Не запускаются компоненты KES 11.3.0.773 после использования kavremover

[Focusnik 0]

Добрый день. 

Были проблемы с KES 10.2.1.23, а именно, не находил обновления ни на KSC ни в сети.

Решил установить более новую версию.

Удалить KES 10 штатными средствами не удалось.

Spoiler

Имя журнала:   Application
Источник:      MsiInstaller
Дата:          10.09.2020 12:15:59
Код события:   11922
Категория задачи:Отсутствует
Уровень:       Ошибка
Ключевые слова:Классический
Пользователь:  PC103021\ge_zhaa
Компьютер:     PC103021
Описание:
Программа: Kaspersky Endpoint Security 10 для Windows -- Ошибка 1922.Не удается удалить службу Kaspersky Endpoint Security Service (AVP). Убедитесь, что у вас есть права на удаление системных служб.
Xml события:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="MsiInstaller" />
    <EventID Qualifiers="0">11922</EventID>
    <Level>2</Level>
    <Task>0</Task>
    <Keywords>0x80000000000000</Keywords>
    <TimeCreated SystemTime="2020-09-10T07:15:59.000000000Z" />
    <EventRecordID>80318</EventRecordID>
    <Channel>Application</Channel>
    <Computer>PC103021</Computer>
    <Security UserID="S-1-5-21-3400283429-3443992639-652398944-1000" />
  </System>
  <EventData>
    <Data>Программа: Kaspersky Endpoint Security 10 для Windows -- Ошибка 1922.Не удается удалить службу Kaspersky Endpoint Security Service (AVP). Убедитесь, что у вас есть права на удаление системных служб.</Data>
    <Data>(NULL)</Data>
    <Data>(NULL)</Data>
    <Data>(NULL)</Data>
    <Data>(NULL)</Data>
    <Data>(NULL)</Data>
    <Data>
    </Data>
    <Binary>7B30344346374642442D453536432D343436442D384643392D4444343434424442454538457D</Binary>
  </EventData>
</Event>

Удалил с помощью kavremover

Spoiler

4064:0608 12:21:14.029 KAVRemover tool version 1.0.1513
4064:0608 
12:21:14.029 System language detected: langID=25, sublangID=1
4064:0608 
12:21:14.029 User language detected: langID=25, sublangID=1
4064:0608 
12:21:14.029 Setting UI language: langID=25, sublangID=1
4064:0608 
12:21:14.029 Locale successfully set
4064:0608 
12:21:14.029 dbghelp.dll dumped OK
4064:0608 
12:21:15.948 Binary file dumped
4064:0608 
12:21:16.978 ServiceHelper::WaitForServiceStatus
4064:0608 
12:21:16.978 Still waiting for 4
4064:0608 
12:21:17.992 Service start return code = 1
4064:0608 
12:21:17.992 handle does init
4064:0608 
12:21:18.023 Dumping user environment...
4064:0608 
12:21:18.023 Dumping current environment...
4064:0608 
12:21:18.023 CreateFileA () failed, error 3
4064:0608 
12:21:18.023 Client malloc
4064:0608 
12:21:18.023 Try to set user environment to server...
4064:0608 
12:21:18.023 After call, error = 6, ret code = 0)
4064:0608 
12:21:18.023 Client free
4064:0f68 
12:21:18.039 Searching for installed products...
4064:0f68 
12:21:18.039 Try to call some func on server...
4064:0f68 
12:21:18.039 Client malloc
4064:0f68 
12:21:18.039 After call, error = 0, ret code = 0)
4064:0f68 
12:21:18.039 Client free
4064:0f68 
12:21:18.039 Try to call detection...
4064:0f68 
12:21:18.460 Client malloc
4064:0f68 
12:21:18.460 After call detection, error = 0, ret code = 0)
4064:0f68 
12:21:18.460 Client free
4064:0f68 
12:21:18.460 Processing additional info...
4064:0f68 
12:21:18.460 Post message about detected products
4064:0608 
12:21:35.245 Try to validate user input...
4064:0608 
12:21:35.245 After call, error = 0, ret code = 0)
4064:0948 
12:21:35.261 Client malloc
4064:0948 
12:21:35.261 Client malloc
4064:0948 
12:21:35.261 Client malloc
4064:0948 
12:21:35.261 Client malloc
4064:0948 
12:21:35.261 Try to call removing...
4064:0948 
12:23:34.617 After call removing, error = 0, ret code = 0)
4064:0948 
12:23:34.617 Client free
4064:0948 
12:23:34.617 Client free
4064:0948 
12:23:34.617 Client free
4064:0948 
12:23:34.617 Client free
4064:0948 
12:23:34.617 Remove finished successfully
4064:0608 
12:23:42.438 Try to restore system environment on server...
4064:0608 
12:23:42.438 After call, error = 0, ret code = 0)
4064:0608 
12:23:42.438 Current ServiceState is '4'
4064:0608 
12:23:42.672 ServiceHelper::WaitForServiceStatus
4064:0608 
12:23:42.672 Still waiting for 1
4064:0608 
12:23:43.686 Stopped, try to remove
 

После удаления с помощью kavremover установил KES 11.3.0.773, но в нём не запускаются компоненты защиты. Всё кроме Network Security, либо выдаёт неизвестную ошибку, либо

Spoiler

Программа:     Kaspersky Endpoint Security для Windows
Пользователь:     NT AUTHORITY\система (Инициатор)
Компонент:     Защита от файловых угроз
Результат:     Невозможно запустить задачу
Объект:     Защита от файловых угроз
Причина:     Код ошибки: A6440010

Что ему сделать, чтобы он заработал. Проблема есть на двух ПК, только на втором ОС 32-х разрядная и ошибка при удалении KES 10 была другая, что-то типа невозможно выгрузить из памяти.

[andrew75 854]

Сделайте отчет GSI

[oit 1 787]

Да, нужно смотреть отчёт gsi.

Какая ОС установлена?

Кавремувер последний использовали?

В безопасном режиме?

[Focusnik 0]

Извиняюсь за долгие ответы заранее. ПК находятся в другом городе, я там бываю только раз в неделю, а по удаленке не всегда есть возможность подключиться.

Ссылки на отчёты:

https://yadi.sk/d/R6T_ZFYOhxTbLA
https://yadi.sk/d/N8dTOWeF_CsRsw

Что касается самих отчётов, на PC101014 сейчас установлен KES 11 и с него отчёт будет максимально полезным для изучения.

PC103021 в связи с проблемами печати пришлось вернуть с помощью восстановления в состояние недельной давности. Т.е. получился отчет по системе с нерабочим KES 10.

PC101014 был проверен с помощью KVRT, запущенного из-под системы с флешки. Вредоносных программ обнаружено не было.

 

ОС Win 7 pro x86 на PC101014 и Win 7 HB x64 на PC103021.

Кавремувер качал с https://support.kaspersky.ru/common/uninstall/1464#block4

На этой же странице ничего про необходимость запуска из безопасного режима не сказано.

Изменено 11 сентября пользователем Focusnik

[oit 1 787]

Попробуйте почистить а безопасном режиме

[andrew75 854]

@Focusnik, + попробуйте перед установкой KES удалить КриптоПро.

После установки KES, установите КриптоПро заново.

[Focusnik 0]

Хорошо, но это получится сделать не раньше 17-18 сентября.

 

[Focusnik 0]

Удалил штатными средствами нерабочий KES 11 и КриптоПро. Скачал kavremover. Перезагрузился в безопасный режим.

Запустил в kavremover удаление KES 10.

Перезагрузился.

Установил KES 11.

Положительного результата нет.

 

 

Изменено 23 сентября пользователем Focusnik

[Friend 890]

@Focusnik соберите и приложите новый отчет о системе.

Пробовали поставить версию &nbsp;11.4.0.233?

[Focusnik 0]

Новый отчёт сделаю на следующей неделе.

Пробовал. И не только её. 10-ю и Free. 10-я версия пишет, что на ПК установлено стороннее антивирусное ПО, но не указывает какое конкретно, как это обычно бывает, а выводит вообще весь список антивирусов, который только знает. Free тоже говорит о стороннем ПО, только не говорит какое.

Систему я проверил, реестр просмотрел. Нет никаких следов каких-либо других антивирусов, да и не могло быть, т.к. с момента установки ОС используется с ограниченными правами.

[andrew75 854]

@Focusnik, что касается 103021, то там GSI находит некий драйвер:

Спойлер

Possibly incompatible software or hardware is found:

KernelDriver
aswKbd
aswKbd
ImagePath is not found. Probably, the driver is an unknown SYS file, located in the ''Drivers'' folder

 

[Sandor 833]

Похоже от Аваста.

@Focusnik, пройдитесь соотв. утилитой очистки: Чистка системы после некорректного удаления антивируса.

[Focusnik 0]

Да, забыл уточнить, предыдущие два моих поста касались ПК под именем PC101014. До 103021 я пока не доехал. 

На след неделе пройдусь по нему с чистильщиком от Avast, сообщу о результатах.

[Focusnik 0]

Сделал новый отчет с 101014, на нём не было никаких следов стороннего ПО. До 103021, к сожалению пока не добрался.

https://yadi.sk/d/Dyv4elNQy7qsjQ