# Форум на русском языке  > Разное  > Оффтоп  >  Защита от блокеров средствами Windows (актуально для людей не использующих HIPS).

## Ingener

Кто что об этом думает - можно ли эти нехитрые манипуляции рекомендовать обычным пользователям ПК?

*Защита от блокеров средствами Windows (актуально для людей не использующих HIPS).*
Как правило блокеры прописываются в автозагрузку модифицирую ключ запуска проводника:


```
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
```

Например внося такие изменения:


```
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\Windows\svvghost.exe"
```

Т.е. при загрузке Windows вместо проводника (explorer.exe) будет грузиться зловредный процесс (svvghost.exe) (окно которого имеет наивысшей приоритет и поэтому все остальные окна вызываемые при помощи сочетаний клавиш будут открываться за ним (не будут видны)), попутно блокер отключает диспетчер задач и модифициркет ключи запуска в безопасном режиме (SafeBoot) - поэтому без LiveCD, если вы не найдётё ключ разблокировки в интернете - разблокировать систему (удалить блокер) не получится.
Как обезапасить себя от блокеров:
1) Жмёте ПУСК - в поле выполнить вводите regedit.exe (откроется редактор реестра)
2) Переходите в редакторе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
3) Жмёте правой кнопкой мыши по Winlogon - выбираете пункт Разрешения - нажимаете Дополнительно - на вкладке Разрешения в поле Элементы разрешений щёлкаете два раза левой кнопкой мыши по очереди на правилах установленных для каждой группы пользователей - в открывшихся меню (для каждой группы пользователей) ставите галочку в столбце ЗАПРЕТИТЬ напротив строки ЗАДАНИЕ ЗНАЧЕНИЯ - ОК.
4) После того как вы выполните пункт 3 для правил установленных для всех групп пользователей - нажмите - ПРИМЕНИТЬ - ОК.
P.S. Данные изменения лучше производить после установки всех необходимых для вас программ, так как некоторый лигитимный софт также может вносить изменения в данный раздел реестра (например если мне не изменяет память программы от ЛК) - но бывает такое очень очень очень редко и если у вас возникнут проблемы при установке какого-либо софта (что вряд ли случится) - удалите созданные нами запрещающие правила - установите программу - затем заново выполните пункты с 1-го по 4-ый.
Эти нехитрые манипуляции позволят вам обезопасить компьютер от большинства блокеров и сохранят вам врямя и нервы в дальнейшем...

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Karlson

а обратно разве система даст вернуть разрешения, если поставить запрет на изменения?

----------


## Ingener

> а обратно разве система даст вернуть разрешения, если поставить запрет на изменения?


Обратно всё без проблем отбрасывается - для этого нужно удалить созданные запрещающие правила и выполнить перезагрузку.
Кстати проверил на зловредах модифицирующих ключ запуска проводника - работает безотказно - они все идут лесом)))
P.S. Можно также аналогичную тему замутить с блокированием hosts файла от изменений через групповые политики...

----------


## drongo

> можно ли эти нехитрые манипуляции рекомендовать обычным пользователям ПК?


Вряд ли, да и зачем? 
Ведь намного правильней по умолчанию сидеть под  ограниченной учётной записью, где и так этот ключ защищён от изменений.Если не защищён- то очень странная учётная запись  :Smiley: 
А вашем случае, если зловред будет иметь права администартора и так сможет обнулить ваши настройки (не так уж сложно это сделать)а потом уже прописывать хоть свою маму  :Smiley:

----------


## Ingener

> Вряд ли, да и зачем? 
> Ведь намного правильней по умолчанию сидеть под  ограниченной учётной записью, где и так этот ключ защищён от изменений.Если не защищён- то очень странная учётная запись 
> А вашем случае, если зловред будет иметь права администартора и так сможет обнулить ваши настройки (не так уж сложно это сделать)а потом уже прописывать хоть свою маму


Это всё верно - но кто из простых юзеров будет сидеть под ограниченной учётной записью - им всем права админа подавай)))
Даже если например юзер сидит в учётке с включенным UAC - что он ответит на запрос UAC о повышение привелегий... - а эти настройки смогут уберечь его от модификации зловредами ключа запуска проводника.
Насчёт того что эти настройки можно сбросить - я думаю врядли в ближайшее время появятся зловреды с таким функционалом (так как эта фича мало распространена).
Как один из рубежей обороны данная фича может будет полезна для рядового пользователя - хотя какой рядовой пользователь будет заморачиваться на эту тему)))

----------


## light59

Данный ключ используют не только зловреды.
В одном из моих мест работы я использую Runpad. И данная программа при запуске как раз таки прописываться сюда и после перезапуска системы запускается эта оболочка.  При отключении оболочки туда вносится стандартная запись. (С прошлыми версия было так, как сейчас это делается, я не знаю)
Есть ещё много других "обёрток" для системы, но их названия я уже вряд ли вспомню. Раньше дома я ставил такие программы  :Smiley:  
Если юзер поставит запрет на этот ключ, а потом ему вздумается установить одну из таких программ, то он будет разочарован.
Сидите под ограниченными учётными записями  :Smiley:

----------


## maXmo

> И данная программа при запуске как раз таки прописываться сюда и после перезапуска системы запускается эта оболочка.


И сколько раз её надо запустить, чтобы она туда прописалась?

----------


## chap

> Это всё верно - но кто из простых юзеров будет сидеть под ограниченной учётной записью - им всем права админа подавай)))


А кто не хочет сидеть(под юзером),будет клиентом раздела "Помогите". :Smiley:

----------


## VV2006

*chap*, не хочу, но и не буду.  :Wink: 
*karsaz*, столько котов в одном мешке! Удивляет сестра таланта.
Что там за образ и что за утилита, если они не снимают надобность в кодах?

----------

