Deleting SysWatch manually — различия между версиями

Очистка ОС при некорректной установке/удалении клиентского модуля TPSecure SysWatch

Обращаем ваше внимание на то, что данная инструкция является экстренным средством. Если нужно срочно удалить SysWatch, всегда сначала пробуйте удалить его через «Установку и удаление программ/Программы и компоненты».

Выполните в точности каждый пункт инструкции, пропуск какого-либо пункта может повлечь неработоспособность компьютера!!!

Загружаем машину в безопасном режиме.

Дальше нужно остановить и удалить все службы SysWatch и удалить все объекты SysWatch в файловой системе и реестре.

1. Службы

Остановите и удалите сервисы safensec, snscore, snscomlpt, snskl, snswfp, snstdi. Сначала остановите сервис командой net stop [name]. Если его нет, команда об этом сообщит. Если сервис есть, удалите его командой sc delete [name].

Пример: net stop safensec

sc delete safensec

2. Реестр

Сначала найдите по ключевому слову syswatch (safensec) в соответствующих ветках разделы подобного вида:

HKEY_CLASSES_ROOT\Installer\Features\<0A539D3F7074CF24F9017F0BB4641FE>

HKEY_CLASSES_ROOT\Installer\Products\<0A539D3F7074CF24F9017F0BB4641FE>

HKEY_CLASSES_ROOT\Installer\UpgradeCodes\C6E65B85ADA37D4479BF9A81D451351D

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{<D8792A76-0D25-46EA-8927-36396649F229>}

У этих ключей guid (выделенный курсивом) различный в каждой установке. Их надо искать по ключевому слову syswatch (safensec), содержащемуся в одном из их полей. Их нужно обязательно удалить, иначе при попытке новой установки SysWatch возникнет сообщение: «Ошибка 1920 запуска службы sns под учетной записью system», и установка прервется.

Затем удалите ветки реестра:

• HKEY_LOCAL_MACHINE\SOFTWARE\S.N.Safe&Software;
• HKEY_LOCAL_MACHINE\SOFTWARE\SnS Soft;
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Safensec;
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SnsCore;
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SnsComlpt;
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SnsWfp;
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SnsTdi;
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SnsKl
3. Файлы
• Директории C:\Program Files\SafenSoft, C:\Program Files\SoftControl, C:\Program Files (x86)\SafenSoft, C:\Program Files (x86)\SoftControl, C:\ProgramData\S.N.Safe&Software\ (Win7 и старше) C:\Documents and Settings\All Users\Application Data\S.N.Safe&Software\ (WinXP)
• Файлы snscore.sys, snskl.sys, snscomlpt.sys, snswfp.sys, snscore4.dat (файл имеет скрытый системный атрибут), snscore.pi (файл имеет скрытый системный атрибут) в директории C:\Windows\System32\drivers\
4. Порты COM, LPT и Kl

Также критически важно вручную отключить контроль COM, LPT и Kl.

Драйвер SnsComLpt осуществляет контроль за устройствами через механизм драйверов-фильтров, будучи прописан как «верхний» фильтр для драйверов портов ввода-вывода. Он указан в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E978-E325-11CE-BFC1-08002BE10318}, в ключе UpperFilters.



Драйвер SnsKl осуществляет контроль за клавиатурой. Он указан в ветке HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}, в ключе UpperFilters.



Если удалить драйвер, но не убрать его упоминание из списка фильтров для COM, LPT и Kl, то при обращении к портам произойдет запрос к отсутствующему драйверу-фильтру, и порты будут блокированы! При удалении SysWatch вручную значение этого ключа надо зачистить от упоминания SnsComLpt и SnsKl. Это мультистроковый параметр (тип REG_MULTI_SZ), он содержит перечень драйверов фильтрации. Из этого списка нужно удалить SnsComLpt и SnsKl, а если в ключе только эта строка, нужно удалить весь ключ.

Затем нужно перезагрузить машину.