kaspersky encore présent malgré désinstallation

Questions générales (installation, utilisation etc) sur les antivirus.

Modérateur : Mods Windows

valbreizh
Messages : 5
Inscription : 11 juin 2021 15:54

kaspersky encore présent malgré désinstallation

par valbreizh »

Bonjour, je dois déployer Forticlient pour la fonction VPN (et aussi AV/Web filtering/..) sur les postes d'une entreprise qui étaient équipés de Kaspersky avec différentes version 18..20, free ou avec licence. Le soucis est que le msi du Forticlient m'indique que Kaspersky est tjrs présent alors que désinstallé et bloque le processus.
Revo uninstaller m'a presque planté une machine en en enlevant trop, le support Kaspersky m'indique que sans licence pas de support, etc..... Je pensais trouver la clé dans la registry mais rien, kavremover remove .... pas assez. J'ai essayé de tracer msiexec mais j'en ai pas assez pour voir ou la fonction MSI_Enum3rdPartAV va chercher l'information.
En loguant le msiexec, le test de produit tiers AV donne cela plus bas :
MSI (c) (10:C0) [10:40:27:948]: Invoking remote custom action. DLL: C:\Users\AJ6D82~1.AVO\AppData\Local\Temp\MSIA226.tmp, Entrypoint: MSI_Enum3rdPartAV
1: [10:40:27]: FCSetupWx: MSI_Enum3rdPartAV(): CUSTOMIZED=
1: [10:40:27]: FCSetupWx: MSI_Enum3rdPartAV(): Kaspersky Free, Kaspersky Anti-Virus
MSI (c) (10!54) [10:40:27:978]: PROPERTY CHANGE: Adding CONFLICT_AVLIST property. Its value is 'Kaspersky Free, Kaspersky Anti-Virus
Je suis bloqué.
Toute aide serait la bienvenue
Avatar de l’utilisateur
Parisien_entraide
Messages : 8822
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: kaspersky encore présent malgré désinstallation

par Parisien_entraide »

Bonjour,

Kaspersky comme tous les AV s'installe à bas niveau

Il a été désinstallé comment ? Avec un outil de type Revo Uninstaller, GeekUninstaller ?

Tu peux voir les taches actives, pilotes etc avec https://processhacker.sourceforge.io/nightly.php (elle est stable)
Tu peux voir ce qui traine via les différents onglets avec https://www.malekal.com/autoruns/

Kaspersky a son propre outil https://support.kaspersky.com/fr/common/uninstall/1464
Lien direct : https://media.kaspersky.com/utilities/C ... vremvr.exe

Edit : Zut je viens de voir que tu as utilisé KavRemover

Au pire les outils d'Argente (attention ca va assez loin, mais je n'ai jamais rencontré de soucis sur un PC sain)

https://argenteutilities.com/en/downloads
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
valbreizh
Messages : 5
Inscription : 11 juin 2021 15:54

Re: kaspersky encore présent malgré désinstallation

par valbreizh »

Bonjour, déjà merci de ta réponse.
Désinstallé sur un poste avec l'uninstaller de windows , sur un autre avec revo que je trouve efficient.
J'ai utilisé processexplorer mais v utiliser processkhacker pour explorer d'autres directions.
J'ai envie d'injecter du code sur la dll de msi pour tracer ce qui s'y passe en dernier ressort ....
A plus tard
Avatar de l’utilisateur
Parisien_entraide
Messages : 8822
Inscription : 02 juin 2012 20:48
Localisation : Je suis dans la matrice :-)

Re: kaspersky encore présent malgré désinstallation

par Parisien_entraide »

Le problème avec process explorer, processe hacker etc, c'est que globalement en apparence ils font la meme chose, mais chacun a une particularité (parfois bien cachée :-) et que l'on est obligé d'alterner suivant usage

https://www.malekal.com/alternative-au- ... e-windows/

Perso pour fouiner, analyser etc j'alterne entre process explorer, Process hacker, et le prog de MI TEC (task manager deluxe)
Sans compter que parfois on est obligé d'utiliser certains progs de type

https://www.sordum.org/9416/powerrun-v1 ... rivileges/
https://www.bleepingcomputer.com/download/grantperms/
https://www.wagnardsoft.com/forums/view ... p?p=11#p11

Pour kaspersky je n'ai pas testé, mais cela m'a permis de débusquer des clés de registres non visibles en mode admin pour des progs Chinois (désinstallation EASUS par ex dont une DLL continuait de communiquer avec l'extérieur alors que le prog avait été désinstallé avec Revo Uninstaller en version PRO)

En dernier ressort réinstaller en utilisant Registry Change View de Nirsoft, ce qui permet de voir les changements opérés et de mieux cibler

De toutes les façons il vaut mieux installer https://www.malekal.com/windows-system- ... lications/
ce qui permet d'avoir tout sous la main (outils Nirsoft, Sysinternals, certains de Microsoft, Mi Tec, ..)
Only Amiga... was possible !
Un problème sans solution est un problème mal posé. » (Albert Einstein)
"Tous les patients mentent" Docteur House
valbreizh
Messages : 5
Inscription : 11 juin 2021 15:54

Re: kaspersky encore présent malgré désinstallation

par valbreizh »

Merci Parisien, désolé de ma réponse tardive après hier, suis allé faire du sport pour oxygéner
Tout a fait d'accord sur l'analyse des process ...
En effet je pense qu'il fait un check de la base de registre sur une string ou une valeur ou COM ou...
J'ai lancé un spy/capture des IO disk/registry hier et n'ai rien trouvé dans les centaines de lignes.
J'ai la semaine pour régler ce soucis et te tiens au courant / nirsoft qui est plus fin qu'un capture dont je peux analyser les changements.
A tout à l'heure
valbreizh
Messages : 5
Inscription : 11 juin 2021 15:54

Re: kaspersky encore présent malgré désinstallation

par valbreizh »

Bonjour, avec du retard voici la solution appliquée.

Pour déterminer les AV installés (correspond au même endroit dans le registry mais il faut bouger les autorisations d'accès aux keys.)


Sujet résolu.


Commandes
Afficher les AV, all productcs installed (ou encore présents):
wmic /namespace:\\root\SecurityCenter2 PATH AntiVirusProduct get *

Kill les keys outputted :
wmic /namespace:\\root\SecurityCenter2 PATH AntiVirusProduct WHERE instanceGuid='{XXXXXXXX-XXXX-XXXX-XXXX-XXXXXXXXXXXX}' DELETE



Console / admin : afficher les AV

Code : Tout sélectionner

C:\WINDOWS\system32>wmic /namespace:\\root\SecurityCenter2 PATH AntiVirusProduct get *
displayName           instanceGuid                            pathToSignedProductExe                                                    pathToSignedReportingExe                                                productState  timestamp     
Windows Defender      {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}  windowsdefender:// %ProgramFiles%\Windows Defender\MsMpeng.exe                             397568        Tue, 15 Jun 2021 18:51:16 GMT
Kaspersky Free        {4F76F112-43EB-40E8-11D8-F7BD1853EA23}  C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 21.2\wmiav.exe        C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 21.2\avp.exe        266240        Fri, 23 Apr 2021 15:31:53 GMT
Kaspersky Anti-Virus  {0AB30972-4BAC-7BEE-CBCA-B8F9E68797D8}  C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 20.0\wmiav.exe  C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 20.0\avp.exe  266240        Thu, 17 Dec 2020 16:09:27 GMT
Kill les entrées

Code : Tout sélectionner

C:\WINDOWS\system32>wmic /namespace:\\root\SecurityCenter2 PATH AntiVirusProduct WHERE instanceGuid='{4F76F112-43EB-40E8-11D8-F7BD1853EA23}' DELETE
Suppression de l'instance \\[i]COMPUTER[/i]\ROOT\SecurityCenter2:AntiVirusProduct.instanceGuid="{4F76F112-43EB-40E8-11D8-F7BD1853EA23}"
La suppression de l'instance a réussi. 

C:\WINDOWS\system32>wmic /namespace:\\root\SecurityCenter2 PATH AntiVirusProduct WHERE instanceGuid='{0AB30972-4BAC-7BEE-CBCA-B8F9E68797D8}' DELETE
Suppression de l'instance \\[i]COMPUTER[/i]\ROOT\SecurityCenter2:AntiVirusProduct.instanceGuid="{0AB30972-4BAC-7BEE-CBCA-B8F9E68797D8}"
La suppression de l'instance a réussi.
Résultat

Code : Tout sélectionner

C:\WINDOWS\system32>wmic /namespace:\\root\SecurityCenter2 PATH AntiVirusProduct get *
displayName       instanceGuid                            pathToSignedProductExe  pathToSignedReportingExe                     productState  timestamp
Windows Defender  {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}  windowsdefender://      %ProgramFiles%\Windows Defender\MsMpeng.exe  397568        Tue, 15 Jun 2021 18:51:16 GMT
Avatar de l’utilisateur
devadip
Messages : 919
Inscription : 25 févr. 2008 20:01

Re: kaspersky encore présent malgré désinstallation

par devadip »

Slt
Puisque sujet résolu, j'ai une question.
Avec le logiciel everything, y a pas possibilité de supprimer définitivement toutes traces de logiciel ?
valbreizh
Messages : 5
Inscription : 11 juin 2021 15:54

Re: kaspersky encore présent malgré désinstallation

par valbreizh »

Bonjour everything cherche sur le filesystemet au travers d'un index qui lui est propre (il double le SBD de Windows en plus performant,...), ma recherche se concentrait sur la base de registre qui est "l'index'" de référence pour l'installeur vers des fichiers non existants mais dont la simple présence (des regkeys) le bloquait.
Voilà
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Discussions/Aides Antivirus »