Frage:
Nach der Deinstallation eines Antivirusprodukts wird dieses immer noch vom Riverbird Antivirus-Sensor erkannt.
Antwort:
Normalerweise sollte es reichen, wenn die Deinstallationstools der Hersteller ausgeführt werden. Es kann aber durchaus sein, das auch das nicht ausreicht. Dann kann diese Vorgehensweise hilfreich sein.
Ermitteln der Antivirusprodukte im SecurityCenter2 #
Hinweis: !!! Die Abfrage ist nur möglich, wenn es sich bei dem Gerät um eine ‚Workstation‘ handelt, also kein ‚Server‘ ist. Diese haben bisher keinen Namespace ‚SecurityCenter2‘, der abgefragt werden könnte !!!
Dieses Kommando in einer Eingabeaufforderung ausgeführt, liefert die installierten Antivirusprodukte.
<snip>
WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct get * /value
<snip>
Ergebnis (vorher):
displayName=G DATA Security Client
instanceGuid={985B4C1F-0949-5361-4D6D-E6923882F28D}
pathToSignedProductExe=C:\Program Files (x86)\G Data\AVKClient\avkwscpe.exe
pathToSignedReportingExe=C:\Program Files (x86)\G Data\AVKClient\AVKWCtlx64.exe
productState=270336
timestamp=Wed, 28 Sep 2022 06:05:52 GMT
displayName=Windows Defender
instanceGuid={D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
pathToSignedProductExe=windowsdefender://
pathToSignedReportingExe=%ProgramFiles%\Windows Defender\MsMpeng.exe
productState=393472
timestamp=Wed, 15 Feb 2023 07:30:30 GMT
displayName=G DATA Security Client
instanceGuid={162CBBAC-D872-54E2-BCED-EF0F44D2D699}
pathToSignedProductExe=C:\Program Files (x86)\G Data\AVKClient\avkwscpe.exe
pathToSignedReportingExe=C:\Program Files (x86)\G Data\AVKClient\AVKWCtlx64.exe
productState=266240
timestamp=Mon, 06 Mar 2023 06:40:00 GMT
Entfernen der gefundenen Einträge #
Jetzt müssen die nicht mehr relevanten Einträge aus dem System gelöscht werden. Dazu brauchen wir die Daten aus einer SELECT-Abfrage in wbemtest. Das Kommando wird ebenfalls in einer Eingabeaufforderung ausgeführt.
<snip>
wbemtest
<snip>
Nach der Ausführung öffnet sich der Dialog Abb. 1. Danach kann nach Abb. 2 – Abb. 5 vorgegangen werden.
Abb. 1
Abb. 2
Abb. 3
Abb. 4
Abb. 5
Hinweis: Das Entfernen der bekannten Einträge kann auch mit einem der folgenden beiden CmdLets erfolgen. Allerdings sollte vorher bekannt sein, was bei displayName oder instanceGuid zu verwenden ist. Das ist besonders wichtig, wenn zwei Einträge zum selben Antivirus Produkt hinterlegt sind.
<snip>
# displayName
Get-WmiObject -Namespace root\SecurityCenter2 -Class AntiVirusProduct | Where-Object { $_.displayName -eq „G DATA Security Client“} | ForEach-Object{$_.Delete()}
# instanceGuid
Get-WmiObject -Namespace root\SecurityCenter2 -Class AntiVirusProduct | Where-Object { $_.instanceGuid -eq „{985B4C1F-0949-5361-4D6D-E6923882F28D}“} | ForEach-Object{$_.Delete()}
<snip>
Gegenprobe nach dem Löschen des Eintrags #
Der nicht mehr relevante Eintrag wurde entfernt und ist nun nicht mehr in der Liste.
<snip>
WMIC /Node:localhost /Namespace:\\root\SecurityCenter2 Path AntiVirusProduct get * /value
<snip>
Ergebnis (nachher):
displayName=Windows Defender
instanceGuid={D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
pathToSignedProductExe=windowsdefender://
pathToSignedReportingExe=%ProgramFiles%\Windows Defender\MsMpeng.exe
productState=393472
timestamp=Wed, 15 Feb 2023 07:30:30 GMT
displayName=G DATA Security Client
instanceGuid={162CBBAC-D872-54E2-BCED-EF0F44D2D699}
pathToSignedProductExe=C:\Program Files (x86)\G Data\AVKClient\avkwscpe.exe
pathToSignedReportingExe=C:\Program Files (x86)\G Data\AVKClient\AVKWCtlx64.exe
productState=266240
timestamp=Mon, 06 Mar 2023 06:40:00 GMT
