Страницы: 1
RSS
[ Закрыто ] Рекомендации по настройке HIPS для защиты от winlock (блокеров)
 
Для защиты от блокеров (применимо к пятой версии продукта):

Откройте антивирус, перейдите в раздел Настройки - Перейти к дополнительным настройкам.
Выберите Компьютер - Система предотвращения вторжения на узел. Далее - Конфигурировать правила - Создать.
Необходимо поочерёдно создать следующие правила (Конечный реестр - Операции - Использовать для всех операций,
галочка уведомить пользователя, правило активно, Действие - блокировать)

Над этими записями реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\*

Аналогично, но Действие - Запросить для ветки реестра:

HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

Для запроса на внесения в автозагрузку:

Создайте следующее правило: Конечный реестр - Операции - Изменить параметры запуска - галочка уведомить пользователя, правило активно, Действие - запросить.

Для всех записей реестра.

Для запроса на изменение файла HOSTS:

Создайте следующее правило: Конечные файлы - Операции - Удалить файл, Выполнить запись в файл - галочка уведомить пользователя, правило активно, Действие - запросить.

Над этими файлами:
C:\Windows\System32\drivers\etc\hosts
Изменено: Валентин - 23.01.2013 14:02:17
ESET Technical Support
 
Добавил в рекомендации следующий пункт:

Конечный реестр - Операции - Использовать для всех операций, галочка уведомить пользователя, правило активно, Действие - запросить над записью реестра:
HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

Настоятельно рекомендую всем, кто использует HIPS для профилактики заражения WinLock, добавить это правило.
Правило предусмотрено для защиты этой ветки реестра: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Run\ и задаётся не стандартным образом.
ESET Technical Support
 
Добавил в рекомендации следующий пункт:

Цитата
Для запрета на изменение файла HOSTS:

Создайте следующее правило: Конечные файлы - Операции - Удалить файл, Выполнить запись в файл - галочка уведомить пользователя, правило активно, Действие - запросить.

Над этими файлами:
C:\Windows\System32\drivers\etc\hosts
Будет полезно для защиты от одной из разновидностей банеров - вымогателей, которые появляются сразу же после открытии интернет - браузера.
ESET Technical Support
Страницы: 1
Читают тему (гостей: 1)