Wielokrotnie spotkałem się z infekcją dll-propagation na komputerach użytkowników
Jest to tzw. koparka kryptowalut, a źródło infekcji może pochodzić z niesprawdzonych plików, nieprzetestowanych przez jakiegokolwiek antywirusa przed uruchomieniem lub po rozpakowaniu
Szkodliwy program tworzy plik startowy w rejestrze, pojawiają się te same trzy katalogi na dysku systemowym oraz jeden lub dwa katalogi w katalogu Tymczasowym
Opisywany tutaj sposób usuwa tylko i wyłącznie skutki pojawienia się infekcji dll-propagation i nie można zakładać, że wraz z tą infekcją nie ma w komputerze innych szkodliwych programów
Przed przystąpieniem do pracy, należy utworzyć Punkt Przywracania Systemu
Tak jak pisałem, w rejestrze pojawia się wpis, który – po sprawdzeniu dziesiątek logów – nie zmieniał się od momentu pojawienia się opisywanej tu infekcji.
HKU\S-1-5-21-1888931714-3102187875-285031119-1001\...\Run: [electron.app.dllservices] => C:\Users\User\AppData\Roaming\.dllbackups\dllservices.exeW rozwinięciu, jest to gałąź rejestru, aktualnie zalogowanego użytkownika
HKU\S-1-5-21-86094929-2313430768-12774340-1001\Software\Microsoft\Windows\CurrentVersion\RunJest tożsamy z tym poniżej i usunięcie klucza w jednym z nich, usuwa się w drugim, i na odwrót
HKCU\Software\Microsoft\Windows\CurrentVersion\RunAby pozbyć się wpisu startowego należy uruchomić okno CMD
Naciśnij WinKey+S i wpisz cmd
W oknie wyszukiwarki pojawi się wynik jako Wiersz poleceń
Należy wybrać Uruchom jako administrator
Skopiuj i wklej poniższą komendę do okna CMD
Dla przypomnienia: Zaznacz każdy wiersz osobno od reg do /f włącznie, CTRL+C, kliknij w okno CMD, CTRL+V i naciśnij ENTER
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "electron.app.dllservices" /f
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "electron.app.services" /fSzkodliwy wpis zostanie usunięty, komputer należy uruchomić ponownie, dopiero potem można przystąpić do usuwania katalogów, gdyż pliki aktualnie uruchomione, są w użyciu i mógłby pojawić się problem podczas usuwania katalogów
Po restarcie usuwamy katalogi.
Skopiuj każdą linię z komendą osobno, wklej do okna CMD i potwierdź Enter
rd "%userprofile%\AppData\Roaming\.dllbackups" /Q
rd "%userprofile%\AppData\Roaming\dll-propagation" /Q
rd "%userprofile%\AppData\Roaming\dllservices" /QNastępnie usuwamy katalog tymczasowy użytkownika.
Jeśli usunie się cały, zostanie utworzony na nowo pusty, po restarcie komputera
rd %temp% /s /qTo wszystko.
W kolejnym temacie opiszę sposób usuwania dll-propagation przy pomocy uniwersalnego skryptu FRST
Przypominam, że należy zachować ostrożność podczas pobierania, rozpakowywania i uruchamiania plików z niepewnych źródeł, gdyż można natrafić na dużo gorsze skutki infekcji, włącznie z zablokowaniem komputera lub zaszyfrowaniem bezpowrotnie ważnych plików.
Czy został już napisany skrypt uniwersalny do FRST?
Czy możliwe jest „złapanie” takiej infekcji jeżeli na komputerze działa cały czas antywirus (akurat Kaspersky)?
Tak. Jest możliwe, choć nie wszystkie elementy infekcji będą aktywne, gdyż plik główny uruchomieniowy został zgłoszony do Kaspersky i widnieje jako szkodliwy.
Może więc się okazać, że coś się przedostanie.
Jak na razie nie mam informacji o aktywnej infekcji z włączonym zabezpieczeniem od Kaspersky
Zawsze warto zrobić pełny skan