... Якось після чергового тестування антивірусних продуктів компанії «Доктор Веб» зауважив в системному журналі подій Windows цікавий запис: «Джерело: DwProt. Опис: Doctor Web self protection enabled ».
До цього моменту в системі встановлених антивірусних продуктів «Доктор Веб» не було, однак повідомлення говорило, що самозахист Doctor Web включена відразу після запуску ОС.
Подальше вивчення інциденту показало, що в папці \ WINDOWS \ system32 \ drivers \ наявний файл dwprot.sys (DrWeb Protection for Windows; 100 Кб):
При цьому в Реєстрі Windows були виявлені наступні розділи:
Виявилося, що файл dwprot.sys вантажиться разом з ядром операційної системи (навіть в безпечному режимі!) І постійно присутня в пам'яті. Тому звичайним шляхом не вдасться ні відключити / видалити dwprot.sys. ні видалити створені ним розділи Реєстру.
Будь-який користувач погодиться з тим, що це, як кажуть гумористи, «беспердел», - коли програма давно видалена з ПК. а її файли вантажаться як ні в чому не бувало, і їх не можна ні видалити, ні відключити.
Як відключити завантаження файлу dwprot.sys
Для видалення файлу dwprot.sys скористайтеся завантажувальним аварійно-відновлювальних диском, типу Windows miniPE або ERD Commander (або тимчасово підключіть жорсткий диск до іншого ПК).
Після цього перезавантажте ПК;
- натисніть Пуск -> Виконати ... -> в полі Відкрити введіть regedit-> OK;
При видаленні розділів
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ Root \ LEGACY_DWPROT] з'явиться вікно Помилка при видаленні розділу з повідомленням «Не вдається видалити LEGACY_DWPROT. Помилка при видаленні розділу ». - натисніть OK;
- виберіть меню Правка -> Дозволи ...;
- у вікні Дозволи для LEGACY_DWPROT в розділі Групи або користувачі виділіть Все;
- в розділі Дозволи для Все встановіть прапорець Повний доступ -> OK;
- видаліть вищевказані розділи LEGACY_DWPROT;
Багато модулі сучасних антивірусів залишаються в системі навіть після коректної унінсталляціі програми. При цьому вони вантажаться разом з ядром операційної системи і фактично володіють тими ж властивостями, що і сумнозвісні руткіти і буткіти. Ймовірно, скоро вирусописатели візьмуть цей нюанс на замітку ...