【问题处理】EDR/aES自动化卸载工具卸载失败

EDR/aES自动化卸载工具卸载失败

一、背景描述

             客户需要卸载旧的EDR，然后安装新的EDR的客户端，但是由于旧的EDR平台已卸载，现在PC上EDR处理离线状态，所以无法使用卸载码去卸载，此处使用新出的卸载工具去卸载该客户端

              终端环境：windows操作系统

              EDR版本： 3.2.17

二、处理步骤

            1、使用EDR卸载工具卸载

                   在工具的网站上面生成对应的EDR卸载工具

                    网站地址：http://10.6.100.82:9527/#/tool_list/edr_uninstall

　　　　　　　

                     EDR的管理端地址不清楚可以在本机的文件中查看：

                     C:\Program Files\SF\EDR\agent\config\server.ini

                    生成卸载工具后，直接放到需要卸载的PC上面运行即可，成功后，会提示成功，失败了会提示哪里失败，如图

                      2、客户使用报错，查看日志提示不存在路径

                  重新安装新的EDR客户端，会提示需要先卸载旧的EDR，怀疑可能是卸载没干净，这时候需要手动进行卸载

                     手动卸载EDR：

                          1,注册表中删除EDR

                                  打开注册表编辑器（regedit），删除以下注册表项：
                                   HKEY_LOCAL_MACHINE\SOFTWARE\Sangfor\EDR

                          2.cmd中清理EDR痕迹

                                        以管理员身份运行CMD，执行以下命令删除残留服务：
                                           sc delete edr_monitor
                                           sc delete abs_deployer

                                           sc delete savsvc

                                            sc delete sfavflt

                        手动卸载EDR后，安装正常