Как отключить загрузку файла dwprot.sys, или Оборотная сторона тестирования антивируса «Доктор Веб»
Добавлено: 07.06.2024 | Обновлено: 07.06.2024
*** …Как-то после очередного заметил в интересную запись: «Источник: DwProt. Описание: Doctor Web self protection enabled».
К этому моменту в системе установленных продуктов «Доктор Веб» не было, однако сообщение гласило, что самозащита Doctor Web включена сразу после запуска .
Дальнейшее изучение инцидента показало, что в папке \WINDOWS\system32\drivers\ наличествует файл dwprot.sys (DrWeb Protection for Windows; 100КБ):
При этом в были обнаружены следующие разделы: – [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DWPROT]; – [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DwProt]; – [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\System\DwProt]; – [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DWPROT]; – [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DwProt]; – [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWPROT]; – [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DwProt].
Оказалось, что файл dwprot.sys грузится вместе с ядром операционной системы (даже в !) и постоянно присутствует в памяти. Поэтому обычным путём не удастся ни отключить/удалить dwprot.sys, ни удалить созданные им разделы :
Любой согласится с тем, что это, как говорят юмористы, «беспердел», – когда программа давно удалена с , а её файлы грузятся как ни в чём не бывало, и их нельзя ни удалить, ни отключить!..
*** Как отключить загрузку файла dwprot.sys Для удаления файла dwprot.sys воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander (или временно подключите жёсткий диск к другому ).
После этого перезагрузите ; – нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK; – в окне Редактор реестра найдите и удалите разделы: – [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DWPROT]; – [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DwProt]; – [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\System\DwProt]; – [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DWPROT]; – [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DwProt]; – [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWPROT]; – [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DwProt].
При удалении разделов [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DWPROT], [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DWPROT], [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWPROT] появится окно Ошибка при удалении раздела с сообщением «Не удается удалить LEGACY_DWPROT. Ошибка при удалении раздела», – нажмите OK; – выберите меню Правка –> Разрешения…; – в окне Разрешения для LEGACY_DWPROT в разделе Группы или пользователи выделите Все;
– в разделе Разрешения для Все установите флажок Полный доступ –> OK; – удалите вышеуказанные разделы LEGACY_DWPROT; – закройте Редактор реестра.
*** Вместо послесловия Многие модули современных антивирусов остаются в системе даже после корректной унинсталляции программы. При этом они грузятся вместе с ядром операционной системы и фактически обладают теми же свойствами, что и печально известные руткиты и буткиты. Вероятно, скоро вирусописатели возьмут этот нюанс на заметку…
Сидоров
*** • • • • • •
|