dll-propagation jak usunąć samodzielnie w Wierszu Poleceń CMD?

Wielokrotnie spotkałem się z infekcją dll-propagation na komputerach użytkowników
Jest to tzw. koparka kryptowalut, a źródło infekcji może pochodzić z niesprawdzonych plików, nieprzetestowanych przez jakiegokolwiek antywirusa przed uruchomieniem lub po rozpakowaniu

Szkodliwy program tworzy plik startowy w rejestrze, pojawiają się te same trzy katalogi na dysku systemowym oraz jeden lub dwa katalogi w katalogu Tymczasowym

Opisywany tutaj sposób usuwa tylko i wyłącznie skutki pojawienia się infekcji dll-propagation i nie można zakładać, że wraz z tą infekcją nie ma w komputerze innych szkodliwych programów

Przed przystąpieniem do pracy, należy utworzyć Punkt Przywracania Systemu

Tak jak pisałem, w rejestrze pojawia się wpis, który – po sprawdzeniu dziesiątek logów – nie zmieniał się od momentu pojawienia się opisywanej tu infekcji.

HKU\S-1-5-21-1888931714-3102187875-285031119-1001\...\Run: [electron.app.dllservices] => C:\Users\User\AppData\Roaming\.dllbackups\dllservices.exe

W rozwinięciu, jest to gałąź rejestru, aktualnie zalogowanego użytkownika

HKU\S-1-5-21-86094929-2313430768-12774340-1001\Software\Microsoft\Windows\CurrentVersion\Run

Jest tożsamy z tym poniżej i usunięcie klucza w jednym z nich, usuwa się w drugim, i na odwrót

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Aby pozbyć się wpisu startowego należy uruchomić okno CMD
Naciśnij WinKey+S i wpisz cmd
W oknie wyszukiwarki pojawi się wynik jako Wiersz poleceń
Należy wybrać Uruchom jako administrator
Skopiuj i wklej poniższą komendę do okna CMD
Dla przypomnienia: Zaznacz każdy wiersz osobno od reg do /f włącznie, CTRL+C, kliknij w okno CMD, CTRL+V i naciśnij ENTER

reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "electron.app.dllservices" /f

reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "electron.app.services" /f

Szkodliwy wpis zostanie usunięty, komputer należy uruchomić ponownie, dopiero potem można przystąpić do usuwania katalogów, gdyż pliki aktualnie uruchomione, są w użyciu i mógłby pojawić się problem podczas usuwania katalogów

Po restarcie usuwamy katalogi.
Skopiuj każdą linię z komendą osobno, wklej do okna CMD i potwierdź Enter

rd "%userprofile%\AppData\Roaming\.dllbackups" /Q
rd "%userprofile%\AppData\Roaming\dll-propagation" /Q
rd "%userprofile%\AppData\Roaming\dllservices" /Q

Następnie usuwamy katalog tymczasowy użytkownika.
Jeśli usunie się cały, zostanie utworzony na nowo pusty, po restarcie komputera

rd %temp% /s /q

To wszystko.
W kolejnym temacie opiszę sposób usuwania dll-propagation przy pomocy uniwersalnego skryptu FRST

Przypominam, że należy zachować ostrożność podczas pobierania, rozpakowywania i uruchamiania plików z niepewnych źródeł, gdyż można natrafić na dużo gorsze skutki infekcji, włącznie z zablokowaniem komputera lub zaszyfrowaniem bezpowrotnie ważnych plików.