... O dată, după un test de companie de produse antivirus „Doctor Web“, a remarcat, în caz de sistem Windows log o intrare interesantă: „Sursa: DwProt. Descriere: Doctor Web self protection enabled ».
În acest moment, sistemul instalat produse antivirus „Doctor Web“ nu a fost, cu toate acestea, un mesaj afirmă că Doctor Web auto-apărare este activat imediat după pornirea sistemului de operare.
Studii ulterioare incidentului a arătat că, în folderul \ WINDOWS \ system32 \ drivers \ fișier dwprot.sys este prezent (Protecție DrWeb pentru Windows; 100KB)
În acest caz, următoarele secțiuni au fost găsite în registrul Windows:
Sa dovedit că fișierul dwprot.sys este încărcat cu kernel-ul sistemului de operare (chiar și în modul de siguranță!) Și este permanent prezent în memorie. Prin urmare, în mod obișnuit, nu puteți dezactiva / dezinstala dwprot.sys. nici nu ștergeți secțiunile din registri pe care le-au creat.
Orice utilizator va fi de acord că acest lucru, așa cum spun umoristii, este "fără speranță" - când programul a fost mult timp eliminat de pe PC. iar fișierele sale sunt încărcate ca și cum nu s-ar fi întâmplat nimic și nu pot fi șterse sau deconectate.
Cum se dezactivează descărcarea fișierului dwprot.sys
Pentru a șterge fișierul dwprot.sys, utilizați un disc de recuperare de boot de salvare, cum ar fi Windows miniPE sau ERD Commander (sau conectați temporar unitatea hard disk la alt PC).
După aceea, reporniți PC-ul;
- faceți clic pe Start -> Run ... -> în caseta Open, tastați regedit-> OK;
Când ștergeți partițiile
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ Root \ LEGACY_DWPROT] apare fereastra Eroare la ștergerea secțiune cu mesajul „Nu se poate șterge LEGACY_DWPROT. Eroare la ștergerea partiției ". - faceți clic pe OK;
- Selectați meniul Editare -> Permisiuni ...;
- în fereastra Permisiuni pentru LEGACY_DWPROT, sub Grupuri sau utilizatori, selectați Toate;
- în secțiunea Permisiuni pentru toți, selectați caseta de selectare Complet control -> OK;
- ștergeți secțiunile de mai sus LEGACY_DWPROT;
Multe module de antivirusuri moderne rămân în sistem chiar și după dezinstalarea corectă a programului. În același timp, ele sunt încărcate cu kernel-ul sistemului de operare și au de fapt aceleași proprietăți ca și rootkit-urile infectate și bootkit-urile. Probabil, scriitorii de viruși vor lua în curând această nuanță pentru o notă ...
Trimiteți-le prietenilor: