Anleitung und Warnung zum Norton DE-Cleaner bzw. Norton Power Eraser
Ich möchte hiermit einen Artikel zu oben genanntem Tool verfassen, da ich über Google keinen gefunden habe, das Programm sehr schlecht dokumentiert ist und ich hoffe, dadurch jemandem die Arbeit zu ersparen, die ich leider mit diesem Tool hatte.
Hallo liebe Administratorengemeinde,
letzte Woche klingelte mein Handy:
"Ich hab meinen Computer darauf gescannt, ob er sich in einem Botnetz befindet und ich habe gefährliche Dateien gelöscht. Jetzt fährt er nichtmehr hoch!"
Nach kurzem Jaulen saß ich auch schon im Auto. Diagnose:
Auf den Computer wurde der sogenannte "Norton DE-Cleaner" oder auch "Norton Power Eraser" losgelassen, welche sogar von der BSI zertifiziert ist.
Das bedeutet jedoch leider garnichts. Dieses Tool, welches nur aus einer .exe Datei besteht und zu dem sich in keinster Weise eine Dokumentation finden lässt, fand spontan ein paar gefährlich wirkende .dll´s. (Beispielweise in C:\I386 C:\windows\system32 usw. usw.)
Diese werden dann natürlich gleich als sehr gefährlich angepriesen und dem unwissenden Nutzer (Sollte er denn unwissend sein) wird dadurch der Druck auf den "Weiter" (=Bereinigen) Knopf sozusagen schmackhaft gemacht.
Hier gibt es noch die Möglichkeit, die "gefährlichen" Dateien nochmals online scannen zu lassen (Was dazu führt, dass die wichtigen Systemdateien wohl auch als solche erkannt werden). Sollte man diese Option nicht anwählen, werden die gefundenen .dll Dateien beim nächsten Neustart gelöscht.
Dies führte in meinem Fall dazu, dass der komplette Rechner absolut unbedienbar wurde.
Rechner Start - Anzeige "Abgesichterter Modus" "Letzte, als funktionierend bekannte Konfiguration" "Windows normal starten"
Egal, welche Option ausgewählt wird. Es endet immer mit einem Bluescreen, bevor irgendwelche Eingabemöglichkeiten zur Verfügung stehen.
Reboot mit Wondows CD führt bei Reparaturinstallation / Neuinstallation zu dem ergebnis "Keine Festplatte gefunden"
Linux erkennt die eingebaute Platte problemlos.
Nun möchte ich kurz Reparaturinfos geben, da ich nach langem Suchen herausgefunden habe, dass das Norton Tool ein Logfile wegschreibt, in welchem genau beschrieben wird, welche "Säuberungsaktionen" durchgeführt wurden.
Im Ordner "C:\Dokumente und Einstellungen\%user%\Anwendungsdaten\NPE\" findet sich ein xml-File, an dessen Ende, numeriert durch "File-ID" die Files zu finden sind, welche gelöscht wurden. Dies ermöglicht im besten Fall eine Wiederherstellung des Ausgangszustandes.
(Möglicherweise lautet der Pfad auch "C:\Dokumente und Einstellungen\%user%\Lokale Einstellungen\Anwendungsdaten\NPE\")
In meinem Fall kam diese Erkenntnis leider zu spät.
Ich hoffe, ich kann mit dieser Anleitung irgendjemandem den Ärger ersparen, den ich hatte.
Grüße LittleFlame
Hallo liebe Administratorengemeinde,
letzte Woche klingelte mein Handy:
"Ich hab meinen Computer darauf gescannt, ob er sich in einem Botnetz befindet und ich habe gefährliche Dateien gelöscht. Jetzt fährt er nichtmehr hoch!"
Nach kurzem Jaulen saß ich auch schon im Auto. Diagnose:
Auf den Computer wurde der sogenannte "Norton DE-Cleaner" oder auch "Norton Power Eraser" losgelassen, welche sogar von der BSI zertifiziert ist.
Das bedeutet jedoch leider garnichts. Dieses Tool, welches nur aus einer .exe Datei besteht und zu dem sich in keinster Weise eine Dokumentation finden lässt, fand spontan ein paar gefährlich wirkende .dll´s. (Beispielweise in C:\I386 C:\windows\system32 usw. usw.)
Diese werden dann natürlich gleich als sehr gefährlich angepriesen und dem unwissenden Nutzer (Sollte er denn unwissend sein) wird dadurch der Druck auf den "Weiter" (=Bereinigen) Knopf sozusagen schmackhaft gemacht.
Hier gibt es noch die Möglichkeit, die "gefährlichen" Dateien nochmals online scannen zu lassen (Was dazu führt, dass die wichtigen Systemdateien wohl auch als solche erkannt werden). Sollte man diese Option nicht anwählen, werden die gefundenen .dll Dateien beim nächsten Neustart gelöscht.
Dies führte in meinem Fall dazu, dass der komplette Rechner absolut unbedienbar wurde.
Rechner Start - Anzeige "Abgesichterter Modus" "Letzte, als funktionierend bekannte Konfiguration" "Windows normal starten"
Egal, welche Option ausgewählt wird. Es endet immer mit einem Bluescreen, bevor irgendwelche Eingabemöglichkeiten zur Verfügung stehen.
Reboot mit Wondows CD führt bei Reparaturinstallation / Neuinstallation zu dem ergebnis "Keine Festplatte gefunden"
Linux erkennt die eingebaute Platte problemlos.
Nun möchte ich kurz Reparaturinfos geben, da ich nach langem Suchen herausgefunden habe, dass das Norton Tool ein Logfile wegschreibt, in welchem genau beschrieben wird, welche "Säuberungsaktionen" durchgeführt wurden.
Im Ordner "C:\Dokumente und Einstellungen\%user%\Anwendungsdaten\NPE\" findet sich ein xml-File, an dessen Ende, numeriert durch "File-ID" die Files zu finden sind, welche gelöscht wurden. Dies ermöglicht im besten Fall eine Wiederherstellung des Ausgangszustandes.
(Möglicherweise lautet der Pfad auch "C:\Dokumente und Einstellungen\%user%\Lokale Einstellungen\Anwendungsdaten\NPE\")
In meinem Fall kam diese Erkenntnis leider zu spät.
Ich hoffe, ich kann mit dieser Anleitung irgendjemandem den Ärger ersparen, den ich hatte.
Grüße LittleFlame
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 151834
Url: https://administrator.de/contentid/151834
Ausgedruckt am: 22.11.2024 um 06:11 Uhr
9 Kommentare
Neuester Kommentar
Moin,
also "Anleritung" würde ich den Artikel jetzt nicht unbedingt titulieren. Wie ich aufgrund der fehlenden Dokumentation mit Hilfe von Tante google herausfinden konnte, schreibt das Tool NPE vor Arbeitsbeginn einen Sync-Point, damit das System ggfls. wieder auf diesem aufgesetzt werden kann Scanning and Cleaning with PE, Screen 5 of 5. Wie Du schreibts, war das in dem von Dir vorgefundenen Fall nicht mehr möglich.
Weiterhin findet Tante google auch einen Hinweis, der sich an unbedarfte Anwender wendet und darauf hinweist, daß dieses Tool sehr restriktiv arbeitet und daher eine gewisse Vorsicht im Umgang mit sich bringt Sicherheitshinweis. Aber jedes Kind packt auf die heiße Herdplatte, obwohl die Erziehungsberechtigten darauf hingewiesen haben, daß das weh tut. Erfahrungen muß halt jeder selbst machen.
Nach Deiner Beschreibung war die HD nach dem Durchlauf von NPE seitens des Windows-BS nicht mehr verfügbar. Erst unter Linux-BS wurde die HD wieder erkannt. Schön, und wo zaubert der unbedarfte User mal eben eine bootfähige Linux-CD her? Ok, gibts mitllerweile in fast jedem PC-Heft am Kiosk. Soll aber wirklich jemand, der bereits am NPE verzweifelt, sich mit einer derartigen Life-CD ans Eingemachte seines PCS begeben und ggfls. noch die nachfolgend nicht dokumentierten Rettungsversuche unternehmen?
Nach Deinen "Reparaturinfos" schreibt NPE also ein Logfile weg, in welchem festgehalten wird, welche Dateien der restriktiven Reinigung zum Opfer gefallen sind. Soweit, sogut. Nur wie kommt Otto Normaluser nun in den Genuß dieser Dateien, und zwar derart, daß danach sein System wieder läuft?
Hat NPE diese Dateien tatsächlich eliminiert, oder schlummern die noch in einem Verzeichnis rum, "für den Fall der Fälle"? Letzteres ließe hoffen, denn dann wären die Dateien ohne großen Aufwand aus der Quarantäne zu befreien und an ihre originalen Stammplätze zurückzuverfrachten. (Linux sei Dank). Dazu fehlt mir aber das HowTo.
Was aber, wenn dies nicht der Fall ist? Wo findet der geneigte Benutzer die Dateien auf seinen Installations-CDs/-DVDs? Und ganz nebenbei, um welche Dateien handelt es sich überhaupt? Muß ich überhaupt alle diese Dateien "mit der Hand am Arm" aus den CDs/DVDs extrahieren, oder reichen ein paar unbedingt notwendige, damit das System ansich wieder hochkommt? Den Rest könnte man dann über einen Sync-Point realisieren. Auch dazu fehlt mir das HowTo.
Ein paar nicht ganz unwichtige Antworten, wie ich meine, die mir in dieser "Anleitung" fehlen, aber ich bin nicht Nabel der Welt und es muß nicht alles so sein, daß icvh es verstehe.
BTW: Wie hast Du denn das desolate System wieder ans Rennen gebracht? Neuinstallation oder Reparatur gemäß "Anleitung"?
Gruß J :.) chem
also "Anleritung" würde ich den Artikel jetzt nicht unbedingt titulieren. Wie ich aufgrund der fehlenden Dokumentation mit Hilfe von Tante google herausfinden konnte, schreibt das Tool NPE vor Arbeitsbeginn einen Sync-Point, damit das System ggfls. wieder auf diesem aufgesetzt werden kann Scanning and Cleaning with PE, Screen 5 of 5. Wie Du schreibts, war das in dem von Dir vorgefundenen Fall nicht mehr möglich.
Weiterhin findet Tante google auch einen Hinweis, der sich an unbedarfte Anwender wendet und darauf hinweist, daß dieses Tool sehr restriktiv arbeitet und daher eine gewisse Vorsicht im Umgang mit sich bringt Sicherheitshinweis. Aber jedes Kind packt auf die heiße Herdplatte, obwohl die Erziehungsberechtigten darauf hingewiesen haben, daß das weh tut. Erfahrungen muß halt jeder selbst machen.
Nach Deiner Beschreibung war die HD nach dem Durchlauf von NPE seitens des Windows-BS nicht mehr verfügbar. Erst unter Linux-BS wurde die HD wieder erkannt. Schön, und wo zaubert der unbedarfte User mal eben eine bootfähige Linux-CD her? Ok, gibts mitllerweile in fast jedem PC-Heft am Kiosk. Soll aber wirklich jemand, der bereits am NPE verzweifelt, sich mit einer derartigen Life-CD ans Eingemachte seines PCS begeben und ggfls. noch die nachfolgend nicht dokumentierten Rettungsversuche unternehmen?
Nach Deinen "Reparaturinfos" schreibt NPE also ein Logfile weg, in welchem festgehalten wird, welche Dateien der restriktiven Reinigung zum Opfer gefallen sind. Soweit, sogut. Nur wie kommt Otto Normaluser nun in den Genuß dieser Dateien, und zwar derart, daß danach sein System wieder läuft?
Hat NPE diese Dateien tatsächlich eliminiert, oder schlummern die noch in einem Verzeichnis rum, "für den Fall der Fälle"? Letzteres ließe hoffen, denn dann wären die Dateien ohne großen Aufwand aus der Quarantäne zu befreien und an ihre originalen Stammplätze zurückzuverfrachten. (Linux sei Dank). Dazu fehlt mir aber das HowTo.
Was aber, wenn dies nicht der Fall ist? Wo findet der geneigte Benutzer die Dateien auf seinen Installations-CDs/-DVDs? Und ganz nebenbei, um welche Dateien handelt es sich überhaupt? Muß ich überhaupt alle diese Dateien "mit der Hand am Arm" aus den CDs/DVDs extrahieren, oder reichen ein paar unbedingt notwendige, damit das System ansich wieder hochkommt? Den Rest könnte man dann über einen Sync-Point realisieren. Auch dazu fehlt mir das HowTo.
Ein paar nicht ganz unwichtige Antworten, wie ich meine, die mir in dieser "Anleitung" fehlen, aber ich bin nicht Nabel der Welt und es muß nicht alles so sein, daß icvh es verstehe.
BTW: Wie hast Du denn das desolate System wieder ans Rennen gebracht? Neuinstallation oder Reparatur gemäß "Anleitung"?
Gruß J :.) chem
Hallo Jochem - es ist richtig, dass man den Beitrag eigentlich NICHT als "Anleitung" verstehen kann.
Allerdings vermisse ich Allgemeine Hinweise - in Bezug auf Norton - mit Namen auf NPE
Auf den Seiten - gerade den deutschen Seiten von Norton / Symantec fehlen die WICHTIGSTEN Hinweise.
Es steht dort ABSOLUT NICHTS! von den konkreten, gegebenen Gefahren.
- wenn man endlich einmal was gefunden hat! - und auch noch zufällig auf einem unscheinbaren Begriff / Link geklickt hat,
der "DIY" heisst! (wer zum Teufel soll ahnen / wissen, dass es sich dabei wohl um: "Do It Yourself" handelt!! meine Frexxx Norton!)
Hier der Link: http://de.norton.com/support/DIY/
Was steht denn dort? - auf den deutschen sowie auf den amerikanischen Seiten?
"Da Norton Power Eraser aggressive Methoden zum Erkennen von Bedrohungen einsetzt,
besteht ein gewisses Risiko, dass es auch legitime Programme entfernen wird.
Daher sollten Sie dieses Tool sehr vorsichtig und nur dann einsetzen,
wenn Sie bereits alle anderen Optionen ausgeschöpft haben."
Ergänzungen:
Der Hinweis, dass dieses Tool "auch legitime Programme" entfernen kann / wird - ist mehr als irreführend!
Heutzutage definiert sich der Begriff: "legitime Programme" GARANTIERT NICHT über jede Art von Betriebssystemen!
NIEMALS kann / wird ein OttoNormal-Anwender - wenn er solche "Beschreibungen" liest - an sein OS denken!
Was also passiert im Ernstfall? Er überlegt sich, ob er sich damit abfinden könnte,
dass evtl. eines seiner installierten "Anwender-Programme"! beschädigt / entfernt wird.
Noch dazu - seitens Norton / Symantec jeder Hinweis auf das Procedere während der Ausführung vom NPE fehlt!
Wäre doch hilfreich, wenn man sich VORHER ein Bild der Prozedur machen könnte - ohne gleich auf die Schnauze zu fallen!
Defacto: kann ich dem Threadstarter nur raten, einen Anwalt zu befragen!
Warum? "Ikea-Klausel"! - falls nötig: bitte googeln!
Kein normaler User würde auf den Gedanken kommen, die Aussage: "Risiko, dass es auch legitime Programme entfernen wird"
- so zu interpretieren,
dass damit u.U. auch sein Betriebssystem gemeint / betroffen sein könnte!
ICH jedenfalls - bin froh, dass ich vor wenigen Minuten nach NPE gegoogelt habe! - Kurz vor geplanter Anwendung des Programms!
Der - leider wie so oft - auch bei Norton - erbärmliche Support, sagte mir:
"Wenn Sie den NPE ausführen, können Sie an jeder Stelle immer noch entscheiden, was das Programm tun darf - oder nicht."
Dass sehe ich mittlerweile in einem anderen Licht!
Es könnte ja sein - aber AUSPROBIEREN werde ich es jetzt garantiert nicht mehr!
Im Gegenteil: Ich nehme evtl. dass noch 2 Wochen geltende Rücktrittsrecht für meine 3 PC in Anspruch.
P.S.
Auf meine Frage an den "Support":
Weshalb Kaspersky Pure nachweislich! gefährlich E-Mails gleich gelöscht hat
und Norton 360 5.0 vor solchen weder warnt noch löscht - sie statt Dessen lediglich in den Spam-Ordner verschiebt-
Sagte man: "Herr P. stellen Sie sich mal vor, Norton 360 5.0 würde dass tun - was dass für einen Aufstand gäbe"
OK - es mag sein, dass bei KAS Pure Betroffene sind, die legitime E-Mails erhalten - in denen vermeintlich gefährliche Anhänge sind - und diese dann gelöscht werden.
Ich weiß nicht, ob man Kaspersky Pure an der Stelle beibringen kann, was gefährlich ist und nicht - und wie er grundsätzlich damit umzugehen hätte.
Habe ich Nie ausprobiert - werde es aber evtl. in den nächsten Monate tun können
Nachtrag: Der beste Beweis für die erbärmliche Situation des Internetauftritts dieses Unternehmens ist:
Wer endlich mal etwas Brauchbares gefunden hat - und evtl. sogar kostenpflichtigen Support in Anspruch nehmen möchte -
der hört am Telefon: "Kein Anschluss unter dieser Nummer" !
Und nun sagt mir irgend Jemand noch, dass es erst seit Stunden so ist? - oder was!
Allerdings vermisse ich Allgemeine Hinweise - in Bezug auf Norton - mit Namen auf NPE
Auf den Seiten - gerade den deutschen Seiten von Norton / Symantec fehlen die WICHTIGSTEN Hinweise.
Es steht dort ABSOLUT NICHTS! von den konkreten, gegebenen Gefahren.
- wenn man endlich einmal was gefunden hat! - und auch noch zufällig auf einem unscheinbaren Begriff / Link geklickt hat,
der "DIY" heisst! (wer zum Teufel soll ahnen / wissen, dass es sich dabei wohl um: "Do It Yourself" handelt!! meine Frexxx Norton!)
Hier der Link: http://de.norton.com/support/DIY/
Was steht denn dort? - auf den deutschen sowie auf den amerikanischen Seiten?
"Da Norton Power Eraser aggressive Methoden zum Erkennen von Bedrohungen einsetzt,
besteht ein gewisses Risiko, dass es auch legitime Programme entfernen wird.
Daher sollten Sie dieses Tool sehr vorsichtig und nur dann einsetzen,
wenn Sie bereits alle anderen Optionen ausgeschöpft haben."
Ergänzungen:
Der Hinweis, dass dieses Tool "auch legitime Programme" entfernen kann / wird - ist mehr als irreführend!
Heutzutage definiert sich der Begriff: "legitime Programme" GARANTIERT NICHT über jede Art von Betriebssystemen!
NIEMALS kann / wird ein OttoNormal-Anwender - wenn er solche "Beschreibungen" liest - an sein OS denken!
Was also passiert im Ernstfall? Er überlegt sich, ob er sich damit abfinden könnte,
dass evtl. eines seiner installierten "Anwender-Programme"! beschädigt / entfernt wird.
Noch dazu - seitens Norton / Symantec jeder Hinweis auf das Procedere während der Ausführung vom NPE fehlt!
Wäre doch hilfreich, wenn man sich VORHER ein Bild der Prozedur machen könnte - ohne gleich auf die Schnauze zu fallen!
Defacto: kann ich dem Threadstarter nur raten, einen Anwalt zu befragen!
Warum? "Ikea-Klausel"! - falls nötig: bitte googeln!
Kein normaler User würde auf den Gedanken kommen, die Aussage: "Risiko, dass es auch legitime Programme entfernen wird"
- so zu interpretieren,
dass damit u.U. auch sein Betriebssystem gemeint / betroffen sein könnte!
ICH jedenfalls - bin froh, dass ich vor wenigen Minuten nach NPE gegoogelt habe! - Kurz vor geplanter Anwendung des Programms!
Der - leider wie so oft - auch bei Norton - erbärmliche Support, sagte mir:
"Wenn Sie den NPE ausführen, können Sie an jeder Stelle immer noch entscheiden, was das Programm tun darf - oder nicht."
Dass sehe ich mittlerweile in einem anderen Licht!
Es könnte ja sein - aber AUSPROBIEREN werde ich es jetzt garantiert nicht mehr!
Im Gegenteil: Ich nehme evtl. dass noch 2 Wochen geltende Rücktrittsrecht für meine 3 PC in Anspruch.
P.S.
Auf meine Frage an den "Support":
Weshalb Kaspersky Pure nachweislich! gefährlich E-Mails gleich gelöscht hat
und Norton 360 5.0 vor solchen weder warnt noch löscht - sie statt Dessen lediglich in den Spam-Ordner verschiebt-
Sagte man: "Herr P. stellen Sie sich mal vor, Norton 360 5.0 würde dass tun - was dass für einen Aufstand gäbe"
OK - es mag sein, dass bei KAS Pure Betroffene sind, die legitime E-Mails erhalten - in denen vermeintlich gefährliche Anhänge sind - und diese dann gelöscht werden.
Ich weiß nicht, ob man Kaspersky Pure an der Stelle beibringen kann, was gefährlich ist und nicht - und wie er grundsätzlich damit umzugehen hätte.
Habe ich Nie ausprobiert - werde es aber evtl. in den nächsten Monate tun können
Nachtrag: Der beste Beweis für die erbärmliche Situation des Internetauftritts dieses Unternehmens ist:
Wer endlich mal etwas Brauchbares gefunden hat - und evtl. sogar kostenpflichtigen Support in Anspruch nehmen möchte -
der hört am Telefon: "Kein Anschluss unter dieser Nummer" !
Und nun sagt mir irgend Jemand noch, dass es erst seit Stunden so ist? - oder was!
Wer verdächtige E-Mails hat - und testen möchte, wie es um das "Urteilsvermögen" seines Norton 360 5.0 steht,
kann - laut Support - eine verdächtige E-Mail Anhängen / Weiterleiten an:
beratung@support08.norton.com
kann - laut Support - eine verdächtige E-Mail Anhängen / Weiterleiten an:
beratung@support08.norton.com
ein Beispiel aus dem Norton Forum - für den verantwortungslosen Umgang in Form unvollständiger Beiträgen und Antworten:
http://de.community.norton.com/t5/Norton-360/Norton-Power-Eraser/m-p/11 ...
Antwort eines "Helfenden"! :
"Nein, der normale Scan reicht völlig aus.
Der Power Eraser ist für schwere Fälle".
SO schreibt / antwortet man nicht! - dann lässt man es lieber!
P.S. leider raffe ich zum. im Moment noch nicht, wie ich es - trotz Anmeldung - schaffe, dort zu Antworten...
http://de.community.norton.com/t5/Norton-360/Norton-Power-Eraser/m-p/11 ...
Antwort eines "Helfenden"! :
"Nein, der normale Scan reicht völlig aus.
Der Power Eraser ist für schwere Fälle".
SO schreibt / antwortet man nicht! - dann lässt man es lieber!
P.S. leider raffe ich zum. im Moment noch nicht, wie ich es - trotz Anmeldung - schaffe, dort zu Antworten...
also das programm ist ja wohl der größte mist den es gibt.
ich hab nen funktionierenden rechner OHNE jegliche bot software drauf und bin über die seite BOTFREI.DE des BKA gestolpert.
da dachte ich mir OH GOTT NEIN; vielleicht hab ich so was ja auch drauf.
es werden auf der webseite DREI programme angeboten, man soll sich eines davon nach wahl herunterladen und den rechner
nach einem Bot untersuchen, denn es kann JEDEN TREFFEN, jeder kann so etwas drauf haben.
ok, also hab ich mir das ding downgeloadtet, installiert, ganz nach PDF anleitung des BKA.
danach dann system scan und MIT ROOTKIT suche (neustart) angeklickt.
der rechner startet sich neu.. und... nichts geht mehr.
Schwarzer Bildschirm, Black Screen, nach dem Ladebalken von Windows.
Kein Task Manager, keine Maus, nichts geht mehr. komplett schwarz. nicht mal strg-alt-entf bringt irgendwas zu stande.
Windows ist tot.
Danach dann versucht, in den abgesicherten Modus zu starten.
BLUESCREEN. TCPIP.SYS Fehler.
what the f... ?
ja, richtig gelesen, dieser tolle vom BKA empfohlene "Scanner" von Norton hat mir schon bei der einfachen SUCHE Windows zerschossen.
Da kann man sich fragen, was ist einem lieber, ein Bot drauf, den man evtl. beseitigen kann, oder ein vom BKA empfohlenes Programm,
das das ganze System einfach mal so komplett zerschiesst, und man kann es nicht mehr reparieren.
Ich habe nicht locker gelassen, und mal versucht, die letzte funktionierende Windows-Start Konfiguration zu starten.
Nichts, wieder Blackscreen.
Da es mir zu blöd war, habe ich alles hingeschmissen, und den Rechner einfach laufen lassen.
Und schon nach über zwei Stunden Blackscreen kommt dann auch auf einmal Windows wieder.
Resultat: Der Norton Cleaner hat einfach die komplette 2 TERRABYTE PLATTE mit allen Daten durchgescanned und nicht bis er damit fertig war, erlaubt, dass Windows wieder startet, nicht mal im abgesicherten Modus.
Das Programm hat einfach den Rechner gesperrt, ohne irgendeine Info dazu, kein Neustart hat das Programm dazu bewegt, sich aus der Registry auszutragen.
Also wenn ihr das selbe Problem bekommt, nicht verzagen, einfach "letzte funktionierende Konfiguration" wähöen mit F8 nach dem Booten und dann einfach mal stundenlang warten, mit ein wenig Glück seid ihr wieder dabei.
Wer weiss, ob der Rechner jetzt nochmal in Windows kommt, momentan läuft er gerade wieder.
edit 24.1.2012, das problem ist nicht gelöst, ich hatte, obwohl ich die weiter unten genannten symantec service dateien entfernt habe, weiterhin probleme, es wurden bei den letzten starts des rechners jeweils andere dateien bemängelt und er fuhr nicht mehr hoch, einmal war es die tcpip.sys die kaputt war, danach die ntfs-sys am ende (heute) die ntoskrnl.exe.
FAKT: dieses norton de cleaner programm hat mir mein komplettes windows zerschossen, wie ich es geschrieben hatte. ich hatte nur seither (davor nie) freezes in windows, die maus war wege, kein task manager geht mehr, etc.
ich werde versuchen, das ganze mit der repair funktion von der windows dvd wieder hinzubekommen, falls es nicht klappen sollte, ist mein system am ende inkl. aller installierten programme, spielstände, eigenen dokumenten und daten, und was weiss ich noch alles, woran man nicht sofort kommt.
eigentlich sollte man symantec für diesen ### verklagen und das BKA erst recht, wenn es einem so etwas andrehen will, obwohl der rechner komplett gesund ist bzw. davor war.
Lasst die Finger von dem Programm!!!!!
ps: es wurde dann eine datei namens a8jonedd.sys gefunden, die aber nicht gescanned werden konnte, und auch mit Dateisuche nicht auf dem Rechner gefunden werden konnte, man kann sie aber angeblich mit dem Cleaner entfernen. NEIN DANKE!! wer weiss was dann nicht mehr geht.
dazu wurde eine .exe datei eine programms gefunden, das bösartig sein soll. kein anderer virenscanner oder malware oder trojanerscanner, weder msse noch malwarebytes noch spybot fand es bösartig oder verdächtig, und es ist ein ganz normales programm.
die genannte XML Datei enthält übrigens nicht einfach nur 4 verdächtige dateien die gefunden wurden, vielmehr handelt es sich bei der von norton de scanner erstellen xml datei um eine systemanalyse, darin enthalten: ALLE installierte Software, ALLE Hardware inkl. Treiber, das komplette hosts file.
von norton angegeben war: die übermittelten daten enthalten lediglich die browser und system version.
gelogen sag ich mal.
dazu hinterlässt der norton de cleaner diverse datein im system, und löscht sie nicht.
da das program keine uninstall funktion hat (es installiert sich ja angeblich nicht - gelogen!), ist es schwer herauszufinden, welche dateien das alles sind.
ich konnte auf den ersten blick schon mal zwei dateien finden. smr162.sys smr162.dat im system32/drivers ordner.
eine schlampigkeit ohnegleichen das ganze.
dazu exisitiert das programm aktuell in der version 2.1 (bei chip.de), auf der bka seite wird die version 1.7 als download angeboten, die hat man wohl bei google als erstes suchergebnis gefunden....
ps2: das tool hat übrigens einen dienst mit installiert, er nennt sich "Symantec SMR Utility Service 1.6.2", dieser wird nicht nach beendigung des ganzen scan und lösch vorgangs wieder deinstalliert.
ob ich das irgendwie wieder wegbekomme, sei dahin gestellt, es hat sich auch in die registry eingetragen in
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SMR162
einen beitrag dazu habe ich im netz gefunden, da hat jemand versucht, diesen Dienst wegzubekommen.
"I have contacted Symantec via their forum posting and e-mail, and have not received a response. I have been referred to the uninstaller from symantec's website and found that none of the removal programs listed refer to the product I used. I have tried "CCleaner and it did list these when I tried to clean the registry. After using the program it no longer lists it via CCleaner but still does via device manager..... non plug and play drivers.
I was told the drivers are loaded at boot and can / will cause conflict with the security programs I have now elected to use, ( MSE, Online Armor, SpywareBlaster, Malwarebytes, and Secunia's program updater )."
das ist doch auch mal eine sache, die übriggebliebenen treiberdateien werden einfach mal bei jedem start geladen und verursachen probleme, wenn man MSSE, Malwarebytes usw. benutzt.
PROBLEME ??
langsam kommt mir die ganze BKA Aktion mit diesen DE Cleaner Programmen nach einer kleinen Lauschaktion mit Veränderung der Scanfunktion von gängigen Scannern vor. Wird da evtl. ein echter BKA Trojaner installiert, der dann nicht mehr mit gängigen Scan Programmen aufgefunden werden kann ?
Sicher bin ich paranoid.
Oder doch eher Leute, die sich überhaupt erst einen DE Cleaner von einer BKA Seite downloaden ??
soviel dazu.
ps: wie man den symantec utility driver service wieder wegbekommt:
1) start, in suche cmd eingeben, rechts klick auf cmd.exe, als administrator ausführen
2) folgendes eingeben: set devmgr_show_nonpresent_devices=1
3) danach das eingeben: start devmgmt.msc
4) bei view -> show hidden
5) auf non plug and play klicken
6) auf Symantec SMR Utility Service Doppelklick
7) auf Driver, dann Type auf Disabled setzen und OK
8) neustarten
9) die selbe Prozedur bis Punkt 7 wiederholen, der Treber solte nicht mehr gestartet sein
10) rechtsklick auf Symantec SMR Utility in der Liste und Uninstall
11) rechner neustarten
12) in c:\windows\system32\drivers könnt ihr die beiden dateien .sys und .dat jetzt löschen
13) registry einträge zu SMR162 löschen.
mit Glück habt ihr das Ding los.
ich hab nen funktionierenden rechner OHNE jegliche bot software drauf und bin über die seite BOTFREI.DE des BKA gestolpert.
da dachte ich mir OH GOTT NEIN; vielleicht hab ich so was ja auch drauf.
es werden auf der webseite DREI programme angeboten, man soll sich eines davon nach wahl herunterladen und den rechner
nach einem Bot untersuchen, denn es kann JEDEN TREFFEN, jeder kann so etwas drauf haben.
ok, also hab ich mir das ding downgeloadtet, installiert, ganz nach PDF anleitung des BKA.
danach dann system scan und MIT ROOTKIT suche (neustart) angeklickt.
der rechner startet sich neu.. und... nichts geht mehr.
Schwarzer Bildschirm, Black Screen, nach dem Ladebalken von Windows.
Kein Task Manager, keine Maus, nichts geht mehr. komplett schwarz. nicht mal strg-alt-entf bringt irgendwas zu stande.
Windows ist tot.
Danach dann versucht, in den abgesicherten Modus zu starten.
BLUESCREEN. TCPIP.SYS Fehler.
what the f... ?
ja, richtig gelesen, dieser tolle vom BKA empfohlene "Scanner" von Norton hat mir schon bei der einfachen SUCHE Windows zerschossen.
Da kann man sich fragen, was ist einem lieber, ein Bot drauf, den man evtl. beseitigen kann, oder ein vom BKA empfohlenes Programm,
das das ganze System einfach mal so komplett zerschiesst, und man kann es nicht mehr reparieren.
Ich habe nicht locker gelassen, und mal versucht, die letzte funktionierende Windows-Start Konfiguration zu starten.
Nichts, wieder Blackscreen.
Da es mir zu blöd war, habe ich alles hingeschmissen, und den Rechner einfach laufen lassen.
Und schon nach über zwei Stunden Blackscreen kommt dann auch auf einmal Windows wieder.
Resultat: Der Norton Cleaner hat einfach die komplette 2 TERRABYTE PLATTE mit allen Daten durchgescanned und nicht bis er damit fertig war, erlaubt, dass Windows wieder startet, nicht mal im abgesicherten Modus.
Das Programm hat einfach den Rechner gesperrt, ohne irgendeine Info dazu, kein Neustart hat das Programm dazu bewegt, sich aus der Registry auszutragen.
Also wenn ihr das selbe Problem bekommt, nicht verzagen, einfach "letzte funktionierende Konfiguration" wähöen mit F8 nach dem Booten und dann einfach mal stundenlang warten, mit ein wenig Glück seid ihr wieder dabei.
Wer weiss, ob der Rechner jetzt nochmal in Windows kommt, momentan läuft er gerade wieder.
edit 24.1.2012, das problem ist nicht gelöst, ich hatte, obwohl ich die weiter unten genannten symantec service dateien entfernt habe, weiterhin probleme, es wurden bei den letzten starts des rechners jeweils andere dateien bemängelt und er fuhr nicht mehr hoch, einmal war es die tcpip.sys die kaputt war, danach die ntfs-sys am ende (heute) die ntoskrnl.exe.
FAKT: dieses norton de cleaner programm hat mir mein komplettes windows zerschossen, wie ich es geschrieben hatte. ich hatte nur seither (davor nie) freezes in windows, die maus war wege, kein task manager geht mehr, etc.
ich werde versuchen, das ganze mit der repair funktion von der windows dvd wieder hinzubekommen, falls es nicht klappen sollte, ist mein system am ende inkl. aller installierten programme, spielstände, eigenen dokumenten und daten, und was weiss ich noch alles, woran man nicht sofort kommt.
eigentlich sollte man symantec für diesen ### verklagen und das BKA erst recht, wenn es einem so etwas andrehen will, obwohl der rechner komplett gesund ist bzw. davor war.
Lasst die Finger von dem Programm!!!!!
ps: es wurde dann eine datei namens a8jonedd.sys gefunden, die aber nicht gescanned werden konnte, und auch mit Dateisuche nicht auf dem Rechner gefunden werden konnte, man kann sie aber angeblich mit dem Cleaner entfernen. NEIN DANKE!! wer weiss was dann nicht mehr geht.
dazu wurde eine .exe datei eine programms gefunden, das bösartig sein soll. kein anderer virenscanner oder malware oder trojanerscanner, weder msse noch malwarebytes noch spybot fand es bösartig oder verdächtig, und es ist ein ganz normales programm.
die genannte XML Datei enthält übrigens nicht einfach nur 4 verdächtige dateien die gefunden wurden, vielmehr handelt es sich bei der von norton de scanner erstellen xml datei um eine systemanalyse, darin enthalten: ALLE installierte Software, ALLE Hardware inkl. Treiber, das komplette hosts file.
von norton angegeben war: die übermittelten daten enthalten lediglich die browser und system version.
gelogen sag ich mal.
dazu hinterlässt der norton de cleaner diverse datein im system, und löscht sie nicht.
da das program keine uninstall funktion hat (es installiert sich ja angeblich nicht - gelogen!), ist es schwer herauszufinden, welche dateien das alles sind.
ich konnte auf den ersten blick schon mal zwei dateien finden. smr162.sys smr162.dat im system32/drivers ordner.
eine schlampigkeit ohnegleichen das ganze.
dazu exisitiert das programm aktuell in der version 2.1 (bei chip.de), auf der bka seite wird die version 1.7 als download angeboten, die hat man wohl bei google als erstes suchergebnis gefunden....
ps2: das tool hat übrigens einen dienst mit installiert, er nennt sich "Symantec SMR Utility Service 1.6.2", dieser wird nicht nach beendigung des ganzen scan und lösch vorgangs wieder deinstalliert.
ob ich das irgendwie wieder wegbekomme, sei dahin gestellt, es hat sich auch in die registry eingetragen in
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SMR162
einen beitrag dazu habe ich im netz gefunden, da hat jemand versucht, diesen Dienst wegzubekommen.
"I have contacted Symantec via their forum posting and e-mail, and have not received a response. I have been referred to the uninstaller from symantec's website and found that none of the removal programs listed refer to the product I used. I have tried "CCleaner and it did list these when I tried to clean the registry. After using the program it no longer lists it via CCleaner but still does via device manager..... non plug and play drivers.
I was told the drivers are loaded at boot and can / will cause conflict with the security programs I have now elected to use, ( MSE, Online Armor, SpywareBlaster, Malwarebytes, and Secunia's program updater )."
das ist doch auch mal eine sache, die übriggebliebenen treiberdateien werden einfach mal bei jedem start geladen und verursachen probleme, wenn man MSSE, Malwarebytes usw. benutzt.
PROBLEME ??
langsam kommt mir die ganze BKA Aktion mit diesen DE Cleaner Programmen nach einer kleinen Lauschaktion mit Veränderung der Scanfunktion von gängigen Scannern vor. Wird da evtl. ein echter BKA Trojaner installiert, der dann nicht mehr mit gängigen Scan Programmen aufgefunden werden kann ?
Sicher bin ich paranoid.
Oder doch eher Leute, die sich überhaupt erst einen DE Cleaner von einer BKA Seite downloaden ??
soviel dazu.
ps: wie man den symantec utility driver service wieder wegbekommt:
1) start, in suche cmd eingeben, rechts klick auf cmd.exe, als administrator ausführen
2) folgendes eingeben: set devmgr_show_nonpresent_devices=1
3) danach das eingeben: start devmgmt.msc
4) bei view -> show hidden
5) auf non plug and play klicken
6) auf Symantec SMR Utility Service Doppelklick
7) auf Driver, dann Type auf Disabled setzen und OK
8) neustarten
9) die selbe Prozedur bis Punkt 7 wiederholen, der Treber solte nicht mehr gestartet sein
10) rechtsklick auf Symantec SMR Utility in der Liste und Uninstall
11) rechner neustarten
12) in c:\windows\system32\drivers könnt ihr die beiden dateien .sys und .dat jetzt löschen
13) registry einträge zu SMR162 löschen.
mit Glück habt ihr das Ding los.
Hallo "Umwelt-Geschädigter",
Ja du hast recht! ALLE sollten die Finger davon lassen!
Wichtig wäre in dem Zusammenhang auch, bzgl. "www.botfrei.de" Unwissenden den Zusammenhang: "DE-Cleaner" - (NPE) "Norton Power" Eraser deutlich zu machen.
Dass auf diesem - sorry - schlampigen Portal, ALLE Cleaner "DE-Cleaner" heißen / genannt werden und dass es sich z.B. bei Norton im Wesentlichen um den NPE - Norton Power Eraser handelt.
Du hast recht - nix paranoid! - wenn man die heutige "Gesellschaftliche Ordnung" betrachtet, halte ich sowas nicht für ausgeschlossen. Hinterher - falls je etwas rauskäme, wäre der Schuldige dann Jemand, der sich illegal Zugang verschafft hat etc. bla bla - und man wäre aus dem Schneider.
Ob nun paranoid oder nicht - fest steht: Nichts ist unmöglich!
Was Norton betrifft: Dort kannst du dir die Finger wund schreiben - Resultat: bla bla la
Man stellt (was de DE-Cleaner betrifft, beabsichtigt oder unbeabsichtigt) ein schlampig programmiertes Programm auf die Beine lässt Unmengen an Usern auflaufen!
Wie ich weiter oben schon geschrieben habe, ist die Warnung von Norton bzgl. der Verwendung des NPE eine reine Farce.
Wenn Norton die Möglichkeit erwähnt, dass "Anwendungen" betroffen werden könnten - so versteht Otto-Normal-Anwender darunter GARANTIERT NICHT sein Betriebssystem!
P.S. Ich kann nicht beurteilen, wie gut Kasperky-Pure letzten Endes wirklich ist - was ich wohl weiß:
Nachweislich gefährliche E-Mails werden - was Anhänge (u.A. Links bzw. html Dokumente) betrifft, gelöscht.
- Zu HTML-Anhänge:
Hier ein Auszug von dem Portal: https://www.info-point-security.com
- dort ein Beitrag von "Barracuda-Labs":
https://www.info-point-security.com/component/content/article/33-herstel ...
Zitat:
"Die eMail-Anhänge bestehen aus einem zu 100 Prozent verschleiertem JavaScript. Diese Verschleierungstechnik wird von den Angreifern eingesetzt, um die Erkennung des gefährlichen Codes durch AntiVirus Lösungen zu erschweren."
Da wären wir doch schon beim Thema. "Norton Symantec" oder Kaspersky-Pure!
Wer z.B. so wie ich - Norton 360 5.0 hat, der kann ja mal höchst verdächtige E-Mails an Bekannte weiterleiten, die Kaspersky-Pure haben!
(nicht Anhängen! laut Norton Support wird Anhang dann ang. gelöscht)
Die E-Mails, die ich mit gutem Gewissen als höchst gefährlich einstufen konnte!, wurden von Norton 360 5.0 nur zum Teil erkannt bzw. richtig eingestuft! - aber NICHT gelöscht!
Kaspersky hingegen ERKENNT die Anhänge bzw. deren gefährlichen Inhalt und LÖSCHT! habe Einige bei Freunden überprüft - Ergebnis: Gefährlich!
Ein Supporter von Norton sagte mir:
"Herr P., stellen Sie sich mal vor, was das für einen Aufstand gäbe, wenn Norton Anhänge löschen würde!"
Ha Ha Ha ! Norton: Ich wechsel wieder - Auch wenn es evtl. ein Wechsel von der Traufe zurück in den Regen sein sollte.....
Warum dass? - Weil mir Kaspersky zu unübersichtlich geworden ist - keine bzw. nur erschwerte / schwer verständliche Übersicht.....
Ich weiß nicht, wer nun besser ist - Ich weiß aber sehr wohl, dass Norton mich SO verarscht!
Außerdem halte ich es für absolut unverantwortlich, dass sich Portal wie "Chip" "Computerbild" "Connect" "PC" usw. auf solche "Neuerungen" stürzen!
-ohne sich auch nur im Geringsten um Qualität bzw. "Qualitätsmanagement" zu scheren! Nein - man ist ja nicht verantwortlich bla bla bla!
Nein? Ist man nicht? - DASS sehe ich anders! Nur um sich beliebt zu machen - (Kohle zu scheffeln) nimmt man ALLES billigend in Kauf!
Man schert sich einen Dreck darum, ob das Anegebotene evtl. bedenklich bzw. äußerst bedenklich ist!
Würde man recherchieren - es gibt ja u.A. Google! - käme man in kürzester Zeit an wichtige Informationen - die einem die Verbreitung aus moralischer Sicht verbietet!
Also: Ladet nicht Alles, was offiziell ist und außerdem noch von bekannten Herstellern ist - auf euren PC ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! !
Na ja - wer so wie Ich - den Norton 360 5.0 hat, MUSS ja nicht Outlook nutzen Ich könnte mir ja auch z.B. Barracuda kaufen - dann bin ich - trotz "Norton 360 5.0" - dennoch geschützt
P.S. Ich hatte dass Glück, dass mir beim Lesen der sogenannten "Hinweise" auf der Seite des NPE - die Glocken Alarm schlugen und ich erstmal gegoogelt habe - tut das auch!
Ja du hast recht! ALLE sollten die Finger davon lassen!
Wichtig wäre in dem Zusammenhang auch, bzgl. "www.botfrei.de" Unwissenden den Zusammenhang: "DE-Cleaner" - (NPE) "Norton Power" Eraser deutlich zu machen.
Dass auf diesem - sorry - schlampigen Portal, ALLE Cleaner "DE-Cleaner" heißen / genannt werden und dass es sich z.B. bei Norton im Wesentlichen um den NPE - Norton Power Eraser handelt.
Du hast recht - nix paranoid! - wenn man die heutige "Gesellschaftliche Ordnung" betrachtet, halte ich sowas nicht für ausgeschlossen. Hinterher - falls je etwas rauskäme, wäre der Schuldige dann Jemand, der sich illegal Zugang verschafft hat etc. bla bla - und man wäre aus dem Schneider.
Ob nun paranoid oder nicht - fest steht: Nichts ist unmöglich!
Was Norton betrifft: Dort kannst du dir die Finger wund schreiben - Resultat: bla bla la
Man stellt (was de DE-Cleaner betrifft, beabsichtigt oder unbeabsichtigt) ein schlampig programmiertes Programm auf die Beine lässt Unmengen an Usern auflaufen!
Wie ich weiter oben schon geschrieben habe, ist die Warnung von Norton bzgl. der Verwendung des NPE eine reine Farce.
Wenn Norton die Möglichkeit erwähnt, dass "Anwendungen" betroffen werden könnten - so versteht Otto-Normal-Anwender darunter GARANTIERT NICHT sein Betriebssystem!
P.S. Ich kann nicht beurteilen, wie gut Kasperky-Pure letzten Endes wirklich ist - was ich wohl weiß:
Nachweislich gefährliche E-Mails werden - was Anhänge (u.A. Links bzw. html Dokumente) betrifft, gelöscht.
- Zu HTML-Anhänge:
Hier ein Auszug von dem Portal: https://www.info-point-security.com
- dort ein Beitrag von "Barracuda-Labs":
https://www.info-point-security.com/component/content/article/33-herstel ...
Zitat:
"Die eMail-Anhänge bestehen aus einem zu 100 Prozent verschleiertem JavaScript. Diese Verschleierungstechnik wird von den Angreifern eingesetzt, um die Erkennung des gefährlichen Codes durch AntiVirus Lösungen zu erschweren."
Da wären wir doch schon beim Thema. "Norton Symantec" oder Kaspersky-Pure!
Wer z.B. so wie ich - Norton 360 5.0 hat, der kann ja mal höchst verdächtige E-Mails an Bekannte weiterleiten, die Kaspersky-Pure haben!
(nicht Anhängen! laut Norton Support wird Anhang dann ang. gelöscht)
Die E-Mails, die ich mit gutem Gewissen als höchst gefährlich einstufen konnte!, wurden von Norton 360 5.0 nur zum Teil erkannt bzw. richtig eingestuft! - aber NICHT gelöscht!
Kaspersky hingegen ERKENNT die Anhänge bzw. deren gefährlichen Inhalt und LÖSCHT! habe Einige bei Freunden überprüft - Ergebnis: Gefährlich!
Ein Supporter von Norton sagte mir:
"Herr P., stellen Sie sich mal vor, was das für einen Aufstand gäbe, wenn Norton Anhänge löschen würde!"
Ha Ha Ha ! Norton: Ich wechsel wieder - Auch wenn es evtl. ein Wechsel von der Traufe zurück in den Regen sein sollte.....
Warum dass? - Weil mir Kaspersky zu unübersichtlich geworden ist - keine bzw. nur erschwerte / schwer verständliche Übersicht.....
Ich weiß nicht, wer nun besser ist - Ich weiß aber sehr wohl, dass Norton mich SO verarscht!
Außerdem halte ich es für absolut unverantwortlich, dass sich Portal wie "Chip" "Computerbild" "Connect" "PC" usw. auf solche "Neuerungen" stürzen!
-ohne sich auch nur im Geringsten um Qualität bzw. "Qualitätsmanagement" zu scheren! Nein - man ist ja nicht verantwortlich bla bla bla!
Nein? Ist man nicht? - DASS sehe ich anders! Nur um sich beliebt zu machen - (Kohle zu scheffeln) nimmt man ALLES billigend in Kauf!
Man schert sich einen Dreck darum, ob das Anegebotene evtl. bedenklich bzw. äußerst bedenklich ist!
Würde man recherchieren - es gibt ja u.A. Google! - käme man in kürzester Zeit an wichtige Informationen - die einem die Verbreitung aus moralischer Sicht verbietet!
Also: Ladet nicht Alles, was offiziell ist und außerdem noch von bekannten Herstellern ist - auf euren PC ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! ! !
Na ja - wer so wie Ich - den Norton 360 5.0 hat, MUSS ja nicht Outlook nutzen Ich könnte mir ja auch z.B. Barracuda kaufen - dann bin ich - trotz "Norton 360 5.0" - dennoch geschützt
P.S. Ich hatte dass Glück, dass mir beim Lesen der sogenannten "Hinweise" auf der Seite des NPE - die Glocken Alarm schlugen und ich erstmal gegoogelt habe - tut das auch!