Sonar hat ohne Vorwarnung meine Finanzsoftware und die meisten dazugehörigen Datenbanken etc. gelöscht!

Ich erhielt nur folgenden Hinweis => Anhang 1

Es handelt sich um die von den Volksbanken eingesetzte Finanzsoftware "ProfiCash". Hier ein Auszug der gelöschten Dateien => Anhang 2

Was heißt eigentlich "Das Programm verhielt sich verdächtig"? Geht's auch etwas genauer?

Da ich Sonar bisher nicht kannte, musste ich mich erst einmal schlau machen, wie ich die gelöschten Dateien wiederherstelle. Hätte ich nicht diesen Hinweis, dass nicht "alle Sicherheitsrisiken beseitigt wurden" erhalten, hätte ich es erst beim nächsten Aufruf der Banking-Software festgestellt, dass sie entfernt worden ist. Ich habe die Software aus der letzten Datensicherung recovered und möchte mir nicht vorstellen, was in einem Kleinunternehmen passiert, wenn dort mal eben die Buchhaltungssoftware gelöscht wird.

Was denkt sich Symantec eigentlich dabei? Werden die Anwender jetzt ohne ihr Wissen als Beta-Tester für eine hochgefährliche angebliche Schutzfunktion eingesetzt?

Ich habe Sonar sofort dauerhaft auf allen Rechnern deaktiviert und erhalte jetzt immer den Gefahrenhinweis => Anhang 3

Ich bin ziemlich verärgert und meine, eine klärende Antwort von Symantec wäre angebracht, sowie die Schaffung der Möglichkeit, Sonar zu deaktivieren ohne ständig Warnhinweise zu erhalten.

Noch eine Ungereimtheit: In der Meldung lt. Anhang 2 wird das Risiko als "Hoch" eingestuft, während Norton diese "Bedrohung" als "Low" bewertet:

http://www.symantec.com/security_response/writeup.jsp?docid=2014-011016-0119-99

Hallo,

Da Du jetzt Dein AHA-Erlebnis mit Sonar hinter Dir hast, kannst Du fürs nächstemal vorsorgen.

Unter Einstellungen, Computer, Echtzeitschutz kannst Du Sonar einstellen, dass Du gefragt wirst.

Spoiler (Zum Lesen markieren)

Damit sollte vor einer Löschung Sonar nachfragen.

"Was denkt sich Symantec eigentlich dabei? Werden die Anwender jetzt ohne ihr Wissen als Beta-Tester für eine hochgefährliche angebliche Schutzfunktion eingesetzt?"

Nicht wirklich. Sonar ist etwas heikel und löscht schon mal Programme, nur weil sie sich verdächtig verhalten. Da keine Signaturen zur Anwendung kommen, gibts auch mal eine falsche Löschung. Ist Sch....., passiert ab und zu. Machen kann man nichts dagegen, ausser eine tägliche Datensicherung. Sollte man auch haben, wenn mal ein Hardwaredefekt passiert.

"Ich bin ziemlich verärgert und meine, eine klärende Antwort von Symantec wäre angebracht, sowie die Schaffung der Möglichkeit, Sonar zu deaktivieren ohne ständig Warnhinweise zu erhalten."

Wende Dich an den Support, oder hier im Forum an einen Admin, Susanne z.B.

"Kleinunternehmen passiert, wenn dort mal eben die Buchhaltungssoftware gelöscht wird."

Backup rausnehmen, einspielen, fertig. Ungesicherte Daten sind nicht wichtig. Sagt man.

Basler

Danke für den witzigen Kommentar.

Ich brauche kein Antivirus-Programm, das zufallsabhängig ohne Nachfrage irgendwelche Anwendungen löscht. Der Lösungs-Hinweis, ein Backup einzuspielen, ist ja wohl nicht Ihr Ernst. Meinen Sie, man können einen Programmfehler belassen, wenn es einen Workaround gibt? Das ist ja wohl die falsche Herangehensweise.

Ich finde es im übrigen völlig unangebracht, das Problem ins Lächerliche zu ziehen - es sei denn, Norton selbst will sich der Lächerlichkeit preisgeben.

Aber damit es nicht langweilig wird, hier die nächste Norton-Falschmeldung. Auch hier wird gnadenlos gelöscht.

Ich habe versucht, keepass-2.27-setup.exe herunterzuladen. Keepass Passwort Safe nutze ich seit ca. 10 Jahren. Es ist als seriöse Anwendung bekannt und wird von Tausenden Anwendern genutzt.

Beim Download erhalte ich folgende Fehlermeldung mit anschließender Löschung:

=> Anhang 1

Um festzustellen, ob es sich bei dieser .part - Datei um Malware und nicht die keepass-2.27-setup.exe handelt, habe ich die "Intelligente Firewall" abgeschaltet und die Datei heruntergeladen.

Nach Wiedereinschalten der Firewall und Scan des Laufwerks C: wurde die heruntergeladene keepass-2.27-setup.exe als verseucht erkannt und gelöscht.

=> Anhang 2

Ich habe mit dem Autor des Programms Kontakt aufgenommen. Dieser hat über virustotal.com und andere Checker keinen Virus in seiner Software ausmachen können.

Aus der Beschreibung von Suspicious.Cloud.9 (welch wohlklingender Name) geht hervor, dass es sich auch hier um eine Random-Funktion handelt, die - wie auch immer - einzelne Softwareprodukte als verseucht klassifiziert und gnadenlos löscht. Durch die Verwendung unterschiedlicher Phantasie-Namen für die vermutete Verseuchung von Anwendungen suggeriert man dem Anwender eine tatsächliche Bedrohung. Hier könnte Symantec noch Probleme bekommen, wenn sie zufällig auch anerkannte Produkte wie die Office-Suite von Microsoft mal so - en passant - löscht.

Wenn Symantec diese massive Instabilität des bisher guten und brauchbaren Antivirus-Produkts nicht umgehend beseitigt, werden ich dieses (derzeit auf 6 Rechnern installierte) Produkt nicht mehr verwenden und jedem dringend vom Einsatz abraten.

Hallo Norton-Customer,

wenn Du sicher bist, dass die Programme und zugehörigen Dateien nicht verseucht sind, dann nutze doch einfach die "Wiederherstellen"-Option, ganz unten auf Deinen Bildern.

Hast Du das mal versucht?

Hallo,

"Ich finde es im übrigen völlig unangebracht, das Problem ins Lächerliche zu ziehen - es sei denn, Norton selbst will sich der Lächerlichkeit preisgeben."

Wo ziehe ich das Problem in Lächerliche.?

Nur mal kurz zur Info betreffend KePass:

Ich hab zuerst die 1.27 geholt, jetzt stimmts. Sorry.

Spoiler (Zum Lesen markieren)

Kein Problem bei mir. Du hast ja die neuste Version von NIS.?

Die Firewall musst Du nicht ausschalten, die hat andere Fuktionen. Löschen tut entweder AntiVirus oder Sonar.

"Ich brauche kein Antivirus-Programm, das zufallsabhängig ohne Nachfrage irgendwelche Anwendungen löscht."

Du hast Sonar auf Nachfragen gestellt.? Im überigen kann ich Dich nur nochmals auf den Support oder auf einen Admin des Forums verweisen.

Was mir eben aufgefallen ist, ich lade die keepass-2.27 exe runter, und Du ein qxbk_kkq.exe. Verstehe ich nicht, kannst Du mir das ev, erklären.?

Basler

Wo ziehe ich das Problem in Lächerliche.?

Mir erschien Dein nachfolgender Kommentar, na ja, zumindest etwas flapsig:

Da keine Signaturen zur Anwendung kommen, gibts auch mal eine falsche Löschung. Ist Sch....., passiert ab und zu. Machen kann man nichts dagegen, ausser eine tägliche Datensicherung. Sollte man auch haben, wenn mal ein Hardwaredefekt passiert.

Vielleicht bin ich ja zu pingelig, wenn ich sage, sowas DARF nicht passieren! Insbesondere für Unternehmen kann das sehr unangenehm werden, wenn plötzlich nichts mehr geht, weil das Rechnungswesen mal eben gekillt wurde. Selbst bei akkurater Datensicherung!

Du hast Sonar auf Nachfragen gestellt.?

Nein, habe ich nicht. Da ich keepass und ProfiCash täglich aufrufe, habe ich keine Lust, ständig unsinnige Warnmeldungen zu erhalten.

Was mir eben aufgefallen ist, ich lade die keepass-2.27 exe runter, und Du ein qxbk_kkq.exe. Verstehe ich nicht, kannst Du mir das ev, erklären.?

Beim Download von keepass wird die Datei qxbk_kkq.exe runtergeladen und diese anschließend in keepass....exe umbenannt. Da Sonar diese Datei sofort löschte, konnte ich diesen Tatbestand nicht überprüfen. Es hätte ja auch sein können, dass im Zuge des keepass-Download von Sourceforge tatsächlich noch eine Adware o.ä. mit eben dem Namen qxbk_kkq.exe zusätzlich heruntergeladen worden wäre (obwohl ich Sourceforge schon seit den 90er Jahren als unbedingt seriöses Portal  kenne).

Um das zu prüfen, musste ich die Löschung durch Sonar verhindern, weshalb ich temporär die Intelligente Firewall ausgeschaltet hatte. So ergab sich bei einem weiteren Download, dass tatsächlich nur die qxbk_kkq.exe runtergeladen und dann in keepass...exe umbenannt wird.

Nach Wiederaktivieren der Firewall und einem Laufwerkscan erwischte Sonar nun die eben heruntergeladene und in keepass...exe umbenannte Datei und löschte sie mit der bekannten Fehlermeldung.

Und - wie aus den Anhängen meiner letzten Mail (14.7. 14:39h) hervorgeht, wird von Sonar das Risiko als "hoch" bewertet (Anhang 2), während die Beschreibung von Symantec (Anhang 3) Suspicious.Cloud.9 als TROJANER bezeichnet (sehr interessant!), das Risiko jedoch als "Very low" beurteilt.

Bisher dachte ich, dass man bei Symantec weiß, was man tut. Bei dieser Try-and-error - Methode mag es sein, dass man wirklich mal einen nagelneuen Trojaner erwischt. Nur die Kollateralschäden dürften recht hoch sein - auch für die Reputation eines bisher geachteten Antivirus-Software-Herstellers.

Ach ja, und zum Thema Support: Ich habe heute morgen zweimal versucht, den Online-Support-Chat zu starten. Nach der artigen Eingabe der diversen geforderten Angaben erhielt ich zunächst einen Timeout (Es dauerte zu lange, die Seite...) und beim zweiten Mal den schröcklichen Hinweis "HTTP 400-Fehler Bad request (Ungültige Anforderung)", was mir natürlich auch zu denken gab ;-) Vielleicht unterhält man sich ja lieber über die kostenpflichtige Telefon-Hotline mit den Kunden.

Hallo Norton-Costumer,

Hochmut kommt vor dem Fall - das ist ein altes Sprichwort. Uns auf Dich kann man es prima anwenden.

Hast Du das hier schon mal gelesen?
http://www.golem.de/news/sourceforge-streit-um-adware-installer-1308-101219.html

Wenn ich Deinen Dateinamen komplett eingeben die Suche, findet Google Chrome gar nichts.
Wenn ich den Dateinamen ohne Extension eingebe, wird genau eine Internetseite angezeigt und zwar auf chinesisch.

Wenn ich Du wäre, mit Nutzung von keepass und Finanzverwaltung, dann würde ich bei solchen Warnhinweisen durch Norton und User hier im Forum zu Deinem Download extrem vorsichtig werden.

Du hast Dir da sicher was Bösartiges an Land gezogen, denke ich.
Und an Deiner Stelle würde ich Programme von solch immenser Brisanz ausschließlich beim Hersteller downloaden.

Aber es liegt bei Dir, auch diesen Beitrag in Deiner Art zu kommentieren und Dich mit erhobenem Haupt ins Unglück zu stürzen.

Dass Du den Chat Nichterscheinen kannst, könnte an einem mitinstallierten Trojaner liegen schon.
Und die Telefonnummer von Norton-Support ist keine teure Rufnummer, sondern eine Festnetznummer, die heute doch schon mindestens 90% kostenlos erreichen können, sogar vom Handy aus.

Hallo Norton-Customer,

Ich weiss ja nicht, ob Du wirklich noch weitermachen willst, aber ich mach einfach mal. Betreffend Keepass, ich habs nochmals versucht:

Spoiler (Zum Lesen markieren)

Ichlade immer eine KeePass 2.27.exe runter.

Spoiler (Zum Lesen markieren)

Ich frage mich, woher Deine Datei kommt.

"Du hast Sonar auf Nachfragen gestellt.?

Nein, habe ich nicht. Da ich keepass und ProfiCash täglich aufrufe, habe ich keine Lust, ständig unsinnige Warnmeldungen zu erhalten."

Wenn Du auf die jeweilige Datei gehst, kannst Du unter Eigenschaften, Norton Datei Insigth der Datei vertauen, dann ists vorbei mit "ständig unsinnige Warnmeldungen zu erhalten."

"Um das zu prüfen, musste ich die Löschung durch Sonar verhindern, weshalb ich temporär die Intelligente Firewall ausgeschaltet hatte."

Mach Dir einen Ordner, nimm ihn in die Sonar und AntiVirus Ausnahme, und lade die Dateien dort hinein. Dann kannst Du selber entscheiden, was Du machen willst. Auf diese Weise hast Du ein Restrisiko, es wird aber auch nichts gelöscht.  Du kannst ja die Datei noch scannen. Mach ich schon lange so, wenn ich mal Probleme hätte. Aber nicht mal bei KeePass motzt mein Norton. Würde mich jetzt interessieren, warum bei Dir. Und warum dieser komische Dateiname.

"Da keine Signaturen zur Anwendung kommen, gibts auch mal eine falsche Löschung. Ist Sch....., passiert ab und zu. Machen kann man nichts dagegen, ausser eine tägliche Datensicherung. Sollte man auch haben, wenn mal ein Hardwaredefekt passiert."

Das ist nicht flapsig, sondern das sind die Fakten. Ach ja, bei Sch..... habe ich ein Un vergessen, das sollte natürlich UnSchoen heissen.

"Vielleicht bin ich ja zu pingelig, wenn ich sage, sowas DARF nicht passieren!" Dann musst Du Sonar abschalten. Ist "nur" ein zusätzlicher Schutz, und halt eben nicht ganz zuverlässig. Aber normalerweise löscht Sonar nur neue Dateien, die einen Schädling enthalten könnten.

Basler

Ps. Eben den Beitrag von Worus gesehen und gelesen. Hmmmmm