Jump to content
Sign in to follow this  
aigir

Не удаляется ветка реестра KES [В процессе]

Recommended Posts

на одном из компов заглючил KES10: перестал управляться через агент, политика не срабатывает, пользовательское приложение не запускается, перезагрузка компа не помогает

решил снести

вручную через установку-удаление снести не получилось..., выдал ошибку

через kavremvr тоже не получилось

после нескольких бубнотанцев все-таки удалось снести.. на всякий случай снес так-же агента и еще раз прогнал через kavremvr -nodetect

 

после сноса выяснилось, что реестре остается ветка HKLM\SOFTWARE\KasperskyLab\protected\KES10\profiles\Controls\profiles\WebControl\settings\rules001\proncipals, которая не открывается и не удаляется.. такое впечатление что ее что-то держит.

и соответственно скорее всего из-за этого KES10 на комп не ставится

прогнал проверку диска с исправлением всех выявленных ошибок - ничего не обнаружилось, и ветка по-прежнему не удаляется

 

поковыряться в безопасном режиме не получится - комп удаленный, доступ по сети только через Радмин.

 

что посоветуете?

 

Share this post


Link to post
на одном из компов заглючил KES10: перестал управляться через агент, политика не срабатывает, пользовательское приложение не запускается, перезагрузка компа не помогает

решил снести

вручную через установку-удаление снести не получилось..., выдал ошибку

через kavremvr тоже не получилось

после нескольких бубнотанцев все-таки удалось снести.. на всякий случай снес так-же агента и еще раз прогнал через kavremvr -nodetect

 

после сноса выяснилось, что реестре остается ветка HKLM\SOFTWARE\KasperskyLab\protected\KES10\profiles\Controls\profiles\WebControl\settings\rules001\proncipals, которая не открывается и не удаляется.. такое впечатление что ее что-то держит.

и соответственно скорее всего из-за этого KES10 на комп не ставится

прогнал проверку диска с исправлением всех выявленных ошибок - ничего не обнаружилось, и ветка по-прежнему не удаляется

 

поковыряться в безопасном режиме не получится - комп удаленный, доступ по сети только через Радмин.

 

что посоветуете?

 

Здравствуйте,

укажите точную сборку KES.

Спасибо.

Share this post


Link to post
Здравствуйте,

укажите точную сборку KES.

Спасибо.

 

до сноса стоял KES 10.2.1.23 (a)

сносил через "Установка-удаление" (с ошибкой) + kavremvr (с ошибкой) + бубнотанцы + kavremvr -nodetect (без ошибок)

все вроде почистилось кроме вышеуказанной ветки

 

самозащита отпадает.. в запущеных процессах Каспера нет, в Program files папки нет, в реестре от всего раздела HKLM\SOFTWARE\KasperskyLab осталась только вышеуказанная ветка

драйвера поищу после праздников

 

смотрел на другом компе с работающим KES10 - эта же ветка хотя-бы читается через regedit

а на этом компе даже не читается

может в самом реестре какой-нибудь сбой

поверка диска никаких ошибок не выявляет

Edited by Aigir

Share this post


Link to post
самозащита отпадает.. в запущеных процессах Каспера нет, в Program files папки нет, в реестре от всего раздела HKLM\SOFTWARE\KasperskyLab осталась только вышеуказанная ветка

драйвера поищу после праздников

 

У меня было несколько похожих случаев, когда дело было действительно в поврежденном реестре

И самозащита была не при делах - окривевшая ветка не удалилась даже из загрузочной среды ERD Commander

 

На некоторых машинах помогло удаление с помощью загрузочного диска с Linux с редактором реестра

На двух машинах даже это не помогло - до сих пор сидят с KES8

 

Share this post


Link to post

Вряд ли, но может кому то и пригодится...

Точь в точь такая же проблема - отказался работать KES 10 SP1 (MR3,4). Машина на XP, очень важная, технологическая, переустанавливать ОС нельзя. И без антивируса не комильфо.

Удалил нерабочий KES. С трудом, с помощью RevoUninstaller, KavRemover, танцев с бубном, полной чисткой реестра сторонними утилитами.... Антивируса на ПК нет. Совсем нет, ни одной папки, ни одного файла, в реестре все чисто, кроме....HKLM\SOFTWARE\KasperskyLab\protected\... дальше "подпапки" не запомнил, ибо не протоколировал. Эта ветка не удаляется, в т.ч. в безопасном режиме.

Загрузились с флешки, цепляемся к проблемному реестру ERD Commander - ветка вновь не удаляется! хм..битый реестр...

Сохранили файл реестра HKLM\SOFTWARE (C:\Windows\System32\config\SOFTWARE), перенесли на машину с Linux, некой утилитой-редактором (коллега делал, поэтому без сильных подробностей) открыли файл - не удаляется ветка protected. Вернее, удалились многие "подпапки" ветки, кроме одной, содержащей в своем названии обратный слеш "\". Гуглим, что \ запрещено использовать в реестре Windows. В HEX редакторе той же linux утилиты заменяем \ на ... L (к примеру). Подраздел стал хотя бы показывать свои значения, до этого даже не показывал. Но опять не удаляется. Видим, что в этом "ломаном" подразделе некий тип выставлен в значении 53, тогда как у всех остальных родительских разделов - 20. Меняем тоже на 20. Удалился, соответственно удалился и весь HKLM\SOFTWARE\KasperskyLab. Ура! Сохраняем файлик SOFTWARE, переносим его обратно на комп, загружаем XP, проверяем, в реестре чисто.

Ставим KES 10 SP1 (максимальная версия для XP) локально. Поставилось, но не поставился патч MR3, MR4, ругается на ошибку установки драйвера klim5_m.inf_x86. Это уже немного другая тема, тут было https://forum.kaspersky.com/index.php?/topic/378442-ошибка-27300-при-установке-kes/  чинить знаем как. Устанавливаем KES 10 из KSC без NDIS драйвера. Все успешно установлено, XP проживет еще сколько то лет.

ps. есть мнение, что это все же защитный механизм ЛК так "править" реестр, чтобы ничем, кроме продуктов ЛК туда не записать ненужного. Разработчики наверняка в курсе, жаль, не читают это. Типа самозащиты все таки, вот только тот же KavRemover обязан это чинить! HEX-редактор, имхо, слишком круто для таких вещей. 

 

Edited by Welf

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.