Очень часто мы сталкиваемся с проблемами развертывания антивирусных пакетов на рабочих станциях в корпоративной среде, но иногда бывает необходимость массово удалить этих клиентов. И что тогда делать, ходить и руками удалять антивирус очень неудобно. Вот и перед нами встала задача удалить агентов Symantec Endpoint Protection с рабочих станций в сети.

Поискав немного в интернете нашел полезную статью на сайте www.symantec.com, ее перевод ниже…

Вопрос:
Как, незаметно для пользователей – «молча» (silent), удалить клиента Symantec Endpoint Protection из командной строки?
Решение:
Возможно удалить клиента Symantec Endpoint Protection используя код продукта.

Как найти код продукта?
Код продукта – это уникальный идентификатор продукта в системе. Вы можете найти код продукта для Symantec Endpoint Protection в реестре Windows.

Запустите regedit.exe на любой машине в сети где установлен клиент Symantec Endpoint Protection. (код продукта на всех машинах одинаковый – прим. переводчика)

1. В редакторе реестра Windows, откройте следующую ветку:
   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
   Эта ветка содержит все коды установленных на машине продуктов.
2. В левой части окна редактора реестра выбирайте каждый код продукта;
3. Выбрав код продукта в правой части окна смотрите значение ключа «DisplayName»;
4. Вам надо найти значение – Symantec Endpoint Protection;
5. Используйте код продукта в командной строке, как описано в следующем разделе . Скобки {} являются частью кода.

Синтаксис командной строки:

Введите следующую команду, чтобы удалить клиента Symantec Endpoint Protection. Используйте код продукта, который вы нашли в предыдущем разделе статьи.

msiexec.exe /q/x <product code>

Если команда не выполняется, запустите команду одним из следующих способов, в зависимости от версии Windows:

Windows 2000

<drive>:\winnt\system32\msiexec.exe /q/x <product code>

Windows 2003/XP

<drive>:\windows\system32\msiexec.exe /q/x <product code>

Если у вас стоит пароль на удаление клиента Symantec Endpoint Protection

Если установлен пароль для удаления клиента, вы не сможете удалить клиент Symantec Endpoint Protection »молча». В такой ситуации при удалении клиента система будет запрашивать пароль, который должны быть введены вручную. Для удаления клиента «молча», отключите пароль на удаление клиента Symantec Endpoint Protection.

Прим. переводчика

В предыдущих версиях была возможность обойти данную политику запроса пароля при удалении клиента Symantec, для этого необходимо было изменить следующие ключи реестра:

REG ADD «HKLM\SOFTWARE\Symantec\Symantec Endpoint\Protection\AV\AdministratorOnly\Security» /v LockUnloadServices /d 0 /t REG_DWORD /f

REG ADD «HKLM\SOFTWARE\Symantec\Symantec Endpoint\Protection\AV\AdministratorOnly\Security» /v UseVPUninstallPassword /d 0 /t REG_DWORD /f

Однако в 11-ой версии Symantec Endpoint Protection это уже не работает.

В ветке реестра HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Symantec Endpoint Protection\SMC создаются ключи:

SmcGuiHasPassword - при значении равном «1″, запрашивает пароль на открытие пользовательского интерфейса на клиенте. Замена значения на «0″ позволяет обойти пароль.

А вот если стоит пароль на удаление клиента, то там же присутствует ключ:

SmcInstData – его значение это зашифрованный пароль на удаление клиента. Удаление или изменение данного ключа ни к чему не приводит, ключ тут же создается заново.

Если у вас стоит пароль на удаление клиента Symantec Endpoint Protection, но вы не знаете или забыли этот пароль и нет возможности снять политику установки пароля, есть статья которая рассказывает как удалить клиента в ручную. Ссылка.

Централизованное удаление

Для централизованного удаления, пишем батник с нужной нам командой и запускаем его через групповую политику.

Внимание!

После удаления клиента Symantec Endpoint Protection таким образом компьютер без предупреждения автоматически перезагрузится.