Frage:
Nach der Deinstallation eines Antivirusprodukts wird dieses immer noch vom Riverbird Antivirus-Sensor erkannt.
Antwort:
Normalerweise sollte es reichen, wenn die Deinstallationstools der Hersteller ausgeführt werden. Es kann aber durchaus sein, das auch das nicht ausreicht. Dann kann diese Vorgehensweise hilfreich sein.
Hinweis: !!! Die Abfrage ist nur möglich, wenn es sich bei dem Gerät um eine ‘Workstation’ handelt, also kein ‘Server’ ist. Diese haben bisher keinen Namespace ‘SecurityCenter2’, der abgefragt werden könnte !!!
Dieses Kommando in einer Eingabeaufforderung ausgeführt, liefert die installierten Antivirusprodukte.
<snip>
WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct get * /value
Ergebnis (vorher):
displayName=G DATA Security Client instanceGuid={985B4C1F-0949-5361-4D6D-E6923882F28D} pathToSignedProductExe=C:\Program Files (x86)\G Data\AVKClient\avkwscpe.exe pathToSignedReportingExe=C:\Program Files (x86)\G Data\AVKClient\AVKWCtlx64.exe productState=270336 timestamp=Wed, 28 Sep 2022 06:05:52 GMT
displayName=Windows Defender instanceGuid={D68DDC3A-831F-4fae-9E44-DA132C1ACF46} pathToSignedProductExe=windowsdefender:// pathToSignedReportingExe=%ProgramFiles%\Windows Defender\MsMpeng.exe productState=393472 timestamp=Wed, 15 Feb 2023 07:30:30 GMT
displayName=G DATA Security Client instanceGuid={162CBBAC-D872-54E2-BCED-EF0F44D2D699} pathToSignedProductExe=C:\Program Files (x86)\G Data\AVKClient\avkwscpe.exe pathToSignedReportingExe=C:\Program Files (x86)\G Data\AVKClient\AVKWCtlx64.exe productState=266240 timestamp=Mon, 06 Mar 2023 06:40:00 GMT
Jetzt müssen die nicht mehr relevanten Einträge aus dem System gelöscht werden. Dazu brauchen wir die Daten aus einer SELECT-Abfrage in wbemtest. Das Kommando wird ebenfalls in einer Eingabeaufforderung ausgeführt.
wbemtest
Nach der Ausführung öffnet sich der Dialog Abb. 1. Danach kann nach Abb. 2 – Abb. 5 vorgegangen werden.
Abb. 1
Abb. 2
Abb. 3
Abb. 4
Abb. 5
Hinweis: Das Entfernen der bekannten Einträge kann auch mit einem der folgenden beiden CmdLets erfolgen. Allerdings sollte vorher bekannt sein, was bei displayName oder instanceGuid zu verwenden ist. Das ist besonders wichtig, wenn zwei Einträge zum selben Antivirus Produkt hinterlegt sind.
# displayName Get-WmiObject -Namespace root\SecurityCenter2 -Class AntiVirusProduct | Where-Object { $_.displayName -eq “G DATA Security Client”} | ForEach-Object{$_.Delete()}
# instanceGuid Get-WmiObject -Namespace root\SecurityCenter2 -Class AntiVirusProduct | Where-Object { $_.instanceGuid -eq “{985B4C1F-0949-5361-4D6D-E6923882F28D}”} | ForEach-Object{$_.Delete()}
Der nicht mehr relevante Eintrag wurde entfernt und ist nun nicht mehr in der Liste.
Ergebnis (nachher):
There is a fine line between creating greatness and accomplishing awesomeness. This time, we worked to prove that sky is not the limit.
PURCHASE NOW