Не удаляется несовместимая программа

[Michael.Vitebsk]

При попытке установки  Kaspersky Internet Security он пытается удалить ESET NOD 32, но ничего не получается и мы идем по кругу: предложение удалить, сообщение, что программа удалена и предложение перезапустить компьютер и опять все заново. Что делать? Система Windows 7 максимальная.

[andrew75]

@Michael.Vitebsk, для удаления NOD32 воспользуйтесь их утилитой.

[JIoVeTs]

утилита пишет, что антивируса нет, но касперский по-прежнему указывает на его наличие

[andrew75]

@JIoVeTs, скачайте и запустите утилиту Get System Info. Из полученного архива извлеките файл IncompatibleSoftware.rtf

Приложите сам файл или его содержимое к следующему сообщению.

 

[JIoVeTs]

Вот:

Спойлер

KISDT version 3.1.10.217

KISDT is running as Administrator

System date now: 04.11.2023 13:14:00

NTP-server date now: 04.11.2023 13:14:01 (utcnist.colorado.edu)

OS: Microsoft Windows 7 Домашняя расширенная 6.1.7601.65536 Service Pack 1

_____________________

Possibly incompatible software or hardware is found:

FileSystemDriver

eamonm

eamonm

system32\DRIVERS\eamonm.sys

Normalized driver file name is:

C:\Windows\system32\DRIVERS\eamonm.sys

Driver file exist: False

KernelDriver

edevmon

edevmon

system32\DRIVERS\edevmon.sys

Normalized driver file name is:

C:\Windows\system32\DRIVERS\edevmon.sys

Driver file exist: False

FileSystemDriver

edevmonm

edevmonm

system32\DRIVERS\edevmonm.sys

Normalized driver file name is:

C:\Windows\system32\DRIVERS\edevmonm.sys

Driver file exist: False

KernelDriver

ehdrv

ehdrv

system32\DRIVERS\ehdrv.sys

Normalized driver file name is:

C:\Windows\system32\DRIVERS\ehdrv.sys

Driver file exist: False

 

KernelDriver

ekbdflt

ekbdflt

system32\DRIVERS\ekbdflt.sys

Normalized driver file name is:

C:\Windows\system32\DRIVERS\ekbdflt.sys

Driver file exist: False

KernelDriver

epfw

epfw

system32\DRIVERS\epfw.sys

Normalized driver file name is:

C:\Windows\system32\DRIVERS\epfw.sys

Driver file exist: False

KernelDriver

epfwwfp

epfwwfp

system32\DRIVERS\epfwwfp.sys

Normalized driver file name is:

C:\Windows\system32\DRIVERS\epfwwfp.sys

Driver file exist: False

Win32ShareProcess

ESET Service

ekrn

"C:\Program Files\ESET\ESET Security\ekrn.exe"

Win32ShareProcess

ESET Firewall Helper

ekrnEpfw

"C:\Program Files\ESET\ESET Security\ekrn.exe"

 

[Maratka]

Я бы сделал так:

1) Установил бы этот Eset NOD
2) Перезагрузился
3) Тут же удалил бы его.

 

[andrew75]

@JIoVeTs, вы не той утилитой от ESET пользовались. 

Вам нужен ESET Uninstaller (ссылка есть выше), а не ESET AV Remover.

AV Remover не удаляет продукты ESET, только другие антивирусы.

[Maratka]

2 часа назад, andrew75 сказал:

AV Remover не удаляет продукты ESET, только другие антивирусы.

Вообще интересная штука. ЛК бы подобное в дистрибутив ввести, дабы вопросов подобных не было бы.

@JIoVeTs, попробуйте еще эту версию утилиты для создания отчета несовместимого ПО:
https://disk.yandex.ru/d/ETGpZjONqPtVig

Это все то же самое, только работает в сотню раз быстрее, чем GSI, т.к. является лишь его малой частью.
Отчет оно соберет где-то за 20 секунд. Потом его Вы сохраните, или просто из буфера обмена скопируйте, и тут нам покажите. Мне это важно, т.к. я являюсь разработчиком этой утилиты, мне важно, найдет ли она что-то еще, в сравнении со старой версией.

[kmscom]

Сторонние антивирусы могут меняться и все это регулярно менять в дистрибутиве Kaspersky, для их удаления, не совсем практично 

[Maratka]

2 минуты назад, kmscom сказал:

Сторонние антивирусы могут меняться и все это регулярно менять в дистрибутиве Kaspersky, для их удаления, не совсем практично 

Ну да, не очень оно практично.
Т.е. я так понимаю, что в ESET несколько человек (вида 2 разраба, один тестер) заняты непрактичной работой, просто для того, чтобы их клиенты, купившие лицензию имели меньше проблем с установкой их антивируса.

Ну да, непрактично... 🙂

[andrew75]

21 минуту назад, Maratka сказал:

ЛК бы подобное в дистрибутив ввести, дабы вопросов подобных не было бы.

ну так в дистрибутиве есть что-то похожее. Только не слишком эффективное. Скорее всего потому, что все подобные утилиты должны работать в безопасном режиме.

[Maratka]

2 часа назад, kmscom сказал:

Сторонние антивирусы могут меняться и все это регулярно менять в дистрибутиве Kaspersky, для их удаления, не совсем практично 

Кстати, для этого  и сделан онлайн-дистрибутив вместо полного локального, чтобы тянуть все самое последнее. В частности, подкачивается база для вот этого самого детекта несовместимого ПО (ну или попросту - на 99% - "чужих" антивирусов). Ну не для баз же оно новейших в конце концов, они обновятся быстро, минут через пять будет полное новье. Да и хотфиксы тогда же подтянутся!

1 час назад, andrew75 сказал:

ну так в дистрибутиве есть что-то похожее. Только не слишком эффективное. Скорее всего потому, что все подобные утилиты должны работать в безопасном режиме.

Ну не совсем и всегда прямо вот в безопасном. 😉

Я вот посмотрел отчет несовместимого ПО - там просто ключи реестра поголовно. Ничего запущенного нет (но возможно конечно что есть, потому и хочу новый отчет от более новой версии утилиты). Тем не менее, 95%, что она если и найдет что-то, то новый мусор в реестре. Я же специально проверку на наличие файлов делаю (drv file exist: True/False), ну и запущенных процессов нет по имеющемуся отчету. Т.е. антивирус с вероятностью 95% был удален корректно, а то что осталось - это никак мешать работе любому другому конкуренту, включая ЛК не будет.

А почистить реестр - безопасный режим нужен от слова "никак", эти записи не блокируются самозащитой антивируса, ибо некому их блокировать, драйверов то физически нет!

А что в антивирусе ЛК есть - так это просто запуск штатного его деинсталятора в тихом режиме, а-ля /Quet
Оно безусловно работает. Но работает только тогда, когда в системе реально есть антивирус. Т.е. сработает, если нет повреждения системы (обычно - от всяких там оптимизаторов), вероятность где-то 95-99%, но не 100% понятно, вот мы сейчас такой случай и видим, антивируса нет, но хвосты есть.

[andrew75]

Один драйвер там таки запущен:

Цитата

Win32ShareProcess
ESET Firewall Helper
ekrnEpfw
"C:\Program Files\ESET\ESET Security\ekrn.exe"

[Maratka]

Это сервис. Я пока не разделил их как драйвера., ну т.е. там нет проверки.
Если будет запущено, будет другое сообщение, вида (на примере Dr.Web'а):

Running processes:
spideragent (C:\Program Files\DrWeb\spideragent.exe)
File:             C:\Program Files\DrWeb\spideragent.exe
InternalName:     SpIDer Agent
OriginalFilename: SpIDerAgent.exe
FileVersion:      12.0.1.10250
FileDescription:  SpIDer Agent for Windows
Product:          Dr.Web ®
ProductVersion:   12.0.1.10250
Debug:            False
Patched:          False
PreRelease:       False
PrivateBuild:     False
SpecialBuild:     False
Language:         Независимо от языка

1 час назад, Maratka сказал:

Это сервис. Я пока не разделил их как драйвера., ну т.е. там нет проверки.

Непонятно походу написал, сам прочитал, и сам же не понял, что написано. 😉

В общем, нет проверки на наличие бинаря. В драйверах сделал, а тут не успел (ну и особого смысла нет, я же отдельно проверяю список запущенных процессов).
А вот список запущенных драйверов не проверяю, ибо мне из Ring3 достучаться до Ring0 как бы не очень просто. Возможно есть механизмы, но я не знаю про них.. Потому сделал проверку на факт наличия самого файла драйвера. Технически, он может уже и не быть, на момент составления отчета, т.е. запущен, но файл - удален. Но это какие-то тысячные доли процента вероятность, думаю, что для ТП (а для нее это и писалось) оно и так вполне себе пойдет. 🙂

[andrew75]

2 часа назад, Maratka сказал:

попробуйте еще эту версию утилиты для создания отчета несовместимого ПО

а вот это кстати хорошо. GSI нам здесь запрашивать нельзя. А вот утилиту для поиска несовместимого ПО никто не запрещал.

@Maratka, вы не против, если я поделюсь ссылкой с другими модераторами форума?

[Maratka]

Да ради Бога!

[andrew75]

@Maratka, кстати, гугл ругается на файл.

Цитата

В вашем файле "Un_s.zip" есть контент, который может нарушать Правила Google Диска в отношении вредоносного ПО и вредоносного контента Google Диска.

Запросил у них дополнительную проверку.

[Maratka]

Не думаю, что они бинари разобрали, т.к. не их это епархия. Но там конечно тоже есть детект (не все в базах, ибо не все в базы легко сунуть).
А вот с базами - да, там они в обычных текстовых файлах, ничем не маскируются (ну и хорошо, специально сделал, их кто угодно может пополнять благодаря этому). Могу даже инструкцию дать.

Т.е. в целом, понятно, что им не нравится.

Вопрос: а без Гугла нельзя? Ну там на сервер фанклуба выложить, или еще как?

А так, я думаю понятно, что делать: эта утилита ничего не удаляет, да и вообще в системе не меняет (все операции в режиме read only). Правда, для этого нужно уже бинарь смотреть.

[andrew75]

12 минут назад, Maratka сказал:

Вопрос: а без Гугла нельзя?

можно конечно. Просто если скачивать в хроме, то он тоже ругается на небезопасный файл. 

Кто понимает, может это игнорировать. Но простые пользователи будут пугаться.

Я потому и запросил у гугла проверку. Если они снимут детект, то с большой вероятностью и в хроме все будет нормально.

[Maratka]

А, вот так даже!
Ну тогда да, придется как-то это решать.
А попробуйте отдельно выложить базы без бинарей, и отдельно бинари без баз - на что он ругаться будет?

[andrew75]

Экзешники ему не нравятся. Причем оба.

[Maratka]

 

2 часа назад, andrew75 сказал:

Я потому и запросил у гугла проверку. Если они снимут детект, то с большой вероятностью и в хроме все будет нормально.

Тогда нужно правильно запрашивать, как я понимаю.
Т.е. где-то так:
1) Это ПО предназначено для обнаружения несовместимого ПО с антивирусами Касперского.
2) Это ПО ничего не меняет в системе, не удаляет, не... а только выводит отчет о найденных проблемах, которые могут помешать антивирусам Касперского корректно работать.

Ну и где-то так даже, что если детект там на бинари, а не базы, то их подписать подписью ЛК.  Я думаю, Данилка тут поможет. Я когда там работал - подписывал без проблем. Сейчас не могу, хотя по базе KSN все же провожу (знакомые остались).

2 часа назад, andrew75 сказал:

Экзешники ему не нравятся. Причем оба.

Ну понятно, что оба, это один и тот же исходник, просто собран под разный .Net.
Т.е. детект по базам у них, этакий собственный антивирус. Я думаю, снять детект не проблема, если они захотят конечно (ну типа "русские, у нас санкции"), технически - это минутное дело.
А архив с паролем пойдет?

[andrew75]

Он наверное пройдет. Но это на мой взгляд не очень хороший вариант.

Ладно, посмотрим, что мне скажет Гугл.

15 минут назад, Maratka сказал:

Тогда нужно правильно запрашивать, как я понимаю.

там есть сообщение о проблеме и есть кнопка "Обжаловать". Но ее можно просто нажать, никакие комментарии не предусмотрены. Видимо они просто будут смотреть файл вручную при этом.

[Maratka]

Поглядим.
Так-то есть еще один вариант (кроме подписи, кстати не факт, что она сработает) - качать с другого браузера.
Хром то поди люди сами ставят, а по умолчанию там у них Edge или IE. IE понятно что слаб в части оторбражения страниц, но файл то скачать поди может! Да, это тягомотина лишняя, но не сложнее, чем на форуме тут зарегистрироваться, дабы написать, что вот у меня антивирус не устанавливается.