DrWeb (хочу знать все) - Компьютерный форум OSzone.net

Добавление своих данных под самозащиту DrWeb (DwProt.sys)
Мало кто из нас знает, что в DrWeb можно указать свои данные которые будут защищаться.
Найти данные которые защищаються, можно по след. пути:

Код:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DwProt\Parameters

Подраздел File -указывает какие файлы будут защищены и папки, Keys -ключи реестра.
Для добавления или удаления данных, надо отключить самозащиту DrWeb.
В Других Антивирусах я не нашел таких списков, где можно указать драйверу данные для защиты.
Так что выбрал, вариант проще и выбрал DrWeb
---
Вам надоел вирус который прописываеться в Winlogon!
или постоянно блокируться Диспетчер задач, реестр и так далее..
Добавьте их в защиту, на примере файла .Reg , ниже я расскажу как!
---
Для начало настройте DrWeb.

Код:

"BlockCriticalObjects"=dword:00000001

"BlockHOSTSFile"=dword:00000000

"DriverDrive"="C:"

"DriverPath"="\\WINDOWS\\system32\\drivers\\dwprot.sys"

"RemovableDisable"=dword:00000000

"NetUserDisable"=dword:00000000

"DrWebControl"=dword:00000001

"SystemControl"=dword:00000001

"DrWebIntegrity"=dword:00000000

"ParentalControl"=dword:00000000

"ParentalFileControl"=dword:00000000

"DiskProtect"=dword:00000001

"WndSendInputControl"=dword:00000001

если у вас, есть какие то другие знач. которые я не указал, не меняйте их
---
Как добавиться данные путем .reg файла
Рассмотрим на примере NTDETECT.COM файла
Создаем пустой текстовый док. в нем прописываем эти данные

Код:

Windows Registry Editor Version 5.00 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Files\1] 

"Drive"="C:" 

"Name"="\\NTDETECT.COM" 

"Type"=dword:00000001

После чего сохраняем в формате .reg
Уточнение:

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Files\1] (1) - это номер нашего файла, дальше будет 2,3 и так далее
"Drive"="C:" диск где находиться файл
"Name"="\\NTDETECT.COM" путь к файлу и его имя
"Type"=dword:00000001 тип защиты

На данном примере, можно указать свои файлы и папки.
Отключаем самозащиту и запускаем наш файл reg, на вопрос нажимаем да, се файл должен занестись в список защиты
---
Добавляем ключ реестра, на примере моего
К примеру я хочу защитить от изменения под-ключи, раздела Winlogon

Код:

Windows Registry Editor Version 5.00 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2] 

"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon" 

"Type"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values] 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\0] 

"Name"="Shell" 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\1] 

"Name"="UIHost" 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\2] 

"Name"="Userinit" 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\3] 

"Name"="VmApplet" 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\4] 

"Name"="System" 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\5] 

"Name"="Taskman" 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\6] 

"Name"="GinaDLL"

Рассмотрим по подробней:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2] (2) номер, может указываться любой
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon" путь раздела в котором будут защищены указ.мной ключи
"Type"=dword:00000001 тип защиты
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\0] номер ключа
"Name"="Shell" имя ключа
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\1] номер ключа
"Name"="UIHost" имя ключа
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\2] и так далее
"Name"="Userinit"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\3]
"Name"="VmApplet"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\4]
"Name"="System"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\5]
"Name"="Taskman"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\6]
"Name"="GinaDLL"

Тут я указал, какие ключики будут защищаться отдельно, но не весь раздел
---
На данном примере я покажу как защитить весь раздел.

Код:

Windows Registry Editor Version 5.00 



[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\1] 

"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options" 

"Type"=dword:00000001

Рассмотрим:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\1] (1) номер раздела
"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options" путь раздела, тут я его указал без под разделов
, он отличаеться от примера выше.
"Type"=dword:00000001
---

Мои примеры по файлам для XP:

Код:

Windows Registry Editor Version 5.00 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Files\1] 

"Drive"="C:" 

"Name"="\\NTDETECT.COM" 

"Type"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Files\2] 

"Drive"="C:" 

"Name"="\\ntldr" 

"Type"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Files\3] 

"Drive"="C:" 

"Name"="\\Windows\\Explorer.exe" 

"Type"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Files\4] 

"Drive"="C:" 

"Name"="\\Windows\\Win.ini" 

"Type"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Files\5] 

"Drive"="C:" 

"Name"="\\WINDOWS\\system32\\drivers\\etc" 

"Type"=dword:00000001

и так далее

---
По реестру:

Код:

Windows Registry Editor Version 5.00 

******************************************* 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\1] 

"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Image File Execution Options" 

"Type"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2] 

"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon" 

"Type"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values] 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\0] 

"Name"="Shell" 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\1] 

"Name"="UIHost" 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\2] 

"Name"="Userinit" 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\3] 

"Name"="VmApplet" 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\4] 

"Name"="System" 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\5] 

"Name"="Taskman" 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\2\Values\6] 

"Name"="GinaDLL" 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\3] 

"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\Notify" 

"Type"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\4] 

"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\exefile" 

"Type"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\5] 

"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\comfile" 

"Type"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\6] 

"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\batfile" 

"Type"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\7] 

"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\cerfile" 

"Type"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\8] 

"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\cmdfile" 

"Type"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\9] 

"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\crlfile" 

"Type"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\10] 

"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\dllfile" 

"Type"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\11] 

"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\folder" 

"Type"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\12] 

"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\inifile" 

"Type"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\13] 

"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\inffile" 

"Type"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\14] 

"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\jpegfile" 

"Type"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\15] 

"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\lnkfile" 

"Type"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\16] 

"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\regedit" 

"Type"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\17] 

"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\regfile" 

"Type"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\18] 

"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\shell" 

"Type"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\19] 

"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\txtfile" 

"Type"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\20] 

"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Classes\\vbsfile" 

"Type"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\21] 

"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Winlogon\\GPExtensions" 

"Type"=dword:00000001 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DWPROT\Parameters\Keys\22] 

"Name"="\\REGISTRY\\MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Drivers32" 

"Type"=dword:00000001

Пробуем!!!