Понятие стиллера и винлокера. Как их распознать?

Тема в разделе Компьютеры, создана пользователем andrei5, 13 июл 2016.

Войдите для ответа
  1. andrei5 Местный

    andrei5
    Статус:
    Вне сети
    Сообщения:
    69
    Симпатии:
    12
    Регистрация:
    26.06.16
    слил может кому поможет
    Здравствуйте, дорогие пользователи и посетители нашего форума.
    В этой теме я хотел бы поведать Вам о таких вирусах, как стиллер (stealer) и винлокер (winlocker).

    - Что же такое stealer?
    Stealer - вредоносная программа, предназначенная для кражи когда-либо вводимых (сохраненных) на компьютере паролей.

    - Что такое winlocker?
    Winlocker - вредоносная программа, предназначенная для блокировки Windows.

    - Как их распознать?
    Для распознавания разного рода вирусов, в том числе и стиллеров в интернете используют сайты: virustotal.com и virusscan.jotti.org
    Но не все вирусы в читах вредоносны. Дело в том, что чит сам по себе - вредоносная программа, т.к. проникает в процесс игры.
    Так что на этих сайтах в проверке вирусов ищите слова Usteal либо Winlock (блокировка Windows).

    - Что делать если уже поймали один из них?
    Для стиллера:
    Для начала (если у Вас модем) вырубаем и-нет... Далее резко вырубаем компьютер (можно с кнопки питания)...
    Затем включаем компьютер, удаляем файл, проверяем антивирусом весь комп.
    Если с поимки стиллера прошло достаточно много времени, а именно больше 30 сек - 1 мин, эти действия уже вряд ли помогут,

    Для винлокера:
    Тут все сложнее...
    Надо узнать все ли функции операционной системы windows он заблокировал или нет.

    1. Нажать комбинацию клавиш, которая открывает диспетчер задач. ( ctrl + alt + del ), завершить ненужные задачи.
    2. Можно попробовать запустить меню «выполнить» сочетанием клавиш Win + R. Выполнить команду regedit, если открылся редактор реестра, то читаем дальше.
    3. Если первые два варианта заблокированы, то запускаем систему в безопасном режиме. (при загрузке нажимаем F-8)
    Выбираем безопасный режим с поддержкой командной строки. При запуске компьютера в безопасном режиме не запускаются никакие программы, которые прописаны в автозагрузке и запускаются автоматически.
    Теперь нам надо в командной строке прописать команду regedit, чтобы запустить редактор реестра.
    [​IMG]

    Далее переходим по веткам системного реестра, отвечающие за автозагрузку:

    1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
    2. HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run

    Убираем ненужные и незнакомые программы, которые автоматически загружаются.
    Эти программы (если есть), убирать не нужно:
    C:\Windows\System32\hkcmd.exe
    C:\Windows\System32\igfxtray.exe
    C:\Windows\System32\igfxpers.exe

    3. HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon

    В этом разделе реестра также содержатся значения параметров, отвечающих за автозапуск различных приложений при входе пользователя в систему:

    Нам нужны параметр Shell и Userinit.
    [​IMG]
    В параметре Shell должно быть прописано explorer.exe
    В параметре Userinit должен быть прописан путь к файлу userinit.exe
    В моем случае ( I\ Windows\ system32\ userinit. exe, )
    Если у вас система установлена на диск С, то значение будет ( C\ Windows\ system32\ userinit.exe, ) (ставится запятая после .exe)

    Если в этих параметрах стоит другое значение, то запоминаем или записываем его ( это есть путь к самому винлокеру, он прячется по этому адресу. )
    Меняем значения на такие, которые должны быть.

    Мы только удалили автозапуск вируса. Теперь, чтобы разблокировать windows, нужно удалить сам винлокер ( winlocker ).

    Но если его не найдете, то можете и не удалять, он все равно не запустится уже при загрузке системы.

    Для этого закрываем редактор реестра, в командной строке вводим команду explorer.exe Откроется проводник.
    Идём по пути, записанным вами ранее (тот путь, который был записан вместо верных значений), находим и удаляем винлокер ( winlocker ).
    Но вирус может прописаться в скрытых системных папках и файлах. Для этого нужно разблокировать доступ к скрытым файлам и папкам в проводнике:
    Для Windows7:
    В проводнике — упорядочить / параметры папок и поиска / вид / показывать скрытые файлы, папки и диски.
    Для Windows Xp:

    В проводнике — меню / Сервис / Свойства папки / Вид, в появившемся окне удалить галочку напротив скрывать защищённые системные файлы,
    ставим галочку показывать скрытые файлы и папки.
    [​IMG]

    Чтобы полностью разблокировать windows, идём по пути, записанным вами ранее (который был записан вместо верных значений — вместо userinit.exe или explorer.exe), находим и удаляем винлокер ( winlocker ).

    После перезагрузки компьютера проблема исчезнет.
     
    13 июл 2016 #1
    Still_Lifeless нравится это.
Top