Product still listed as enabled in Antivirusproduct class even though uninstalled 5 days ago

%3CLINGO-SUB%20id%3D%22lingo-sub-1481135%22%20slang%3D%22en-US%22%3EProduct%20still%20listed%20as%20enabled%20in%20Antivirusproduct%20class%20even%20though%20uninstalled%205%20days%20ago%3C%2FLINGO-SUB%3E%3CLINGO-BODY%20id%3D%22lingo-body-1481135%22%20slang%3D%22en-US%22%3E%3CP%3EI%20uninstalled%20F-Secure%205%20days%20ago%20and%20have%20restarted%2Fpowered%20down%20this%20device%20several%20times%20since.%20It%20seems%20that%20either%20the%20data%20returned%20by%20this%20query%20is%20outdated%20(and%20a%20refresh%2Freload%20may%20solve%20the%20issue%2C%20if%20at%20all%20possible)%20or%20that%20Windows%20truly%20believes%20the%20F-Secure%20product%20is%20still%20installed%20and%20enabled.%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CPRE%20class%3D%22lia-code-sample%20language-powershell%22%3E%3CCODE%3EFunction%20ConvertTo-NPHex%0A%7B%0A%20%20%20%20Param(%5Bint%5D%24Number)%220x%7B0%3Ax%7D%22%20-f%20%24Number%0A%7D%0A%0A%24Products%20%3D%20%40()%3B%0AGet-CimInstance%20-Namespace%20root%2FSecurityCenter2%20-ClassName%20Antivirusproduct%20-ErrorAction%20Stop%20%7C%20ForEach-Object%7B%0A%0A%20%20%20%20%24hex%20%3D%20ConvertTo-NPHex%20%24_.ProductState%3B%20%0A%20%20%20%20%24mid%20%3D%20%24hex.Substring(3%2C2)%3B%0A%20%20%20%20%24end%20%3D%20%24hex.Substring(5)%3B%0A%0A%20%20%20%20%24Products%20%2B%3D%20%5Bordered%5D%40%7B%0A%20%20%20%20%20%20%20%20DisplayName%20%3D%20%24_.DisplayName%3B%0A%20%20%20%20%20%20%20%20Enabled%20%3D%20%24(%20%0A%20%20%20%20%20%20%20%20%20%20%20%20If(%20%24mid%20-match%20%2200%7C01%22%20)%7B%20%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24False%20%0A%20%20%20%20%20%20%20%20%20%20%20%20%7DElse%7B%20%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24True%20%0A%20%20%20%20%20%20%20%20%20%20%20%20%7D%20%0A%20%20%20%20%20%20%20%20)%3B%0A%20%20%20%20%20%20%20%20UpToDate%20%3D%20%24(%20%0A%20%20%20%20%20%20%20%20%20%20%20%20If(%24end%20-eq%20%2200%22)%7B%20%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24True%20%0A%20%20%20%20%20%20%20%20%20%20%20%20%7DElse%7B%20%0A%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%24False%20%0A%20%20%20%20%20%20%20%20%20%20%20%20%7D%20%0A%20%20%20%20%20%20%20%20)%3B%0A%20%20%20%20%20%20%20%20Updated%20%3D%20%24(%20(Get-Date%20-Date%20%24_.Timestamp).ToUniversalTime().ToString(%22yyyy-MM-ddTHH%3Amm%3AssZ%22)%20)%0A%20%20%20%20%7D%0A%0A%7D%3B%0AReturn%20%24Products%20%7C%20ConvertTo-Json%3B%3C%2FCODE%3E%3C%2FPRE%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3E%3CSTRONG%3EOutput%20from%20snippet%20above%3A%3C%2FSTRONG%3E%3C%2FP%3E%3CPRE%20class%3D%22lia-code-sample%20language-json%22%3E%3CCODE%3E%5B%0A%20%20%20%20%7B%0A%20%20%20%20%20%20%20%20%22DisplayName%22%3A%20%20%22F-Secure%20SAFE%22%2C%0A%20%20%20%20%20%20%20%20%22ProductState%22%3A%20%20270336%2C%0A%20%20%20%20%20%20%20%20%22Enabled%22%3A%20%20true%2C%0A%20%20%20%20%20%20%20%20%22UpToDate%22%3A%20%20true%2C%0A%20%20%20%20%20%20%20%20%22Updated%22%3A%20%20%222020-06-17T08%3A09%3A16Z%22%0A%20%20%20%20%7D%2C%0A%20%20%20%20%7B%0A%20%20%20%20%20%20%20%20%22DisplayName%22%3A%20%20%22Windows%20Defender%22%2C%0A%20%20%20%20%20%20%20%20%22ProductState%22%3A%20%20393472%2C%0A%20%20%20%20%20%20%20%20%22Enabled%22%3A%20%20false%2C%0A%20%20%20%20%20%20%20%20%22UpToDate%22%3A%20%20true%2C%0A%20%20%20%20%20%20%20%20%22Updated%22%3A%20%20%222020-06-17T07%3A59%3A53Z%22%0A%20%20%20%20%7D%2C%0A%20%20%20%20%7B%0A%20%20%20%20%20%20%20%20%22DisplayName%22%3A%20%20%22ESET%20Security%22%2C%0A%20%20%20%20%20%20%20%20%22ProductState%22%3A%20%20266240%2C%0A%20%20%20%20%20%20%20%20%22Enabled%22%3A%20%20true%2C%0A%20%20%20%20%20%20%20%20%22UpToDate%22%3A%20%20true%2C%0A%20%20%20%20%20%20%20%20%22Updated%22%3A%20%20%222020-06-22T12%3A28%3A56Z%22%0A%20%20%20%20%7D%0A%5D%3C%2FCODE%3E%3C%2FPRE%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3EI%20am%20absolutely%20certain%20that%20F-Secure%20is%20not%20installed.%20Not%20only%20did%20I%20remove%20it%20manually%2C%20but%20it's%20also%20not%20visible%20in%20the%20Security%20Center%20UI%2C%20not%20under%20installed%20programs%20and%20not%20detected%20by%20a%20PowerShell%20script%20that%20looks%20through%20the%20registry%20for%20installed%20programs.%20This%20device%20is%20also%20not%20listed%20in%20my%20F-Secure%20web%20administration%20console%2C%20so%20I%20know%20it's%20uninstalled.%3C%2FP%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3CP%3E%3CSTRONG%3EExpected%20situation%3A%3C%2FSTRONG%3E%3C%2FP%3E%3COL%3E%3CLI%3EF-Secure%20isn't%20listed%20at%20all%20(it's%20not%20installed)%3C%2FLI%3E%3CLI%3EWindows%20Defender%20is%20listed%20and%20not%20enabled%3C%2FLI%3E%3CLI%3EESET%20is%20listed%20and%20enabled%3C%2FLI%3E%3C%2FOL%3E%3CP%3E%3CSTRONG%3EQuestions%3A%3C%2FSTRONG%3E%3C%2FP%3E%3COL%3E%3CLI%3EIs%20it%20possible%20to%20'force'%20a%20refresh%20of%20this%20class%3F%3C%2FLI%3E%3CLI%3EIs%20it%20known%20when%20this%20class%20is%20'organically'%20updated%3F%3C%2FLI%3E%3CLI%3EAny%20tacit%20knowledge%20as%20to%20why%20the%20product%20is%20still%20in%20the%20response%3F%3C%2FLI%3E%3C%2FOL%3E%3CP%3E%26nbsp%3B%3C%2FP%3E%3C%2FLINGO-BODY%3E%3CLINGO-LABS%20id%3D%22lingo-labs-1481135%22%20slang%3D%22en-US%22%3E%3CLINGO-LABEL%3Eantivirus%3C%2FLINGO-LABEL%3E%3CLINGO-LABEL%3EantivirusProduct%3C%2FLINGO-LABEL%3E%3CLINGO-LABEL%3ESecurityCenter2%3C%2FLINGO-LABEL%3E%3C%2FLINGO-LABS%3E
Occasional Visitor

 

I uninstalled F-Secure 5 days ago and have restarted/powered down this device several times since. It seems that either the data returned by this query is outdated (and a refresh/reload may solve the issue, if at all possible) or that Windows truly believes the F-Secure product is still installed and enabled.

 

 

Function ConvertTo-NPHex
{
    Param([int]$Number)"0x{0:x}" -f $Number
}

$Products = @();
Get-CimInstance -Namespace root/SecurityCenter2 -ClassName Antivirusproduct -ErrorAction Stop | ForEach-Object{

    $hex = ConvertTo-NPHex $_.ProductState; 
    $mid = $hex.Substring(3,2);
    $end = $hex.Substring(5);

    $Products += [ordered]@{
        DisplayName = $_.DisplayName;
        Enabled = $( 
            If( $mid -match "00|01" ){ 
                $False 
            }Else{ 
                $True 
            } 
        );
        UpToDate = $( 
            If($end -eq "00"){ 
                $True 
            }Else{ 
                $False 
            } 
        );
        Updated = $( (Get-Date -Date $_.Timestamp).ToUniversalTime().ToString("yyyy-MM-ddTHH:mm:ssZ") )
    }

};
Return $Products | ConvertTo-Json;

 

 

Output from snippet above:

 

[
    {
        "DisplayName":  "F-Secure SAFE",
        "ProductState":  270336,
        "Enabled":  true,
        "UpToDate":  true,
        "Updated":  "2020-06-17T08:09:16Z"
    },
    {
        "DisplayName":  "Windows Defender",
        "ProductState":  393472,
        "Enabled":  false,
        "UpToDate":  true,
        "Updated":  "2020-06-17T07:59:53Z"
    },
    {
        "DisplayName":  "ESET Security",
        "ProductState":  266240,
        "Enabled":  true,
        "UpToDate":  true,
        "Updated":  "2020-06-22T12:28:56Z"
    }
]

 

 

I am absolutely certain that F-Secure is not installed. Not only did I remove it manually, but it's also not visible in the Security Center UI, not under installed programs and not detected by a PowerShell script that looks through the registry for installed programs. This device is also not listed in my F-Secure web administration console, so I know it's uninstalled.

 

Expected situation:

  1. F-Secure isn't listed at all (it's not installed)
  2. Windows Defender is listed and not enabled
  3. ESET is listed and enabled

Questions:

  1. Is it possible to 'force' a refresh of this class?
  2. Is it known when this class is 'organically' updated?
  3. Any tacit knowledge as to why the product is still in the response?

 

0 Replies
www.000webhost.com