Винлокер и Стиллер как из опознать и удалить сам вирус

Тема взята с other источника ,возможно будет полезной
В этой теме я хотел бы поведать Вам о таких вирусах, как стиллер (stealer) и винлокер (winlocker).

- Что же такое stealer?
Stealer - вредоносная программа, предназначенная для кражи когда-либо вводимых (сохраненных) на компьютере паролей.

- Что такое winlocker?
Winlocker - вредоносная программа, предназначенная для блокировки Windows.

- Как их распознать?
Для распознавания разного рода вирусов, в том числе и стиллеров в интернете используют сайты: virustotal.com и virusscan.jotti.org
Но не все вирусы в читах вредоносны. Дело в том, что чит сам по себе - вредоносная программа, т.к. проникает в процесс игры.
Так что на этих сайтах в проверке вирусов ищите слова Usteal либо Winlock (блокировка Windows). Если вы вдруг заметите их в
читах на нашем сайте, срочно подавайте жалобу, а лучше пишите администратору в skype: alex_shava33

- Что делать если уже поймали один из них?
Для стиллера:
Для начала (если у Вас модем) вырубаем и-нет... Далее резко вырубаем компьютер (можно с кнопки питания)...
Затем включаем компьютер, удаляем файл, проверяем антивирусом весь комп.
Если с поимки стиллера прошло достаточно много времени, а именно больше 30сек - 1мин, эти действия уже вряд ли помогут,

Для винлокера:
Тут все сложнее...
Надо узнать все ли функции операционной системы windows он заблокировал или нет.

1. Нажать комбинацию клавиш, которая открывает диспетчер задач. ( ctrl + alt + del ), завершить ненужные задачи.
2. Можно попробовать запустить меню «выполнить» сочетанием клавиш Win + R. Выполнить команду regedit, если открылся редактор реестра, то читаем дальше.
3. Если первые два варианта заблокированы, то запускаем систему в безопасном режиме. (при загрузке нажимаем F-8)
Выбираем безопасный режим с поддержкой командной строки. При запуске компьютера в безопасном режиме не запускаются никакие программы, которые прописаны в автозагрузке и запускаются автоматически.
Теперь нам надо в командной строке прописать команду regedit, чтобы запустить редактор реестра.



Далее переходим по веткам системного реестра, отвечающие за автозагрузку:

1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run
2. HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Run

Убираем ненужные и незнакомые программы, которые автоматически загружаются.
Эти программы (если есть), убирать не нужно:
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\igfxpers.exe

3. HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\Winlogon

В этом разделе реестра также содержатся значения параметров, отвечающих за автозапуск различных приложений при входе пользователя в систему:
Нам нужны параметр Shell и Userinit.



В параметре Shell должно быть прописано explorer.exe
В параметре Userinit должнен быть прописан путь к файлу userinit.exe
В моем случае ( I\ Windows\ system32\ userinit. exe, )
Если у вас система установлена на диск С, то значение будет ( C\ Windows\ system32\ userinit.exe, ) (ставится запятая после .exe)

Если в этих параметрах стоит другое значение, то запоминаем или записываем его ( это есть путь к самому винлокеру, он прячется по этому адресу. )
Меняем значения на такие, которые должны быть.

Мы только удалили автозапуск вируса. Теперь, чтобы разблокировать windows, нужно удалить сам винлокер ( winlocker ).

Но если его не найдете, то можете и не удалять, он все равно не запустится уже при загрузке системы.

Для этого закрываем редактор реестра, в командной строке вводим команду explorer.exe Откроется проводник.
Идём по пути, записанным вами ранее (тот путь, который был записан вместо верных значений), находим и удаляем винлокер ( winlocker ).
Но вирус может прописаться в скрытых системных папках и файлах. Для этого нужно разблокировать доступ к скрытым файлам и папкам в проводнике:

Для Windows7:

В проводнике — упорядочить / параметры папок и поиска / вид / показывать скрытые файлы, папки и диски.



Для Windows Xp:

В проводнике — меню / Сервис / Свойства папки / Вид, в появившемся окне удалить галочку напротив скрывать защищённые системные файлы,
ставим галочку показывать скрытые файлы и папки.



Чтобы полностью разблокировать windows, идём по пути, записанным вами ранее (который был записан вместо верных значений — вместо userinit.exe или explorer.exe), находим и удаляем винлокер ( winlocker ).

После перезагрузки компьютера проблема исчезнет.