Вопрос В разделе AntiSpyware_WMI указан avast! Antivirus. Почему?

Статус
В этой теме нельзя размещать новые ответы.

Chinaski

Ассоциация VN
Сообщения
2,083
Реакции
371
Сделал лог утилитой у себя (прикладываю), смущает следующее, раньше был установлен Avast Free Antivirus, пару месяцев назад удалил перешел на MSE, в логе в разделе Antivirus_WMI указан avast! Antivirus. В разделе AntiSpyware_WMI указан avast! Antivirus. Почему?
Следы от Avast естественно зачищал специальной утилитой.
 

Вложения

  • SecurityCheck.txt
    1.8 KB · Просмотры: 4
Chinaski, собственно там же написано, что WMI, так что утилита получает эту информацию через WMI от системы, что у системы там прописано, то и вывела. А почему родная удалялка аваста не удалила эти сведения это вопрос точно не к glax24.
 
@Chinaski, Если вы удаляете аваст штатной командой Windows или утилитой от аваста, то остаются еще файлы и ключи в реестре.
Одна из причин - то, что аваст, как и каспер, подменяет драйвера устройств ввода своими.
ав1.png

Поэтому прежде, чем избавиться от этого драйвера (или аналогичного драйвера каспера), например при помощи avz, нужно вернуть стандартные значения для устройств ввода. Иначе у вас потом не будет работать клавиатура (на картинке в примере).
Твик "клава-мыш" прилагается.

Но от аваст может остаться и немало других файлов и ключей. Я упомянул самый важный.
 

Вложения

  • клава-мыш.zip
    1.6 KB · Просмотры: 8
Последнее редактирование:
утилитой от аваста
Как мне виделось, что для этого мы и используем подобные утилиты - что бы не оставалось следов.
Одна из причин - то, что аваст, как и каспер, подменяет драйвера устройств ввода своими
Ни каких драйверов в модулях пространства ядра не осталось, я поэтому и спрашиваю, что выходит непонятная ситуация.

regist, вопрос заключается не совсем в том, что почему утилита так считает? А откуда она берет такие данные что бы проверить, действительно ли они существуют? Если они существуют то тогда вопрос к разработчикам Аваста - почему их утилита для удаления, не вычищает все следы. А если данных о существовании Аваста не существует (что конечно маловероятно, откуда то же они взялись?) например в реестре или работающих модулей пространства, то возможно ошибка в программе? Короче говоря, мне бы интересно было узнать, по какому алгоритму SecurityCheck определяет какой антивирус установлен в системе?
 
Короче говоря, мне бы интересно было узнать, по какому алгоритму SecurityCheck определяет какой антивирус установлен в системе?
Вполне резонный вопрос. Утилита получает эти сведения у Windows.
Можно просто поискать, что осталось от аваста - ключи, файлы.
Без следа у аваста работы не бывает.
 
Последнее редактирование:
regist, вопрос заключается не совсем в том, что почему утилита так считает? А откуда она берет такие данные что бы проверить, действительно ли они существуют? Если они существуют то тогда вопрос к разработчикам Аваста - почему их утилита для удаления, не вычищает все следы. А если данных о существовании Аваста не существует (что конечно маловероятно, откуда то же они взялись?) например в реестре или работающих модулей пространства, то возможно ошибка в программе? Короче говоря, мне бы интересно было узнать, по какому алгоритму SecurityCheck определяет какой антивирус установлен в системе?
выше же написал из WMI. Можно посмотреть WMI эксплорером, либо позже могу написать скрипт AVZ. Хотя посмотри он кажется должен быть в справке в качестве примера.
AVZ. Хотя посмотри он кажется должен быть в справке в качестве примера.
вот из справки
Код:
begin
if WMI_Init('localhost', 'root\SecurityCenter2') then begin
if WMI_Query('SELECT * FROM AntiVirusProduct') then
  while WMI_Fetch do
   Addtolog(WMI_GetField('displayName') + ', '+WMI_GetField('instanceGuid'));
WMI_Free;
end;
end.
А если хочется самому полазить и посмотреть, то гугли WMI Explorer или подобные утилиты.
 
Chinaski, вспомнил, что ещё можно скачать "вирус" из вложения в этой теме и запустить его. Он также должен эту информацию вывести.
 
Одна из причин - то, что аваст, как и каспер, подменяет драйвера устройств ввода своими.
насчет аваста ничего не скажу, а каспер (актуальная версия и не младше 14.0.0.4651) удаляет сам драйвер и ключи в реестре возвращает в первоначальное, после перезагрузки.
а вот применение kavremover мог драйвер удалить, а реест не очистить, тогда возникало После удаления продукта Лаборатории Касперского не работают клавиатура и мышь
 
каспер (актуальная версия и не младше 14.0.0.4651) удаляет сам драйвер и ключи в реестре возвращает в первоначальное, после перезагрузки.
Да, если бы он не был на это запрограммирован, то стал бы malware. И аваст тоже должен возвращать оригинальные настройки Windows, но приведенный мною скриншот наглядно демонстрирует, что так происходит далеко не всегда. У меня есть аналогичный скрин и каспера. И немало тем с недовольными на фан-форумах.
Немало также случаев, когда нормальное удаление аваста или каспера невозможно по причинам разного характера, тогда на помощь приходят их ремоверы (для таких случаев, собственно, их и создавали разработчики), которые свои драйвера не подчищают, а системные настройки не возвращают, хотя по идее должны.
Эта рекомендация никак не поможет, если не иметь этого KRD-диска заранее - мышь, клава, тачпад, сенсор и пр. не будут работать.
Потому перед удалением каспера и аваста надо запускать тот твик, который я приложил выше. На любой ОС - от XP до 8-ки.
 
Последнее редактирование:
. У меня есть аналогичный скрин и каспера. И немало тем с недовольными на фан-форумах.
подобные темы есть даже тут в разделе лечения и в большинстве случаев юзеры начинают деинсталяцию сразу ремувером думая, что это лучше чем штатное удаление. В результате имеем указанную проблему и кучу тем с недовольными. А ремувер предназначен только для тех случаев, когда стандартное удаление по каким-то причинам невозможно или остались следы, которые надо дочистить.
Потому перед удалением каспера и аваста надо запускать тот твик, который я приложил выше.
только не перед удалением, а после удаления, но до перезагрузки.
 
Chinaski, искомые Вами записи, недочищенные антивирусом, находятся в репозитории WMI по пути: %windir%\System32\Wbem\Repository
Если Вас интересуют подробности, Вы можете почитать эту статью: https://www.opswat.com/blog/windows-security-center-fooling-wmi-consumers

Почему запись не была почищена?
Причин может быть много. Как минимум, сбой в работе провайдера WMI / службы во время удаления продукта.
На счет автоматической чистилки от вендора - когда она в последний раз обновлялась?
А вот дистрибутив AV обновляется часто и не факт, что в новом продукте они что-нибудь в этом плане не поменяли, чего не увидела чистилка.
 
regist, Скрипт AVZ вернул информацию об Avast
Код:
avast! Antivirus, {17AD7D40-BA12-9C46-7131-94903A54AD8B}

Как я понял скрипт забирает информацию, которая должна находится в WMI в объекте содержащим AntiVirusProduct? Если это так, то объекта содержащего это я не нашел через WMIexplorer. Возможно я что-то не правильно понял.

Dragokas, спасибо за дельную статью, надо будет ознакомиться.
 
Последнее редактирование:
Как я понял скрипт забирает информацию, которая должна находится в WMI в объекте содержащим AntiVirusProduct? Если это так, то объекта содержащего это я не нашел через WMIexplorer. Возможно я что-то не правильно понял.
Так смотрел?
WMI_AntiVirusProduct.JPG
 
Через Диспетчер устройств включить отображение скрытых устройств, найти там бледносерые ромбики и открыть свойства.
Только это совсем другое и отношение к заданному вопросу имеет разве только очень косвенное.
 
Ладно, хотел было еще описать второй самый расширенный вариант тоже средствами самой Windows, но он не описан ни на этом форуме, ни на других. Даже странно. А ведь он в два счета показывает всю ту информацию, что вы выуживаете из системы при помощи утилит, подобных WMI Explorer, пакетам NirSoft и Руссиновича. И выдает даже больше информации.
 
Статус
В этой теме нельзя размещать новые ответы.
Назад
Сверху Снизу