Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Форум технической поддержки Полезная информация

[ Закрыто ] Рекомендации по настройке HIPS для защиты от winlock (блокеров)

1
RSS
 
Валентин
Валентин
Администратор
Сообщений: 5198
Баллов: 4168
Регистрация: 12.05.2010
Размещено 07.12.2011 11:02:25
Для защиты от блокеров (применимо к пятой версии продукта):

Откройте антивирус, перейдите в раздел Настройки - Перейти к дополнительным настройкам.
Выберите Компьютер - Система предотвращения вторжения на узел. Далее - Конфигурировать правила - Создать.
Необходимо поочерёдно создать следующие правила (Конечный реестр - Операции - Использовать для всех операций,
галочка уведомить пользователя, правило активно, Действие - блокировать)

Над этими записями реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe\*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\*

Аналогично, но Действие - Запросить для ветки реестра:

HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

Для запроса на внесения в автозагрузку:

Создайте следующее правило: Конечный реестр - Операции - Изменить параметры запуска - галочка уведомить пользователя, правило активно, Действие - запросить.

Для всех записей реестра.

Для запроса на изменение файла HOSTS:

Создайте следующее правило: Конечные файлы - Операции - Удалить файл, Выполнить запись в файл - галочка уведомить пользователя, правило активно, Действие - запросить.

Над этими файлами:
C:\Windows\System32\drivers\etc\hosts
Изменено: Валентин - 23.01.2013 14:02:17
ESET Technical Support
 
Валентин
Валентин
Администратор
Сообщений: 5198
Баллов: 4168
Регистрация: 12.05.2010
Размещено 28.05.2012 17:38:17
Добавил в рекомендации следующий пункт:

Конечный реестр - Операции - Использовать для всех операций, галочка уведомить пользователя, правило активно, Действие - запросить над записью реестра:
HKEY_USERS\*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

Настоятельно рекомендую всем, кто использует HIPS для профилактики заражения WinLock, добавить это правило.
Правило предусмотрено для защиты этой ветки реестра: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\­Run\ и задаётся не стандартным образом.
ESET Technical Support
 
Валентин
Валентин
Администратор
Сообщений: 5198
Баллов: 4168
Регистрация: 12.05.2010
Размещено 23.01.2013 14:01:19
Добавил в рекомендации следующий пункт:

Цитата
Для запрета на изменение файла HOSTS:

Создайте следующее правило: Конечные файлы - Операции - Удалить файл, Выполнить запись в файл - галочка уведомить пользователя, правило активно, Действие - запросить.

Над этими файлами:
C:\Windows\System32\drivers\etc\hosts
Будет полезно для защиты от одной из разновидностей банеров - вымогателей, которые появляются сразу же после открытии интернет - браузера.
ESET Technical Support
 
1
Читают тему