slavaonly
Есть способы которые позволяют заблокировать запуск в любой папке - по хешу файла. Но и это можно обойти, нужно лишь чуть подправить файл в hex-редакторе.
Поэтому строгое решение для твоего случая - создание списка разрешенных программ, и блокирование всего остального. Ограничение пользователя в правах. Дополнительно, чтобы исключить использование ERD Commander и аналогов - запрет загрузки с внешних носителей через BIOS/UEFI, и установка туда пароля на вход.
http://stopmalware.kz/showthread.php?t=1398