Endpoint Installation und Symantec Deinstallation Frage

Hi,

normalerweise sollte das sogenannte Competitor Removal Tool Drittanbieter-Software entfernen.
Das Competitor Removal Tool ist im Endpoint Protection Installer enthalten und wird automatisch ausgeführt.

Schaue bitte mal auf einem betroffenen Client unter %programdata%\Sophos\CloudInstaller\Logs\ nach einem SophosCloudInstaller_.log file und suche in diesem nach dem Keyword ERROR.
Poste den Inhalt hier rein, bitte denke an eine leserliche Formatierung.

Schaue außerdem unter %temp% nach avremove.log und suche nach dem Keyword Detected.
Unter der Zeile mit Detected: sollte dann die Deinstallations-Routine stehen, die das CRT auszuführen versucht - füge den Inhalt bitte auch deiner Antwort bei.

UPDATE: Um welches Symantec Produkt handelt es sich exakt?

Liebe Grüße,

Hi Rocknar 

This article lists out the security products which are being detected or removed by Sophos CRT. Kindly check if the version of the Symantec which is installed is listed in that. Also, under temp folder you will find certain logs when you try to install using a switch and its failing, please check if there are any events or errors you see under these logs. 

Hallo,

Folgende Error Einträge sind im SophosCloudInstaller_.log zu finden.

Command 'CleanSophosIfeoKeysCommand' completed with success with reboot code '0' and error message ''.

About to execute command: CompetitorDetector
Command 'CompetitorDetector' completed with success with reboot code '0' and error message ''.

Command 'Register' completed with success with reboot code '0' and error message ''

Syncing file 6d778e83f74a4c7fe4c077dc279f6867x000.dat: 18232 bytes: savxp/program files/Sophos/Sophos Anti-Virus/api-ms-win-core-errorhandling-l1-1-0.dll

[V19465] `anonymous-namespace'::DownloadFilter::include Skipping file 11186763fefc73be88d85a7978002cc5x000.dat: 18624: enc/ProgramFilesFolder/Sophos/Sophos Data Protection/api-ms-win-core-errorhandling-l1-1-0.dll: filtered out

[I46431] Decoding file C:/ProgramData/Sophos/CloudInstaller/AutoUpdatePreparation/Cache/decoded/savxp/program files/Sophos/Sophos Anti-Virus/api-ms-win-core-errorhandling-l1-1-0.dll
Command 'Download' completed with success with reboot code '0' and error message ''.

Command 'RetrievePolicy' completed with success with reboot code '0' and error message ''

Command 'PrepareInstallation' completed with success with reboot code '0' and error message ''

Command 'SetupPlugin' completed with success with reboot code '1' and error message ''.

Ein avremove.log habe ich leider nicht gefunden.

Es handelt sich um Symatec Endpoint Protection 12.1.5337.5000

12.1.5337.5000 wird vom Competitor Removal Tool eigentlich entfernt. Du findest die komplette Liste hier.

Rocknar said:

Nun hab ich gedacht, ich nehme den Schalter --quite weg und schaue welche Meldungen bei der Installation erscheinen. Die Sophos.exe wird auf dem Computer kopiert aber nicht installiert. Ich sehe das ein Prozess gestartet wird aber weiter passiert nichts. Wenn ich den Schalter --install hinzufüge, dann sehe ich im Taskmanager 2 Prozesse. SophosSetup.exe und Setup.exe von Sophos.

Passiert aber weiter nichts.

Zu diesem Punkt:

Sollte im CloudInstaller.log (Program Data\Sophos\CloudInstaller\Logs) der Quite Mode auf 0 stehen, was du wie ich sehe auch vorhattest, wird ein User mit administrativen Berechtiungen benötigt, die Installation auszuführen. Ohne diesen User wird keine UI angezeigt, bzw. die Installation nicht fortgesetzt. Überprüfe auch, ob du Fehler bei den übergebenen Flags hast (z.B. Rechtschreibung, Leerzeichen, etc.). Normalerweise sollten Installationen über GPO immer über den Schalter --quiet laufen.

Wenn Du keine AVRemove.log-Datei unter %temp% sehen kannst, schaue in den Installer Log files, ob es Probleme mit CRT selbst gegeben hat.

Führe bitte folgendes aus, solltest du den Fehler nicht finden:

1. Lade die Setup.exe auch testweise einmal direkt von Central herunter und führe sie lokal als Administrator aus.
   Dann sollte die Installation auch durchlaufen und entsprechende Logfiles angelegt werden.
2. Bitte füge dann einmal die komplette CloudInstaller.log im nächsten Post bei, lade sie ggf. irgendwo hoch und stelle den Link zur Verfügung.

Überprüfe auch, ob das Skript als Computerstartskript und nicht als Benutzeranmeldeskript ausgeführt wird. Ein Benutzeranmeldeskript wird mit den Berechtigungen des angemeldeten Benutzers ausgeführt. Wenn dieser Benutzer nicht über die für die Installation von Anwendungen erforderlichen Berechtigungen verfügt, schlägt die Installation fehl. Beachte, dass die Berechtigungen eines Benutzers es dem Installationsprogramm möglicherweise nicht erlauben, eine Protokolldatei zu erstellen.

Ich habe die Installation jetzt direkt mit dem Setup aufgeführt.

Jetzt ist auch ein avremove.log vorhanden.

08 Jan 2020 15:36:05 Info: ==============================================
08 Jan 2020 15:36:05 Info: Running OS: Microsoft Windows 7 Service Pack 1 [Version 6.01.7601]
08 Jan 2020 15:36:05 Info: Current Competitor Removal Tool Settings
08 Jan 2020 15:36:05 Info: Product Version: Version 2.16.0.40
08 Jan 2020 15:36:05 Info: Using Product Catalog: Default
08 Jan 2020 15:36:05 Info: Run On Servers: True
08 Jan 2020 15:36:05 Info: Detection Only: False
08 Jan 2020 15:36:05 Info: Remove Anti-Virus: True
08 Jan 2020 15:36:05 Info: Remove Product Suites: True
08 Jan 2020 15:36:05 Info: Remove Firewalls: True
08 Jan 2020 15:36:05 Info: Remove Update Tools: False
08 Jan 2020 15:36:05 Info: Send Telemetry: True
08 Jan 2020 15:36:05 Info: Log Tracing: False
08 Jan 2020 15:36:05 Info: Log to C:\Users\ADMINI~1\AppData\Local\Temp\avremove.log
08 Jan 2020 15:36:05 Info: Default system language: de_DE
08 Jan 2020 15:36:05 Info: Default character encoding: cp1252
08 Jan 2020 15:36:05 Info: Operating system is 64-bit: False
08 Jan 2020 15:36:05 Info: ==============================================
08 Jan 2020 15:36:09 Info: Known publishers list contains 41 entries
08 Jan 2020 15:36:12 Info: Result of calling SubmitTelem: {"ErrorCode":0,"StatusCode":200}
08 Jan 2020 15:36:12 Info: No products detected on this system
Sophos Anti-Virus software detector - Version 2.16.0.40
Copyright (C) 2003-2020 Sophos Limited. All rights reserved.
Running OS: Microsoft Windows 7 Service Pack 1 [Version 6.01.7601]
No products detected on this system

Scheinbar wurde hier der Symantec AV nicht gefunden.

In der CloudCloudInstaller.log steht oben noch der Eintrag

Command line: Using CRT catalog file path: --

CRT catalog: --

Ansonsten sehe ich im Log nichts auffälliges

Hi Rocknar 

As you stated there are no products detected under AVremove.log. Can you please PM or post the full CloudInstaller.log to verify what is causing the error for installation. 

Hi Rocknar,

You'll need to create a custom ProductCatalog and reference that in your installation via the CLI, SophosSetup.exe --crtcatalogpath=<path to CRT catalog>

You can find the default ProductCatalog here, "C:\ProgramData\Sophos\AutoUpdate\Cache\decoded\savxp\crt\data.zip"

Find the relevant Symantec section, copy and paste the last item and edit as required.

You need the uninstall string or GUID for your Symantec product from the registry. You can find it in Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall or Computer\HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall

Regards,

Neil.

Oder du verwendest das CleanWipe RemovalTool als Alternative:

https://support.symantec.com/us/en/article.howto124983.html

Viel Erfolg!

Hallo,

das CleanWipe Tool hat ohne Probleme funktioniert.

Vielen Dank für eure Hilfe.

Viele Grüße