... и еще парочка примеров:
- Вот ты знаешь что есть RunOnceEx и туда можно записаться и запуститься... ну дык запрети туда запись юзеру, например. Так же и с остальными разделами, их не больше десятка.
- или обнаружил ты в Temp файлы гаццкие. ну создай с этими именами(и расширениями) файлы-пустышки и запрети Все-м их изменять. Если создашь файл на папку, то не будет создана папка. :tomato2:

Ок. Всем спасибо.

Так же и с остальными разделами, их не больше десятка. »
Iska последовательно снимает в Autoruns флажки Hide Empty Locations, Hide Microsoft Entries, Hide Windows Entries и, глядя на безразмерно расползающийся список, мерзко хихикает.

или обнаружил ты в Temp файлы гаццкие. ну создай с этими именами(и расширениями) файлы-пустышки и запрети Все-м их изменять. »
Это не выход. Ср. «Представьте справки со всех стран, где Вы не были!»

Если создашь файл на папку, то не будет создана папка. »
Да ну? Некоторые уже научились предварительно просто удалять файл.

в реестре записи прописываются в ветки не только HKCU, но и в
[HKEY_CLASSES_ROOT\CLSID\{8E8F97CD-60B5-456F-A201-73065652D099}]
@="Поиск@Mail.Ru"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C69276F0-9BC1-404F-8566-FCB14D0ED4B8}] »Чтоб инсталлятор записывал без запроса прав это нонсенс.

Запустите командную строку (не от имени администратора) и выполните:
REG ADD "HKLM\SOFTWARE\NOPROGRAMM"
REG ADD "HKCR\NOPROGRAMM"
REG ADD "HKCU\Software\NOPROGRAMM"
При выполнении первых двух последует ошибка: Отказано в доступе.

Учтите тот момент, под какими правами запущена основная оболочка (Не зависимо от того, что это: "Меню" или "Инсталляционный пакет с компонентами").
Если было запущено с правами администратора, то и последующее выполнение происходит с теми же правами.
Вот пример (https://yadi.sk/d/CnNK2JLb33DXYF) инсталляционного пакета - который не требует повышения прав для его запуска, но в нём есть два компонета:
1. При выполнении потребует повешение прав для выполнения.
2. При выполнении не потребует повешение прав для выполнения т.к установка рассчитана на текущего пльзователя.

Если первоначально (например Яндекс.Браузер) потребует повышение прав, то: это есть повод иметь подозрения на то, что требуется запись данных в раздел реестра HKLM. При этом заметьте, что: Установка происходит в папку профиля пользователя а не например в "C:\Program Files".

Чтоб инсталлятор записывал без запроса прав это нонсенс. »
Это не нонсенс, это сказки.

тыц »
А толку от тыцанья, если ссылка битая? "www.evilfingers.com/ErrorPages/404.php"
Если уж тыцаете, то хотя бы с толком

ссылка битая? »av-test-drive.pdf (https://www.evilfingers.com/publications/research_RU/av-test-drive.pdf)

Это не нонсенс, это сказки. »
Попробуйте запустить на выполнение, а потом поищите в реестре места, куда прописывается. Это для примера.
http://win-torrent.net/windows_10_torrent/3319-windows-10-professional-vl-x86-x64-1607-ru-by-ovgorskiy-dekabr-2016-2dvd.html
Повторю, может на windows pro все правильно и красиво, но вот у меня на "windows 8.1 для одного языка", до применения полученных здесь советов, именно это и было, это из моего реестра взяты строки
[HKEY_CLASSES_ROOT\CLSID\{8E8F97CD-60B5-456F-A201-73065652D099}]
@="Поиск@Mail.Ru"
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{C69276F0-9BC1-404F-8566-FCB14D0ED4B8}]

мерзко хихикает. »
хехе..., ну так-то, разделов куда пишутся 95% всех программ, адваре и прочей гадости(и не гадости тоже) реально не больше десяти. Пару разделов Run (в HKCU / HKLM). пару разделов Winlogon, особый список HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\(load||run). да папка Автозагрузки. В общем все.
Остальное это службы-драйверы, куда при норм. условиях, доступа группе юзеры на запись нету.
Да ну? Некоторые уже научились предварительно просто удалять файл. »
ага. знаю. можно сделать всё равно, будет трошки палки в колёса для тех кто не умеет. Да и ежли задать правила Запрета, они в приоритете. На флешках работает эта штука.
В случае урезанной винды + отсутствия HIPS и AppLocker + юзер не шарит - надо как-то, толпой(скопом), это все громоздить, что-то да сработает.
gorill, ну названиеж есть. поправил(не прально скопировал), там статейка. вообще мыщъх-а лублу :) классно и понятно пишет. Потом всяких Руссиновичей читать гораздо понятней.

Попробуйте запустить на выполнение, а потом поищите в реестре места, куда прописывается. »
ну, у мя это все было отловлено и хипсом и файером. Хипс накричал что приблуда желает создать процесс и проч. + файер заблочил его порывы в интронэт и оно упало с ошибкой.
Ставь норм. файер с проактивкой, делай юзеру запрет на запись в кусты реестра и сойдёт.
потом пустил его в итронэты, оно насоздавало кучу процессов по типу хромого, закачало Спутника и Юнайти какой-то плеер. Все тянуло с _compute.amazonaws.com_ :
"C:\Users\user_name\Downloads\exe\Windows-10-Professional.torrent.exe" --silent --rfr=811034 --ua_rfr=CHANNEL_eco --make_default=1 --partner_new_url=http://ec2-54-229-84-172.eu-west-1.compute.amazonaws.com/v_install?sid=16045&guid=$__GUID&sig=$__SIG&ovr=$__OVR&amigo=1&label=811034&aux=91338544 --partner_firstonline_url=http://ec2-54-229-84-172.eu-west-1.compute.amazonaws.com/v_touch?guid=$__GUID&sig=$__SIG --ils=30
думаю его тоже можно в блок на файере закинуть.
Вообще, думаю, ежели ты тянул торрент, а тебе заместо торрента дали исполняемый файл... и ты его запустил в 2016г, - то это естественный отбор :lol:

x0r,
Я эту "штуку" использовал для проверки на предмет защиты. Я во втором своем посте описал ситуацию именно с псевдо-торрентом, из-за чего вопрос возник.
Вобщем удалось локализовать установку на профиль пользователя. После,если что, запускаю AdwCleaner, и он удаляет весь хлам. Не знаю что и как дальше будет.

Попробуйте запустить на выполнение, а потом поищите в реестре места, куда прописывается. Это для примера. »
Ну, торрент-файл как торрент-файл. Что не так?

Ладно, пользователь у нас тупой ССЗБ, бродит по всяким гадюшникам и клоповникам, загружает всякую дрянь вида MediaGet_*.exe. И что? Вот я загрузил, запустил на исполнение. И ничего ни под системой, ни под административным пользователем не поменялось. По слогам: НИ-ЧЕ-ГО. Может быть, что-то поменялось под простым пользователем Васей? Чудеса — и тут ничего. Почему? Потому что я а) выбрал Custom-настройку инсталляции и снял все флажки — слева, справа и снизу, б) на запрос встроенного в ОС фаерволла, пускать ли приложение в сеть — отклонил.

Я, конечно, могу пустить его в сеть, не снимать флажки, поставить всю кучу мутотени, в том числе и от Mail.RU, но ничего не изменится: все потуги приложения под простым пользователем останутся ограниченными его собственным профилем.

Почему? Потому что я а) выбрал Custom-настройку инсталляции и снял все флажки — слева, справа и снизу, б) на запрос встроенного в ОС фаерволла, пускать ли приложение в сеть — отклонил. »

Я ВАС услышал. Вы - грамотный пользователь, компьютер к вам на ВЫ обращается. Это я понял, хотя бы потому, что вижу цифирки в вашем профиле. Я может и не крут, как Вы, но, как мне кажется, вопрос я сформулировал грамотно? Я тоже ничего не запущу на компе, в чем не уверен, и уж никак не спутаю расширения .torrent и .exe
Или мне мой второй пост тоже по слогам процитировать? Вы, похоже, даже мысли допустить не можете, что в 2016-м году есть люди, для которых даже настроить каналы на смарт-тв в авторежиме проблема, сравнимая с полетом на Марс. Вопрос был простой. Комп настроен, установлено все, что нужно, можно ли защитить его от "дурака"?

все потуги приложения под простым пользователем останутся ограниченными его собственным профилем. »
А мне надо, чтоб и в этом случае админский запрет действовал. Я и интересовался КАК это реализовать?

Спасибо всем. Продолжение дискуссии в стиле "топикастер ламер, мы умны" не интересо. Если решения нет, вопрос можно считать закрытым
С уважением.

Да и не будет решения. Забейте. Если этот человек ваш родственник, которому вы готовы всегда помогать, то поставьте teamviewer и помогайте по мере необходимости без наставлений. Пусть пользователь будет свободным. Посещает сайты какие хочет, кликает туда, куда ему захочется. Чего вы все запретительные меры вводите?
Можете после установки и настройки создать образ. Испортится, раскатаете его заново. И дело с концом.
Я своим клиентам так и говорю - пользуйтесь компьютером так, как посчитаете нужным.
А все почему? Потому, что на 100% защищен только калькулятор.
Я своим клиентам устанавливаю eset c обязательным включением следующих модулей и автоматической очисткой:
http://s016.radikal.ru/i335/1612/51/2dd438154375.jpg (http://radikal.ru)
Ну а если произошла проблема, то решаю ее очень просто через teamviewer с помощью 2-х утилит.
1. SmartFix от simplix
2. Adwcleaner
Такая связка позволяет устранить 99% проблем. и занимает мало времени.

ссылка на изображение, размер: 5.75 Мбайт, x точек (http://savepic.net/8668512.htm)
Вот, чем вам не защита на гифке по ссылке?

lex7868, ты либо не понял, либо не хочешь понять. Мы тебе на твоём примере показали что:
- такой способ адваре запретить не получится в твоем случае(при отсуццтвии AppLocker) ибо ничего плохого оно не делает. Обычная установка программм-НЕ-вирусов, не шпионов. потому оно поставится, ежели не снять галочки-пимпочки. И ни один АВ его не булет ловить, ибо это не троян.
- все подобные способы у всех подобных тулзах тянут свои файлы из интронэта. И при его отсутствии ничего не поставят(есть продвинутые, кот-е пишут задания на загрузку и дальнейшуют установку, но им тоже нужно в интронэт)
Кстати, твой пример так же создает задание с именем \internetDA, где по таймеру вызывает страницу в бравзере.
Т.е. все эти способы не имитируют поведение вирусов-троянов и не попадают под "нарушение прав пользователя", потому выполняются без проблем.
Я вот единственное не уверен, как запретить юзеру создавать задания. А в остальном - поможет настроенный файер. Не в режиме по-умолчанию, а строгой политики: запрещено всё, что не разрешено.
Ты настрой юзеру несколько правил: бравзер, почто, оболочка Стим(или другая, если нада) плееров парочку и все, остальное запрети.
Тоже и если в нем есть HIPS. создание процессов разрешить только для тех , кому они нужны. например Хромо-бравзеры, plugin-conteiner(если firefox) и т.д.

lex7868, Проверенный рецепт для "блондинко":
1. Установить и заставить пользоваться браузером Firefox или на крайний случай Хромом, но с обязательным расширением uBlock Origin - реклама и баннеры не пролезут.
2. Использовать программу Unchecky (https://unchecky.com/) - автоматом будет снимать галочки с опций установки стороннего хлама.
3. Если же зараза уже прорвалась - использовать что-нибудь от Zemana.

Ещё пк можно защитить от дурака :) выставив контроль учётных записей на максимум и установить доктор веб и настроить то же на максимум (но в приделах разумного) и поверьте вся эта меил с яндексами на пк не прорвётся (доктор это блокирует), и судя по тому что в 2016-м году есть люди, для которых даже настроить каналы на смарт-тв в авторежиме проблема, сравнимая с полетом на Марс » он наврядли что то сможет изменить.

Очень понимаю негодование автора темы по этому вопросу. Mail и Амиго это только начало всех бед с компом, в дальнейшем они столько гадости за собой влекут, что никакие смартфиксы, чистильщики и даже антивирусы не помогают. Если дело запустить, то комп со временем будет загружен на 100% совершенно ненужными пользователю процессами, также как и интернет канал, и неважно насколько мощный комп, а если речь о простеньком ноутбуке, коими пользуется большинство, то вообще труба.
Решение проблемы, как уже и писали выше:
1. Антивирус с обнаружением потенциально нежелательных приложений - Avast - он бесплатный. В настройках надо включить обнаружение ПНП.
2. Unchecky - снимает лишние галочки при установке софта.
3. Adguard - блокирует не только рекламу.. Качайте с бабочки полную версию, с кряком. Полная версия в отличие от дополнения самостоятельно интегрируется во все браузеры (на случай если блондинка решила что Амиго и ему подобные лучше чем Гугл Хром).
4. Пропишите в свойствах сетевого адаптера ДНС Яндекса, с защитой от мошеннических сайтов и вирусов.

А еще лучше установить Яндекс. Браузер и строго настрого запретить пользоваться другими браузерами. В Яндексе идет проверка каждого скачанного файла самим браузером.

3. Adguard - блокирует не только рекламу.. Качайте с бабочки полную версию, с кряком. » не надо советов ерунду, adguard это даже не каспер с ним этот номер не пройдёт и этот кряк очень быстро вычеслят, программа перестанет получать обновления фильтров, в итоге удаление программы может быть некорректной, даже если использовать спец утилиту и как результат переустановка системы (если нет резервной копии), это что слишком высокая цена за вечную лицензию? https://adguard.com/ru/license.html?aid=18694#new//1/PREMIUM/36500/2/. Аваст толком пнп не блокирует, у разрабов своё мнение что является пнп а что нет, из всех (что я проверял) корректно блокирует только доктор. Если Вы пользуетесь файлопомойками/трекерами коим является бабочка, не надо советовать другим, пользуетесь, Вас устраивает и пользуйтесь на здоровье.
Суть трекера, это когда собралось пару тройку человек и решили побыстрому срубить бабла, организовали трекер, нашли лоха (лох здесь и далее стоит понимать так что это совсем не недалёкий человек, просто он думает что то что он делает это правильно и он чего то стоит) релизёра, лоха хранителя (тот кто поддерживает раздачи 24/7 используя своё оборудовании), выставили им требования (что он должен иметь (объём hdd, ширина канала), сколько и каких релизов он должен сделать), внушили что правообладатели & разработчики это гады которые снимают последние штаны с человека а вот ОНИ ангелы в земном обличии, ну модератора для проверки релизов и что бы за порядком следил, чем больше на трекере релизов и чем больше посещаемость, тем дороже рекламное место (это к примеру и это напрямую касается бабочки), всё вперёд за орденами.

не надо советов ерунду, adguard это даже не каспер с ним этот номер не пройдёт и этот кряк очень быстро вычеслят, программа перестанет получать обновления фильтров, в итоге удаление программы может быть некорректной, даже если использовать спец утилиту и как результат переустановка системы (если нет резервной копии), это что слишком высокая цена за вечную лицензию? https://adguard.com/ru/license.html?...EMIUM/36500/2/. Аваст толком пнп не блокирует, у разрабов своё мнение что является пнп а что нет, из всех (что я проверял) корректно блокирует только доктор. Если Вы пользуетесь файлопомойками/трекерами коим является бабочка, не надо советовать другим, пользуетесь, Вас устраивает и пользуйтесь на здоровье. »
Так я и не утверждаю, что Adguard какой-то супер крутой антивирус, который всю нечисть блокирует. Но как дополнение к антивирусу, вещь очень даже хорошая, особенно в случаях, когда пользователи любят установить тысячу и один браузер, и не могут самостоятельно установить дополнение типа Adblock.
А дальше вот вы ерунду пишите. Я недавно устанавливал себе эту программу, крякнул, фильтры обновлялись, версия устарела, скачал с оф. сайта онлайн установщик, обновил по верх старой. Всё прекрасно работало, даже кряк не слетел. Затем из-за ненадобности, удалил эту программу без всяких танцев. Ни каких проблем, вообще. Так что не надо ля-ля, проверено лично. А вот вам видимо 1 раз попалась какая-то левая софтина с трекера, и теперь у вас сформировалось предвзятое неадекватное суждение по поводу трекеров, и крякнутых программ.
Из антивирусов выбор падает на Аваст, т.к. это один из немногих бесплатных толковых антивирусов. Доктор может и лучше, но он платный.

И еще, не надо приравнивать трекеры к файлопомойкам, это совершенно разные сайты.