Как отключить и удалить встроенный антивирус в «Windows 10»

Удаление любой антивирусной программы порой оборачивается еще той головной болью. И это еще в случае, когда ее деинсталляция, как таковая, предусмотрена разработчиками. Деинсталляция же штатного антивирусного модуля, который основательно внедрен в операционную систему, разработчиками «Windows» совершенно не предусмотрено. Более того, даже полное его отключение ими не запланировано. Иными словами, обычным способом «Microsoft Defender» ни деинсталлировать, ни отключить нельзя. Так неужели ничего нельзя сделать?

Можно! Как и что – читайте ниже.

Предварительная информация

В «Виндоус 10» антивирус стал, конечно, более продвинутым, чем в «Семерке», и многие люди им пользуются. Однако немало и тех, кто по каким-либо причинам желал бы его удалить или хотя бы отключить на неопределенное время.

Наверное, все знают, что если для этого использовать системное средство управления под названием «Безопасность Windows», то отключение защиты можно осуществить лишь на очень короткий период времени. Максимум – до перезагрузки операционной системы. Спустя некоторое время (или, в крайнем случае, после перезагрузки ОС) защита автоматически включается снова. Такие «правила игры», естественно, многих пользователей совершенно не устраивают.

Если вы хотите отключить этот своевольный модуль на длительное время или вовсе удалить его из операционной системы, вам необходимо будет выполнить несколько не очень сложных операций. Чтобы получить желаемый результат, их надо осуществлять последовательно, в несколько этапов. И для начала надо использовать доступные инструменты, предоставленные разработчиками «Виндоус 10». А именно, нужно отключить обычным способом целый комплекс защитных инструментов в панели управления «Безопасность Windows».

Этап первый: обычное (временное) отключение

Полное выключение антивируса осуществляется за счет изменения соответствующих значений групповой политики, которые хранятся в системном реестре. Однако если предварительно не остановить комплексную защиту, осуществляемую «Защитником Майкрософт», эти значения реестра не заработают. Они будут попросту блокироваться системой безопасности.

Поэтому, прежде чем производить необходимые изменения в групповой политике, нужно сначала изменить настройки на вышеупомянутой панели.

Небольшое отступление от темы

Действия, предлагаемые в данной ремарке, не обязательны для исполнения. Это просто полезный совет, но, если вы работаете не в учетной записи встроенного администратора, а в аккаунте администратора обычного, то вам должны были порядком надоесть постоянные всплывающие окна на безопасном рабочем столе. Такие, как это:

Во время последующих операций, таких окон будет всплывать неимоверное множество. Они, как видно из их заголовков, запускаются «Контролем учетных записей». Чтобы впредь эти перерывы в работе не нервировали вас, нужно всего лишь изменить параметры «Контроля». Для этого сделайте следующее:

1. Запустите инструмент поиска файлов (клавиатурное сокращение «Win+S»).
2. Начните вводить в поле имя исполняемого файла: exe. Обычно уже после ввода первого слова выдается нужный результат, но проще скопировать и вставить имя программы полностью.
3. Запустите найденный объект от имени администратора.

4. Предпоследний раз щелкните «Да» во всплывшем предупреждении. Тут, как ни странно, программа спрашивает разрешение для самой себя – безопасность превыше всего!
5. В открывшемся диалоге сместите ползунок до упора вниз. Такое положение раньше (в предшествующих версиях «Виндоус») полностью отключало UAC. В «Десятке» этого не происходит – система контроля над аккаунтами продолжает функционировать. Просто перестают всплывать запросы на разрешения.

6. Щелкните по кнопке «OK» и снова подтвердите изменения – теперь уже в последний раз.

Конец отступления, можно продолжать прерванные операции.

Продолжаем обычное отключение защиты

Итак, нам надо было запустить панель мониторинга безопасности. Проще всего это сделать с помощью иконки на панели задач – щелкните по ней два раза, «дверь и откроется».

Открывшееся UWP-окно имеет в правой своей части корешки вкладок, из которых нам потребуются лишь две: «Защита от вирусов и угроз», а также «Управление приложениями/браузером».

На первой вкладке нам необходимо деактивировать четыре защитных компонента. Однако контроль над ними скрыт на субвкладке, а чтобы туда попасть, необходимо перейти по ссылке «Управление настройками».

Попав на скрытую вкладку, вы найдете четыре переключателя, находящиеся в положении «Вкл.». Их необходимо перевести в положение «Откл.» и начинать надо с тех, что пониже. Самый верхний тумблер должен быть последним в очереди.

По мере переключения тумблеров, не забывайте щелкать по командам «Закрыть», возникающим справа от предупреждений. В итоге все 4 переключателя должны обесцветиться и иметь рядом надпись «Откл.».

На второй вкладке интересующие нас настройки тоже скрыты на субвкладке – туда ведет ссылка «Параметры защиты на основе репутации».

Пройдя по ней, выключите еще 2 компонента защиты из четырех присутствующих. Впрочем, можете деактивировать их всей четверкой – главное, чтобы была отключена блокировка ПНП. Этот элемент входит в состав антивируса, а вот «SmartScreen» Проводника («Проверка приложений и файлов») – нет. Но его нужно тоже «вырубить», ведь наша основная цель – ускорить работу системной оболочки, то есть Проводника.

На этом первый этап работ окончен, можно переходить ко второму.

Этап второй: изменение политики безопасности

Дальнейшие действия могут развиваться по двум сценариям, в зависимости от того, какая у вас редакция «Виндоус»: «Домашняя» или другая (Профессиональная, Образовательная). Причина этого кроется в том, что «Windows 10 Home» не поддерживает оснастку консоли для редактирования групповой политики, тогда как остальные редакции «Виндоус 10» поставляются с этим инструментом.

Производить изменения в политике безопасности несколько проще с помощью специального редактора. Пользователям же «Домашней» операционной системы придется вносить соответствующие настройки прямо в ее реестр, пользуясь при этом соответствующим средством. Впрочем, результат от этого не станет иным, так что вторым вариантом могут воспользоваться и те, кто пользуется «Windows 10 Pro».

Все же начнем со стандартного варианта, то есть с метода, который специально предусмотрен для таких действий.

Метод 1: работа в оснастке консоли «Групповая политика»

Так же, как для запуска UAC, воспользуемся поисковиком. Только ввести или вставить нужно другое имя: gpedit.msc (копировать и вставлять надо полностью, с расширением). Поисковик в результате покажет оснастку, которую требуется запустить тоже с повышенными правами.

Примечание! Если при запуске UAC, это было необязательным условием, то теперь все иначе: без повышенных привилегий оснастка не получит полноценного доступа к системному реестру. Другое дело, если у вас активирована встроенная учетная запись администратора, и вы вошли в систему через нее. Тогда и обычная команда «Открыть» будет выполняться с наивысшими правами.

Окно запущенной консоли с данной оснасткой делится на две части: слева – панель переходов, справа – вкладки просмотра содержимого. Доступны два варианта просмотра: стандартный и расширенный (корешки вкладок расположены внизу).

На панели переходов отображается иерархическое древо, от которого ответвляются две основные ветви – две конфигурации. Первая, отвечающая за весь компьютер, является главенствующей, поэтому нам нужна именно она.

Щелкните по значку, изображающему незамкнутый треугольник и расположенному слева от строки «Административные шаблоны». Так вы развернете эту иерархическую ветку и сможете выделить раздел «Компоненты Windows», входящий в ее состав. После чего нужно дважды щелкнуть по подразделу «Антивирусная программа…» на вкладке просмотра содержимого.

В результате раздел автоматически развернется до нужного подраздела, а тот в свою очередь автоматически выделится. Соответственно, в правой части окна отобразится все его содержимое, среди которого будет и интересующий нас шаблон. Настроив его соответствующим образом, мы автоматически внесем необходимую запись в системный реестр. Эта запись обеспечит выключение «Microsoft Defender» на неограниченный срок.

Короче, нужно проделать такие операции:

• Дважды кликнуть по соответствующему шаблону, для запуска специального диалогового окна

• В открывшемся диалоге пометить чек-бокс «Включено» и закрыть его с помощью кнопки «OK»

• Перезагрузить компьютер

После перезагрузки встроенный антивирус должен прекратить функционировать, а на соответствующей вкладке UWP-окна «Безопасность Windows» должна появиться надпись, гласящая о том, что параметрами управляет организация.

Метод 2: работа в «Редакторе реестра»

Этот вариант действий не намного сложней, чем предыдущий, поэтому, как говорилось выше, им могут воспользоваться не только владельцы компьютеров с «Домашней» комплектацией операционной системы. Итак, начнем:

1. Запускаем с наивысшими правами «Редактор реестра». Можно пойти проторенным путем и сделать это с помощью того же поисковика. Имя исполняемого файла программы: regedit.exe (как правило, достаточно ввести только название).

2. Разворачиваем куст реестра под названием «HKEY_LOCAL_MACHINE» и находим в нем ветвь, именуемую «SOFTWARE».
3. В этой ветви (после ее развертывания) ищем раздел «Policies».
4. Этот раздел содержит используемые системой различные политики безопасности. Однако все они собраны во вложенном разделе «Microsoft» – надо его раскрыть и выделить подраздел «Windows Defender». В нем мы и будем делать нашу авторитарную запись.

Примечание! Есть и другой способ открыть нужный подраздел. Надо скопировать и вставить в очищенную (обязательно!) адресную строку эту фразу:

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows Defender

После чего нажать на клавиатуре «Enter». Удобно для тех, кто операции копирования/вставки производит при помощи «горячих клавиш».

5. Дальнейшие действия будем осуществлять не на панели переходов, а в основной части окна, поэтому переводим свое внимание правее. Вызываем фоновое контекстное меню (правый клик по пустому пространству) и наводим курсор на появившуюся команду «Создать» – выдвинется подменю. Там надо щелкнуть по строке «Параметр DWORD».

6. Только что созданный параметр сразу будет готов к вводу наименования, поэтому напечатайте в поле для имени фразу «DisableAntiSpyware» (без кавычек, естественно). Если лень печатать или опасаетесь допустить опечатку, то можно скопировать ее из данной статьи, а вернувшись в «Редактор реестра», переименовать созданный элемент, нажав на клавиатуре «F2», а потом «Ctrl+V».

7. Присвоив необходимое наименование параметру, нужно изменить его значение. Как видите, оно равно нулю, как в шестнадцатеричной системе исчисления, так и в десятичной (отображается в скобках). Это означает, что данный параметр неактивен, то есть, пока не работает. Чтобы его активировать, нужно присвоить ему значение «1». Для этого кликните дважды по выделенному тексту (или нажмите «Enter») и замените в открывшемся диалоге ноль на единицу. Затем подтвердите произведенные изменения посредством кнопки «OK».

8. Если в итоге значение выглядит так: «0x00000001 (1)», то можете перезагружать компьютерное устройство – второй этап работ закончен. Когда операционная система вновь загрузится, антивирус уже будет отключен навсегда.

Если вы не намерены его удалять, то дальше можете не читать. Запомните только, что для повторного его включения нужно будет проделать последнюю операцию в обратном порядке, то есть, изменить значение с единицы на ноль.

Ну а если вы абсолютно уверены, что пользоваться встроенным антивирусом больше никогда не собираетесь, то переходите к третьему этапу работ.

Этап третий: деинсталляция

Деинсталляцию придется осуществлять вручную – ни одна программа-деинсталлятор не сможет удалить встроенный антивирус. Поэтому вам придется работать сначала в окнах Проводника, а затем – в том же «Редакторе реестра».

Еще одно отступление от темы

Прежде, чем начинать работу в Проводнике, желательно подготовить вспомогательный инструмент, который позволит легко и быстро нейтрализовать защиту нужных нам директорий – без этого удалить их не удастся.

Самым действенным и удобным инструментом, позволяющим разблокировать и удалить заблокированные объекты «в один клик», это мощнейшая утилита «IObit Unlocker». Она работает как расширение системной оболочки, поэтому ею очень удобно пользоваться. Скачайте эту утилиту (если вы ею еще не пользуетесь) и, когда вы ее установите, можно будет начинать деинсталляцию встроенного антивируса.

Удаление объектов в «Проводнике»

Интересующие нас папки располагаются в двух родительских директориях: «Program Files» и «ProgramData». Начнем с первой, так как там расположен основной каталог с элементами модуля: исполняемыми EXE-файлами и их DLL-расширениями.

1. Удаление основной папки антивируса

Итак, откройте окно «Этот компьютер» и зайдите в системный том «(C:)». Найдите там папку с программами и перейдите в нее. После чего вызовите контекстное меню каталога «Windows Defender» и выберите там строку «IObit Unlocker».

Откроется рабочее окно утилиты, где в самом центре расположен раскрывающийся список с четырьмя командами. Разверните его и щелкните по самой верхней строке «Разблокировать и удалить».

Так как в состав блокирующих приложений входит и «explorer.exe» (исполняемый файл Проводника), окно «Program Files» закроется. Поэтому, чтобы увидеть результат, вам придется открыть его снова.

Примечание! В крайне редких случаях система может «зависнуть», но это не беда. Просто выключите компьютерное устройство и запустите снова.

Как правило, утилита работает безотказно, но если вдруг что-то пошло не так, то повторите все сначала еще раз. Только поставьте галочку в чек-боксе опции «Принудительно» (слева от раскрывающегося списка).

2. Удаление вспомогательного каталога

Вернитесь в системный том «(C:)» и войдите в папку «ProgramData», а дальше – в подпапку «Microsoft». То, что вам нужно уничтожить, находится здесь.

Алгоритм действий вам уже знаком – делайте все, как в предыдущем случае.

Примечание! Если у вас не «Домашняя» редакция операционной системы, то в обеих локациях рядом с каталогами «Windows Defender» должны быть папки, чьи имена начинаются так же, но имеют продолжение: «Advanced Threat Protection». Их тоже удалите – без главных компонентов это дополнение работать не будет.

Еще один момент! Если разрядность вашей системы x64, а не x86, то вам необходимо заглянуть еще в директорию «Program Files (x86)» и подчистить там тоже.

Итак, мы уничтожили две или больше директорий, освободив при этом на диске не меньше 350 мегабайт пространства. Изъяли из операционной системы антивирусный модуль и его вспомогательные файлы. Теперь осталось изъять из системного реестра соответствующую информацию.

Можно, конечно, оставить эти записи на месте, но это будет негативно сказываться на работе системы. Вообще, любую ошибочную информацию, хранящуюся в реестре, рекомендуется вычищать. Обычно для этого применяются специальные утилиты, вроде «Glary Utilities», однако в данном случае они справиться не смогут, так как доступ к этим записям закрыт. Поэтому придется все делать самим.

В общем, идем дальше.

Чистка реестра

Вам, разумеется, вновь понадобится программа для работы с реестром – запустите ее с вышеупомянутыми привилегиями. Путь, по которому вам необходимо пройти, чтобы добраться до нужного объекта, состоит из следующих элементов:

1. Куст тот же, что и в прошлый раз – «HKEY_LOCAL_MACHINE»
2. Ветвь тоже знакома, это «SOFTWARE»
3. Далее идет раздел «Microsoft» (обратите внимание: не тот, что в разделе «Policies», а именно в самой ветви «SOFTWARE»)
4. Это подраздел «Windows Defender»

Кому удобней вставить готовый адрес в соответствующее поле и перейти в конечную точку моментально, скопируйте его здесь:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Defender

Попав в «пункт назначения», вы можете убедиться, что просто так вам этот объект не удалить. Дело в том, что его владельцем является такой субъект безопасности, как «Система», а стереть какую-нибудь запись в реестре может только ее хозяин. Соответственно, вам необходимо вступить во владение этим подразделом, прежде чем вы получите полный контроль над ним.

Дело это несложное, но несколько утомительное, так как требует много однообразных действий, которые зачастую повторяются. Если еще не передумали, начнем.

Алгоритм действий по замене владельца

Последовательность производимых операций очень важна, поэтому следуйте ей в точности. Любая неточность приведет к тому, что вам придется начинать все сначала. Вот эта последовательность:

1. Вызовите контекстное меню объекта и щелкните по строке «Разрешения…».

2. В первом открывшемся диалоге кликните по кнопке «Дополнительно», а во втором – по ссылке «Изменить» (вверху, где отображен текущий владелец объекта).

3. Следующее диалоговое окно предоставляет возможность сделать одно из двух: либо сразу ввести имя своего профиля, либо найти и выбрать его в дополнительном диалоге. Проще выбрать первый вариант и вписать свое имя в специально предназначенное для этого поле, а затем активировать команду «Проверить имена». Если во время проверки ошибок не обнаружится, то перед именем вашего профиля появится наименование компьютера, а значит можно жать «OK». В противном случае отобразится уведомление об ошибке и, следовательно, вам придется выполнить операции по второму сценарию. А именно, щелкнуть по кнопке «Дополнительно» в левом нижнем углу.

3.1. Чтобы найти имя своей учетной записи во вспомогательном диалоге, естественно требуется задействовать поиск – это делает одноименная кнопка в правой верхней части окна. Все найденные субъекты безопасности отобразятся списком в нижнем фрейме, где будет и ваше имя тоже. Если оно состоит из символов латиницы, то будет располагаться вверху списка. В противном случае прокручивайте список вниз по мере надобности. Выделив нужный пункт, нажмите «OK».

3.2. После закрытия вспомогательного диалога, вы вернетесь обратно и увидите, что в поле для выбираемых объектов появилась запись. Она представляет собой, как уже было сказано выше, полное имя: «Компьютер\Пользователь». Подтвердите выбор командой «OK».

4. Вернувшись еще на одну ступень назад, туда, где вы начинали операции по изменению владельца, вы увидите рядом со ссылкой «Изменить» уже свое имя. Подтвердите изменения (кнопка «Применить») и опять щелкните эту ссылку. Затем проделайте все операции заново. Когда вернетесь сюда же во второй раз, пометьте галочкой чек-бокс чуть ниже своего имени, который активирует замену владельца вложенных объектов, и нажмите команду «Применить» (внизу справа).

Примечание! Этот повтор необходим ввиду того, что вступить во владение разделом целиком, со всем его содержимым, сразу не получится. Это делается поэтапно: сначала становитесь хозяином только родительского объекта, и только потом – всех его подразделов и параметров.

5. Мало стать хозяином раздела со всем его содержимым, необходимо еще изменить текущие разрешения. Выделите на одноименной вкладке строку «Администраторы» и кликните по кнопке «Изменить», расположенной чуть ниже.

5.1. Возможно вместо управляющего элемента «Изменить» вы обнаружите другой – «Просмотреть». Тогда нужно щелкнуть по команде «Отключение наследования» и, во всплывшем оконце выбрать верхнюю командную строчку: «Преобразовать унаследованные…». После этого нужный вам элемент управления станет доступным, и вы сможете его активировать.

6. После внесения изменений элементы диалогового окна должны соответствовать следующим критериям:

6.1. «Тип:» – «Разрешить»

6.2. «Применяется к:» – «Этот раздел и его подразделы»

6.3. «Полный доступ» – чек-бокс помечен

6.4. «Применять… только внутри…» – чек-бокс не помечен

Приведя все в соответствие, подтвердите свои действия кнопкой «OK».

7. Следующим шагом будет замена старых значений новыми у всех вложенных объектов. Иными словами, необходимо чтобы дочерние объекты унаследовали все разрешения, которыми вы наделили «родителя». Для этого вставьте галочку в чек-бокс, расположенный в левом нижнем углу, и нажмите «OK».

Ну вот, доступ к каталогу стал полным. Пора стирать то, что стало в реестре совершенно лишним.

Стирание ненужной информации

Теперь можете смело давить на клавишу «Delete» или на аналогичную команду контекстного меню – раздел без проблем удалится.

Владельцам продвинутых редакций «Десятки» надо стереть еще один каталог реестра, располагающийся на один шаг выше «Windows Defender». Тот, что несет информацию об уничтоженной директории, имевшей в своем названии словосочетание «…Advanced Threat…». Это словосочетание присутствует и в наименовании интересующего нас раздела.

Для его удаления не требуется никаких предварительных действий – просто выделите этот каталог и нажмите «Delete».

Ну вот, с записями, которые могли бы вызывать у системы «нездоровую» реакцию, мы покончили. Если вам понравилось решать, казалось бы, неразрешимые задачи, то вы можете продолжить работу в редакторе и стереть еще несколько записей. Они, конечно, не настолько критичны, но тоже будут вызывать мелкие ошибки системы.

Этап четвертый (необязательный): Зачистка следов

Неплохо было бы уничтожить все записи, которые несут в себе ссылки на несуществующие теперь файлы и директории. Ведь, несмотря на то, что мы удалили основной раздел, в котором таких ссылок было больше всего, их в реестре осталось еще немало. К сожалению, некоторые из таких записей удалить невозможно.

Эти записи входят в состав очень важного раздела «CLSID» (это в кусте реестра «HKEY_CLASSES_ROOT») и, чтобы получить полный контроль над ними, необходимо стать владельцем всего родительского каталога целиком. А этого делать категорически нельзя, так как нарушится целостность операционной системы.

В общем, туда мы не полезем, а сотрем те данные, которые находятся в сравнительно открытом доступе. Почему «сравнительно»? Потому, что утилиты-чистильщики доступа к ним получить не могут, а значит надо их уничтожать вручную. Впрочем, удаляются они без заморочек, так что, вперед!

Откройте раздел со следующими адресными данными:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers

Теперь находите и удаляйте в нем подразделы с этими именами:

• {0a002690-3839-4e3a-b3b6-96d8df868d99}
• {11cd958a-c507-4ef3-b3f2-5fd9dfbd2c78}
• {751ef305-6c6e-4fed-b847-02ef79d26aef}
• {8e92deef-5e17-413b-b927-59b2f06a3cfc}
• {e4b70372-261f-4c54-8fa6-a5a7914d73da}

Пользователям «не Домашних» редакций надо стереть еще два подраздела, связанные с дополнительной папкой, которой теперь тоже не существует:

• {b6d775ef-1436-4fe6-bad3-9e436319e218}
• {fae96d09-ade1-5223-0098-af7b67348531}

В разделе «Publishers» записей, касающихся стертых файлов и директорий, больше нет. Поэтому передислоцируйтесь в другое место:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\VolumeCaches\Windows Defender

Каталог этот удаляется тоже запросто, без малейших проблем.

Следующий адрес, по которому необходимо удалить каталог:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Provider\Av\{D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

С ним необходимо будет провести подготовительную работу (см. выше), прежде чем жать на «Delete» – он не в открытом доступе.

Дальше надо зайти в каталог, где хранятся данные о службах и драйверах. Это тут:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

А вычищать нужно следующие дочерние разделы:

• EventLog\System\WinDefend (здесь удалять надо только «WinDefend»)
• WdBoot
• WdFilter
• WdNisDrv

Закончив с сервисами, зайдите в самую первую ветвь (HKEY_CLASSES_ROOT), найдите и сотрите там раздел «windowsdefender»

Ну и, раз уж вы сейчас работаете с реестром, можете заодно стереть запись автозагрузки, связанную с отображением значка «Безопасность Windows» в системном трее. Ведь теперь, когда антивирус не работает, этот значок там совершенно не нужен – этот элемент панели управления вы можете открыть через Главное Меню. Дело в том, что для отображения этого значка требуется персональный процесс и запускается отдельный исполняемый файл в директории «System32», а это ненужная растрата ресурсов.

Вообще, складывается такое впечатление, что разработчики постарались изо всех сил, чтобы операционная система буквально сжирала аппаратные ресурсы – столько служб и процессов...

Короче, если хотите, зайдите в каталог «Run» и сотрите там параметр «SecurityHealth». Чтобы туда добраться, надо пройти по иерархической цепочке: ветвь «HKEY_LOCAL_MACHINE», далее корневой раздел «SOFTWARE», потом «Microsoft». После него заходите в «Windows», а оттуда – в «CurrentVersion».

Есть еще три записи, которые можно стереть только вручную. Это команды контекстного меню файлов, папок и дисков, запускающие их противовирусную проверку. Хотя эти команды теперь не отображаются в Проводнике, они никуда не делись и, естественно, считываются системой. А значит, на обработку этой информации каждый раз затрачиваются аппаратные ресурсы и время. Поэтому лучше эти записи уничтожить.

Вам понадобится самая первая ветвь «HKEY_CLASSES_ROOT», в которой надо будет найти такие разделы:

• «*» – с него начинается перечень файловых расширений, и он отвечает за все файлы
• «Directory» – касается всех директорий, то есть папок, в которых имеется хоть какое-то содержимое
• «Drive» – работает со всеми дисковыми томами

У каждого из них есть подраздел «shellex», а у тех – «ContextMenuHandlers». Вот в этих вложенных подразделах и находятся объекты, предназначенные для уничтожения. Имена у них одинаковые: «EPP». Прежде, чем их удалять, придется взломать защиту вышеописанным способом.

Ну вот, с зачисткой следов закончили. На этом работу можно считать законченной, но на всякий случай откройте «Планировщик заданий» и проверьте соответствующую папку – возможно бывшие там задачи не исчезли автоматически. Тогда надо их тоже вычистить (да и саму папку).