Защита от блокеров средствами Windows (актуально для людей не использующих HIPS).

Кто что об этом думает - можно ли эти нехитрые манипуляции рекомендовать обычным пользователям ПК?

[B]Защита от блокеров средствами Windows (актуально для людей не использующих HIPS).[/B]
Как правило блокеры прописываются в автозагрузку модифицирую ключ запуска проводника:
[code][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"[/code]
Например внося такие изменения:
[code][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="C:\Windows\svvghost.exe"[/code]
Т.е. при загрузке Windows вместо проводника (explorer.exe) будет грузиться зловредный процесс (svvghost.exe) (окно которого имеет наивысшей приоритет и поэтому все остальные окна вызываемые при помощи сочетаний клавиш будут открываться за ним (не будут видны)), попутно блокер отключает диспетчер задач и модифициркет ключи запуска в безопасном режиме (SafeBoot) - поэтому без LiveCD, если вы не найдётё ключ разблокировки в интернете - разблокировать систему (удалить блокер) не получится.
Как обезапасить себя от блокеров:
1) Жмёте ПУСК - в поле выполнить вводите regedit.exe (откроется редактор реестра)
2) Переходите в редакторе реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
3) Жмёте правой кнопкой мыши по Winlogon - выбираете пункт Разрешения - нажимаете Дополнительно - на вкладке Разрешения в поле Элементы разрешений щёлкаете два раза левой кнопкой мыши по очереди на правилах установленных для каждой группы пользователей - в открывшихся меню (для каждой группы пользователей) ставите галочку в столбце ЗАПРЕТИТЬ напротив строки ЗАДАНИЕ ЗНАЧЕНИЯ - ОК.
4) После того как вы выполните пункт 3 для правил установленных для всех групп пользователей - нажмите - ПРИМЕНИТЬ - ОК.
P.S. Данные изменения лучше производить после установки всех необходимых для вас программ, так как некоторый лигитимный софт также может вносить изменения в данный раздел реестра (например если мне не изменяет память программы от ЛК) - но бывает такое очень очень очень редко и если у вас возникнут проблемы при установке какого-либо софта (что вряд ли случится) - удалите созданные нами запрещающие правила - установите программу - затем заново выполните пункты с 1-го по 4-ый.
Эти нехитрые манипуляции позволят вам обезопасить компьютер от большинства блокеров и сохранят вам врямя и нервы в дальнейшем...

а обратно разве система даст вернуть разрешения, если поставить запрет на изменения?

[QUOTE=Karlson;475008]а обратно разве система даст вернуть разрешения, если поставить запрет на изменения?[/QUOTE]
Обратно всё без проблем отбрасывается - для этого нужно удалить созданные запрещающие правила и выполнить перезагрузку.
Кстати проверил на зловредах модифицирующих ключ запуска проводника - работает безотказно - они все идут лесом)))
P.S. Можно также аналогичную тему замутить с блокированием hosts файла от изменений через групповые политики...

[QUOTE=Ingener;475001]можно ли эти нехитрые манипуляции рекомендовать обычным пользователям ПК?

[/QUOTE]
Вряд ли, да и зачем?
Ведь намного правильней по умолчанию сидеть под ограниченной учётной записью, где и так этот ключ защищён от изменений.Если не защищён- то очень странная учётная запись :)
А вашем случае, если зловред будет иметь права администартора и так сможет обнулить ваши настройки (не так уж сложно это сделать)а потом уже прописывать хоть свою маму :)

[QUOTE=drongo;475250]Вряд ли, да и зачем?
Ведь намного правильней по умолчанию сидеть под ограниченной учётной записью, где и так этот ключ защищён от изменений.Если не защищён- то очень странная учётная запись :)
А вашем случае, если зловред будет иметь права администартора и так сможет обнулить ваши настройки (не так уж сложно это сделать)а потом уже прописывать хоть свою маму :)[/QUOTE]
Это всё верно - но кто из простых юзеров будет сидеть под ограниченной учётной записью - им всем права админа подавай)))
Даже если например юзер сидит в учётке с включенным UAC - что он ответит на запрос UAC о повышение привелегий... - а эти настройки смогут уберечь его от модификации зловредами ключа запуска проводника.
Насчёт того что эти настройки можно сбросить - я думаю врядли в ближайшее время появятся зловреды с таким функционалом (так как эта фича мало распространена).
Как один из рубежей обороны данная фича может будет полезна для рядового пользователя - хотя какой рядовой пользователь будет заморачиваться на эту тему)))

Данный ключ используют не только зловреды.
В одном из моих мест работы я использую Runpad. И данная программа при запуске как раз таки прописываться сюда и после перезапуска системы запускается эта оболочка. При отключении оболочки туда вносится стандартная запись. (С прошлыми версия было так, как сейчас это делается, я не знаю)
Есть ещё много других "обёрток" для системы, но их названия я уже вряд ли вспомню. Раньше дома я ставил такие программы :)
Если юзер поставит запрет на этот ключ, а потом ему вздумается установить одну из таких программ, то он будет разочарован.
Сидите под ограниченными учётными записями :)

[QUOTE='light59;475657']И данная программа при запуске как раз таки прописываться сюда и после перезапуска системы запускается эта оболочка.[/QUOTE]И сколько раз её надо запустить, чтобы она туда прописалась?

[QUOTE='Ingener;475352']Это всё верно - но кто из простых юзеров будет сидеть под ограниченной учётной записью - им всем права админа подавай)))[/QUOTE]

А кто не хочет сидеть(под юзером),будет клиентом раздела "Помогите".:)

[B]chap[/B], не хочу, но и не буду. ;)
[B]karsaz[/B], столько котов в одном мешке! Удивляет сестра таланта.
Что там за образ и что за утилита, если они не снимают надобность в кодах?