Infekcja CryptoMinerem, czyli tzw. Koparką, w tym przypadku dll-propagation, pojawia się ostatnio dość często na polskich forach związanych z Bezpieczeństwem.
FRST nie wykrywał tej infekcji, a konkretniej, wpisu do rejestru [electron.app.dllservices]
HKU\S-1-5-21-1888931714-3102187875-285031119-1001\...\Run: [electron.app.dllservices] => C:\Users\User\AppData\Roaming\.dllbackups\dllservices.exe
dlatego też zgłosiłem ten wpis do Farbar i od niedawna jest oznaczany jako Szkodliwy
Oczywiście, to nie wszystko co należy usunąć, aby pozbyć się infekcji, co już opisałem w temacie dll-propagation jak usunąć samodzielnie w Wierszu Poleceń CMD?
Ten wpis wyjaśni, jak można usunąć infekcję za pomocą uniwersalnego skryptu FRST
Ważne.
Skrypt usuwa tylko i wyłącznie wpisy i katalogi, będące efektem infekcji dll-propagation
Nie brakuje w internecie programów usuwających wyłącznie jeden rodzaj infekcji, dlatego też zdecydowałem się na napisanie prostego skryptu, który można uruchomić za pomocą programu FRST
Przygotujmy się więc do pobrania właściwej wersji FRST.
Teoretycznie można by ten etap pominąć, gdyż próba uruchomienia FRST64 w systemie 32-bit wygeneruje błąd, co wskaże nam, że mamy system 32-bitowy, ale możemy przy okazji nauczyć się rozpoznawania wersji systemu.
Naciśnij WinKey + R
Wpisz cmd i naciśnij Enter
Skopiuj komendę wpisaną poniżej i wklej do okienka cmd i naciśnij Enter
Jeśli komenda przejdzie do tego katalogu, to oznacza, że mamy system 64-bit, gdyż ten właśnie katalog nie pojawia się w systemie 32-bit
cd "c:\Program Files (x86)"
Pobierz więc odpowiednią wersję programu FRST i zapisz w dowolnym katalogu, np. na Pulpicie
Wersja FRST 64-bit
Wersja FRST 32-bit
Po pierwszym uruchomieniu program poprosi o potwierdzenie zasad, następnie pobierze najnowszą wersję i bazę danych
Nie wyłączaj programu
Kolejnym krokiem jest skopiowanie do Schowka całości okienka poniżej.
Aby skrypt zadziałał, należy go zaznaczyć od Start:: do End:: włącznie
Kopiujemy skrypt do Schowka Ctrl+C
Nie musimy go nigdzie Wklejać
Gdy skrypt jest w Schowku, wystarczy nacisnąć Napraw w programie FRST
Start::
SystemRestore: On
CreateRestorePoint:
CloseProcesses:
DeleteValue: HKCU\Software\Microsoft\Windows\CurrentVersion\Run|electron.app.dllservices
DeleteValue: HKCU\Software\Microsoft\Windows\CurrentVersion\Run|electron.app.services
cmd: rd "%userprofile%\AppData\Roaming\.dllbackups" /Q
cmd: rd "%userprofile%\AppData\Roaming\dll-propagation" /Q
cmd: rd "%userprofile%\AppData\Roaming\dllservices" /Q
EmptyTemp:
End::
Opis zastosowanych komend:
1. Włączanie opcji Przywracania Systemu
2. Tworzenie Punktu przywracania
Obie komendy nie wykonają się, jeśli na dysku systemowym jest za mało wolnego miejsca
3. Kasowanie wpisu startowego z rejestru
4. Kasowanie trzech katalogów
5. Bezpieczne oczyszczanie katalogów tymczasowych systemu i przeglądarek
oraz bezpieczne wylogowanie się z serwisów, forum, itd.
6. Automatyczny restart
Gdy komputer uruchomi się ponownie, a na Pulpicie pojawi się plik tekstowy potwierdzający wykonanie poleceń.