Jump to content
Sign in to follow this  
Wolke2k4

Client Deinstallation von VirusScan Enterprise via ePO

Recommended Posts

Hallo,

 

ich schlage mich gerade einem Client herum, auf dem VirusScan Enterprise 8.0.0 installiert ist.

 

Das Problem: Der "Affe" muss runter, Deinstallation über Systemsteuerung funktioniert aber nicht und ist jetzt auch verschwunden. Der Client muss irgendwie vom ePO die Einstellungen übergebügelt bekommen (kenne mich mit dem ePO leider nicht so aus). Sodass sich der Bursche immer wieder selbstständig installiert.

 

Ich habe schon mal ein wenig geforscht und geguckt, finde im ePO aber leider keine Option, die eine Clientdeinstallation anbietet.

Lokal gibt es jetzt auch keine Möglichkeit den Scanner zu deinstallieren.

Im ePO habe ich es auch irgendwie geschafft den Client zu löschen, der wird jetzt nämlich garnicht mehr angezeigt...

 

Hat irgendjemand eine zündende Idee wie ich das Zeug runter bekomme? Ist ja schlimmer als ein Virus...:suspect:

Share this post


Link to post

Hallo Wolke2k4,

 

ist mit hilfe der EPO auf folgendem Weg zu lösen:

 

EPO starten, am Server anmelden, dann unter Verzeichnis, Lost & Found ...

die Workstation suchen und mit Einfachklick markieren.

Auf der rechten Seite siehst du das Menu Richtlinien / Eigenschaften / Tasks

Klicke auf Tasks und suche den Deployment ( so heist der im unbearbeiteten Zustand )

Dann auf Einstellungen in der Mitte, Haken bei Vererbung raus, die 8.0.0 auswählen

und bei Aktion Entfernen .

Das ist dann die Anweisung für den Agent die 8.x zu entfernen vom PC.

Alle Fenster mit ok bestätigen soweit.

 

## Rechtsklick nochmal auf den PC und Agentenreaktivierung auswählen, wichtig unten der Haken Vollständige Produkteigenschaften setzen !! In ca 5Min ist die Software weg vom Client. ##

Das war die Software, dann noch der Agent.

 

Unter Lost & Found findest du die Domäne.

Rechtsklick, Alle Tasks und Domäne aktuallisieren

PC rechts auswählen und nach links verschieben. Wichtig wieder Haken bei Agent vom PC entfernen ( unten am Fenster links )

 

Dann nocheinmal den gleichen Weg wie ## beschrieben ..... Fertisch und gut is dann.

 

Wenn man mal das Prinzip der Konsole verinnerlicht hat, ists echt easy. Ich hatte aber auch eine kleine Zeit gebraucht um durchzusteigen :rolleyes:

Share this post


Link to post

Eine weitaus einfachere Möglichkeit, die allerdings Spuren in der zentralen Verwaltung vom EPO hinterlässt, ist folgende:

 

Am betroffenen PC den EPO-Dienst beenden und deaktivieren (Symbol in der Taskleiste muss verschwinden)

Dann unter Systemsteuerung - VirusScan den Virusscanner stoppen und anschl. über Software einfach deinstallieren.

 

Das sollte es dan auch schon gewesen sein.

Share this post


Link to post

Hallo Thomas,

 

Das Problem: Der "Affe" muss runter, Deinstallation über Systemsteuerung funktioniert aber nicht und ist jetzt auch verschwunden. Der Client muss irgendwie vom ePO die Einstellungen übergebügelt bekommen (kenne mich mit dem ePO leider nicht so aus). Sodass sich der Bursche immer wieder selbstständig installiert.

 

überlesen ? :rolleyes:

Share this post


Link to post

Hallo Thomas,

 

das ist ja aber auch Sinn und Zweck des Ganzen. Sollte eine Schadsoftware oder ein "schlechtgelaunter User" den Virenschutz manipulieren, wird dieser automatisch wieder reaktiviert vom ePolicy Orchestrator Server aus.

Share this post


Link to post
Richtig, funktioniert aber nur, wenn die Domainuser keine lokalen Admins sind

 

Das ist der EPO egal, nach einem vorgegebenen Zeitintervall wird der PC angesprochen und überprüft, ping ok, Virenschutz antwortet nicht, -> Installation.

 

Recht hast du, fragt sich nur wie oft am Tag du das machen willst ... :suspect:

 

EDIT: Ich gehe davon aus das der TO das auch war bei dem Versuch den Schutz zu entfernen .

Share this post


Link to post

Anscheinend haben wir beide recht.

 

Es kommt darauf an, wie der EPO vorgeht, wenn ein PC ohne Viruskiller entdeckt wird.

 

Bei uns ist es so eingestellt, dass einmalig nach der Installation eine bestimmte exe ausgeführt werden muss, damit der EPO loslegt (sollte ich vielleicht mal überarbeiten und an deine Konfiguration angleichen, ist sicherer).

 

Bei deiner Konfig dürfte das vollautomatisch gehen.

 

Daher auch die unterschiedlichen Aussagen von uns.

Share this post


Link to post

Bei uns ist es so eingestellt, dass einmalig nach der Installation eine bestimmte exe ausgeführt werden muss, damit der EPO loslegt (sollte ich vielleicht mal überarbeiten und an deine Konfiguration angleichen, ist sicherer).

 

Schau doch mal bei McAfee vorbei, da gibts gute Anleitungen.

z.B. ePO Walkthrough

Installationsanleitungen und Konfigurationshilfen bekommst du im Partnerportal ( Login erforderlich )

Share this post


Link to post

Danke erstmal für die Beschreibung XP-Fan. Prinzip ist soweit erkannt, an der Umsetzung scheitert es derzeit allerdings noch.

 

Die Vererbung für das Deployment habe ich entsprechend angepasst (der PC befand sich allerdings nicht unter Lost&Found, was aber an sich bestimmt nicht die Rolle spielt). Nach 30 Minuten treibt der Gute allerdings immer noch sein Unwesen auf dem PC.

Der grüne Haken am PC ist allerdings verschwunden. Ich nehme mal an, dass dies bedeutet, dass er die Einstellungen von "oben" nicht mehr übergebügelt bekommt. An sich würde mir das ja schon reichen, denn wenn er manuell deaktiviert werden kann wäre das auch ok.

 

Vom Prinzip her würde ich es dennoch gern verstehen wollen.

 

Agentenreaktivierung und Co. haben nichts gebracht. Derzeit befindet sich der PC unter Lost&Found --> Nicht autorisierte Systeme. Ich habe ihn da über "Entdeckung nicht autorisierter Systeme" hinzugefügt.

Dort hat er weiterhin die Einstellung zum Entfernen von Virusscan Enterprise. Der Task sieht so aus: Aktiviert= Ja, als Planungstyp steht "Sofort ausführen", Anfangsdatum= Nicht zutreffend, Startzeit = Nicht zutreffend.

Selbst wenn ich den Task manuell anschiebe passiert nichts...

Share this post


Link to post

Hallo Wolke2k4,

 

der grüne Haken bedeutet das der Agent der McAfee installiert ist und aktiv mit dem Server kommuniziert.

 

Was hat denn jetzt nicht funktioniert ?

Ist die McAfee noch aktiv auf dem PC im Taskmanager ?

 

Richtig ist das der PC unter nicht authorisierte Systeme auftaucht. Das sind alle System welche nicht unter der Kontrolle der EPO stehen. Sollte dann ja auch so sein wenn ich dich richtig verstanden habe.

 

 

Edit: Du sprichst aber von der EPO nicht Protection Pilot oder ?

Share this post


Link to post

Da in der MMC ePolicy Orchestrator steht und ich mich bei dem Server anmelde nehme ich mal an, dass es sich hierbei mit an Sicherheit grenzender Wahrscheinlichkeit um den ePO handelt.. ;)

 

Ich halte fest:

 

1. Es gibt drei Dienste auf dem PC, die ich aus dem Stand dem "Affen" zuordnen würde:

- Network Associates Task Manager = gestartet

- Network Associates McShield = gestartet bzw. angehalten, wenn ich es so einstelle

- McAfee Framework Service = gestartet

 

2. Der PC befindet sich im ePO unter Lost&Found --> Nicht autorisierte Systeme ohne grünen Haken

 

3. Der Task Deployment ist bearbeitet und steht bei Virusscan Enterprise 8.0.0 auf entfernen.

 

Trotzdem wurschtelt der McAfee auf dem PC mit seinen drei Diensten herum. Der Deployment Task hat die oben beschriebenen Eigenschaften (Aktiviert= Ja, Planungstyp = Sofort ausführen, Anfangsdatum= Nicht zutreffend, Startzeit = Nicht zutreffend.).

Irgendwo hängt es hier also, denn der Task wird ja offensichtlich nicht ausgeführt, selbst wenn ich ihn manuell plane.

Server und PC habe ich schon neu gestartet...

 

Nachtrag: Ich habe da gerade einen Hinweis gefunden, der mich vermuten lässt, dass er den Task erst ausführen kann, wenn der Agent installiert ist...? Ich probiere das mal aus...

Share this post


Link to post

Hallo,

 

hast du in den Ereignisprotokollen der EPO Hinweise warum die Software nicht entfernt werden kann ?

 

Nachtrag: Ich habe da gerade einen Hinweis gefunden, der mich vermuten lässt, dass er den Task erst ausführen kann, wenn der Agent installiert ist...?

 

Ohne den gehts nicht.

Share this post


Link to post
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

×
×
  • Create New...