Éliminer des traces de Kaspersky

[NEOPHYTE]

Bonsoir @Toto61,

J'ai une question sans lien avec nos précédents échanges: Comme je te l'avais dit, j'ai remplacé Kasperky par Bit Defender.

Néanmoins après avoir  désinstallé Kaspersky & effacé tout ce qui contenait Kaspersky dans

- la base de registre (Hormis 1 clé qu'il refuse de supprimer (Voir PJ)

- comme dans le C: (j'utilise pour le détecter le logiciel "Everything", petite pépite je trouve),

Speccy me trouve toujours des traces de Kaspersky (Voir PJ)

 

As tu une idée de l'endroit ou il pourrait aller chercher cette info ?

J'imagine qu'elle ne doit pas figurer sous le nom de Kasperky peut-être.

Cordialement.

Modifié le 26 juin 2022 par Le PoissonClown
Création d'une discussion.

[Toto61]

Salut @NEOPHYTE

Au plus simple, j'utiliserai l'utilitaire de Kaspersky, KAVRemover, à utiliser de préférence en mode sans échec. Si l'utilitaire t'indique qu'il ne trouve pas de trace de produit, tu peux le lancer depuis une Invite de commandes, en mode administrateur, depuis l'emplacement du téléchargement, avec l'argument suivant pour forcer l'utilitaire :

kavremvr.exe --nodetect

Edit : Maintenant, vu que tu m'as indiqué que cela n'avait rien donné, je vais faire quelques tests demain sur une machine virtuelle, en espérant te trouver une solution sur des clés / dossiers récalcitrants.

Modifié le 26 juin 2022 par Toto61

[Toto61]

Salut @NEOPHYTE,

Il y a plusieurs clés de registres qui résistent en effet à la désinstallation, y compris avec à l'utilitaire KAVRemover. Certaines d'entres elles vont demander la modification des autorisations effectives pour pouvoir les supprimer, d'autres non. Dans le cas des premières, voici la marche à suivre pour changer au préalable les autorisations :

• Clic droit sur la clé {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
• Menu contextuel Autorisations...
• Bouton Avancé
• En haut, sur la ligne Propriétaire : cliquer sur Modifier, puis ajouter le nom de ton compte utilisateur (soit en le saisissant, soit en cliquant sur Avancé... puis Rechercher et en double cliquant sur ton compte), et valider pour revenir à la fenêtre précédente
• Cocher la case Remplacer le propriétaire des sous conteneurs et les objets qui apparait maintenant sous le nom de ton compte
• Cliquer sur Désactiver l'héritage puis sur Convertir les autorisations héritées en autorisations explicites sur cet objet
• Valider la fenêtre par OK, ainsi que la suivante (on revient donc au registre)
• Clic droit de nouveau sur la clé {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
• Menu contextuel Autorisations...
• Bouton Ajouter puis ajouter le nom de ton compte utilisateur (soit en le saisissant, soit en cliquant sur Avancé... puis Rechercher et en double cliquant sur ton compte), en lui accordant un Contrôle total dans la colonne Autoriser.
• Valider la fenêtre en cliquant sur OK pour revenir au registre.
• Dernier Clic droit sur la clé {4F76F112-43EB-40E8-11D8-F7BD1853EA23}
• Menu contextuel Supprimer puis valider...

Vu que j'avais installé la version Kaspersky Total Security, j'ai du répéter de la sorte pour la clé {774D7037-0984-41B0-3A87-5E88E680AD58} qui se trouvait dans la sous clé FW de HKLM\Software\Microsoft\Security Center\Provider.

Malgré un redémarrage, cela ne résoud pas le problème de la détection des antivirus et du firewall par Speccy. Pour corriger cela, il va falloir y aller depuis une Invite de commande en mode administrateur, pour interroger et modifier le centre de sécurité.

wmic /namespace:\\root\SecurityCenter2 PATH AntiVirusProduct get /format:list

La réponse dans mon cas a été la suivante :

displayName=Windows Defender
instanceGuid={D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
pathToSignedProductExe=windowsdefender://
pathToSignedReportingExe=%ProgramFiles%\Windows Defender\MsMpeng.exe
productState=397568
timestamp=Mon, 27 Jun 2022 13:16:12 GMT


displayName=Kaspersky Total Security
instanceGuid={4F76F112-43EB-40E8-11D8-F7BD1853EA23}
pathToSignedProductExe=C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 21.3\wmiav.exe
pathToSignedReportingExe=C:\Program Files (x86)\Kaspersky Lab\Kaspersky Total Security 21.3\avp.exe
productState=266240
timestamp=Mon, 27 Jun 2022 13:06:27 GMT

Ensuite, on retire l'entrée liée à la précédente installation de Kaspersky :

wmic /namespace:\\root\SecurityCenter2 PATH AntiVirusProduct WHERE instanceGUID='{4F76F112-43EB-40E8-11D8-F7BD1853EA23}' DELETE

ce qui donne le résultat suivant :

Suppression de l'instance \\DESKTOP-IKKJJE2\ROOT\SecurityCenter2:AntiVirusProduct.instanceGuid="{4F76F112-43EB-40E8-11D8-F7BD1853EA23}"
La suppression de l'instance a réussi.

Enfin, on peut également vérifier les traces de Kaspersky coté Firewall de la même manière :

wmic /namespace:\\root\SecurityCenter2 PATH FirewallProduct get /format:list

Une fois l'identifiant récupéré, on procédera de la sorte pour le supprimer :

wmic /namespace:\\root\SecurityCenter2 PATH FirewallProduct WHERE instanceGUID='{774D7037-0984-41B0-3A87-5E88E680AD58}' DELETE

avec pour résultat :

Suppression de l'instance \\DESKTOP-IKKJJE2\ROOT\SecurityCenter2:FirewallProduct.instanceGuid="{774D7037-0984-41B0-3A87-5E88E680AD58}"
La suppression de l'instance a réussi.

Je ne peux pas te dire s'il est nécessaire de supprimer les clés de registre au préalable, ou si la suppression via l'interpréteur de commande suffit car j'avais déjà procédé à la suppression manuelle des clés. Mais à refaire, je tenterais la seconde partie uniquement.

En espérant que cela fonctionne pour toi également :-)

[NEOPHYTE]

Bonsoir,

Je me replonge seulement ce soir dans ce sujet.

Merci déjà pour ta réponse....toujours aussi structurée. C'est appréciable vraiment !

Je vois au passage que tu domines la base de registre.

Je cherche depuis pas mal de temps de l'info sur ce sujet, mais je n'ai jusqu'à présent trouvé que des recettes de cuisine et pas de théorie. Sais-tu s'il en existe ?

J'avais entendu parler de MSDN, un peu comme d'une bible. Mais les sites du net semblent l'associer à Visual Studio. Penses-tu que ce puisse être une solution pour se former, notamment sur la base de registre et + généralement  au fonctionnement des entrailles de Windows comme par exemple l'interprétation des événements, mais pas que ?

Et si oui, comment peut-on  se le procurer ?

Sinon je viens de tester ce soir ta méthode jusqu'à : "Malgré un redémarrage, cela ne résoud pas le problème de la détection des antivirus et du firewall par Speccy. "

Cela fait pareil chez moi.

Je ferai la suite ce WE je pense. C'est clair que ce n'est pas bloquant et probablement pas grave mais ce serait + clean de supprimer toute trace de KTS. Et puis j’avoue que c’est assez formateur de te côtoyer.  Merci pour cela aussi.

A bientôt….je te tiens au courant.

[Toto61]

Salut,

Il y a 9 heures, NEOPHYTE a dit :

Je vois au passage que tu domines la base de registre.

Très loin de moi cette idée, je n'arrive certainement même pas à la cheville d' @Yves B. ;-)

Il y a 9 heures, NEOPHYTE a dit :

MSDN [...] Penses-tu que ce puisse être une solution pour se former, notamment sur la base de registre et + généralement  au fonctionnement des entrailles de Windows comme par exemple l'interprétation des événements, mais pas que ?

MSDN et Technet ont été fusionnés vers le site de Documentations techniques de Microsoft. Dans le genre usine à gaz, je trouve que l'on est dans ce que l'on sait faire de mieux chez Microsoft... Bon courage pour y trouver ton bonheur, j'ai rarement vu aussi peu intuitif. J'ai plutôt tendance à conseiller quelques lectures en provenance des Editions ENI, voir, à tenter pourquoi pas quelques formations. Dans ce cas, tu seras très vite rattrapé pas la réalité :

• soit tu trouveras des formations lambdas, pas adaptées, mais accessibles financièrement dans lesquelles tu vas très vite tourner en rond, et qui risque surtout de te décevoir,
• soit tu trouveras des formations de préparations certifiantes, très pointues et donc sélectives, mais à des tarifs dissuasifs (3500€ TTC la semaine...).

Dans les 2 cas, elles sont (partiellement) finançables (du moins en France) via Mon Compte Formation.

Il y a 10 heures, NEOPHYTE a dit :

Sinon je viens de tester ce soir ta méthode jusqu'à : "Malgré un redémarrage, cela ne résoud pas le problème de la détection des antivirus et du firewall par Speccy. "

Dommage que tu n'ai pas commencé par la seconde partie ;-)

Il y a 10 heures, NEOPHYTE a dit :

Merci déjà pour ta réponse....toujours aussi structurée. C'est appréciable vraiment !
[...]
c’est assez formateur de te côtoyer

Disons que c'est ma façon de faire vivre cette célèbre phrase de feu Jean-claude BELLAMY "La Connaissance s'accroît quand on la partage !". Je te déconseille de tenter d'accéder à son ancien site internet, toujours actif chez Free, mais vérolé depuis sa disparition... Si tu veux en savoir plus, voici une page qui y est consacré.

[NEOPHYTE]

Bonjour,

Tu dis "En espérant que cela fonctionne pour toi également :-)"....Bingo !!! Cela a fonctionné nickel. Speccy ne trouve plus KTS! Merci

Tu dis " MSDN et Technet ont été fusionné..... via Mon Compte Formation." Merci pour ces infos. Je cois que vu mon piètre niveau le payant ne se justifie pas et encore moins un abonnement. Je tenterai peut-être à l'occasion de plonger dans les ouvrages de la librairie Eyrolles qui était assez riche mais a rétréci son rayon informatique + youtube et les forums.

La devise de Jean-Claude Bellamy est tout a fait pertinente. Beaucoup de ceux qui utilisent l'info pour s'octroyer un pouvoir gagneraient à s'en inspirer. 
Mais qu'entends tu par "vérolé" ? Plein de malwares ? Ou d'infos erronées ?

[Toto61]

Salut,  

Il y a 17 heures, NEOPHYTE a dit :

Bingo !!! Cela a fonctionné nickel. Speccy ne trouve plus KTS!

Content que cela ai fonctionné.

Il y a 17 heures, NEOPHYTE a dit :

Mais qu'entends tu par "vérolé" ? Plein de malwares ?

Oui, vu que son site hébergé chez Free n'est plus maintenu depuis sa disparition, du code malveillant y a malheureusement été injecté, et ESET en bloque l'accès par défaut.

[NEOPHYTE]

Il y a 13 heures, Toto61 a dit :

Oui, vu que son site hébergé chez Free n'est plus maintenu depuis sa disparition, du code malveillant y a malheureusement été injecté, et ESET en bloque l'accès par défaut.

Navrant en effet. J'ai trouve le lien suivant sur google research: 

http://jc.bellamy.free.fr/fr/jcb.html

Bit defender m'a laissé entrer sans broncher. C'était son site ?

[NEOPHYTE]

Par précaution j'ai restauré une image du C: générée avant les manips que tu m'as conseillées pour nettoyer le registre de KTS.
J'ai donc du refaire les manips en question, mais la 2eme fois c'est déjà + vite fait.
Speccy ne trouve toujours plus KTS après cela en revanche en regardant la base de registre (ce que je n'avais pas fait la fois précédente), je constate que la clé
en question est toujours présente (cf JPG ci-dessous) et qu'il refuse de la deleter.
Cela ne doit pas être gênant mais ce n'est pas très propre.

Sinon j'ai une question : ce que tu m'as conseillé de faire sur la base de registre, si je puis me permettre, comment l'as tu appris ? (Les forums ? un ouvrage ? ...)
Tu as déjà compris que j'aimerais dépasser, surtout en ce qui concerne la base de registre (mais pas que), le stade "recette de cuisine"; si je pouvais trouver un peu de théorie, çà ou là, cela ne me ferait pas de mal. Il y a des éléments un peu intuitifs, par exemple dans le jpg ci-dessous, je présume que "av" signifie antivirus, car chacune de ses 3 sous-clés renvoie à l'un d'entre eux (Kaspersky, Bitdefender et Microsoft defender) Mais à quoi servent-elles .....Là çà se complique & Microsoft n'a peut-être pas trop envie de rendre cela transparent. 
Tu évoquais de manière élogieuse " Yves B." comme le spécialiste de ce sujet; j'aperçois sur le forum : " Yves B. a réagi à un message dans un sujet : Éliminer des traces de Kaspersky "; cela signifie t’il seulement qu'il l'a lu ou a t’il écrit qq chose à quoi je n'ai su accéder ?
Et sais-tu s'il dépannage uniquement ou s'il partage comme toi & moi la devise de Jean-claude BELLAMY "La Connaissance s'accroît quand on la partage !"  et ne serait pas ennemi de donner un éclairage sur le sujet ?

[Toto61]

Il y a 20 heures, NEOPHYTE a dit :

http://jc.bellamy.free.fr/fr/jcb.html

Bit defender m'a laissé entrer sans broncher. C'était son site ?

C'était bien celui là, développé au début des années 2000, et laissé à l'abandon depuis les années 2010...

Il y a 8 heures, NEOPHYTE a dit :

Sinon j'ai une question : ce que tu m'as conseillé de faire sur la base de registre, si je puis me permettre, comment l'as tu appris ? (Les forums ? un ouvrage ? ...)

Les droits sur les clés de registre fonctionnent de la même façon que les droits NTFS sur les fichiers / dossiers. Les bases me viennent d'une formation MCSE au début des années 2000 réalisée en alternance durant près de 2 ans, avec donc beaucoup de pratique, et des heures passées à parcourir le Technet. Il sera difficile de trouver un forum dans lequel tu trouveras ton bonheur tellement la base de registre est pointue et vaste. Par contre, des recettes, comme tu le dis, tu en trouveras un paquet, mais reste encore à savoir si elles seront adaptées à ton environnement.

Il y a 8 heures, NEOPHYTE a dit :

Il y a des éléments un peu intuitifs, par exemple dans le jpg ci-dessous, je présume que "av" signifie antivirus, car chacune de ses 3 sous-clés renvoie à l'un d'entre eux (Kaspersky, Bitdefender et Microsoft defender) Mais à quoi servent-elles .....Là çà se complique & Microsoft n'a peut-être pas trop envie de rendre cela transparent.

Certaines clés sont compréhensibles, car imposées par Microsoft : la clé AV indique au système les antivirus supposés être encore actif et remontant dans le centre de sécurité, mais d'autres sont dépendantes de l'éditeur du logiciel. Ni vois pas de mauvaises volontés de ma part, mais sans passer par une formation, ou une lecture très approfondie d'ouvrages spécialisés, je doute que tu trouves des informations complètes et pertinentes sur la BDR. Tu peux par exemple parcourir cette page (et les 2 suivantes accessibles via le menu déroulant), mais les infos ne sont pas toutes fraîches, mais tu auras une idée de l'architecture et du cloisonnement. Mais sans rentrer dans le détail, d'autant que le registre s'étoffe à chaque nouvel OS de Microsoft.

Il y a 8 heures, NEOPHYTE a dit :

Tu évoquais de manière élogieuse " Yves B." comme le spécialiste de ce sujet; j'aperçois sur le forum : " Yves B. a réagi à un message dans un sujet : Éliminer des traces de Kaspersky "; cela signifie t’il seulement qu'il l'a lu ou a t’il écrit qq chose à quoi je n'ai su accéder ?

Ca veut dire qu'il avait "plussoyé" () la réponse que j'avais faite sur la manière de supprimer l'instance Kaspersky encore visible dans ton centre de sécurité. @Yves B., tu es bien évidemment le bienvenu si tu souhaites ajouter quelques commentaires sur ce vaste sujet qu'est le registre...

[NEOPHYTE]

Je suppose que l'expression ""plussoyé"  que je ne connaissais pas, veut dire " exprimer son accord" ?

Sinon j'ai parcouru un peu le site que tu m'as indiqué (https://www.aidewindows.net/bdr.php); je ne sens  pas de structure nette. Ou en tous cas si elle existe, elle me dépasse.  Ca rejoint ce que tu disais: beaucoup de recettes. 

Mais j'ai du mal à croire que les gars de Microsoft apprennent des centaines voir des milliers de recettes. La structure est peut-être écrite, pour eux seuls,  ce qui, si on pouvait la lire éclairerait énormément, mais ne le pouvant pas, pour la saisir il faudrait décortiquer l'ensemble et c'est démesuré....en tous cas pour moi :)