Как удалить symantec endpoint protection
Перейти к содержимому

Как удалить symantec endpoint protection

  • автор:

Как массово удалить Symantec Endpoint Protection

Настройка серверов windows и linux

Symantec Endpoint Protection

Добрый день! Уважаемые читатели и гости IT блога Pyatilistnik.org.В прошлый раз мы с вами разобрали, как включить отображение скрытых папок и файлов, было полезно и не сложно. Сегодня мы разберем, еще одну полезную административную задачу, с которой многие из вас могут столкнуться. Есть такой «замечательный» корпоративный антивирус SEP, на мой взгляд ему можно дать 7 балов из 10. Он богат огромным функциональность, но в нем нет элементарной функции массово удалить антивирус Symantec на клиенте из консоли управления, это обидно. В данной статье я рассмотрю реализацию удаленного удаления Symantec Endpoint Protection с Windows платформ.

Постановка задачи

Необходимо на ряде компьютеров под управлением операционной системы Windows 10, произвести удаленную, автоматизированную деинсталляцию антивируса Symantec Endpoint Protection 14. Сразу отмечу, что хоть удаление и произойдет без участия пользователя, но все же ему потом нужно будет перезагрузить свой компьютер или ноутбук для удаления оставшихся хвостов.

К сожалению за годы разработки данного продукта, компания Symantec так и не удосужилась сделать функционал в консоли управления «Endpoint Protection Manager», что с моей точки зрения прискорбно?

Алгоритм удаления SEP с рабочих станций

  1. Вы получаете список машин для деинсталляции
  2. Вы создаете скрипт на PowerShell
  3. Создаете групповую политику, которая удалит антивирус

Если у вас Symantec Endpoint Protection 14 устанавливается средствами SCCM, которая присутствует в вашем домене Active Directory, то убедитесь, что компьютеры из списка исключены из коллекций на установку антивируса, чтобы не делать цикличную работу

Далее нам необходимо проверить у себя вот такой PowerShell скрипт, на какой-нибудь тестовой виртуальной машине или компьютере. Откройте оснастку PowerShell от имени администратора и выполните вот такую команду:

(Get-WmiObject -Class Win32_Product -Filter «Name=’Log P*'» -ComputerName . ).Uninstall()

Данная команда будет искать приложение в имени которого установлено «Symantec Endpoint Protection»

Удаление Symantec Endpoint Protection-01

Попробуйте запустить команду, у вас должно начаться фоновое удаление Symantec Endpoint Protection 14. Отследить его можно, открыв «Монитор ресурсов» и перейдя на вкладку «Диск». Там вы увидите, что начал работать процесс msiexec.exe.

Удаление Symantec Endpoint Protection-03

Через минуту вы увидите, что антивируса нет и вы получили в команде статус ReturnValue 0.

статус ReturnValue 0

Если в статусе ReturnValue вы получаете 1602 и 1603, то у вас с вероятностью 99% включена защита от удаления SEP в виде пароля на подтверждение.

Удаление Symantec Endpoint Protection-04

Вам необходимо на сервере управления Endpoint Protection Manager изменить политику безопасности и отключить данную защиту. Открываем Symantec Endpoint Protection Manager, переходим в раздел «Clients — Policies — Password» и снимаем галку «Require a password to uninstall the client» и сохраняем настройки.

Отключение запроса пароля в symantec

Конфигурация компьютера (Пользователя) — Настройки — Параметры панели управления — Назначенные задания.

Создаем новый тригер, где задаем:

  • Имя задания в планировщике
  • Описание
  • Ставим галку выполнения с наивысшими правами

Удаление SEP 14 через GPO-01

На вкладке тригеры, задаем когда его нужно выполнять и с какой периодичностью.

Удаление SEP 14 через GPO-02

И в действиях указываете, что будет выполнена программа powerShell.exe и в качестве аргумента -ExecutionPolicy UnRestricted -File «\\сетевой путь\Uninstall-sep.ps1»

Удаление SEP 14 через GPO-03

После этого, когда политика сама обновиться, у пользователей на компьютере появится тригер, который в фоновом режиме удалит Symantec Endpoint Protection.

Удаление SEP с помощью msiexec

http://HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\

GUID SEP14

Далее зная GUID комбинацию вы выполняете команду в скрипте:

msiexec.exe /x I<2B448775-6A9D-4594-A59F-5F3076B67309>> /passive

Делаете bat файл и так же назначаете его через групповую политику, как вам удобнее, у клиента в пассивном режиме будет удален симантек.

Удаление SEP через SCCM

Произвести процедуру удаления антивируса Symantec Endpoint Protection, можно и средствами SCCM. Для этого нужно создать пакет в библиотеке программного обеспечения. Далее к пакету применяем программу с кодом командной строки msiexec /x /quiet /norestart /l*v %temp%\SEP_UN.log

удаление sep через sccm

На вкладке «Требования» указываем, что применяться будет к любой платформе, у вас могут быть свои требования.

Выбор компьютеров для удаления sep

В параметрах окружения, активируйте пункту:

  • Запустить с правами администратора
  • Работать с UNC именем
  • Требование для запуска — в любом случае

Параметры окружения задания sccm

Скрываем от пользователей данное задание.

выбор тихого режима удаления sep в sccm

В настройках развертывания проверяем применение к коллекции.

Развертывание пакета удаления sep в sccm-01

Задаем время удаления Symantec Endpoint Protection

Развертывание пакета удаления sep в sccm-02

И настраиваем взаимодействие с пользователем.

Развертывание пакета удаления sep в sccm-03

На этом у меня все, мы с вами разобрали несколько методов, удаления Symantec Endpoint Protection 14. С вами был Иван Семин, автор и создатель IT портала Pyatilistnik.org.

Популярные Похожие записи:
  • Как удалить Internet Explorer (IE) из Windows Server и Windows 10Как удалить Internet Explorer (IE) из Windows Server и Windows 10
  • Как массово поменять пароль локального администратора в домене
  • Администрирование SCCM (System Center Configuration Manager)
  • Как запустить скрипт PowerShell в WindowsКак запустить скрипт PowerShell в Windows
  • Ошибка This action is only valid for that are currently installed
  • Как обновить сертификат на WAP и ADFS серверахКак обновить сертификат на WAP и ADFS серверах

Как полностью удалить Symantec Antivirus (без ввода пароля)

Оригинальное описание утилиты CleanWipe, позволяющей полностью удалить продукты Symantec с вашего компьютера (даже без ввода пароля при managed установке):

The cleanwipe utility is used to completely remove Symantec Antivirus and Symantec Endpoint Protection products. To obtain Cleanwipe please contact Symantec Technical support. Once the utility has been obtained please follow these instructions: This utility can be run on Windows 2000, Windows XP (32 and 64 bit), and Windows Server 2003 (32 and 64 bit.) Warnings: Do not run this utility on Windows NT, Windows 9x, or Windows Me. Do not run this utility on systems that have Symantec AntiVirus 8.x or below installed. You cannot select individual applications to remove. CleanWipe may remove LiveUpdate. CleanWipe will remove Virus Definitions if you select Yes to "Do you want to do a detailed MSI Product Code registry search. ", even when selecting No to "If Virus Defs remain after uninstalling Symantec products do you want to uninstall the Virus Defs?". If you have other Symantec applications that use the VirusDefs folder, it is recommended that you make backup copy of the VirusDefs folder before running the CleanWipe tool. The VirusDefs folder is located under C:\Program Files\Common Files\Symantec Shared\ When using the CleanWipe utility, please be aware that it removes the following products and components from the computer: Alert Management Server Firewall Administrator Quarantine Console Quarantine Server Symantec AntiVirus (Version 9.x and above) Symantec AntiVirus Corporate Edition Symantec Client Symantec Client Firewall Symantec Client Security Symantec Endpoint Protection Symantec Endpoint Protection Manager Symantec LiveUpdate Symantec Network Access Control Symantec Sygate Enterprise Protection Symantec System Center Symevent If you have other Symantec applications on the computer that depend on any of the applications listed above, those applications may not function properly. The customer may need to re-install the missing applications after running CleanWipe. Note: The zip file is password protected. Un-Zip Password: symantec 1. Extract the file to a new folder in a convenient location, such as the Desktop, using the un-zip password provided above. 2. Browse to the new folder and execute the utility by double clicking 'CleanWipe.exe' 3. Follow the on-screen instructions. The utility runs in verbose mode and will ask you about the components you want uninstalled. Note: If the CleanWipe utility fails to remove Symantec Endpoint Protection, please proceed through the manual uninstall procedure for the version of the product you have installed. You can find the manual uninstall instructions in the following document: Title: How to manually uninstall Symantec Endpoint Protection client from Windows 2000, XP and 2003, 32-bit Editions Solution ID: 2007073018014248 Document URL: http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2007073018014248 Title: 'Manual uninstallation documents for Symantec Client Security products' Solution ID: 2002031914291648 Document URL: http://service1.symantec.com/SUPPORT/ent-security.nsf/docid/2002031914291648

Скачать CleanWipe

Я выложил сюда перепакованный архив с CleanWipe, не требующий пароля при распаковке. Распакуйте и запускайте (на свой страх и риск!):

CleanWipe

Вы можете использовать несколько способов для удаления всех компонентов антивируса Symantec Endpoint Protection, например, удалить с помощью Панели управления Windows. Если эти общие методы не работают, вы можете использовать утилиту CleanWipe.

Предупреждение: Техническая поддержка Symantec не рекомендует использовать CleanWipe при первой попытке удаления. Вы должны использовать CleanWipe только в том случае, если обычные методы удаления не увенчались успехом.

Вы всегда должны использовать последнюю версию CleanWipe для удаления Symantec Endpoint Protection. CleanWipe может удалить старые установки Symantec Endpoint Protection. Однако, вы не должны использовать более старую версию CleanWipe для удаления более новой версии Symantec Endpoint Protection. Это может привести к неожиданным результатам.

Примечание: CleanWipe удаляет компоненты корпоративых решений Symantec, такие как Symantec Endpoint Protection. Чтобы удалить потребительские продукты Symantec под маркой Norton, воспользуйтесь утилитой Norton Remove and Reinstall tool.

Как полностью удалить Symantec Antivirus (SAV)

Бывают ситуации, когда необходимо вручную удалить клиент Symantec Antivirus с компьютера. Для этого можно воспользоваться утилитой автоматического удаления CleanWipe (предыдущее название SCSCleanWipe), разработанной компанией специально для таких случаев. Либо вручную выполнить ряд действий со службами, реестром и файлами.
Приведенные ниже действия могут занять продолжительное время у неподготовленного пользователя. Более простой способ — удалить антивирус с помощью фирменной утилиты CleanWipe_v12.1.zip от Symantec Corporation.

Для удаления клиента Symantec Antivirus 10.х выполните следующее:

Шаг 1. Остановите все службы и процессы относящиеся к SAV

  1. Убедитесь, что окно SAV закрыто и не выполняется никаких ручных проверок
  2. Нажмите кнопку «Пуск» — «Выполнить…», введите services.msc и нажмите ОК
  3. Найдите следующие службы:
    SAVRoam
    Symantec AntiVirus
    Symantec AntiVirus Definition Watcher
    Symantec Event Manager
    Symantec Settings ManagerНа каждой из них щелкните правой кнопкой мыши и нажмите на Стоп
  4. Закройте консоль Службы
  5. Нажмите Ctrl+Alt+Del
  6. Щелкните по Диспетчер задач (Task Manager)
  7. В окне Диспетчера задач на закладке Процессы найдите следующие процессы
    ccApp.exe
    VPTray.exeНа каждм из них щелкните правой кнопкой мыши и нажмите на Завершить процесс
  8. Закройте Диспетчер задач

Шаг 2. Удалите записи из реестра (у вас должны быть права администратора)

  1. Нажмите кнопку «Пуск» — «Выполнить…», введите regedit.exe и нажмите ОК
  2. Найдите ключ HKEY_CLASSES_ROOT\*\Shellex\ContextMenuHandlers и удалите LDVPMenu
  3. Найдите ключ HKEY_LOCAL_MACHINE\SOFTWARE\Symantec и удалите:
    SPBBC
    Symantec AntiVirus
    SymNetDrv
  4. Удалите следующие ключи, которые существуют:
    HKEY_CLASSES_ROOT\Installer\UpgradeCodes\20A7FB42A06BB49448A397B3CB77ED4D
    HKEY_CLASSES_ROOT\Installer\Features\0DE336A57D5E56D4BAD835DE34152048
    HKEY_CLASSES_ROOT\Installer\Products\0DE336A57D5E56D4BAD835DE34152048
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\UpgradeCodes\20A7FB42A06BB49448A397B3CB77ED4D
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Features\0DE336A57D5E56D4BAD835DE34152048
    HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\0DE336A57D5E56D4BAD835DE34152048
    HKEY_LOCAL_MACHINE\SOFTWARE\INTEL\DllUsage\VP6
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\20A7FB42A06BB49448A397B3CB77ED4D
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\0DE336A57D5E56D4BAD835DE34152048
  5. Перейдите к HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
  6. Внутри вы увидите много ключей, которые содержат Package Code. Просмотрите каждый ключ Package Code и если найдете ссылку на Symanteс AntiVirus, удалите целиком весь ключ Package Code.
  7. Найдите ключ HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\InstalledApps и удалите следующие значения:
    AVENGEDEFS
    Common Client
    Common Client Data
    Common Client Decomposers
    NAVNT
    SAV Install Directory
    SAVCE
    SPBBC
    SymNetDrv
    VP6ClientInstalled
    VP6UsageCount
  8. Найдите ключ HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services и удалите следующие ключи:
    ccEvtMgr
    ccSetMgr
    ccPwdSvc
    DefWatch
    NAVENG
    NAVEX15
    SavRoam
    SAVRT
    SAVRTPEL
    SNDSrvc
    SPBBCDrv
    SPBBCSvc
    Symantec AntiVirus
    SYMREDRV
    SYMTDI
  9. Просмотрите все HKEY_LOCAL_MACHINE\System\ControlSet*\Services и удалите те же ключи, что и в п.8
  10. Найдите ключ HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EventLog\Application и удалите следующие ключи:
    Defwatch
    ccEvtMgr
    ccProxy
    ccSetMgr
    LiveUpdate
    SavRoam
    Symantec AntiVirus
  11. Найдите ключ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog\System и удалите ключ SAVRT
  12. Прсмотрите ключи ControlSet*\Services\EventLog\Application и ControlSet*\Services\EventLog\System и удалите значения из п.8-11
  13. Найдите в реестре строку «VirusProtect6» и удалите все ключи и значения, которые ее содержат
  14. Найдите в реестре строку «0DE336A57D5E56D4BAD835DE34152048» и удалите все ключи и значения, которые ее содержат
  15. Следующие действия (п.16-19) необходимо выполнить ТОЛЬКО в том случае, если Symantec Antivirus единственное ПО от Symanteс, установленное на вашем компьютере:
  16. Перейдите к HKEY_LOCAL_MACHINE\Software\Symantec и удалите значение SharedDefs и ключи Common Client и SymEvent
  17. Перейдите к HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run и удалите значения:
    ccApp
    vptray
  18. Перейдите к HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services и удалите ключ SymEvent
  19. Так же удалите ключ SymEvent во всех HKEY_LOCAL_MACHINE\System\ControlSet*\Services
  20. Перезагрузите компьютер

Шаг 3. Удалите файлы SAV с жесткого диска

  1. Правой кнопкой мыши щелкните на кнопку Пуск и выберите Открыть общее для всех меню (Open All Users)
  2. Дважды щелкните по Программы
  3. Правой кнопкой мыши щелкните по Symantec AntiVirus или Symantec Client Security и выберите пункт Удалить
  4. Следующие действия необходимо выполнить ТОЛЬКО в том случае, если Symantec Antivirus единственное ПО от Symanteс, установленное на вашем компьютере. Удалите папки:
    C:\Program Files\Symantec
    C:\Program Files\Symantec AntiVirus
    C:\Program Files\Common Files\Symantec Shared
    C:\Documents and Settings\All Users\Application Data\Symantec

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *