Wyłączanie i usuwanie sterownika SPTD napędów wirtualnych

Oprogramowanie do emulowania napędów wirtualnych instalują mocno ingerujący w system sterownik SPTD (SCSI Pass Through Direct). Odinstalowanie tego typu oprogramowania nie usuwa sterownika z systemu, który pozostawia plik na dysku oraz wpisy w rejestrze. Innym zagadnieniem jest kolidowanie z aplikacjami diagnostycznymi na obecność malware i rootkitów. Sterownik bowiem posługuje się metodą rootkit-podobną, tworząc zablokowany plik i klucz rejestru. Dlatego zaleca się uprzednie jego wyłączenie lub całkowite usunięcie z systemu.

tymczasowe wyłączenie sterownika
Najprostszą metodą jest edycja rejestru. Przechodzimy do klucza: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessptd
modyfikujemy wartość Start z 0 na 4 i restartujemy system, by sterownik przestał działać. Teraz już oprogramowanie diagnostyczne nie będzie wykrywać sterownika SPTD.

Innym sposobem jest skorzystanie z aplikacji Defogger
Po jej uruchomieniu mamy opcję Disable (wyłączenie) + Re-enable (włączenie). Po wybraniu odpowiedniej opcji akceptujemy wyskakujące okienka i restartujemy komputer.

Narzędzie tworzy w katalogu, z którego było uruchamiane, logi.
Log disabled:

defogger_disable by jpshortstuff (23.02.10.1)
Log created at 17:19 on 01/05/2011 (Traxter)

Checking for autostart values...
HKCU~Run values retrieved.
HKLM~Run values retrieved.
HKCU:AlcoholAutomount -> Removed

Checking for services/drivers...
Unable to read sptd.sys
SPTD -> Disabled (Service running -> reboot required)

-=E.O.F=-

 

Log enabled:

defogger_enable by jpshortstuff (23.02.10.1)
Log created at 17:23 on 01/05/2011 (Traxter)

Parsing file...
HKCU:AlcoholAutomount -> Value set successfully
SPTD -> Enabled (0)

-=E.O.F=-

całkowite usunięcie sterownika
1. zaczynamy od normalnej deinstalacji oprogramowania emulującego napędy wirtualne wykorzystując systemowe narzędzie lub dodatkowe aplikacje: odinstalowywanie aplikacji. Jeżeli nie widać pozycji na liście, szukamy deinstalatora w Menu Start lub w katalogu aplikacji w Program Files >>> najczęściej plik uninstall.exe
Pomimo odinstalowania emulatora, sterownik dalej działa w systemie i startuje w trybie Automatycznym.

2. następnie usuwamy sterownik SPTD z systemu za pomocą aplikacji SPTDinst download: najnowsza wersja (support 32-bit and 64-bit)

Jeśli aplikacja wykryje sterownik, wyświetlona zostanie wykryta wersja i uaktywniona opcja Uninstall, którą wybieramy. Potwierdzamy wykonanie operacji oraz wykonujemy restart systemu.

Po restarcie, gdy sterownik zostanie usunięty opcja Uninstall nie będzie aktywna. Aplikacja wyświetli informację o braku detekcji sterownika i umożliwi jego ponowną instalację buttonem Install.

3. teraz sterownik już nie jest aktywny, nie startuje wraz z systemem i można by było poprzestać na dalszych działaniach. Pozostaje jednak jeszcze klucz w rejestrze:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicessptd

Gdy go pozostawimy, mogą wystąpić problemy z ponowną instalacją emulatorów w przyszłości. Klucz ten zawiera zablokowany podklucz cfg, którego nie można usunąć z powodu braku uprawnień.

w moim przypadku, na Windows XP oraz Windows 7 po odładowaniu sterownika aplikacją SPTDinst lub jego wyłączeniu poprzez modyfikacje wartości Start z 0 na 4 i restarcie, w celu usunięcia całego klucza sptd należało nadać uprawnienia Pełna kontrola dla konta Administratorzy dla podluczy cfg oraz Enum >>> klikamy PPM na kluczu i wybieramy pozycje Uprawnienia (czasami może być konieczność zmiany Właściciela. Klikamy w Zaawansowane > karta Właściciel i tam przestawić właściciela, czyli zaznaczyć grupę Administratorzy + opcję „Zamień właściciela dla podkontenerów i obiektów”):

Pomocne może być uruchomienia edytora rejestru na uprawnieniach konta SYSTEM (instrukcja: kasowanie kluczy rejestru) i z tego poziomu dostosowanie uprawnień dla kluczy >>> należy od góry zmienić uprawnienia zmieniając Właściciela na konto SYSTEM i dla konta SYSTEM dać Pełna kontrola. Po odblokowaniu klucza nadrzędnego, robimy to samo w dół na podkluczach. Po zakończeniu usuwamy klucze od dołu w górę.