Довольно часто системные администраторы сталкиваются с наследием "умных" предшественников: в системе установлена лицензионная 1С, но вместо штатной активации был использован эмулятор или патч — для массового решения проблемы в сети есть инструмент централизованного управления компьютерами и запуска команд. В результате при попытке перейти на легальный ключ программа продолжает видеть следы взлома, выдает ошибки целостности или вовсе отказывается видеть аппаратный ключ (HASP). Простая переустановка платформы в таких случаях не помогает, так как драйверы-эмуляторы глубоко прописываются в системе. В этой статье мы подробно разберем, как обеспечить защиту информации и очистить операционную систему от всех известных видов нелегального ПО для 1С.
Прежде чем приступать к активным действиям, нам необходимо понять, какой именно механизм обхода защиты был применен. Рассмотрим основные варианты, с которыми приходится сталкиваться:
backbas.dll или подкладывание сторонних .dll файлов в папку bin платформы.Разберем ситуацию, когда стандартное удаление устройства через "Диспетчер устройств" приводит к зависанию системы. Это происходит из-за того, что драйвер эмулятора блокирует обращения к себе. Выясним, как это обойти:
Во-первых, перезагрузим сервер или рабочую станцию в Безопасный режим (Safe Mode). Это критически важно, так как в обычном режиме драйвер активен и защищен от удаления. После загрузки выполним следующие шаги:
Для тех, кто предпочитает автоматизацию или если ручное удаление не помогает, рассмотрим использование антивирусной утилиты AVZ. Она отлично справляется с удалением системных служб и драйверов. Нам потребуется запустить AVZ от имени администратора, перейти в меню "Файл" — "Стандартные скрипты" (или "Выполнить скрипт") и вставить следующий код:
begin
if SetAVZGuardStatus(True) then
AddToLog('AVZGuard active')
else
AddToLog('AVZGuard not active');
// Удаление веток реестра эмулятора
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\MultiKey');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\MultiKey');
// Удаление файлов драйверов из системных директорий
DeleteFile('C:\Windows\System32\drivers\multikey.sys');
DeleteFile('C:\Windows\SysWOW64\drivers\multikey.sys');
DeleteFile('C:\Windows\System32\drivers\multikey64.sys');
DeleteFile('C:\Windows\SysWOW64\drivers\multikey64.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
Этот скрипт принудительно вычищает файлы драйверов и ключи реестра, после чего отправляет компьютер в перезагрузку для окончательного применения изменений.
Иногда эмуляторы маскируются под другими именами. Разберем по шагам, где искать остатки драйверов vusbbus.sys и haspflt.sys. Проанализируем следующие ветки реестра:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\NEWHASPHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\vusbbusHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\haspfltHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EmulatorЕсли данные ветки существуют, их необходимо удалить. После этого обязательно проверим папку C:\Windows\System32\drivers\ на наличие одноименных файлов. Важный момент: 1С может реагировать на наличие этих файлов, даже если они просто лежат на диске и не загружены в память. Рекомендуется воспользоваться поиском по всей системе.
В современных ОС Windows (10, 11) удаление файла из папки drivers может быть бесполезным, так как система хранит копию в "Хранилище драйверов" (DriverStore) и восстанавливает его. Рассмотрим, как очистить этот кэш:
Запустим командную строку (cmd) от имени администратора и введем команду:
pnputil -e
Просмотрим список опубликованных драйверов. Нам нужно найти те, где в поле "Издатель" или "Описание" фигурирует "Virtual USB" или "SafeNet". Запомним номер oemXX.inf и выполним удаление:
pnputil -d oemXX.inf /f
Это действие окончательно "забудет" драйвер эмулятора, и он не появится после перезагрузки.
Выясним одну важную деталь: современные патчи могут маскироваться под легитимные службы. Яркий пример — служба "Intel ICCS Proxy". Если вы видите такую службу на сервере, где она не должна находиться (или она не имеет цифровой подписи Intel), скорее всего, это рантайм-патчер 1С. Ее необходимо остановить и удалить командой sc delete "имя_службы".
Также проанализируем содержимое папки bin установленной платформы (например, C:\Program Files\1cv8\8.3.22.1709\bin). В ней не должно быть следующих файлов:
version.dllwinmm.dlluxtheme.dllЕсли они там присутствуют — это "врапперы", которые перехватывают обращения программы к ключу защиты. Удалите их или полностью переустановите платформу 1С, предварительно удалив папку установки вручную.
После того как мы очистили систему от драйверов и патчей, необходимо сбросить состояние самой 1С. Рассмотрим, как это сделать:
%AppData%\1C\1cv8 и %LocalAppData%\1C\1cv8.C:\ProgramData\1C\licenses. Если там есть файлы с расширением .nfl, которые были созданы в период использования кряка, их стоит переместить в архив или удалить.Таким образом, комбинируя удаление в безопасном режиме, использование специализированных скриптов и очистку хранилища драйверов, мы гарантированно избавимся от следов нелегального использования и восстановим нормальную работу лицензионной защиты 1С:Предприятие.