***
…Как-то после очередного тестирования антивирусных продуктов компании «Доктор Веб» заметил в системном журнале событий Windows интересную запись: «Источник: DwProt. Описание: Doctor Web self protection enabled».
К этому моменту в системе установленных антивирусных продуктов «Доктор Веб» не было, однако сообщение гласило, что самозащита Doctor Web включена сразу после запуска ОС.
Дальнейшее изучение инцидента показало, что в папке \WINDOWS\system32\drivers\ наличествует файл dwprot.sys (DrWeb Protection for Windows; 100КБ):
При этом в Реестре Windows были обнаружены следующие разделы:
– [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DWPROT];
– [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DwProt];
– [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\System\DwProt];
– [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DWPROT];
– [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DwProt];
– [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWPROT];
– [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DwProt].
Оказалось, что файл dwprot.sys грузится вместе с ядром операционной системы (даже в Безопасном режиме!) и постоянно присутствует в памяти. Поэтому обычным путём не удастся ни отключить/удалить dwprot.sys, ни удалить созданные им разделы Реестра:
Любой пользователь согласится с тем, что это, как говорят юмористы, «беспердел», – когда программа давно удалена с ПК, а её файлы грузятся как ни в чём не бывало, и их нельзя ни удалить, ни отключить!..
***
Как отключить загрузку файла dwprot.sys
Для удаления файла dwprot.sys воспользуйтесь загрузочным аварийно-восстановительным диском, типа Windows miniPE или ERD Commander (или временно подключите жёсткий диск к другому ПК).
После этого перезагрузите ПК;
– нажмите Пуск –> Выполнить… –> в поле Открыть введите regedit –> OK;
– в окне Редактор реестра найдите и удалите разделы:
– [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DWPROT];
– [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DwProt];
– [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Eventlog\System\DwProt];
– [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DWPROT];
– [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DwProt];
– [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWPROT];
– [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DwProt].
При удалении разделов
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DWPROT],
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DWPROT],
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWPROT] появится окно Ошибка при удалении раздела с сообщением «Не удается удалить LEGACY_DWPROT. Ошибка при удалении раздела», – нажмите OK;
– выберите меню Правка –> Разрешения…;
– в окне Разрешения для LEGACY_DWPROT в разделе Группы или пользователи выделите Все;
– в разделе Разрешения для Все установите флажок Полный доступ –> OK;
– удалите вышеуказанные разделы LEGACY_DWPROT;
– закройте Редактор реестра.
***
Вместо послесловия
Многие модули современных антивирусов остаются в системе даже после корректной унинсталляции программы. При этом они грузятся вместе с ядром операционной системы и фактически обладают теми же свойствами, что и печально известные руткиты и буткиты. Вероятно, скоро вирусописатели возьмут этот нюанс на заметку…