Удаление SysWatch в ручном режиме

Материал из SafenSoft Wiki
(перенаправлено с «Удаление SysWatch в ручном режиме»)
Перейти к: навигация, поиск

Очистка ОС при некорректной установке/удалении клиентского модуля TPSecure SysWatch

Обращаем ваше внимание на то, что данная инструкция является экстренным средством. Если нужно срочно удалить SysWatch, всегда сначала пробуйте удалить его через «Установку и удаление программ/Программы и компоненты».

Выполните в точности каждый пункт инструкции, пропуск какого-либо пункта может повлечь неработоспособность компьютера!!!

Загружаем машину в безопасном режиме.

Дальше нужно остановить и удалить все службы SysWatch и удалить все объекты SysWatch в файловой системе и реестре.

  1. Службы
  2. Остановите и удалите сервисы safensec, snscore, snscomlpt, snskl, snswfp, snstdi. Сначала остановите сервис командой net stop [name]. Если его нет, команда об этом сообщит. Если сервис есть, удалите его командой sc delete [name].

    Пример: net stop safensec

    sc delete safensec

  3. Реестр
  4. Сначала найдите по ключевому слову syswatch (safensec) в соответствующих ветках разделы подобного вида:

    HKEY_CLASSES_ROOT\Installer\Features\<0A539D3F7074CF24F9017F0BB4641FE>
    HKEY_CLASSES_ROOT\Installer\Products\<0A539D3F7074CF24F9017F0BB4641FE>
    HKEY_CLASSES_ROOT\Installer\UpgradeCodes\C6E65B85ADA37D4479BF9A81D451351D
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{<D8792A76-0D25-46EA-8927-36396649F229>}

    У этих ключей guid (выделенный курсивом) различный в каждой установке. Их надо искать по ключевому слову syswatch (safensec), содержащемуся в одном из их полей. Их нужно обязательно удалить, иначе при попытке новой установки SysWatch возникнет сообщение: «Ошибка 1920 запуска службы sns под учетной записью system», и установка прервется.

    Затем удалите ветки реестра:

    • HKEY_LOCAL_MACHINE\SOFTWARE\S.N.Safe&Software;
    • HKEY_LOCAL_MACHINE\SOFTWARE\SnS Soft;
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Safensec;
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SnsCore;
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SnsComlpt;
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SnsWfp;
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SnsTdi;
    • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SnsKl
  5. Файлы
    • Директории C:\Program Files\SafenSoft, C:\Program Files\SoftControl, C:\Program Files (x86)\SafenSoft, C:\Program Files (x86)\SoftControl, C:\ProgramData\S.N.Safe&Software\ (Win7 и старше) C:\Documents and Settings\All Users\Application Data\S.N.Safe&Software\ (WinXP)
    • Файлы snscore.sys, snskl.sys, snscomlpt.sys, snswfp.sys, snscore4.dat (файл имеет скрытый системный атрибут), snscore.pi (файл имеет скрытый системный атрибут) в директории C:\Windows\System32\drivers\
  6. Порты COM, LPT и Kl
  7. Также критически важно вручную отключить контроль COM, LPT и Kl.

    Драйвер SnsComLpt осуществляет контроль за устройствами через механизм драйверов-фильтров, будучи прописан как «верхний» фильтр для драйверов портов ввода-вывода. Он указан в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E978-E325-11CE-BFC1-08002BE10318}, в ключе UpperFilters.

    2.7.1.1.snscomlpt.png

    Драйвер SnsKl осуществляет контроль за клавиатурой. Он указан в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}, в ключе UpperFilters.

    2.7.1.2.snskl.png

    Если удалить драйвер, но не убрать его упоминание из списка фильтров для COM, LPT и Kl, то при обращении к портам произойдет запрос к отсутствующему драйверу-фильтру, и порты будут блокированы! При удалении SysWatch вручную значение этого ключа надо зачистить от упоминания SnsComLpt и SnsKl. Это мультистроковый параметр (тип REG_MULTI_SZ), он содержит перечень драйверов фильтрации. Из этого списка нужно удалить SnsComLpt и SnsKl, а если в ключе только эта строка, нужно удалить весь ключ.

    Затем нужно перезагрузить машину.