eTrust Antivirus-Reste entsorgen

17. Januar 2006 · Anwendungen · andreas · Kein Kommentar

Nachdem eTrust-Antivirus von Computer Associates im letzten c’t-Test so richtig mies abgeschnitten hat, fiel meinerseits die Entscheidung, eTrust (in meinem Fall die 7.0 - gab’s mal mit der PC Professionell) von der Platte zu verbannen und ein paar Euro in ein hoffentlich zuverlässigeres Konkurrenzprodukt zu investieren.

Unter “Start / Systemsteuerung / Software”, eTrust deinstalliert und anschließend den Rechner wie gewünscht neu gestartet. Ein routinemäßiger Blick ins “Programme”-Verzeichnis brachte allerdings ein Verzeichnis namens “C:\Programme\CA\SharedComponents\CA_LIC” zum Vorschein, in dem immer noch jede Menge Dateien schlummerten.

Ein mutiger Löschversuch mittels Rechtsklick und “Löschen” scheiterte daran, daß sich eine Datei namens “lic98.dll” noch im Zugriff befand und somit leider auch nicht gelöscht werden konnte.

Ein Blick in die Systemverwaltung brachte zwei Dienste zu Tage, die zwar angehalten, aber wohl von der Deinstallationsroutine “vergessen” worden waren: den CA-Lizenz-Client (CA_LIC_CLNT) sowie den CA-Lizenzserver (CA_LIC_SRVR).

Also Kommandozeile auf und mittels SC nachgeholfen

C:\>sc query ca_lic_clnt SERVICE_NAME: ca_lic_clnt TYPE : 10 WIN32_OWN_PROCESS STATE : 1 STOPPED (NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 1077 (0x435) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0 C:\>sc delete ca_lic_clnt [SC] DeleteService SUCCESS C:\>sc query ca_lic_srvr SERVICE_NAME: ca_lic_srvr TYPE : 10 WIN32_OWN_PROCESS STATE : 1 STOPPED (NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 1077 (0x435) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0 C:\>sc delete ca_lic_srvr [SC] DeleteService SUCCESS

anschließend den Rechner neu gestartet - doch leider war (wie erwartet / befürchtet - die Dienste waren schließlich gestoppt) die “lic98.dll” noch immer im Zugriff.

Beim Blick in den Taskmanager fiel mir ein Prozess namens “LogwatNT.exe” ins Auge - einen Dateinamen, den ich im “CA_LIC”-Verzeichnis schonmal gesehen hatte. Sowohl unter “Dienste” als auch in MSCONFIG war allerdings keine Spur von dem Programm zu finden.

Eine Google-Suche nach “LogwatNT.exe” brachte direkt als erstes Ergebnis folgendes hervor:

logwatnt - logwatnt.exe - Process Information Process File:
logwatnt or logwatnt.exe Process Name: Logwatnt Description:
logwatnt.exe is a patch issued from Computer Associates which deals with
memory leaks from UniCenter products. Whilst UniCenter products are
being used, this process should be kept enabled.

Aha. Braucht also prinzipielll fast kein Mensch und ich schonmal gar nicht …

C:\>sc query logwatch SERVICE_NAME: logwatch TYPE : 110 WIN32_OWN_PROCESS (interactive) STATE : 4 RUNNING (STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0

Da haben wir den Übeltäter! Attacke!

C:\>sc stop logwatch SERVICE_NAME: logwatch TYPE : 110 WIN32_OWN_PROCESS (interactive) STATE : 1 STOPPED (NOT_STOPPABLE,NOT_PAUSABLE,IGNORES_SHUTDOWN) WIN32_EXIT_CODE : 0 (0x0) SERVICE_EXIT_CODE : 0 (0x0) CHECKPOINT : 0x0 WAIT_HINT : 0x0 C:\>sc delete logwatch [SC] DeleteService SUCCESS

und schon konnte ich (endlich!) das “C:\Programme\CA”-Verzeichnis ins virtuelle “/dev/null” schieben.

Und die Moral von der Geschicht'?

Warum ein Uninstaller nicht gefälligst alles von der Platte schmeißt, was der dazugehörige Installer draufkopiert hat, wird mir (nicht nur in diesem Fall) wohl ewig ein Rätsel bleiben.

Genauso wie die Tatsache, warum eine Firma wie Computer Associates, die angeblich vertrauenswürdige Sicherheitssoftware liefert, den Anwender nach der Deinstallation mit zum Teil versteckten Diensten zurücklässt.

Dies war jedenfalls garantiert das letzte Produkt von Computer Associates, das ich freiwillig installiert habe.