sábado, 12 de marzo de 2011

Herramienta MCPR de McAfee

Me gustaría daros a conocer una nueva herramienta de McaFee, que se ha creado especialmente para realizar una limpieza de drivers /controladoras y claves del registro creadas e instaladas por los productos McaFee, en este caso el ViruScan McAfee Enterprise vers 8.5i y 8.7i.  La herramienta se llama MCPR y os lo podéis descargar de este Link.
Seguro que muchas veces o a veces habéis recibido algún pantallazo azul y reinicios inesperados de vuestro servidor / pc, estos reinicio inesperados suelen ser provocados por los drivers del propio Mcafee. Como os comente en el articulo McAfee VirusScan y McAfee Agent, McAfee se instala sus propios drivers para controlar el trafico del todo el protocolo TCP/IP y en el momento que uno de estos drivers se corrumpe o las claves del registro que apunta a estos drivers, nos podemos llevar la sorpresa del famoso pantallazo azul.
Tenemos 2 opciones:
1ª- Determinar y ubicar el driver en concreto y ver donde se esta produciendo el fallo, para este paso podemos usar la herramienta Debugging Tools y seguir el procedimiento relatado en el post Debugging-Optimization II parte y remplazar el/los drivers corruptos por otros o arreglar e editar el registro.
2ª - Desinstalar el agente, desinstalar el antivirus, limpiar todo el registro con el MCPR y volver a instalar el antivirus con su agente correspondiente.
Desde luego que la 2ª opción seria la vía mas rápida de solucionar el fallo. Bien, vamos a ver cuales son los pasos a seguir.
1º- Desinstalar el agente
Abrimos la consola CMD cambiamos a la ruta donde esta instalado el agente con el siguiente comando:
cd \Program Files\McAfee\Common Framework\
y una vez que estamos dentro de este directorio ejecutamos el siguiente comando:
frminst /forceuninstall
Con este comando forzamos la desinstalación del agente.
2º- Desinstalar el McAfee ViruScan Enterprise:
Lo podemos hacer a través del entorno gráfico Inicio>Panel de Control > Agregar o Quitar Programas > Seleccionar el ViruScan y darte desinstalar.
O hacerlo a travez de comandos:
Para VirusScan Enterprise 8.0i
msiexec.exe /x {5DF3D1BB-894E-4DCD-8275-159AC9829B43} REMOVE=ALL REBOOT=R /q
Para VirusScan Enterprise 8.5i
msiexec.exe /x {35C03C04-3F1F-42C2-A989-A757EE691F65} REMOVE=ALL REBOOT=R /q
Para VirusScan Enterprise 8.7i
msiexec /x {147BCE03-C0F1-4C9F-8157-6A89B6D2D973} REMOVE=ALL REBOOT=R /q
Con estos comandos iniciaremos la desinstalación del antivirus en modo silencioso, ordenando al sistema eliminar cualquier rastro del mismo. Tras el proceso habrá que reiniciar el Servidor / PC.
Pero aun así, se nos quedan rastros en el registro y para ello tras el reinicio de la desinstalación del agente y del ViruScan Enterprise tenemos que ejecutar la herramienta MCPR que es un ejecutable portable y revisara e escaneara todo el sistema y todo el registro de los rastros de antivirus y del agente:
Podemos ver el log y ver lo que a buscado, lo que ha encontrado, lo que va borrar y lo que no va borrar:
MCAFEE CLEANUP
March 11, 2011 02:11:10
INFO   Cleanup operations will run.
INFO   Product mpfpcu to be removed from system.
INFO   Product mpfp to be removed from system.
INFO   Product mps to be removed from system.
INFO   Product shred to be removed from system.
INFO   Product mpscu to be removed from system.
INFO   Product mskcu to be removed from system.
INFO   Product msk to be removed from system.
INFO   Product emproxy to be removed from system.
INFO   Product mas to be removed from system.
INFO   Product fwdriver to be removed from system.
INFO   Product hw to be removed from system.
INFO   Product mbk to be removed from system.
INFO   Product mcproxy to be removed from system.
INFO   Product mhn to be removed from system.
INFO   Product mqccu to be removed from system.
INFO   Product mqc to be removed from system.
INFO   Product shrd to be removed from system.
INFO   Product nmc to be removed from system.
INFO   Product redir to be removed from system.
INFO   Product mna to be removed from system.
INFO   Product mwl to be removed from system.
INFO   Product msad to be removed from system.
INFO   Product mobk to be removed from system.
INFO   Product vs to be removed from system.
INFO   Product msc to be removed from system.
INFO   Product mcpr to be removed from system.
INFO   Product mcsvchost to be removed from system.
INFO   Removing product mpfpcu...
INFO   Removing registry key...
PASS   HKEY_CURRENT_USER\Software\McAfee.com\Personal Firewall does not exist
PASS   Product mpfpcu successfully removed.
INFO   Removing product mpfp...
INFO   Removing registry keys...
PASS   HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F33B322A-8757-4e91-ACE3-28FE07AF968E} does not exist
...........................
PASS   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MPFExe does not exist
PASS   HKEY_CLASSES_ROOT\CLSID\{AAC05D4F-D3FC-4d85-B706-55ECE9CE6DCA} does not exist
INFO   Removing directory if empty...
PASS   Did not remove C:\Program Files\McAfee.com (directory doesn't exist or contains files)
INFO   Removing directory if empty...
PASS   Did not remove C:\Documents and Settings\All Users\Start Menu\Programs\McAfee (directory doesn't exist or contains files)
INFO   Removing directory if empty...
PASS   Did not remove C:\Documents and Settings\Default User\Start Menu\Programs\McAfee (directory doesn't exist or contains files)
INFO   Removing directory...
PASS   C:\WINDOWS\..\Documents and Settings\Administrator\Application Data\McAfee.com Personal Firewall does not exist
INFO   Removing registry keys...
PASS   "MPFIREWL" in HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NetBT\DependOnService removed successfully
PASS   "MPFIREWL" in HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NetBT\DependOnService removed successfully
PASS   "MPFIREWL" in HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\NetBT\DependOnService removed successfully
INFO   Removing directory...
PASS   C:\Program Files\McAfee.com\Personal Firewall\data does not exist
INFO   Removing user profile files...
PASS   C:\Documents and Settings\Administrator\Desktop\McAfee Personal Firewall Plus.lnk does not exist
PASS   C:\Documents and Settings\All Users\Desktop\McAfee Personal Firewall Plus.lnk does not exist
PASS   C:\Documents and Settings\Default User\Desktop\McAfee Personal Firewall Plus.lnk does not exist
..........................................
INFO   Removing registry keys...
PASS   HKEY_USERS\S-1-5-18\Software\McAfee removed successfully
PASS   HKEY_USERS\.DEFAULT\Software\McAfee does not exist
PASS   Product mcpr successfully removed.
INFO   Removing product mcsvchost...
PASS   Product mcsvchost successfully removed.
Una vez concluido el escaneo nos pide reiniciar para que en el proximo inicio del sistema elimine todos los archivos y todas las claves del registro.

Depues de reiniciar ya tendríamos el S.O. limpio y podríamos volver reinstalar el McAfee ViruScan Enterprise y su correspondiente agente.
Para ello lo pueden hacer igual que antes por el entorno gráfico ejecutando el SetupVSE.exe o por comandos. Para realizarlo por comandos tenemos que abrir la ventana CMD y irnos al directorio donde están todos los archivos de instalación de ViruScan e ejecutar los siguientes comandos:
Instalación en Silencio y Reinicio del Servidor:
SetupVSE.exe ADDLOCAL=ALL REMOVEINCOMPATIBLESOFTWARE=TRUE /qn REBOOT=A
Mostrando la bara de progreso y Reiniciando el Servidor:
SetupVSE.exe ADDLOCAL=ALL REMOVEINCOMPATIBLESOFTWARE=TRUE /qbn REBOOT=A 
Y para instalar el agente a traves de comandos seria:
FramePkg.exe /install=agent /forceinstall /silent


Tras la reinstalacion del ViruScan Enterprise y de su correspondiente agente, tenemos que actualizarle una vez acabada la actualizacion podemos testear la instalación.
Para realizar el test, vamos a realizar el test de prueba desarrollado por el Instituto Europeo de la Equipo de investigación antivirus (EICAR):
1º- Abrimos un notepad y copiamos la siguiente linea sin ningún espacio tal como viene mas abajo:

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*


2º- Vamos a >Archivo>Guardar como> y le guardamos con el siguiente nombre: EICAR.COM 
Nada mas pulsar guardar el antivirus tiene que detectarlo y saltarnos la siguiente ventana:
Este archivo NO ES UN VIRUS REAL , es una simulacion de virus.


Espero que os sirva de ayuda este procedimiento.


Un Saludo.
Publicado por Daniel Oprea en 10:48
Etiquetas:

2 comentarios:

Thai Amulets dijo...

se ha de entrar al regedit y quitar las entradas tambien

15 de diciembre de 2021, 1:06
Daniel Oprea dijo...

En principio lo debe de realizar la herramienta, ejecutandola como Administrator.
Pero si, hay que revisar el registro para comprobar que se han eliminado correctamente todas las claves del registro tras el reinicio.

15 de diciembre de 2021, 7:32

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)