Вопросы В разделе AntiSpyware_WMI указан avast! Antivirus. Почему?

[Chinaski]

Сделал лог утилитой у себя (прикладываю), смущает следующее, раньше был установлен Avast Free Antivirus, пару месяцев назад удалил перешел на MSE, в логе в разделе Antivirus_WMI указан avast! Antivirus. В разделе AntiSpyware_WMI указан avast! Antivirus. Почему?
Следы от Avast естественно зачищал специальной утилитой.

 

[regist]

Chinaski, собственно там же написано, что WMI, так что утилита получает эту информацию через WMI от системы, что у системы там прописано, то и вывела. А почему родная удалялка аваста не удалила эти сведения это вопрос точно не к glax24.

 

[SNS-amigo]

@Chinaski, Если вы удаляете аваст штатной командой Windows или утилитой от аваста, то остаются еще файлы и ключи в реестре.
Одна из причин - то, что аваст, как и каспер, подменяет драйвера устройств ввода своими.

Поэтому прежде, чем избавиться от этого драйвера (или аналогичного драйвера каспера), например при помощи avz, нужно вернуть стандартные значения для устройств ввода. Иначе у вас потом не будет работать клавиатура (на картинке в примере).
Твик "клава-мыш" прилагается.

Но от аваст может остаться и немало других файлов и ключей. Я упомянул самый важный.

 

[Chinaski]

утилитой от аваста

Как мне виделось, что для этого мы и используем подобные утилиты - что бы не оставалось следов.

Одна из причин - то, что аваст, как и каспер, подменяет драйвера устройств ввода своими

Ни каких драйверов в модулях пространства ядра не осталось, я поэтому и спрашиваю, что выходит непонятная ситуация.

regist, вопрос заключается не совсем в том, что почему утилита так считает? А откуда она берет такие данные что бы проверить, действительно ли они существуют? Если они существуют то тогда вопрос к разработчикам Аваста - почему их утилита для удаления, не вычищает все следы. А если данных о существовании Аваста не существует (что конечно маловероятно, откуда то же они взялись?) например в реестре или работающих модулей пространства, то возможно ошибка в программе? Короче говоря, мне бы интересно было узнать, по какому алгоритму SecurityCheck определяет какой антивирус установлен в системе?

 

[SNS-amigo]

Короче говоря, мне бы интересно было узнать, по какому алгоритму SecurityCheck определяет какой антивирус установлен в системе?

Вполне резонный вопрос. Утилита получает эти сведения у Windows.
Можно просто поискать, что осталось от аваста - ключи, файлы.
Без следа у аваста работы не бывает.

 

[regist]

regist, вопрос заключается не совсем в том, что почему утилита так считает? А откуда она берет такие данные что бы проверить, действительно ли они существуют? Если они существуют то тогда вопрос к разработчикам Аваста - почему их утилита для удаления, не вычищает все следы. А если данных о существовании Аваста не существует (что конечно маловероятно, откуда то же они взялись?) например в реестре или работающих модулей пространства, то возможно ошибка в программе? Короче говоря, мне бы интересно было узнать, по какому алгоритму SecurityCheck определяет какой антивирус установлен в системе?

выше же написал из WMI. Можно посмотреть WMI эксплорером, либо позже могу написать скрипт AVZ. Хотя посмотри он кажется должен быть в справке в качестве примера.

AVZ. Хотя посмотри он кажется должен быть в справке в качестве примера.

вот из справки

begin
if WMI_Init('localhost', 'root\SecurityCenter2') then begin
if WMI_Query('SELECT * FROM AntiVirusProduct') then
  while WMI_Fetch do
   Addtolog(WMI_GetField('displayName') + ', '+WMI_GetField('instanceGuid'));
WMI_Free;
end;
end.

А если хочется самому полазить и посмотреть, то гугли WMI Explorer или подобные утилиты.

 

[SNS-amigo]

WMI Explorer
оф.сайт: http://www.ks-soft.net/hostmon.eng/wmi/

 

[regist]

Chinaski, вспомнил, что ещё можно скачать "вирус" из вложения в этой теме и запустить его. Он также должен эту информацию вывести.

 

[kmscom]

Одна из причин - то, что аваст, как и каспер, подменяет драйвера устройств ввода своими.

насчет аваста ничего не скажу, а каспер (актуальная версия и не младше 14.0.0.4651) удаляет сам драйвер и ключи в реестре возвращает в первоначальное, после перезагрузки.
а вот применение kavremover мог драйвер удалить, а реест не очистить, тогда возникало После удаления продукта Лаборатории Касперского не работают клавиатура и мышь

 

[SNS-amigo]

каспер (актуальная версия и не младше 14.0.0.4651) удаляет сам драйвер и ключи в реестре возвращает в первоначальное, после перезагрузки.

Да, если бы он не был на это запрограммирован, то стал бы malware. И аваст тоже должен возвращать оригинальные настройки Windows, но приведенный мною скриншот наглядно демонстрирует, что так происходит далеко не всегда. У меня есть аналогичный скрин и каспера. И немало тем с недовольными на фан-форумах.
Немало также случаев, когда нормальное удаление аваста или каспера невозможно по причинам разного характера, тогда на помощь приходят их ремоверы (для таких случаев, собственно, их и создавали разработчики), которые свои драйвера не подчищают, а системные настройки не возвращают, хотя по идее должны.

а реест не очистить, тогда возникало После удаления продукта Лаборатории Касперского не работают клавиатура и мышь

Эта рекомендация никак не поможет, если не иметь этого KRD-диска заранее - мышь, клава, тачпад, сенсор и пр. не будут работать.
Потому перед удалением каспера и аваста надо запускать тот твик, который я приложил выше. На любой ОС - от XP до 8-ки.

 

[regist]

. У меня есть аналогичный скрин и каспера. И немало тем с недовольными на фан-форумах.

подобные темы есть даже тут в разделе лечения и в большинстве случаев юзеры начинают деинсталяцию сразу ремувером думая, что это лучше чем штатное удаление. В результате имеем указанную проблему и кучу тем с недовольными. А ремувер предназначен только для тех случаев, когда стандартное удаление по каким-то причинам невозможно или остались следы, которые надо дочистить.

Потому перед удалением каспера и аваста надо запускать тот твик, который я приложил выше.

только не перед удалением, а после удаления, но до перезагрузки.

 

[SNS-amigo]

после удаления, но до перезагрузки.

Согласен, так лучше.

 

[Dragokas]

Chinaski, искомые Вами записи, недочищенные антивирусом, находятся в репозитории WMI по пути: %windir%\System32\Wbem\Repository
Если Вас интересуют подробности, Вы можете почитать эту статью: https://www.opswat.com/blog/windows-security-center-fooling-wmi-consumers

Почему запись не была почищена?
Причин может быть много. Как минимум, сбой в работе провайдера WMI / службы во время удаления продукта.
На счет автоматической чистилки от вендора - когда она в последний раз обновлялась?
А вот дистрибутив AV обновляется часто и не факт, что в новом продукте они что-нибудь в этом плане не поменяли, чего не увидела чистилка.

 

[Alex1983]

Если Вас интересуют подробности, Вы можете почитать эту статью: https://www.opswat.com/blog/windows-security-center-fooling-wmi-consumers

Перевод бы почитать))))

 

[ScriptMakeR]

Alex1983,
Google переводчик и здравый смысл Вам в помощь

 

[SNS-amigo]

Alex1983, дык и гугловского хватит.

 

[Chinaski]

regist, Скрипт AVZ вернул информацию об Avast

avast! Antivirus, {17AD7D40-BA12-9C46-7131-94903A54AD8B}

Как я понял скрипт забирает информацию, которая должна находится в WMI в объекте содержащим AntiVirusProduct? Если это так, то объекта содержащего это я не нашел через WMIexplorer. Возможно я что-то не правильно понял.

Dragokas, спасибо за дельную статью, надо будет ознакомиться.

 

[regist]

Как я понял скрипт забирает информацию, которая должна находится в WMI в объекте содержащим AntiVirusProduct? Если это так, то объекта содержащего это я не нашел через WMIexplorer. Возможно я что-то не правильно понял.

Так смотрел?

 

[regist]

Через Диспетчер устройств включить отображение скрытых устройств, найти там бледносерые ромбики и открыть свойства.

Только это совсем другое и отношение к заданному вопросу имеет разве только очень косвенное.

 

[SNS-amigo]

Ладно, хотел было еще описать второй самый расширенный вариант тоже средствами самой Windows, но он не описан ни на этом форуме, ни на других. Даже странно. А ведь он в два счета показывает всю ту информацию, что вы выуживаете из системы при помощи утилит, подобных WMI Explorer, пакетам NirSoft и Руссиновича. И выдает даже больше информации.