Dr.Web

O L E G · Конфигурация компьютера

Добавление своих данных под самозащиту DrWeb (DwProt.sys)
Мало кто из нас знает, что в DrWeb можно указать свои данные которые будут защищаться.
Найти данные которые защищаються, можно по след. пути:

Код:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DwProt\Parameters

Подраздел File -указывает какие файлы будут защищены и папки, Keys -ключи реестра.
Для добавления или удаления данных, надо отключить самозащиту DrWeb.
---
Вам надоел вирус который прописываеться в Winlogon!
или постоянно блокируться Диспетчер задач, реестр и так далее..
Добавьте их в защиту, на примере файла .Reg , ниже я расскажу как!
---
Для начало настройте DrWeb.

Код:

"BlockCriticalObjects"=dword:00000001
"BlockHOSTSFile"=dword:00000000
"DriverDrive"="C:"
"DriverPath"="\\WINDOWS\\system32\\drivers\\dwprot.sys"
"RemovableDisable"=dword:00000000
"NetUserDisable"=dword:00000000
"DrWebControl"=dword:00000001
"SystemControl"=dword:00000001
"DrWebIntegrity"=dword:00000000
"ParentalControl"=dword:00000000
"ParentalFileControl"=dword:00000000
"DiskProtect"=dword:00000001
"WndSendInputControl"=dword:00000001

если у вас, есть какие то другие знач. которые я не указал, не меняйте их
---
Как добавиться данные путем .reg файла
Рассмотрим на примере NTDETECT.COM файла
Создаем пустой текстовый док. в нем прописываем эти данные

Код:

Windows Registry Editor Version 5.00 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Files\1] 
"Drive"="C:" 
"Name"="\\NTDETECT.COM" 
"Type"=dword:00000001

После чего сохраняем в формате .reg
Уточнение:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Files\1] (1) - это номер нашего файла, дальше будет 2,3 и так далее
"Drive"="C:" диск где находиться файл
"Name"="\\NTDETECT.COM" путь к файлу и его имя
"Type"=dword:00000001 тип защиты

На данном примере, можно указать свои файлы и папки.
Отключаем самозащиту и запускаем наш файл reg, на вопрос нажимаем да, се файл должен занестись в список защиты
---
Добавляем ключ реестра, на примере моего
К примеру я хочу защитить от изменения под-ключи, раздела Winlogon

Код:

Windows Registry Editor Version 5.00 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2] 
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon" 
"Type"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values] 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\0] 
"Name"="Shell" 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\1] 
"Name"="UIHost" 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\2] 
"Name"="Userinit" 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\3] 
"Name"="VmApplet" 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\4] 
"Name"="System" 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\5] 
"Name"="Taskman" 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\6] 
"Name"="GinaDLL"

Рассмотрим по подробней:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2] (2) номер, может указываться любой
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon" путь раздела в котором будут защищены указ.мной ключи
"Type"=dword:00000001 тип защиты
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\0] номер ключа
"Name"="Shell" имя ключа
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\1] номер ключа
"Name"="UIHost" имя ключа
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\2] и так далее
"Name"="Userinit"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\3]
"Name"="VmApplet"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\4]
"Name"="System"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\5]
"Name"="Taskman"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\6]
"Name"="GinaDLL"

Тут я указал, какие ключики будут защищаться отдельно, но не весь раздел
---
На данном примере я покажу как защитить весь раздел.

Код:

Windows Registry Editor Version 5.00 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\1] 
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options" 
"Type"=dword:00000001

Рассмотрим:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\1] (1) номер раздела
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options" путь раздела, тут я его указал без под разделов
, он отличаеться от примера выше.
"Type"=dword:00000001
---

Мои примеры по файлам для XP:

Код:

Windows Registry Editor Version 5.00 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Files\1] 
"Drive"="C:" 
"Name"="\\NTDETECT.COM" 
"Type"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Files\2] 
"Drive"="C:" 
"Name"="\\ntldr" 
"Type"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Files\3] 
"Drive"="C:" 
"Name"="\\Windows\\Explorer.exe" 
"Type"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Files\4] 
"Drive"="C:" 
"Name"="\\Windows\\Win.ini" 
"Type"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Files\5] 
"Drive"="C:" 
"Name"="\\WINDOWS\\system32\\drivers\\etc" 
"Type"=dword:00000001

и так далее

---
По реестру:

Код:

Windows Registry Editor Version 5.00 
******************************************* 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\1] 
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options" 
"Type"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2] 
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon" 
"Type"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values] 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\0] 
"Name"="Shell" 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\1] 
"Name"="UIHost" 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\2] 
"Name"="Userinit" 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\3] 
"Name"="VmApplet" 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\4] 
"Name"="System" 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\5] 
"Name"="Taskman" 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\6] 
"Name"="GinaDLL" 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\3] 
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify" 
"Type"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\4] 
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\exefile" 
"Type"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\5] 
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\comfile" 
"Type"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\6] 
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\batfile" 
"Type"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\7] 
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\cerfile" 
"Type"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\8] 
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\cmdfile" 
"Type"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\9] 
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\crlfile" 
"Type"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\10] 
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\dllfile" 
"Type"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\11] 
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\folder" 
"Type"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\12] 
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\inifile" 
"Type"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\13] 
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\inffile" 
"Type"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\14] 
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\jpegfile" 
"Type"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\15] 
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\lnkfile" 
"Type"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\16] 
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\regedit" 
"Type"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\17] 
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\regfile" 
"Type"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\18] 
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\shell" 
"Type"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\19] 
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\txtfile" 
"Type"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\20] 
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\vbsfile" 
"Type"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\21] 
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\GPExtensions" 
"Type"=dword:00000001 
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\22] 
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Drivers32" 
"Type"=dword:00000001

Пробуем!!!