Wenn es eine Software gibt, welche potentiell mehr Schaden anrichten kann und schwerer zu entfernen ist als ein Virus, dann handelt es sich um ein Produkt aus der Schlangenölbranche. Ein besonderes Schätzchen ist hier Kaspersky, deren Firmenchef sich gerne als Gehilfe diverser Dienste positioniert und aktuell unter Beschuss steht. Aber genug Themenausflug – mein Wunsch ist schnell definiert: Deinstallieren. Vorzugsweise automatisch. Nicht wegen den aktuellen Problemen, sondern eher da die Systeme sauber sein sollen.

Kaspersky besteht dabei in der Business-Variante aus drei Teilen:

Das Kaspersky Security Center (KSC, ehemals Kaspersky Administration Kit oder auch KAK), welches zentral installiert ist und für Management und Deployment zuständig ist

Der Kaspersky Administration Agent, einem kleinen Tool, welches auf allen Rechnern installiert ist und primär die Verbindung zwischen dem Security Center und den Schutzprogrammen des Rechners herstellt. Weiterhin kann es zur Installation von beliebigen Programmen und Patches genutzt werden.

Zuletzt das eigentliche Schutzprogramm, auf Nutzerseite meist Kaspersky Endpoint Security, welches Dienste wie Signaturscan, Software-Firewall und Gerätekontrolle bereitstellt.

Leider ist das Management an vielen Stellen trotz der langen Reife noch ausbaufähig. Verschiedene Sprachversionen oder gar Rechner mit unterschiedlichen Service-Packs der Software lassen sich nur schwer gemeinsam verwalten oder gegeneinander austauschen, die Managementverbindung geht gerne mal verloren und für die Rechnergeschwindigkeit ist eine solche Software ebenfalls nur wenig zuträglich.

Zur Deinstallation hatte ich hierzu üblicherweise eine „Geheimwaffe“: Den KAVRemover. Dieses Tool des Herstellers ist in der Lage viele Installationen auf dem verwendeten Rechner mit einem Schlag zu entfernen. Aus Sicherheitsgründen hat sich der Hersteller jedoch dazu entschieden die Deinstallation mit einem CAPTCHA abzusichern. Da ich nun eine größere Charge Rechner vor mir hatte tut diese Unmöglichkeit der Automation natürlich weh. Also ran an die offiziellen Deinstallationsroutinen.

Erstes Problem: Passwörter. Insgesamt gibt es 2-3 Passwortebenen, mit denen eine lokale Installation im genannten Konstrukt geschützt ist:

Endpoint Security nutzt, wenn in der entsprechenden Policy angegeben, einen Passwortzugang zu allen administrativen Funktionen. Dieses wird auch zur Deinstallation benötigt. Bei neueren Versionen (ab 10.2ish) wird zusätzlich ein Benutzername verlangt, welcher jedoch augenscheinlich auf „KLAdmin“ hardcoded ist.

Bild: https://www.adlerweb.info/blog/wp-content/uploads/2016/07/kavmenu-300×70.pngIst dieses Passwort nicht bekannt, jedoch Zugang und Verbindung zum Security Center noch vorhanden, kann man den Passwortschutz per Policy einfach ausschalten und so die Deinstallation etwas vereinfachen. Hierzu öffnet man die zum Produkt gehörende Policy und entfernt unter „Advanced Settings“ -> „Interface“ die Checkbox „Enable password protection“. Dies muss selbstverständlich für jede Sprache und Service-Pack-Version wiederholt werden.

Der Administration Agent nutzt eine separate Policy und hat ein dediziertes Passwort für die Deinstallation gesetzt. Ob sich dies ebenfalls irgendwo abschalten lässt habe ich nicht geprüft.

Das Passwort lässt sich glücklicherweise bei der Deinstallation als Parameter – natürlich je nach Version mit anderem Namen – angeben. Um die Funktion nutzen zu können muss man das Passwort jedoch vorher umrechnen: Es muss als ASCII-String einer HEX-Repräsentation des Passworts als 16Bit-ASCIIish (sieht aus wie ein Byte-Invertiertes UTF16) eingetragen werden. Besser keine Fragen stellen.

Also rechnen wir mal: Wäre unser Passwort „Geheim“ müssen wir dies erst mal in Hex konvertieren. Hierzu kann man – bei einfachen Zeichen – die gute, alte ASCII-Tabelle bemühen. G ist in HEX 0x47, e 0x65 – und so weiter. Am Ende erhalten wir „47 65 68 65 69 6D“. Da wir jedoch noch die 00en für 16 Bit brauchen wird daraus ein „470065006800650069006D00“. Mit diesem String können wir dann weiter an’s Werk. Zu beachten ist, dass einige Versionen der 10er-Serie (10.0.3361) zwischendrin plötzlich mal nur 8 Bit brauchten um beim nächsten Update wieder auf 16 zu springen. Kurzfassung: Wenns nicht geht einfach anders nochmal versuchen.

Für die Deinstallationen benötigt man weiterhin die MSI-IDs der Produkte. Einige seien hier mal gelistet, wer weitere hat: Die Kommentare stehen offen. Wer sich nicht sicher ist sollte in der Registry unter HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall und HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall nach Kaspersky-Einträgen suchen.

Danke an dawinci für das Listen der auswärtigen Agent-IDs

• Kaspersky Endpoint Security 8.x Deutsch
  • {D72DD679-A3EC-4FCF-AFAF-12E2552450B6}
• Kaspersky Endpoint Security 10.x (Deutsch, 64Bit)
  • {04CF7FBD-E56C-446D-8FC9-DD444BDBEE8E}
• Kaspersky Endpoint Security 10.x (English, 32Bit)
  • {7A4192A1-84C4-4E90-A31B-B4847CA8E23A}
• Kaspersky Admin Agent 9.x/10.x (Deutsch)
  • {2F383CB3-6D7C-449D-9874-164E49E1E0F5}
• Kaspersky Admin Agent 9.x/10.x (English)
  • {BCF4CF24-88AB-45E1-A6E6-40C8278A70C5}
• Kaspersky Admin Agent 9.x/10.x (Arabisch)
  • {FA7BF140-F356-404A-BDA3-3EF0878D7C63}
• Kaspersky Admin Agent 9.x/10.x (Bulgarisch)
  • {4DBF6741-FA51-4C14-AFD2-B7D9246995F6}
• Kaspersky Admin Agent 9.x/10.x (Tschechisch)
  • {478A6A0B-D177-4402-B703-808C05C56B13}
• Kaspersky Admin Agent 9.x/10.x (Französisch)
  • {2924BEDA-E0D7-4DAF-A224-50D2E0B12F5B}
• Kaspersky Admin Agent 9.x/10.x (Ungarisch)
  • {8899A4D4-D678-49F8-AD96-0B784F58D355}
• Kaspersky Admin Agent 9.x/10.x (Italiänisch)
  • {DC3A3164-36B3-4FB4-B7BF-16A41C35A728}
• Kaspersky Admin Agent 9.x/10.x (Japanisch)
  • {790C176F-7780-4C84-8B9C-455F5C0E61C5}
• Kaspersky Admin Agent 9.x/10.x (Koreanisch)
  • {70812A40-973B-4DA1-96B9-C2011280CD99}
• Kaspersky Admin Agent 9.x/10.x (Polnisch)
  • {1A7B331A-ABBE-4230-995E-BCD99C5A18CF}
• Kaspersky Admin Agent 9.x/10.x (Portugiesisch / Brasilien)
  • {0F05E4E5-5A89-482C-9A62-47CC58643788}
• Kaspersky Admin Agent 9.x/10.x (Rumänisch)
  • {FF802D76-E241-41D3-AAB4-DC7FBD659446}
• Kaspersky Admin Agent 9.x/10.x (Russisch)
  • {ED1C2D7E-5C7A-48D8-A697-57D1C080ABA7}
• Kaspersky Admin Agent 9.x/10.x (Chinesisch, vereinfacht)
  • {FBD7C01E-49CB-4182-8714-9DB1EAE255CB}
• Kaspersky Admin Agent 9.x/10.x (Chinesisch, Traditionell)
  • {F6AD731A-36B4-4739-B1D4-70D6EDA35147}
• Kaspersky Admin Agent 9.x/10.x (Spanisch / Mexiko)
  • {29748B5F-D88A-4933-B614-1CCCD6EFB0B7}
• Kaspersky Admin Agent 9.x/10.x (Türkisch)
  • {2475A66D-698B-4050-93FF-9B48EE82E2BA}

Die Deinstallationsbefehle für die Endpoint Security lauten:

• Kein Passwort
  • MsiExec.exe /x {MSI-ID} /qb- REBOOT=ReallySuppress
• Nur Passwort
  • MsiExec.exe /x {MSI-ID} /qb- REBOOT=ReallySuppress KLPASSWDHEX=470065006800650069006D00
  • bzw. MsiExec.exe /x {MSI-ID} /qb- REBOOT=ReallySuppress KLPASSWDHEX=47656865696D
  • Alternativ kann man bei KES statt KLPASSWDHEX die Variable KLPASSWD verwenden und das Kennwort in Klartext angeben
• Nutzername + Passwort
  • MsiExec.exe /x {MSI-ID} /qb- REBOOT=ReallySuppress KLLOGIN=KLAdmin KLPASSWDHEX=470065006800650069006D00

Für den Kaspersky Administration Agent lauten die Befehle:

• Ohne Passwort
  • MsiExec.exe /x {MSI-ID} /qb- REBOOT=ReallySuppress
• Mit Passwort
  • MsiExec.exe /x {MSI-ID} /qb- REBOOT=ReallySuppress KLUNINSTPASSWD=470065006800650069006D00

Beim Admin-Agent schlägt die Installation teilweise trotz richtigem Passwort mit dem Exit-Code 1603 fehl. In dem Fall kann es helfen einfach mal bis 10 zu zählen und die Deinstallation nochmal zu starten.

Bei /qb- wird ein Fortschrittsbalken angezeigt, welcher leider auch „abbrechen“ ermöglicht. Alternative /qn komplett im Hintergrund.

In meinem Fall habe ich eine Loop, welche für jede bekannte MSI-ID alle Deinstallationsbefehle mehrmals durchprobiert. Bei ca. 90% der Rechner funktioniert holzhammer(); – immerhin etwas weniger Arbeit.