Wielokrotnie spotkałem się z infekcją dll-propagation na komputerach użytkowników
Jest to tzw. koparka kryptowalut, a źródło infekcji może pochodzić z niesprawdzonych plików, nieprzetestowanych przez jakiegokolwiek antywirusa przed uruchomieniem lub po rozpakowaniu
Szkodliwy program tworzy plik startowy w rejestrze, pojawiają się te same trzy katalogi na dysku systemowym oraz jeden lub dwa katalogi w katalogu Tymczasowym
Opisywany tutaj sposób usuwa tylko i wyłącznie skutki pojawienia się infekcji dll-propagation i nie można zakładać, że wraz z tą infekcją nie ma w komputerze innych szkodliwych programów
Przed przystąpieniem do pracy, należy utworzyć Punkt Przywracania Systemu
Tak jak pisałem, w rejestrze pojawia się wpis, który – po sprawdzeniu dziesiątek logów – nie zmieniał się od momentu pojawienia się opisywanej tu infekcji.
HKU\S-1-5-21-1888931714-3102187875-285031119-1001\...\Run: [electron.app.dllservices] => C:\Users\User\AppData\Roaming\.dllbackups\dllservices.exe
W rozwinięciu, jest to gałąź rejestru, aktualnie zalogowanego użytkownika
HKU\S-1-5-21-86094929-2313430768-12774340-1001\Software\Microsoft\Windows\CurrentVersion\Run
Jest tożsamy z tym poniżej i usunięcie klucza w jednym z nich, usuwa się w drugim, i na odwrót
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Aby pozbyć się wpisu startowego należy uruchomić okno CMD
Naciśnij WinKey+S i wpisz cmd
W oknie wyszukiwarki pojawi się wynik jako Wiersz poleceń
Należy wybrać Uruchom jako administrator
Skopiuj i wklej poniższą komendę do okna CMD
Dla przypomnienia: Zaznacz każdy wiersz osobno od reg do /f włącznie, CTRL+C, kliknij w okno CMD, CTRL+V i naciśnij ENTER
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "electron.app.dllservices" /f
reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Run" /v "electron.app.services" /f
Szkodliwy wpis zostanie usunięty, komputer należy uruchomić ponownie, dopiero potem można przystąpić do usuwania katalogów, gdyż pliki aktualnie uruchomione, są w użyciu i mógłby pojawić się problem podczas usuwania katalogów
Po restarcie usuwamy katalogi.
Skopiuj każdą linię z komendą osobno, wklej do okna CMD i potwierdź Enter
rd "%userprofile%\AppData\Roaming\.dllbackups" /Q
rd "%userprofile%\AppData\Roaming\dll-propagation" /Q
rd "%userprofile%\AppData\Roaming\dllservices" /Q
Następnie usuwamy katalog tymczasowy użytkownika.
Jeśli usunie się cały, zostanie utworzony na nowo pusty, po restarcie komputera
rd %temp% /s /q
To wszystko.
W kolejnym temacie opiszę sposób usuwania dll-propagation przy pomocy uniwersalnego skryptu FRST
Przypominam, że należy zachować ostrożność podczas pobierania, rozpakowywania i uruchamiania plików z niepewnych źródeł, gdyż można natrafić na dużo gorsze skutki infekcji, włącznie z zablokowaniem komputera lub zaszyfrowaniem bezpowrotnie ważnych plików.