Anleitung und Warnung zum Norton DE-Cleaner bzw. Norton Power Eraser

Gelöscht wegen Doppelpost (sorry).

weiter Infos:

Heise

mfg
David

Hallo Jochem - es ist richtig, dass man den Beitrag eigentlich NICHT als "Anleitung" verstehen kann.


Allerdings vermisse ich Allgemeine Hinweise - in Bezug auf Norton - mit Namen auf NPE

Auf den Seiten - gerade den deutschen Seiten von Norton / Symantec fehlen die WICHTIGSTEN Hinweise.
Es steht dort ABSOLUT NICHTS! von den konkreten, gegebenen Gefahren.


- wenn man endlich einmal was gefunden hat! - und auch noch zufällig auf einem unscheinbaren Begriff / Link geklickt hat,
der "DIY" heisst! (wer zum Teufel soll ahnen / wissen, dass es sich dabei wohl um: "Do It Yourself" handelt!! meine Frexxx Norton!)

Hier der Link: http://de.norton.com/support/DIY/

Was steht denn dort? - auf den deutschen sowie auf den amerikanischen Seiten?


"Da Norton Power Eraser aggressive Methoden zum Erkennen von Bedrohungen einsetzt,
besteht ein gewisses Risiko, dass es auch legitime Programme entfernen wird.
Daher sollten Sie dieses Tool sehr vorsichtig und nur dann einsetzen,
wenn Sie bereits alle anderen Optionen ausgeschöpft haben."


Ergänzungen:

Der Hinweis, dass dieses Tool "auch legitime Programme" entfernen kann / wird - ist mehr als irreführend!
Heutzutage definiert sich der Begriff: "legitime Programme" GARANTIERT NICHT über jede Art von Betriebssystemen!
NIEMALS kann / wird ein OttoNormal-Anwender - wenn er solche "Beschreibungen" liest - an sein OS denken!

Was also passiert im Ernstfall? Er überlegt sich, ob er sich damit abfinden könnte,
dass evtl. eines seiner installierten "Anwender-Programme"! beschädigt / entfernt wird.
Noch dazu - seitens Norton / Symantec jeder Hinweis auf das Procedere während der Ausführung vom NPE fehlt!
Wäre doch hilfreich, wenn man sich VORHER ein Bild der Prozedur machen könnte - ohne gleich auf die Schnauze zu fallen!

Defacto: kann ich dem Threadstarter nur raten, einen Anwalt zu befragen!
Warum? "Ikea-Klausel"! - falls nötig: bitte googeln!

Kein normaler User würde auf den Gedanken kommen, die Aussage: "Risiko, dass es auch legitime Programme entfernen wird"
- so zu interpretieren,
dass damit u.U. auch sein Betriebssystem gemeint / betroffen sein könnte!

ICH jedenfalls - bin froh, dass ich vor wenigen Minuten nach NPE gegoogelt habe! - Kurz vor geplanter Anwendung des Programms!

Der - leider wie so oft - auch bei Norton - erbärmliche Support, sagte mir:
"Wenn Sie den NPE ausführen, können Sie an jeder Stelle immer noch entscheiden, was das Programm tun darf - oder nicht."

Dass sehe ich mittlerweile in einem anderen Licht!


Es könnte ja sein - aber AUSPROBIEREN werde ich es jetzt garantiert nicht mehr!

Im Gegenteil: Ich nehme evtl. dass noch 2 Wochen geltende Rücktrittsrecht für meine 3 PC in Anspruch.

P.S.
Auf meine Frage an den "Support":
Weshalb Kaspersky Pure nachweislich! gefährlich E-Mails gleich gelöscht hat
und Norton 360 5.0 vor solchen weder warnt noch löscht - sie statt Dessen lediglich in den Spam-Ordner verschiebt-
Sagte man: "Herr P. stellen Sie sich mal vor, Norton 360 5.0 würde dass tun - was dass für einen Aufstand gäbe"

OK - es mag sein, dass bei KAS Pure Betroffene sind, die legitime E-Mails erhalten - in denen vermeintlich gefährliche Anhänge sind - und diese dann gelöscht werden.
Ich weiß nicht, ob man Kaspersky Pure an der Stelle beibringen kann, was gefährlich ist und nicht - und wie er grundsätzlich damit umzugehen hätte.
Habe ich Nie ausprobiert - werde es aber evtl. in den nächsten Monate tun können

Nachtrag: Der beste Beweis für die erbärmliche Situation des Internetauftritts dieses Unternehmens ist:
Wer endlich mal etwas Brauchbares gefunden hat - und evtl. sogar kostenpflichtigen Support in Anspruch nehmen möchte -
der hört am Telefon: "Kein Anschluss unter dieser Nummer" !
Und nun sagt mir irgend Jemand noch, dass es erst seit Stunden so ist? - oder was!

Wer verdächtige E-Mails hat - und testen möchte, wie es um das "Urteilsvermögen" seines Norton 360 5.0 steht,
kann - laut Support - eine verdächtige E-Mail Anhängen / Weiterleiten an:

beratung@support08.norton.com

ein Beispiel aus dem Norton Forum - für den verantwortungslosen Umgang in Form unvollständiger Beiträgen und Antworten:

http://de.community.norton.com/t5/Norton-360/Norton-Power-Eraser/m-p/11 ...

Antwort eines "Helfenden"! :

"Nein, der normale Scan reicht völlig aus.
Der Power Eraser ist für schwere Fälle".

SO schreibt / antwortet man nicht! - dann lässt man es lieber!


P.S. leider raffe ich zum. im Moment noch nicht, wie ich es - trotz Anmeldung - schaffe, dort zu Antworten...

also das programm ist ja wohl der größte mist den es gibt.

ich hab nen funktionierenden rechner OHNE jegliche bot software drauf und bin über die seite BOTFREI.DE des BKA gestolpert.

da dachte ich mir OH GOTT NEIN; vielleicht hab ich so was ja auch drauf.

es werden auf der webseite DREI programme angeboten, man soll sich eines davon nach wahl herunterladen und den rechner
nach einem Bot untersuchen, denn es kann JEDEN TREFFEN, jeder kann so etwas drauf haben.

ok, also hab ich mir das ding downgeloadtet, installiert, ganz nach PDF anleitung des BKA.

danach dann system scan und MIT ROOTKIT suche (neustart) angeklickt.

der rechner startet sich neu.. und... nichts geht mehr.

Schwarzer Bildschirm, Black Screen, nach dem Ladebalken von Windows.

Kein Task Manager, keine Maus, nichts geht mehr. komplett schwarz. nicht mal strg-alt-entf bringt irgendwas zu stande.


Windows ist tot.


Danach dann versucht, in den abgesicherten Modus zu starten.

BLUESCREEN. TCPIP.SYS Fehler.


what the f... ?


ja, richtig gelesen, dieser tolle vom BKA empfohlene "Scanner" von Norton hat mir schon bei der einfachen SUCHE Windows zerschossen.


Da kann man sich fragen, was ist einem lieber, ein Bot drauf, den man evtl. beseitigen kann, oder ein vom BKA empfohlenes Programm,
das das ganze System einfach mal so komplett zerschiesst, und man kann es nicht mehr reparieren.


Ich habe nicht locker gelassen, und mal versucht, die letzte funktionierende Windows-Start Konfiguration zu starten.

Nichts, wieder Blackscreen.

Da es mir zu blöd war, habe ich alles hingeschmissen, und den Rechner einfach laufen lassen.

Und schon nach über zwei Stunden Blackscreen kommt dann auch auf einmal Windows wieder.


Resultat: Der Norton Cleaner hat einfach die komplette 2 TERRABYTE PLATTE mit allen Daten durchgescanned und nicht bis er damit fertig war, erlaubt, dass Windows wieder startet, nicht mal im abgesicherten Modus.

Das Programm hat einfach den Rechner gesperrt, ohne irgendeine Info dazu, kein Neustart hat das Programm dazu bewegt, sich aus der Registry auszutragen.


Also wenn ihr das selbe Problem bekommt, nicht verzagen, einfach "letzte funktionierende Konfiguration" wähöen mit F8 nach dem Booten und dann einfach mal stundenlang warten, mit ein wenig Glück seid ihr wieder dabei.


Wer weiss, ob der Rechner jetzt nochmal in Windows kommt, momentan läuft er gerade wieder.

edit 24.1.2012, das problem ist nicht gelöst, ich hatte, obwohl ich die weiter unten genannten symantec service dateien entfernt habe, weiterhin probleme, es wurden bei den letzten starts des rechners jeweils andere dateien bemängelt und er fuhr nicht mehr hoch, einmal war es die tcpip.sys die kaputt war, danach die ntfs-sys am ende (heute) die ntoskrnl.exe.

FAKT: dieses norton de cleaner programm hat mir mein komplettes windows zerschossen, wie ich es geschrieben hatte. ich hatte nur seither (davor nie) freezes in windows, die maus war wege, kein task manager geht mehr, etc.

ich werde versuchen, das ganze mit der repair funktion von der windows dvd wieder hinzubekommen, falls es nicht klappen sollte, ist mein system am ende inkl. aller installierten programme, spielstände, eigenen dokumenten und daten, und was weiss ich noch alles, woran man nicht sofort kommt.


eigentlich sollte man symantec für diesen ### verklagen und das BKA erst recht, wenn es einem so etwas andrehen will, obwohl der rechner komplett gesund ist bzw. davor war.


Lasst die Finger von dem Programm!!!!!


ps: es wurde dann eine datei namens a8jonedd.sys gefunden, die aber nicht gescanned werden konnte, und auch mit Dateisuche nicht auf dem Rechner gefunden werden konnte, man kann sie aber angeblich mit dem Cleaner entfernen. NEIN DANKE!! wer weiss was dann nicht mehr geht.

dazu wurde eine .exe datei eine programms gefunden, das bösartig sein soll. kein anderer virenscanner oder malware oder trojanerscanner, weder msse noch malwarebytes noch spybot fand es bösartig oder verdächtig, und es ist ein ganz normales programm.


die genannte XML Datei enthält übrigens nicht einfach nur 4 verdächtige dateien die gefunden wurden, vielmehr handelt es sich bei der von norton de scanner erstellen xml datei um eine systemanalyse, darin enthalten: ALLE installierte Software, ALLE Hardware inkl. Treiber, das komplette hosts file.

von norton angegeben war: die übermittelten daten enthalten lediglich die browser und system version.

gelogen sag ich mal.

dazu hinterlässt der norton de cleaner diverse datein im system, und löscht sie nicht.

da das program keine uninstall funktion hat (es installiert sich ja angeblich nicht - gelogen!), ist es schwer herauszufinden, welche dateien das alles sind.

ich konnte auf den ersten blick schon mal zwei dateien finden. smr162.sys smr162.dat im system32/drivers ordner.


eine schlampigkeit ohnegleichen das ganze.

dazu exisitiert das programm aktuell in der version 2.1 (bei chip.de), auf der bka seite wird die version 1.7 als download angeboten, die hat man wohl bei google als erstes suchergebnis gefunden....


ps2: das tool hat übrigens einen dienst mit installiert, er nennt sich "Symantec SMR Utility Service 1.6.2", dieser wird nicht nach beendigung des ganzen scan und lösch vorgangs wieder deinstalliert.

ob ich das irgendwie wieder wegbekomme, sei dahin gestellt, es hat sich auch in die registry eingetragen in
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SMR162


einen beitrag dazu habe ich im netz gefunden, da hat jemand versucht, diesen Dienst wegzubekommen.

"I have contacted Symantec via their forum posting and e-mail, and have not received a response. I have been referred to the uninstaller from symantec's website and found that none of the removal programs listed refer to the product I used. I have tried "CCleaner and it did list these when I tried to clean the registry. After using the program it no longer lists it via CCleaner but still does via device manager..... non plug and play drivers.

I was told the drivers are loaded at boot and can / will cause conflict with the security programs I have now elected to use, ( MSE, Online Armor, SpywareBlaster, Malwarebytes, and Secunia's program updater )."


das ist doch auch mal eine sache, die übriggebliebenen treiberdateien werden einfach mal bei jedem start geladen und verursachen probleme, wenn man MSSE, Malwarebytes usw. benutzt.

PROBLEME ??

langsam kommt mir die ganze BKA Aktion mit diesen DE Cleaner Programmen nach einer kleinen Lauschaktion mit Veränderung der Scanfunktion von gängigen Scannern vor. Wird da evtl. ein echter BKA Trojaner installiert, der dann nicht mehr mit gängigen Scan Programmen aufgefunden werden kann ?

Sicher bin ich paranoid.

Oder doch eher Leute, die sich überhaupt erst einen DE Cleaner von einer BKA Seite downloaden ??

soviel dazu.


ps: wie man den symantec utility driver service wieder wegbekommt:

1) start, in suche cmd eingeben, rechts klick auf cmd.exe, als administrator ausführen

2) folgendes eingeben: set devmgr_show_nonpresent_devices=1

3) danach das eingeben: start devmgmt.msc

4) bei view -> show hidden

5) auf non plug and play klicken

6) auf Symantec SMR Utility Service Doppelklick

7) auf Driver, dann Type auf Disabled setzen und OK

8) neustarten

9) die selbe Prozedur bis Punkt 7 wiederholen, der Treber solte nicht mehr gestartet sein

10) rechtsklick auf Symantec SMR Utility in der Liste und Uninstall

11) rechner neustarten

12) in c:\windows\system32\drivers könnt ihr die beiden dateien .sys und .dat jetzt löschen

13) registry einträge zu SMR162 löschen.


mit Glück habt ihr das Ding los.