Проблема с удалением драйвера-фильтра для Acronis Virtual Disk
 

Есть такой вендор – Acronis. При установке любого его продукта тот так глубоко внедряется в систему, что полностью выкорчевать потом – большая проблема.

В данном случае в Windows 7 Pro 64 Eng крошечная утилитка DriverView (которая показывает ВСЕ установленный драйверы, а не только девайсов), обнаружила наличие Acronis Virtual Disk Storage Filter в лице файла vidsflt.sys.

Как оказалось, что помимо файла C:\windows\system32\drivers\vidsflt.sys

еще есть связанная с ним ветка в Реестре: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\vidsflt

При удалении любого из них, винда не может загрузиться и восстанавливается только из точки восстановления (Restore point).

Другая утилитка WindowexeAllkiller показывает, что сервис имеет статус Boot/Running, что и объясняет поведение винды без него.

Как представляется, перед удалением нужно лишить этот сервис такого статуса, но в списке сервисов такой не значится.

Как избавиться от этого мусора? Ведь при установке чистой винды, та прекрасно обходится без этого навязчивого сервиса!

Экспортируйте эту ветку и покажите содержимое;

не помощник в это деле?

А Вы ранее устанавливали ПО от "Acronis"?

Этот сервис скорее критический для загрузки.

Попробуйте Acronis Cleanup Utility.

>Экспортируйте эту ветку и покажите содержимое
прикрепил файл через скрепку

>sc не помощник в это деле?
как понял, это консольная команда? Не пользовался, надо поизучать. Она только показывает, или может управлять?

> Вы ранее устанавливали ПО от "Acronis"?
устанавливал "на минуточку" True Image и Disk Director только для того чтобы получить портативный имидж. После чего сносил за ненадобностью. Но у Акрониса рупь вход и два выход )

>Этот сервис скорее критический для загрузки
Вот это самая большая загадка, т.к. таким его сделал Акронис. После удаления всех продуктов Акрониса не вижу надобности в этром сервисе и хочу избавиться от него

>Попробуйте Acronis Cleanup Utility.
Большое спасибо, это ценный совет, т.к. кому как не Акронису не знать как выкорчевывать следы. Обязательно попробую!

Угу, поэтому так просто его файл драйвера и не удалось удалить:
Попробуйте использовать вышеуказанную утилиту, в противном случае Вам предстоит путь по ручному удалению, который Я вижу в следующем (скажу сразу, это только предположение, а не проверенные шаги по удалению):
0. Создать точку восстановления;
1. Исключить драйвер из группы "Boot Bus Extender" удалением параметра;
2. Отключить драйвер указав:
3. Попробовать выполнить перезагрузку;
4. Если перезагрузка окажется успешной удалить как раздел в реестре, так и файл-драйвера;
5. Попробовать выполнить перезагрузку;
6. В крайнем случае откатиться к точке восстановления или вернуть вручную всё взад.

Заранее, на этапе подготовки, можно поискать в реестре, где ещё упоминается "Acronis".

2 NickM
Спасибо за детальное разъяснение. Если не получится утилитой, то воспользуюсь.

>А Вы ранее устанавливали ПО от "Acronis"?
А тут еще одно пикантное событие: обнаружил драйвер ngscan.sys = Acronis NG Antimalware Driver, свежий, 2021, который точно не устанавливал (мне стокового антивредокода хватает) :)
Прямо сверхактивность Акрониса )

Угу, "Acronis" тоже умеет защищаться, "Acronis Ransomware Protection".

Промежуточный результат через утилиты очистки. Таких утилит несколько, начал с заточенной на True Image. Онa не помоглa, зато попутно в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E967-E325-11CE-BFC1-08002BE10318} есть листик LowerFilters: vidsflt.
получил некоторое пояснение по драйверу )

Под подозрением остается Disk Director. Но его утилита оказалась в точности идентичной и тоже ничего не дала.
Остается ручное выкорчевывание )

Как понял смысл этих утилит несколько другой - не в удалении остатков, а когда процедура uninstall не заканчивается успешно.

что называется "не прокатило", пришлось восстанавливаться.
Пришла в голову шальная мысль подменить файл vidsflt.sys с тем же именем, но пустой )

Получите тот же BSOD;

Это выполняли?
Ведь как выше Вы сами и писали, драйвер может оказаться и в фильтрах различных устройств:

мне искать по "Acronis" или по названию драйвера = vidsflt.sys ?
Акронисов полно, в т.ч. "антивирус" а также в ключах LEGACY.
Поиск по "vidsflt" дает еще:
- в параметре LowerFilters ключа {4D36E967-E325-11CE-BFC1-08002BE10318} (это дисковые драйверы) в Control\Class
- в подключе Enum\ текстовая строка Root\LEGACY_VIDSFLT\0000

Такое впечатление, что есть еще что-то что требует его загрузки.
Даст что-нибудь понижение порядка загрузки?

А непонятно что с ним делать: это просто описание, что драйвер нижнего уровня, или указание к загрузке?

Оцените пожалуйста такой ход: в ключе драйвера есть подключ ENUM где перечислены 2 накопителя компьютера. Один из них загрузочный (C: ), а второй - для данных (D: ). Предложение состоит в том, чтобы удалить из описания накопитель C: (для начала).

Рассказываю как удалось перебороть.
Вначале из подпапки ENUM удалил запись о загрузочном накопителе. Но после перезагрузки запись восстановилась (видимо из резервных копий конфигурации).
Удачная процедура заключалась вот в чем
1. удалил из Реестра запись, что данный драйвер является нижнего уровня и перегрузился
2. ключ драйвера вдруг преобразился: из него удалилась подпапка ENUM а значение параметра старт стало 00..3 = не стартовать
3. последовательно удалил этот ключ > перегрузился
4. удалил файл > перегрузился
К слову в десятке оказывается есть удобный ключ Реестра не запускать Legacy filter drivers.
Что еще удивительно, из списка драйверов пропал ранее выводимый ngscan