Вопросы В разделе AntiSpyware_WMI указан avast! Antivirus. Почему?

Статус
В этой теме нельзя размещать новые ответы.

Chinaski

Ассоциация VN
Сообщения
2,146
Реакции
482
Баллы
533
Сделал лог утилитой у себя (прикладываю), смущает следующее, раньше был установлен Avast Free Antivirus, пару месяцев назад удалил перешел на MSE, в логе в разделе Antivirus_WMI указан avast! Antivirus. В разделе AntiSpyware_WMI указан avast! Antivirus. Почему?
Следы от Avast естественно зачищал специальной утилитой.
 

Вложения

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,343
Реакции
5,966
Баллы
998
Chinaski, собственно там же написано, что WMI, так что утилита получает эту информацию через WMI от системы, что у системы там прописано, то и вывела. А почему родная удалялка аваста не удалила эти сведения это вопрос точно не к glax24.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
8,128
Баллы
803
@Chinaski, Если вы удаляете аваст штатной командой Windows или утилитой от аваста, то остаются еще файлы и ключи в реестре.
Одна из причин - то, что аваст, как и каспер, подменяет драйвера устройств ввода своими.
ав1.png
Поэтому прежде, чем избавиться от этого драйвера (или аналогичного драйвера каспера), например при помощи avz, нужно вернуть стандартные значения для устройств ввода. Иначе у вас потом не будет работать клавиатура (на картинке в примере).
Твик "клава-мыш" прилагается.

Но от аваст может остаться и немало других файлов и ключей. Я упомянул самый важный.
 

Вложения

Последнее редактирование:

Chinaski

Ассоциация VN
Сообщения
2,146
Реакции
482
Баллы
533
утилитой от аваста
Как мне виделось, что для этого мы и используем подобные утилиты - что бы не оставалось следов.
Одна из причин - то, что аваст, как и каспер, подменяет драйвера устройств ввода своими
Ни каких драйверов в модулях пространства ядра не осталось, я поэтому и спрашиваю, что выходит непонятная ситуация.

regist, вопрос заключается не совсем в том, что почему утилита так считает? А откуда она берет такие данные что бы проверить, действительно ли они существуют? Если они существуют то тогда вопрос к разработчикам Аваста - почему их утилита для удаления, не вычищает все следы. А если данных о существовании Аваста не существует (что конечно маловероятно, откуда то же они взялись?) например в реестре или работающих модулей пространства, то возможно ошибка в программе? Короче говоря, мне бы интересно было узнать, по какому алгоритму SecurityCheck определяет какой антивирус установлен в системе?
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
8,128
Баллы
803
Короче говоря, мне бы интересно было узнать, по какому алгоритму SecurityCheck определяет какой антивирус установлен в системе?
Вполне резонный вопрос. Утилита получает эти сведения у Windows.
Можно просто поискать, что осталось от аваста - ключи, файлы.
Без следа у аваста работы не бывает.
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,343
Реакции
5,966
Баллы
998
regist, вопрос заключается не совсем в том, что почему утилита так считает? А откуда она берет такие данные что бы проверить, действительно ли они существуют? Если они существуют то тогда вопрос к разработчикам Аваста - почему их утилита для удаления, не вычищает все следы. А если данных о существовании Аваста не существует (что конечно маловероятно, откуда то же они взялись?) например в реестре или работающих модулей пространства, то возможно ошибка в программе? Короче говоря, мне бы интересно было узнать, по какому алгоритму SecurityCheck определяет какой антивирус установлен в системе?
выше же написал из WMI. Можно посмотреть WMI эксплорером, либо позже могу написать скрипт AVZ. Хотя посмотри он кажется должен быть в справке в качестве примера.
AVZ. Хотя посмотри он кажется должен быть в справке в качестве примера.
вот из справки
Код:
begin
if WMI_Init('localhost', 'root\SecurityCenter2') then begin
if WMI_Query('SELECT * FROM AntiVirusProduct') then
  while WMI_Fetch do
   Addtolog(WMI_GetField('displayName') + ', '+WMI_GetField('instanceGuid'));
WMI_Free;
end;
end.
А если хочется самому полазить и посмотреть, то гугли WMI Explorer или подобные утилиты.
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,343
Реакции
5,966
Баллы
998
Chinaski, вспомнил, что ещё можно скачать "вирус" из вложения в этой теме и запустить его. Он также должен эту информацию вывести.
 

kmscom

Активный пользователь
Сообщения
269
Реакции
42
Баллы
198
Одна из причин - то, что аваст, как и каспер, подменяет драйвера устройств ввода своими.
насчет аваста ничего не скажу, а каспер (актуальная версия и не младше 14.0.0.4651) удаляет сам драйвер и ключи в реестре возвращает в первоначальное, после перезагрузки.
а вот применение kavremover мог драйвер удалить, а реест не очистить, тогда возникало После удаления продукта Лаборатории Касперского не работают клавиатура и мышь
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
8,128
Баллы
803
каспер (актуальная версия и не младше 14.0.0.4651) удаляет сам драйвер и ключи в реестре возвращает в первоначальное, после перезагрузки.
Да, если бы он не был на это запрограммирован, то стал бы malware. И аваст тоже должен возвращать оригинальные настройки Windows, но приведенный мною скриншот наглядно демонстрирует, что так происходит далеко не всегда. У меня есть аналогичный скрин и каспера. И немало тем с недовольными на фан-форумах.
Немало также случаев, когда нормальное удаление аваста или каспера невозможно по причинам разного характера, тогда на помощь приходят их ремоверы (для таких случаев, собственно, их и создавали разработчики), которые свои драйвера не подчищают, а системные настройки не возвращают, хотя по идее должны.
Эта рекомендация никак не поможет, если не иметь этого KRD-диска заранее - мышь, клава, тачпад, сенсор и пр. не будут работать.
Потому перед удалением каспера и аваста надо запускать тот твик, который я приложил выше. На любой ОС - от XP до 8-ки.
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,343
Реакции
5,966
Баллы
998
. У меня есть аналогичный скрин и каспера. И немало тем с недовольными на фан-форумах.
подобные темы есть даже тут в разделе лечения и в большинстве случаев юзеры начинают деинсталяцию сразу ремувером думая, что это лучше чем штатное удаление. В результате имеем указанную проблему и кучу тем с недовольными. А ремувер предназначен только для тех случаев, когда стандартное удаление по каким-то причинам невозможно или остались следы, которые надо дочистить.
Потому перед удалением каспера и аваста надо запускать тот твик, который я приложил выше.
только не перед удалением, а после удаления, но до перезагрузки.
 

Dragokas

Very kind Developer
Команда форума
Супер-Модератор
Разработчик
Клуб переводчиков
Сообщения
6,132
Реакции
5,907
Баллы
648
Chinaski, искомые Вами записи, недочищенные антивирусом, находятся в репозитории WMI по пути: %windir%\System32\Wbem\Repository
Если Вас интересуют подробности, Вы можете почитать эту статью: https://www.opswat.com/blog/windows-security-center-fooling-wmi-consumers

Почему запись не была почищена?
Причин может быть много. Как минимум, сбой в работе провайдера WMI / службы во время удаления продукта.
На счет автоматической чистилки от вендора - когда она в последний раз обновлялась?
А вот дистрибутив AV обновляется часто и не факт, что в новом продукте они что-нибудь в этом плане не поменяли, чего не увидела чистилка.
 

ScriptMakeR

Клуб переводчиков
Сообщения
1,461
Реакции
536
Баллы
283
Alex1983,
Google переводчик и здравый смысл Вам в помощь:)
 

Chinaski

Ассоциация VN
Сообщения
2,146
Реакции
482
Баллы
533
regist, Скрипт AVZ вернул информацию об Avast
Код:
avast! Antivirus, {17AD7D40-BA12-9C46-7131-94903A54AD8B}
Как я понял скрипт забирает информацию, которая должна находится в WMI в объекте содержащим AntiVirusProduct? Если это так, то объекта содержащего это я не нашел через WMIexplorer. Возможно я что-то не правильно понял.

Dragokas, спасибо за дельную статью, надо будет ознакомиться.
 
Последнее редактирование:

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,343
Реакции
5,966
Баллы
998
Как я понял скрипт забирает информацию, которая должна находится в WMI в объекте содержащим AntiVirusProduct? Если это так, то объекта содержащего это я не нашел через WMIexplorer. Возможно я что-то не правильно понял.
Так смотрел?
WMI_AntiVirusProduct.JPG
 

regist

гоняюсь за туманом
Ассоциация VN/VIP
VIP
Разработчик
Сообщения
12,343
Реакции
5,966
Баллы
998
Через Диспетчер устройств включить отображение скрытых устройств, найти там бледносерые ромбики и открыть свойства.
Только это совсем другое и отношение к заданному вопросу имеет разве только очень косвенное.
 

SNS-amigo

SNS System Watch Freelance reporter
Сообщения
5,071
Реакции
8,128
Баллы
803
Ладно, хотел было еще описать второй самый расширенный вариант тоже средствами самой Windows, но он не описан ни на этом форуме, ни на других. Даже странно. А ведь он в два счета показывает всю ту информацию, что вы выуживаете из системы при помощи утилит, подобных WMI Explorer, пакетам NirSoft и Руссиновича. И выдает даже больше информации.
 
Статус
В этой теме нельзя размещать новые ответы.
Сверху Снизу