Вопросы В разделе AntiSpyware_WMI указан avast! Antivirus. Почему?

Тема в разделе "Avast!", создана пользователем Chinaski, 21 фев 2015.

Метки:
Статус темы:
Закрыта.
  1. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    Сделал лог утилитой у себя (прикладываю), смущает следующее, раньше был установлен Avast Free Antivirus, пару месяцев назад удалил перешел на MSE, в логе в разделе Antivirus_WMI указан avast! Antivirus. В разделе AntiSpyware_WMI указан avast! Antivirus. Почему?
    Следы от Avast естественно зачищал специальной утилитой.
     

    Вложения:

  2. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Chinaski, собственно там же написано, что WMI, так что утилита получает эту информацию через WMI от системы, что у системы там прописано, то и вывела. А почему родная удалялка аваста не удалила эти сведения это вопрос точно не к glax24.
     
  3. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    @Chinaski, Если вы удаляете аваст штатной командой Windows или утилитой от аваста, то остаются еще файлы и ключи в реестре.
    Одна из причин - то, что аваст, как и каспер, подменяет драйвера устройств ввода своими.
    ав1.png
    Поэтому прежде, чем избавиться от этого драйвера (или аналогичного драйвера каспера), например при помощи avz, нужно вернуть стандартные значения для устройств ввода. Иначе у вас потом не будет работать клавиатура (на картинке в примере).
    Твик "клава-мыш" прилагается.

    Но от аваст может остаться и немало других файлов и ключей. Я упомянул самый важный.
     

    Вложения:

    Последнее редактирование: 21 фев 2015
    ScriptMakeR нравится это.
  4. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    Как мне виделось, что для этого мы и используем подобные утилиты - что бы не оставалось следов.
    Ни каких драйверов в модулях пространства ядра не осталось, я поэтому и спрашиваю, что выходит непонятная ситуация.

    regist, вопрос заключается не совсем в том, что почему утилита так считает? А откуда она берет такие данные что бы проверить, действительно ли они существуют? Если они существуют то тогда вопрос к разработчикам Аваста - почему их утилита для удаления, не вычищает все следы. А если данных о существовании Аваста не существует (что конечно маловероятно, откуда то же они взялись?) например в реестре или работающих модулей пространства, то возможно ошибка в программе? Короче говоря, мне бы интересно было узнать, по какому алгоритму SecurityCheck определяет какой антивирус установлен в системе?
     
  5. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Вполне резонный вопрос. Утилита получает эти сведения у Windows.
    Можно просто поискать, что осталось от аваста - ключи, файлы.
    Без следа у аваста работы не бывает.
     
    Последнее редактирование: 21 фев 2015
  6. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    выше же написал из WMI. Можно посмотреть WMI эксплорером, либо позже могу написать скрипт AVZ. Хотя посмотри он кажется должен быть в справке в качестве примера.
    --- Объединённое сообщение, 21 фев 2015, Дата первоначального сообщения: 21 фев 2015 ---
    вот из справки
    Код (Pascal):
    begin
    if WMI_Init('localhost', 'root\SecurityCenter2') then begin
    if WMI_Query('SELECT * FROM AntiVirusProduct') then
      while WMI_Fetch do
       Addtolog(WMI_GetField('displayName') + ', '+WMI_GetField('instanceGuid'));
    WMI_Free;
    end;
    end.
     
    А если хочется самому полазить и посмотреть, то гугли WMI Explorer или подобные утилиты.
     
  7. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
  8. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Chinaski, вспомнил, что ещё можно скачать "вирус" из вложения в этой теме и запустить его. Он также должен эту информацию вывести.
     
    Dragokas нравится это.
  9. kmscom
    Оффлайн

    kmscom Пользователь

    Сообщения:
    271
    Симпатии:
    43
    насчет аваста ничего не скажу, а каспер (актуальная версия и не младше 14.0.0.4651) удаляет сам драйвер и ключи в реестре возвращает в первоначальное, после перезагрузки.
    а вот применение kavremover мог драйвер удалить, а реест не очистить, тогда возникало После удаления продукта Лаборатории Касперского не работают клавиатура и мышь
     
  10. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Да, если бы он не был на это запрограммирован, то стал бы malware. И аваст тоже должен возвращать оригинальные настройки Windows, но приведенный мною скриншот наглядно демонстрирует, что так происходит далеко не всегда. У меня есть аналогичный скрин и каспера. И немало тем с недовольными на фан-форумах.
    Немало также случаев, когда нормальное удаление аваста или каспера невозможно по причинам разного характера, тогда на помощь приходят их ремоверы (для таких случаев, собственно, их и создавали разработчики), которые свои драйвера не подчищают, а системные настройки не возвращают, хотя по идее должны.
    --- Объединённое сообщение, 22 фев 2015, Дата первоначального сообщения: 22 фев 2015 ---
    Эта рекомендация никак не поможет, если не иметь этого KRD-диска заранее - мышь, клава, тачпад, сенсор и пр. не будут работать.
    Потому перед удалением каспера и аваста надо запускать тот твик, который я приложил выше. На любой ОС - от XP до 8-ки.
     
    Последнее редактирование: 22 фев 2015
  11. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    подобные темы есть даже тут в разделе лечения и в большинстве случаев юзеры начинают деинсталяцию сразу ремувером думая, что это лучше чем штатное удаление. В результате имеем указанную проблему и кучу тем с недовольными. А ремувер предназначен только для тех случаев, когда стандартное удаление по каким-то причинам невозможно или остались следы, которые надо дочистить.
    только не перед удалением, а после удаления, но до перезагрузки.
     
    kmscom нравится это.
  12. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Согласен, так лучше.
     
  13. Dragokas
    Оффлайн

    Dragokas Very kind Developer Команда форума Супер-Модератор Разработчик Клуб переводчиков

    Сообщения:
    4.475
    Симпатии:
    4.305
    Chinaski, искомые Вами записи, недочищенные антивирусом, находятся в репозитории WMI по пути: %windir%\System32\Wbem\Repository
    Если Вас интересуют подробности, Вы можете почитать эту статью: https://www.opswat.com/blog/windows-security-center-fooling-wmi-consumers

    Почему запись не была почищена?
    Причин может быть много. Как минимум, сбой в работе провайдера WMI / службы во время удаления продукта.
    На счет автоматической чистилки от вендора - когда она в последний раз обновлялась?
    А вот дистрибутив AV обновляется часто и не факт, что в новом продукте они что-нибудь в этом плане не поменяли, чего не увидела чистилка.
     
    SNS-amigo нравится это.
  14. Alex1983
    Оффлайн

    Alex1983 Разработчик

    Сообщения:
    843
    Симпатии:
    523
  15. ScriptMakeR
    Оффлайн

    ScriptMakeR Студент 1 курс

    Сообщения:
    1.307
    Симпатии:
    449
    Alex1983,
    Google переводчик и здравый смысл Вам в помощь:)
     
  16. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Alex1983, дык и гугловского хватит.
     
  17. Chinaski
    Оффлайн

    Chinaski Ассоциация VN

    Сообщения:
    2.277
    Симпатии:
    502
    regist, Скрипт AVZ вернул информацию об Avast
    Код (Text):
    avast! Antivirus, {17AD7D40-BA12-9C46-7131-94903A54AD8B}
    Как я понял скрипт забирает информацию, которая должна находится в WMI в объекте содержащим AntiVirusProduct? Если это так, то объекта содержащего это я не нашел через WMIexplorer. Возможно я что-то не правильно понял.

    Dragokas, спасибо за дельную статью, надо будет ознакомиться.
     
    Последнее редактирование: 22 фев 2015
  18. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Так смотрел?
    WMI_AntiVirusProduct.JPG
     
  19. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.381
    Симпатии:
    5.265
    Только это совсем другое и отношение к заданному вопросу имеет разве только очень косвенное.
     
    Chinaski и ScriptMakeR нравится это.
  20. SNS-amigo
    Оффлайн

    SNS-amigo SNS System Watch Freelance reporter

    Сообщения:
    5.220
    Симпатии:
    8.894
    Ладно, хотел было еще описать второй самый расширенный вариант тоже средствами самой Windows, но он не описан ни на этом форуме, ни на других. Даже странно. А ведь он в два счета показывает всю ту информацию, что вы выуживаете из системы при помощи утилит, подобных WMI Explorer, пакетам NirSoft и Руссиновича. И выдает даже больше информации.
     
Статус темы:
Закрыта.

Поделиться этой страницей