*** …Как-то после очередного тестирования антивирусных продуктов компании «Доктор Веб» заметил в системном журнале событий Windows интересную запись: «Источник: DwProt. Описание: Doctor Web self protection enabled».
К этому моменту в системе установленных антивирусных продуктов «Доктор Веб» не было, однако сообщение гласило, что самозащита Doctor Web включена сразу после запуска ОС.
Дальнейшее изучение инцидента показало, что в папке \WINDOWS\system32\drivers\ наличествует файл dwprot.sys (DrWeb Protection for Windows; 100КБ):
При этом в Реестре Windows были обнаружены следующие разделы: – [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DWPROT]; – [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DwProt]; – [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\System\DwProt]; – [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DWPROT]; – [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DwProt]; – [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWPROT]; – [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DwProt].
Оказалось, что файл dwprot.sys грузится вместе с ядром операционной системы (даже в Безопасном режиме!) и постоянно присутствует в памяти. Поэтому обычным путём не удастся ни отключить/удалить dwprot.sys, ни удалить созданные им разделы Реестра:
Любой пользователь согласится с тем, что это, как говорят юмористы, «беспердел», – когда программа давно удалена с ПК, а её файлы грузятся как ни в чём не бывало, и их нельзя ни удалить, ни отключить!..
*** Как отключить загрузку файла dwprot.sys Для удаления файла dwprot.sys воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander (или временно подключите жёсткий диск к другому ПК).
После этого перезагрузите ПК; – нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK; – в окне Редактор реестра найдите и удалите разделы: – [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DWPROT]; – [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DwProt]; – [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\System\DwProt]; – [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DWPROT]; – [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DwProt]; – [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWPROT]; – [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DwProt].
При удалении разделов [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DWPROT], [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DWPROT], [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWPROT] появится окно Ошибка при удалении раздела с сообщением «Не удается удалить LEGACY_DWPROT. Ошибка при удалении раздела», – нажмите OK; – выберите меню Правка –> Разрешения…; – в окне Разрешения для LEGACY_DWPROT в разделе Группы или пользователи выделите Все;
– в разделе Разрешения для Все установите флажок Полный доступ –> OK; – удалите вышеуказанные разделы LEGACY_DWPROT; – закройте Редактор реестра.
*** Вместо послесловия Многие модули современных антивирусов остаются в системе даже после корректной унинсталляции программы. При этом они грузятся вместе с ядром операционной системы и фактически обладают теми же свойствами, что и печально известные руткиты и буткиты. Вероятно, скоро вирусописатели возьмут этот нюанс на заметку…
Валерий Сидоров
*** • Дело о… • Apple = iСтив + iPod + iPhone + iPad + iTunes + iMac + … • Apps for iPad, iPhone, iPod touch…
|
18+
© 2017. All rights reserved.
Авторство всех материалов сайта https://netler.ru принадлежит Валерию Сидорову и охраняется Законом о защите авторских прав. Использование материалов сайта в offline-изданиях без согласования с автором категорически запрещается. В online-изданиях разрешается использовать материалы сайта при условии сохранения имени и фамилии автора и активной гиперссылки на сайт https://netler.ru.