Перейти к содержанию
Matias

Удаление продуктов Agnitum

Recommended Posts

Matias

В базе знаний Агнитум есть статья, посвященная удалению продуктов компании. Если для новых версий там имеются утилиты удаления, то для старых (Outpost 1-4) приводится лишь описания процедуры удаления вручную. Почему бы не написать утилиту и для удаления старых версий?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.
для старых (Outpost 1-4) приводится лишь описания процедуры удаления вручную. Почему бы не написать утилиту и для удаления старых версий?

Безусловно, компания просто обязана поддерживать те 5 тысяч инсталляций для неподдерживаемых версий Windows, в последний раз обновившиеся ровно 5 лет назад. И потратить на это по 1000 долларов (в эквиваленте человеко-часов разработки и тестирования) - по числу мажорных старых версий (1.0, 2.0, 3.0, 3.5, 4.0) доллару на пользователя старой версии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Matias
Безусловно, компания просто обязана поддерживать те 5 тысяч инсталляций

Я говорю не о поддержке, а об удалении. Для этого достаточно написать примитивный батник, если я правильно понял суть инструкций.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Виталий Я.

Предложение хорошее, но смысл его писать тем, чьи усилия должны быть направлены на развитие и поддержку текущих версий?

Напротив, если же Вы сами напишете эти батники и выложите на firewallforum.ru, Ваш вклад будет заметен и оценен. К тому же, как погляжу, с версии 3.5 OFP Вы уже ушли.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Matias
Напротив, если же Вы сами напишете эти батники

Вот файл для удаления Outpost Firewall. Запускать надо из безопасного режима

@Echo offEcho Uninstaller for Outpost FirewallEcho Press any key to begin uninstallationpauseEcho Removing driver"C:\Program Files\Agnitum\Outpost Firewall\install.exe" /uEcho Unregistering filesregsvr32 /u/s: "C:\Program Files\Agnitum\Outpost Firewall\op_shell.dll"regsvr32 /u/s: "C:\Program Files\Agnitum\Outpost Firewall\op_data.dll"regsvr32 /u/s: "C:\Program Files\Agnitum\Outpost Firewall\op_log.dll"regsvr32 /u/s: "C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll"Echo Removing registry keysReg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Agnitum" /fReg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Agnitum" /fReg delete "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v "OutpostFeedBack" /fReg delete "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v "Outpost Firewall" /fEcho Removing foldersrd "C:\Program Files\Agnitum" /s/qrd "C:\Program Files\Common Files\Agnitum Shared" s/qEcho Uninstallation finishedEcho Reboot your PCpause

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Matias

После более внимательного прочтения инструкции возник такой вопрос. Насколько я помню, Outpost устанавливает свою службу. Почему в инструкции не приведена команда для ее удаления?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
После более внимательного прочтения инструкции возник такой вопрос. Насколько я помню, Outpost устанавливает свою службу. Почему в инструкции не приведена команда для ее удаления?

Вы проверяли этот скрипт/удаляли вручную? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Matias
Вы проверяли этот скрипт/удаляли вручную? :)

Не проверял, поскольку у меня сейчас установлен Comodo. Я сменил файрвол в связи с заменой компьютера. В настоящее время 3-я версия Аутпоста уже неактуальна, поскольку она устарела. Скрипт написан на основе информации, приведенной в статье.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Не проверял, поскольку у меня сейчас установлен Comodo.

После проверки все вопросы исчезнут :)

Я сменил файрвол в связи с заменой компьютера.

Что-то из линейки 7.5.х пробовали или что-то новее, чем версия 3?

В настоящее время Outpost 3 уже неактуален, поскольку он устарел. Скрипт написан на основе информации, приведенной в статье.

Версия 3 неактуальна уже лет 6.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Matias
После проверки все вопросы исчезнут

Поверю вам на слово, поскольку сам установить тройку, естественно, не могу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
PaNaDiaS
Вот файл для удаления Outpost Firewall. Запускать надо из безопасного режима
@Echo offEcho Uninstaller for Outpost FirewallEcho Press any key to begin uninstallationpauseEcho Removing driver"C:\Program Files\Agnitum\Outpost Firewall\install.exe" /uEcho Unregistering filesregsvr32 /u/s: "C:\Program Files\Agnitum\Outpost Firewall\op_shell.dll"regsvr32 /u/s: "C:\Program Files\Agnitum\Outpost Firewall\op_data.dll"regsvr32 /u/s: "C:\Program Files\Agnitum\Outpost Firewall\op_log.dll"regsvr32 /u/s: "C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll"Echo Removing registry keysReg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Agnitum" /fReg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Agnitum" /fReg delete "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v "OutpostFeedBack" /fReg delete "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" /v "Outpost Firewall" /fEcho Removing foldersrd "C:\Program Files\Agnitum" /s/qrd "C:\Program Files\Common Files\Agnitum Shared" s/qEcho Uninstallation finishedEcho Reboot your PCpause

В Вашем .bat-файле, к сожалению, имеется серьезная ошибка: у меня Agnitum Outpost Firewall был установлен ранее на диск D:. Ваш .bat-файл, к сожалению, не расчитан на такую ситуацию. Считаю необходимым проинформировать: возможно, есть способ доработать этот файл, чтобы он работал со всеми вариантами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Ошибок тут много больше, чем неверная буква диска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Matias

Если система установлена на другом диске, необходимо исправить командный файл. При его составлении я исходил из того, что Windows установлена на диске C.

Скрипт составлен на основе статьи агнитумовской базы знаний. Более того, DmitryK в сообщении №9 косвенно подтвердил корректность скрипта. Поскольку он является модератором этого подраздела, у меня нет причин не верить его словам. Надо учитывать, что я не имел возможности проверить его из-за отсутствия OFP на моем ПК, о чем и написал в сообщении №8.

Какие же ошибки (кроме буквы диска) есть в приведенном командном файле? Буду весьма благодарен, если кто-нибудь укажет на них, поскольку это позволит доработать командный файл. Мне кажется, что в скрипте не может быть серьезных ошибок, поскольку все команды я писал не вручную, а вставлял методом Copy-Paste из вышеупомянутой статьи. От себя я добавил лишь две вещи:

1. В команду дерегистрации файлов ввел параметр /s, чтобы этот процесс происходил в тихом режиме

2. Добавил команду, удаляющую раздел реестра, отвечающий за отображение OF в списке установленных программ

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

Ты даже не учел разрядности системы и то, что пользователь может выбрать кастом инстал. Короче, выброси и никому не показывай.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Matias

Вы не учли двух вещей:

1. Скрпит предназначен для удаления старых версий OF (1-4), они не поддерживали 64-битные Windows. Для удаления более новых версий на агнитумовском сайте есть официальные утилиты удаления.

2. Скрипт НЕ предназначен для удаления Outpost Security Suite, поэтому ни о какой выборочной установке говорить не приходится.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kapral

Matias

Вы в курсе существования переменных окружения?

Вам это что-то говорит? ;)

CommonProgramFiles=C:\Program Files\Common FilesProgramFiles=C:\Program FilesSystemDrive=C:windir=C:\WINDOWS

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Matias
Matias

Вы в курсе существования переменных окружения?

Разумеется. Но поскольку у большинства пользователей Windows установлена на C, то я решил не использовать переменные среды. Как я уже говорил, если система установлена на другом диске, надо потратить полминуты на исправление буквы диска.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SySOPik

Нафига ковырять старые продукты для дедовских версий, образца 45 года? :huh: Ну чесно слово, если коту нечего делать - он ...... занимается личной гигиеной. Взрыв мозга из-за двух-трех отставших на вечные века юзеров? Не перешли на актуальное лишь чайники - они и удалять ничего не будут, дождутся пока компы не "сбросят копыта" и не купят новые.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Matias
Нафига ковырять старые продукты

Не стоит забывать, что некоторые пользователи до сих пор сидят на Win98. Современные версии OF, естественно, не поддерживают эту ОС. А вот тройка встанет на нее без проблем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dmitriy K
Более того, DmitryK в сообщении №9 косвенно подтвердил корректность скрипта.

:facepalm:

у большинства пользователей Windows установлена на C

:facepalm:

Нафига ковырять старые продукты для дедовских версий, образца 45 года?

SySOPik, не обращай внимания. Это ж знатный некропостер.

Не стоит забывать, что некоторые пользователи до сих пор сидят на Win98.

Чернушная некруха.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.

  • Сообщения

    • santy
      Решает разработчик, согласно концепции программы, с минимумом исправлений в коде,  и с отсутствием дублирования функционала. 1. дополнить функционал поискового фильтра.... сейчас это работает по наименованию файла, по каталогу, статусу и производителю. возможно и стоит сделать более универсальный поисковый фильтр по всем или наиболее важным полям кроме выше указанных. это было бы полезно. 2. добавить возможность менять статус объектов в текущей категории (с учетом фильтра) на ?ВИРУС? в этом случае все отфильтрованные объекты попадают в автоскрипт. (без подтверждения проверки по snms, sgns, vt), ну это уже на риск пресловутого оператора.
    • PR55.RP55
      santy, 1) " критерии - это те же самые фильтры "  " один фильтр поднять, удалить все.... " Те, да не те.   В FRST оператор ( анализируя лог в текстовом редакторе ) может в один заход удалить _любое число объектов - хоть исполняемых, хоть не исполняемых. Это несколько секунд. Да, таких объектов в логах обычно 2-8 вроде бы и не много... Но они есть:  No File  ->  No Name ->  [0]  ->  [X]  ->  FirewallRules  -> .info.hta  всего 2-8 объекта у которых может быть до 100 записей. Создать постоянный критерий ? Это не вариант. Файлы:  .bat   Чего вроде проще - взять и всё удалить. Однако мы понимаем, что есть и полезные .bat файлы упрощающие работу администратора - запуск тех, или иных программ.  Или .TMP объекты - вроде и не нужны ?  но удалять всё разом также не вариант - если некая программа в процессе обновления и мы его прервём это может привести к сбою в её работе. Я же предлагаю адаптивный  _ситуативный вариант.  В системе есть, как полезные так и  не желательные... .bat ... Отфильтровываем ( по идентичному имени, или SHA1 ) и удаляем хоть 10 файлов разом не нанося вреда файлам полезным и не тратя зря время. И как мы знаем не всё что удаляется достойно занесения в snms так, как бывают уникальные случаи которые встречаются один -два раза, а мороки с настройкой\корректировкой критерия будет море. 2) " создать критерий black_sha "  мы же понимаем, что это не серьёзно - это не будет работать. Сейчас в ходу не те примитивные вирусы, что были, да и Adware ежедневно выпускаются новые. " изначально и не обещали, что будет легко работать с uVS "  Работа в uVS - как работа с инструментом это одно. А отдельно взятая операция\команда - это другое. Разве не требуется анализ лога в FRST ? однако никто не требует от оператора  тыкать 100 раз по всем этим _мусорным No File  ->  No Name ->  [0]  ->  [X]....  Здесь достаточно 2-3 команд. 3)  " если добавить команду "удалить текущий файл и всю его "родню"", на процент применения инструментов на форумах это не повлияет. " Не могу согласиться с эти утверждением. Привычки привычками. Например на некоторых велосипедах пита BMX вообще нет тормоза - он не предусмотрен конструкцией.  Тормоз утяжеляет велосипед - мешает работать в прыжковых дисциплинах ( можно случайно его нажать ) , влияет на стоимость при покупке ( есть место под крепление, если нужно - купи и установи ) Однако мы же понимаем, что такая езда не безопасна - тормозить ногами, ездить по городу в транспортном потоке и т.д. т.е. одно прямо противоречит другому. 4) " твои предложения сводятся к созданию еще одного удалятора " Программа, какой была такой и останется - что поменяется ? Здесь всё как раз наоборот: Сигнатуры это прерогатива антивирусов, это временное решение:  есть угроза - есть сигнатура, нет угрозы - нет сигнатуры ( она устарела )  Критерии же могут служить годами. Если программа будет помнить поисковые запросы оператора - не придётся и поиск с клавиатуры набирать. В предложении, я не умоляю функционал uVS - напротив предлагаю его дополнить. Под привычки операторов - которые анализируют\работают в текстовых редакторах ? Пусть так. _Оператор решает, как ему работать. Хочешь стреляй одиночными, хочешь отсекай по два выстрела - хочешь бей очередями.      
    • santy
      wscript.exe, csript.exe, mshta.exe, так же как regsvr32.exe, rundll32.exe засветят в образе тот отдельный файл, который они выполняют. --------------------------------- вот еще картинка, как могут быть применены системные файлы в деструктивных действиях. wmic, bitsadmin: Программа администрирования BITS (BITS) используется в Windows для загрузки обновлений безопасности. Именно это свойство службы использует киберпреступники, чтобы скрыть свое присутствие на скомпрометированной системе. Еще одна особенность, которая затрудняет предупреждение BITS, заключается в том, что когда опасное приложение загружает файлы с использованием службы, трафик, как представляется, поступает из BITS, а не из приложения.  Возможности злоупотреблений BITS не ограничиваются загрузкой программ. Служба BITS может стать источником утечки информации, если воспользоваться ею для передачи файлов из сети на внешний компьютер
    • santy
      RP55, 1. критерии - это те же самые фильтры, и потому команды удаления, реализованные в критериях - это тоже самое удаление с учетом конкретного фильтра. В snms их может быть много, и uVS строит автоскрипт согласно множеству фильтров одновременно, а не так как ты предлагаешь: один фильтр поднять, удалить все.... второй фильтр поднять - удалить все и т.д. 2. если тебе нравится удалять по хэшам, ты можешь создать критерий black_sha, и вести список черных хэшей в отдельном файле. надеюсь, как подключить файл к критерию ты еще не забыл. никто изначально и не обещал, что будет легко работать с uVS - только те, кому интересно не просто быстро удалять файлы, но и в первую очередь выполнить анализ заражения системы в комплексе. Зачастую же на форумах выполняют удаление вначале одним, потом вторых и третьим инструментом, (а иногда еще и сканерами) и только когда проблема не решается, тогда делают образ автозапуска в uVS, в итоге проанализировать всю картину заражения в комплексе (и сделать какие то полезные выводы и решения) становится сложнее по тем остаткам, что попадут в образ автозапуска. процент применения инструментов на форумах, если он такой какой ты его привел здесь не отражает адекватно тот факт, что инструменты FRST, avz удобнее в анализе или удалении, чем uVS. Скорее всего, это отражает привычку тех или иных форумов работать по определенной методике. avz +hj + скрипты + (adwcleaner) +FRST или uVS + скрипты+ (adwcleaner)+FRST и если добавить команду "удалить текущий файл и всю его "родню"", на процент применения инструментов на форумах это не повлияет. --------------- так что в основном твои предложения сводятся к созданию еще одного удалятора вредоносных программ, которых сейчас предостаточно, вместо реального поиска проблем и анализа, который можно сделать в uVS.
    • PR55.RP55
      Как мы выше выяснили, не все файлы которые нужно удалять являются исполняемыми. Не для всех файлов возможно добавление сигнатур - как мы помним из опыта в ряде случаев в код вируса намеренно добавляется код системных файлов - что приводит к ложным срабатываниям. Если у файлов идентичные SHA1 - сигнатуры не нужны так, как определение по SHA1 - надёжнее. Не все операторы работают с сигнатурами - это занимает больше времени - требуется проверка по V.T.  с целью определения типа угрозы, нужно прописать наименование угрозы, если нет результата по V.T. ; необходимо проверить список и исключить ложные срабатывания, если же корректировка невозможна то приходиться параллельно  работать с сигнатурами + удалять файлы в ручную, или через поисковые критерии\автоскрипт. таким образом изначально простое действие превращается в целый набор операций. Если бы удаление работало по типу: " Удалить все объекты с учётом фильтра "  было бы ещё проще. Удалить все: .bat Удалить все: .info.hta Удалить все: .TMP Удалить все: .HTTP  и т.д. Если есть опасение за целостность системы - можно установить заглушку на удаление по типам расширений. uVS  _избыточно требовательна к оператору. Как итог 75% всех случаев заражения  это очистка в FRST и 12% в AVZ на долю uVS приходиться ( как это ни печально ) 5%
×