Данный способ работает на множестве других АВ (все не проверялись), здесь приведу лишь пример тихой деинсталляции последнего NOD32. Если кому интересно, может продолжить список.
Итак, открываем в реестре ключ:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
Находим подключ:
{0D343FFE-2FDD-45E3-92B4-159D4FE6F4D5} Это GUID NOD32.
Формируем коммандную строку на тихую деинсталляцию АВ (для просмотра всех поддерживаемых свитчей, просто запускаем msiexec):
MsiExec.exe /x {0D343FFE-2FDD-45E3-92B4-159D4FE6F4D5} /quiet /norestart NOD32
использует Windows Installer, как и многие другие, но даже если АВ использует свой инсталлер, вероятность того, что в нем есть поддержка тихой деинсталляции очень велика.
Для того, чтобы найти свитчи в кастомных инсталлерах, запускаем деинсталлятор, смотрим командную строку, например через Process Explorer, далее ищем свитчи в нужном модуле, это можно сделать либо при помощи olly, либо утилитой textscan (от analogx), либо утилитой strings (от sysinternals).
После деинсталляции, АВ может остаться в полностью рабочем режиме, до перезагрузки.
ДрВеб при деинсталляции показывает капчу, это пока единственный мне известный АВ у которого есть защита от данного вида "атаки".
Вынос Outpost Security Suite Pro 9.1 (4643.690.1951) одной строчкой
"%ProgramFiles%\Agnitum\Outpost Security Suite Pro\unins000.exe" /VERYSILENT /SUPPRESSMSGBOXES /NORESTART
Через несколько секунд фаер полностью выпиливается, завершаются все процессы и удаляются файлы.
Ещё немного подробностей можете прочитать в
Вы должны зарегистрироваться, чтобы увидеть внешние ссылки
.
