfach den Inhalt aller Sections mit Nullen überschreiben, sodass nurnoch der Header in der exe steht.
Falls es dann immernoch detected ist, liegt es an den EOF Daten.

[kingvisse]

Hast du dir mal den Post von Dizzy angeschaut?

Viele Icons sind schon von den AV's detected - von demher musste iwelchen Crap als Icon nehmen oder dir selber einen machen.

Schonmal versucht die Fileinformationen mit Reshacker umzuändern?
Hilft in manchen Fällen.

Was für ein 'Programm' willst du überhaupt fixen?
Ein gebuildeter Server oder das Hauptprogramm/Crypter?

ja habe ich gelesen

habe nen crypter mit ner externen stub.

und der ist 1/xx . . nur avira erkennt ihn als Dropper.gen.

meine frage ist nun.
muss ich die server.exe reshacken oder die stub?


fuckinghot , diesmal funktioniert die PDF datei , gestern und vorhin funktionierte die nicht


DizzY_D ich mach mich mal an die EBFE's PDF datei.
wenn mir wer helfen mag könnt ihr mich ja icq adden .

werde danach auch meine FUD stub [ für Bifrost ! ] hier uppen

[Shadowstyle]

Ähm ^^ welcher version benutzt du von Bfirost?
Wenn es 1.2.1 .d ist und du die stub von Bifi cryptest und du dannach deine settings dranhängst, wird der so gut wie immer als TR/Dropper.Gen angezeigt ^^
Bifi ist da ziemlich blöd.. schonmal mit nem Poisen Server versucht?

[gf0x]

Hast du zufälligerweise mal AV-Devil ausprobiert?

[Epiphone]

Vorweg, Trojaner sind generell crap, aber warum verwendet ihr noch alle die alten RATs? Nehmt doch Cerberus oder sowas, ist doch 10x besser

@Shadowstyle: Stimmt nicht! Es werden zwar die EOF Daten angehängt (~380 bytes sind das glaub ich), aber wenn man es richtig macht schlägt Antivir nicht an!

Versuch mal EBFE's Tutorial bzgl. der Werte im PE Header! Wenn du RawSize & VirutalSize + SizeOfImage richtig korrigierst dürfte der Dropper Geschichte sein! (Checksum sollte man auch gleich fixxen) Außer wie Dizzy schon erwähnt hat, wenn andere Sachen die Detection verursachen.

[kingvisse]

ja also dropper.gen weis ich jetzt.

Nur ist nach dem EP verschieben meistens die .exe putti putti.
und wenn ich die ress hacke auch.



gf0x AV Devil soll doch garnichtmehr klappen :o?

[gf0x]

Nur ist nach dem EP verschieben meistens die .exe putti putti.

Hast du auch den EP angepasst im LordPE?
Dann ist es ja kein Wunder, dass nix geht

gf0x AV Devil soll doch garnichtmehr klappen :o?

Das ist nur ein Irrglaube von iwelchen Trojaner-Kiddy's die versucht haben einen nicht existierenden Offset zu fixen.

Probieren geht über studieren sag ich immer nur

[kingvisse]

ja EP ist verschoben und auch mit LordPE registriert