dll-propagation usunięcie skryptem FRST

Infekcja CryptoMinerem, czyli tzw. Koparką, w tym przypadku dll-propagation, pojawia się ostatnio dość często na polskich forach związanych z Bezpieczeństwem.

FRST nie wykrywał tej infekcji, a konkretniej, wpisu do rejestru [electron.app.dllservices]

HKU\S-1-5-21-1888931714-3102187875-285031119-1001\...\Run: [electron.app.dllservices] => C:\Users\User\AppData\Roaming\.dllbackups\dllservices.exe

dlatego też zgłosiłem ten wpis do Farbar i od niedawna jest oznaczany jako Szkodliwy

Oczywiście, to nie wszystko co należy usunąć, aby pozbyć się infekcji, co już opisałem w temacie dll-propagation jak usunąć samodzielnie w Wierszu Poleceń CMD?

Ten wpis wyjaśni, jak można usunąć infekcję za pomocą uniwersalnego skryptu FRST
Ważne.
Skrypt usuwa tylko i wyłącznie wpisy i katalogi, będące efektem infekcji dll-propagation

Nie brakuje w internecie programów usuwających wyłącznie jeden rodzaj infekcji, dlatego też zdecydowałem się na napisanie prostego skryptu, który można uruchomić za pomocą programu FRST

Przygotujmy się więc do pobrania właściwej wersji FRST.
Teoretycznie można by ten etap pominąć, gdyż próba uruchomienia FRST64 w systemie 32-bit wygeneruje błąd, co wskaże nam, że mamy system 32-bitowy, ale możemy przy okazji nauczyć się rozpoznawania wersji systemu.

Naciśnij WinKey + R
Wpisz cmd i naciśnij Enter
Skopiuj komendę wpisaną poniżej i wklej do okienka cmd i naciśnij Enter
Jeśli komenda przejdzie do tego katalogu, to oznacza, że mamy system 64-bit, gdyż ten właśnie katalog nie pojawia się w systemie 32-bit

cd "c:\Program Files (x86)"

Pobierz więc odpowiednią wersję programu FRST i zapisz w dowolnym katalogu, np. na Pulpicie
Wersja FRST 64-bit
Wersja FRST 32-bit

Po pierwszym uruchomieniu program poprosi o potwierdzenie zasad, następnie pobierze najnowszą wersję i bazę danych
Nie wyłączaj programu

Kolejnym krokiem jest skopiowanie do Schowka całości okienka poniżej.
Aby skrypt zadziałał, należy go zaznaczyć od Start:: do End:: włącznie
Kopiujemy skrypt do Schowka Ctrl+C
Nie musimy go nigdzie Wklejać
Gdy skrypt jest w Schowku, wystarczy nacisnąć Napraw w programie FRST

Start::

SystemRestore: On
CreateRestorePoint:
CloseProcesses:

DeleteValue: HKCU\Software\Microsoft\Windows\CurrentVersion\Run|electron.app.dllservices

DeleteValue: HKCU\Software\Microsoft\Windows\CurrentVersion\Run|electron.app.services

cmd: rd "%userprofile%\AppData\Roaming\.dllbackups" /Q
cmd: rd "%userprofile%\AppData\Roaming\dll-propagation" /Q
cmd: rd "%userprofile%\AppData\Roaming\dllservices" /Q

EmptyTemp:

End::

Opis zastosowanych komend:
1. Włączanie opcji Przywracania Systemu
2. Tworzenie Punktu przywracania
Obie komendy nie wykonają się, jeśli na dysku systemowym jest za mało wolnego miejsca
3. Kasowanie wpisu startowego z rejestru
4. Kasowanie trzech katalogów
5. Bezpieczne oczyszczanie katalogów tymczasowych systemu i przeglądarek
oraz bezpieczne wylogowanie się z serwisów, forum, itd.
6. Automatyczny restart

Gdy komputer uruchomi się ponownie, a na Pulpicie pojawi się plik tekstowy potwierdzający wykonanie poleceń.