AV\EDR Removing antivirus with TDSSKiller.exe

[DOC]

Hello friends, I'm going to show you how to remove antivirus quickly and easily using TDSSKiller which is a legitimate tool from Kaspersky to remove malware, let's take advantage of some functionality for offensive actions. Many antivirus solutions can be stopped by changing the registry key associated with the running antivirus service. An example is to change the “Start” initialization value to 0x00 and then restart the computer for the settings to be validated. I had a lot of work dealing with Kaspersky AV, so I took this as an example to simplify.

Download TDSSKiller:
• http://web.archive.org/web/20230606...om/utilities/VirusUtilities/EN/tdsskiller.exe

These are the arguments we will use:

Now remove Kaspersky antivirus, before you do this you need to know the name of the service associated with the antivirus, for example

• Windows Defender - windefend
• Malwarebytes - MBAMService
• Kaspersky - AVP21.3

Now that we have identified Kaspersky, we can remove it:
• TDSSKiller.exe -accepteula -silent -dcsvc AVP21.3

After TDSSKiller.exe runs, the computer will be forced to restart without the user's consent, so it is recommended to do this when the user is away from the computer.

Thanks to: Secdat9xx
(from threads/removing-antivirus-with-tdsskiller-exe.2483/#post-11127 )

 

[c0re]

Does this program work at the user domain level?
If the user does not have admin access, does it kill the antivirus?

 

[DOC]

NO! it requires Admin Priv

 

[DOC]

Так товарищи!
Я протестировал это на Symantec endpoint под паролем на реальном Сетке, и это сработало.
ON:

OFF:

Log:

 

[phant0m]

Does this program work at the user domain level?
If the user does not have admin access, does it kill the antivirus?

Any service manipulation requires admin priv.

 

[phant0m]

After discovering this tool, many AV and EDR vendors are going to write rules to detect it. Their first detection as always will be to check if this tool is running from default install location (from folder where it should be installed originally). To avoid it, make sure you create standard folder structure where this file is located originally.

 

[MinerMario]

Можно просто указать все сервисы,на которых завязан AV. В taskmanager смотришь по имени AV,через TDSSKiller.exe -dcsvc <имя_сервиса>,тачка ток просит уйти в ребут. Ребутать ее не нужно пока не укажешь все сервисы.
Как еще один вариант реализации этого приложения. Версию ток актуальную нужно tds,а то авер ее снесет заблаговременно до начала работ

 

[mfive]

Софт не поддерживается уже год как, и ребута будет 2, для инстала драйвера и для удаления службы. Ну и как уже упомянули жить ему осталось пару недель, ресечеры спалили афилиэта рэнсомхаб.

 

[SlEpOy_SnIpEr]

quick heal палит софт

 

[ZeroCorp]

This has been around for a few years now, but now that Malwarebytes has released a post this week that this is being used to destroy services, I expect it will start to get flagged, especially since Kaspersky no longer supports this tool on its website.

Это существует уже несколько лет, но теперь, когда Malwarebytes выпустил сообщение на этой неделе о том, что это используется для уничтожения сервисов, я ожидаю, что это начнет помечаться, особенно с учетом того, что Kaspersky больше не поддерживает этот инструмент на своем веб-сайте.

 

[misterio]

тут всегда появляется то чему осталось жить пару недель

 

[bratva]

тут всегда появляется то чему осталось жить пару недель

Читай первоисточники на английском - получишь еще +1 неделю. Наблюдай за действиями конкурентов сам - и у тебя уже +1 месяц.

И теперь представь только - целый месяц, чтобы добиваться какого-то внятного результата, не думая самостоятельно головой, а просто повторяя. Когда дойдешь до того, чтобы думать своей головой и вкладываться в эксперименты - поймаешь себя на том, что другие называют тебя APT. С Богом!

 

[Mkatzzzz666]

Есть способ как разом несколько служб убрать?

 

[DoomSlayer2002]

Попробовал на Malwarebytes - палит тулзу
Кто-то пробовал на софосе?

 

[developer_ing]

Попробовал на Malwarebytes - палит тулзу
Кто-то пробовал на софосе?

konechno palit sophos

 

[DoomSlayer2002]

konechno palit sophos

cnaCu6o 3a uHqpY 6paTaH

 

[Infernolord]

There are more excellent articles in secdat9xx. Wonderful thinking

 

[borito]

Года три назад это прокало. Сейчас замучали. На большинство АВ нормальных не работает. Даже dr-web не допускает. Скоро работать вообще не будет.

 

[learning_dzen]

tdsskiller -dcsvc "YOUSERVICE" -accepteula
Далее снесите процесс tdsskiller, например по началу имени "{" taskkill /F /fi "IMAGENAME eq {*" /im * и повторите(думаю просто будет бат файл создать). Вот вам и ремув нескольких процессов, наслаждайтесь.
Ps:
Нормальные АВ уже давно пофиксили данную фичу

 

[MrBang]

Если бы Аверы не игрались с нами, то давно бы уже прикрыли лавочки с этими прогами и дровами)
Там посути то нужно 1 доп ехе сделать и пару строк кода.
Далее 2 варианта событий либо чекаем что кильнуло с лога и вносим в базу как вирус, либо тупо запрет на устройстве.