Hogyan lehet letiltani a fájl letöltését vagy a víruskereső "Doctor Web" tesztelésének hátoldalát?
Valahogy, a vírusvédelmi termékek további tesztelése után, a Doctor Web érdekes bejegyzést észlelt a Windows rendszer eseménynaplójában: "Forrás: DwProt. Leírás: Doctor Webes önvédelem engedélyezve ».
Ezen a ponton nem volt telepítve Dr.Web anti-vírus termék a rendszerben, de az üzenet azt mondta, hogy a Doctor Web önvédelme az operációs rendszert követően azonnal engedélyezett.
További vizsgálatot az incidens megmutatta, hogy a mappa \ WINDOWS \ system32 \ drivers \ dwprot.sys fájl jelen van (DrWeb Protection for Windows; 100KB)
Ebben az esetben a következő szakaszok találhatók a Windows rendszerleíró adatbázisban:
Kiderült, hogy a dwprot.sys fájl az operációs rendszer rendszermagjával van betöltve (még Csökkentett módban is!), És állandóan jelen van a memóriában. Ezért a szokásos módon nem lehet letiltani / eltávolítani a dwprot.sys fájlt. sem törölni azokat a regisztrációs részeket, amelyeket létrehoztak.
Bármely felhasználó egyetért abban, hogy ez a humoristák szerint "reménytelen" - amikor a programot régóta eltávolították a PC-ről. és a fájlok úgy töltődnek be, mintha semmi sem történt volna, és nem lehet őket törölni vagy leválasztani.
Hogyan lehet letiltani a dwprot.sys fájl letöltését?
Fájl törlése, használat dwprot.sys rendszerindító vészhelyzeti helyreállítási lemezt, írja be a Windows miniPE vagy ERD Commander (vagy ideiglenesen csatlakoztassa a merevlemez egy másik PC).
Ezután indítsa újra a számítógépet;
- kattintson a Start -> Futtatás ... -> nyíllal a regedit-> OK gombra;
Partíciók törlésekor
[HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Enum \ Root \ LEGACY_DWPROT] ablak Hiba törlése szakaszt a következő üzenettel: „Nem lehet törölni LEGACY_DWPROT. Hiba a partíció törlése közben ". - kattintson az OK gombra;
- Válassza a Szerkesztés menü -> Engedélyek ...;
- a LEGACY_DWPROT engedélyek csoportban vagy felhasználóknál válassza az Összes lehetőséget;
- Az Engedélyek mindenkinek szakaszban jelölje be a Teljes vezérlés -> OK jelölőnégyzetet;
- törölje a fenti LEGACY_DWPROT szakaszokat;
A korszerű antivírusok számos modulja továbbra is a rendszerben marad, még a program helyes eltávolítása után is. Ugyanakkor betöltötték az operációs rendszer kernelét, és tulajdonképpen ugyanolyan tulajdonságokkal rendelkeznek, mint a hírhedt rootkitek és bootkits. Valószínűleg a vírusíró hamarosan ezt az árnyalatot veszi fel ...