dll-propagation jak usunąć samodzielnie w Wierszu Poleceń CMD?

Wielokrotnie spotkałem się z infekcją dll-propagation na komputerach użytkowników
Jest to tzw. koparka kryptowalut, a źródło infekcji może pochodzić z niesprawdzonych plików, nieprzetestowanych przez jakiegokolwiek antywirusa przed uruchomieniem lub po rozpakowaniu

Szkodliwy program tworzy plik startowy w rejestrze, pojawiają się te same trzy katalogi na dysku systemowym oraz jeden lub dwa katalogi w katalogu Tymczasowym

Opisywany tutaj sposób usuwa tylko i wyłącznie skutki pojawienia się infekcji dll-propagation i nie można zakładać, że wraz z tą infekcją nie ma w komputerze innych szkodliwych programów

Przed przystąpieniem do pracy, należy utworzyć Punkt Przywracania Systemu

Tak jak pisałem, w rejestrze pojawia się wpis, który – po sprawdzeniu dziesiątek logów – nie zmieniał się od momentu pojawienia się opisywanej tu infekcji.

HKU\S-1-5-21-1888931714-3102187875-285031119-1001\...\Run: [electron.app.dllservices] => C:\Users\User\AppData\Roaming\.dllbackups\dllservices.exe

W rozwinięciu, jest to gałąź rejestru, aktualnie zalogowanego użytkownika

HKU\S-1-5-21-86094929-2313430768-12774340-1001\Software\Microsoft\Windows\CurrentVersion\Run

Jest tożsamy z tym poniżej i usunięcie klucza w jednym z nich, usuwa się w drugim, i na odwrót

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Aby pozbyć się wpisu startowego należy uruchomić okno CMD
Naciśnij WinKey+S i wpisz cmd
W oknie wyszukiwarki pojawi się wynik jako Wiersz poleceń
Należy wybrać Uruchom jako administrator
Skopiuj i wklej poniższą komendę do okna CMD
Dla przypomnienia: Zaznacz każdy wiersz osobno od reg do /f włącznie, CTRL+C, kliknij w okno CMD, CTRL+V i naciśnij ENTER

reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "electron.app.dllservices" /f

reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "electron.app.services" /f

Szkodliwy wpis zostanie usunięty, komputer należy uruchomić ponownie, dopiero potem można przystąpić do usuwania katalogów, gdyż pliki aktualnie uruchomione, są w użyciu i mógłby pojawić się problem podczas usuwania katalogów

Po restarcie usuwamy katalogi.
Skopiuj każdą linię z komendą osobno, wklej do okna CMD i potwierdź Enter

rd "%userprofile%\AppData\Roaming\.dllbackups" /Q
rd "%userprofile%\AppData\Roaming\dll-propagation" /Q
rd "%userprofile%\AppData\Roaming\dllservices" /Q

Następnie usuwamy katalog tymczasowy użytkownika.
Jeśli usunie się cały, zostanie utworzony na nowo pusty, po restarcie komputera

rd %temp% /s /q

To wszystko.
W kolejnym temacie opiszę sposób usuwania dll-propagation przy pomocy uniwersalnego skryptu FRST

Przypominam, że należy zachować ostrożność podczas pobierania, rozpakowywania i uruchamiania plików z niepewnych źródeł, gdyż można natrafić na dużo gorsze skutki infekcji, włącznie z zablokowaniem komputera lub zaszyfrowaniem bezpowrotnie ważnych plików.

3 odpowiedzi na “dll-propagation jak usunąć samodzielnie w Wierszu Poleceń CMD?”

  1. Czy możliwe jest „złapanie” takiej infekcji jeżeli na komputerze działa cały czas antywirus (akurat Kaspersky)?

    1. Tak. Jest możliwe, choć nie wszystkie elementy infekcji będą aktywne, gdyż plik główny uruchomieniowy został zgłoszony do Kaspersky i widnieje jako szkodliwy.
      Może więc się okazać, że coś się przedostanie.
      Jak na razie nie mam informacji o aktywnej infekcji z włączonym zabezpieczeniem od Kaspersky
      Zawsze warto zrobić pełny skan

Możliwość komentowania została wyłączona.