Всё делаю в safe mode. В security диры указано, что SYSTEM имеет полные права. System получить не сложно, написал сервис, добавил в реестре в safeboot, запустил - и хренушки. Ни удалить, ни создать в этой дире не реально. Пробовал в реестре добавить запись в HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DrWebEngine - та же хрень - System-у не дается, хотя в security указано, что SYSTEM имеет полные права. Никакие сервисы в Safe mode у DrWeba не запущены, т.е. блочет доступ не DrWeb, а что-то в винде. ftp://ftp.drweb.com/pub/drweb/tools/drw_remover.exe - ихняя штатная удалялка каким-то макаром может открыть доступ к дире и удалять там файлы, но как она это делает? Пробовал поразбирать drw_remover.exe в Ida - но моих познаний не хватило ) Помогите, кто чем сможет....За найденное решение отблагодарю.
Если я правильно понял тебе просто надо удалить файлик из диры дрвеба, Качай любой LIve, маленький и интуитивно понятный "slax.org" грузись и удаляй... ну или лубой другой
а вы уверены что никакие сервисы не загружены в safemode ? Гляньте навскидку с помощью RKU есть или нет перехваты чего-либо. kernel callback'и и т.п.
насколько помню, если приостановить защиту дрвеба, файлы писать в его диру будет можно, возможно так же удалять файлы
