NAV und Virus (Keylogger?) Adware.gen

Ich hoffe auf eure Hilfe.
ich hampel jetzt seit mehreren Tagen mit diesem Virus herum.

1. NAV 2009 erkennt Adware.gen und schickt ihn + eine Tastaturtreiberdatei in Quarantäne. OK. Habe die Datei in Quarantäne gelöscht.
   Danach funktionieren Zusatztasten an meiner Tastatur nicht mehr. Da die defekte Datei ja gelöscht ist und meiner Meinung auch damit der Virus, will ich den Treiber neu installieren. Geht nicht, weil NAV die Datei blockiert.
   Danach habe ich jetzt 3 x mit Symantec Support gechattet und deren Anweisungen befolgt.
2. Im abgesicherten Modus Komplett Scan, fehlerfrei.
3. Sicherheitsüberprüfung ergab Lücken - muss ich wohl dringend abschotten.
4. AutoScan abschalten, installieren und danach wieder einschalten. Hat sehr schön geklappt, aber nach dem Einschalten läuft die Software nicht. Fehlermeldungen.
   Beim aktuellen Chat empfahl die Dame mir, den Tastaturtreiber aus dem Scan herauszunehmen. Fein, damit der nächste Keylogger sich gleich festsetzen kann?
   Nach dem Aus- und wieder Einschalten des AutoScans hat er wiederum adware.gen erkannt und die Datei xy.dll in Quarantäne gestellt. Vorher hat er sie gleich gelöscht.

Ich soll nun NAV deinstallieren und neu installieren ???
Ich frage mich die ganze Zeit, woher soll dieser Virus jedesmal neu kommen? Wenn NAV ihn doch erkannt hat und in Quarantäne gestellt hat müsse er doch weg sein. Der Tastaturtreiber stammt übrigens von einer CD, die ca. 6 Jahre alt ist.
Und noch dies: Ich mache regelmäßige Partitionssicherungen. Ich habe bis zum 23.3 zurück rückgesichert und in allen Rücksicherungen taucht diese Virusmeldung auf, obwohl vorher nichts reklamiert wurde.

Irgendwie fühle ich mich langsam etwas irre.
hat jemand einen sinnvollen Vorschlag? Oder soll ich wirklich deinstallieren?

Danke schon mal
cora

Hi cora

ich hampel jetzt seit mehreren Tagen mit diesem Virus herum.

1. NAV 2009 erkennt Adware.gen und schickt ihn + eine
   Tastaturtreiberdatei in Quarantäne. OK. Habe die Datei in
   Quarantäne gelöscht.

das „gen“ bedeutet, dass NAV das Virus nach dem heuristischen Prinzip „entdeckt“ hat, sprich, es hat eine Datei gefunden, die bestimmte, virenähnliche Merkmale aufweist. Das ist bei einem Tastaturtreiber nichts ungewöhnliches. Insofern würde ich mit an Sicherheit grenzender Wahrscheinlichkeit sagen, dass es ein false positive, also ein Fehlalarm ist.

Irgendwie fühle ich mich langsam etwas irre.
hat jemand einen sinnvollen Vorschlag? Oder soll ich wirklich
deinstallieren?

yep, deinstallieren, die windows-eigene Firewall einschalten, das kostenlose Antivirprogi Avira installieren
http://www.free-av.de/
und dich an dem wieder flink gewordenen PC erfreuen
öhm, und in Ruhe den Tastaturtreiber wieder installieren.
Zur Sicherheit kannst du sie Datei nochmal zu einem online-Scanner hochladen, zB hier http://virusscan.jotti.org/

Gruss
ExNicki

Hallo Cora

1. NAV 2009 erkennt Adware.gen und schickt ihn + eine
   Tastaturtreiberdatei in Quarantäne. OK. Habe die Datei in
   Quarantäne gelöscht.

Bitte poste mal die exakte Meldung.

Danach funktionieren Zusatztasten an meiner Tastatur nicht
mehr. Da die defekte Datei ja gelöscht ist und meiner Meinung
auch damit der Virus, will ich den Treiber neu installieren.

Ein Virus oder sonstiger Schädling lässt sich, wenn er ausgeführt wurde, kaum nur durch Löschen einer einzelnen Datei wirklich entfernen.

Geht nicht, weil NAV die Datei blockiert.

Die von NAV reklamierte Datei gehört also zum Tastaturtreiber? Dann würde ich eher einen False-positive vermuten.

2. Sicherheitsüberprüfung ergab Lücken - muss ich wohl
   dringend abschotten.

Was für Lücken?

Beim aktuellen Chat empfahl die Dame mir, den Tastaturtreiber
aus dem Scan herauszunehmen. Fein, damit der nächste Keylogger
sich gleich festsetzen kann?

Naja, nimm ihn trotzdem mal raus. Und lade die Datei dann mal bei http://virusscan.jotti.org/de/ hoch und lass sie dort prüfen. Sie wird dann mit rund 22 verschiedenen Virenscannern geprüft. Wie viele Scanner melden etwas bei dieser Datei?

Zudem: Wenn Du den Tastaturtreiber von der CD, die mit der Tastatur geliefert wurde, oder von der Webseite des Tastaturherstellers hast, ist sie sehr wahrscheinlich sauber. Direkt nach deren Installation sollte also eigentlich gar nichts passieren. Falls Du Dir dann irgendwie einen Keylogger einfängst, wird der sich sowieso nicht am Tastaturtreiber vergreifen, sondern sich anderweitig im System einnisten. Und ob der Virenscanner davon etwas mitbekommen würde, steht auf einem anderen Blatt…

Nach dem Aus- und wieder Einschalten des AutoScans hat er
wiederum adware.gen erkannt und die Datei xy.dll in Quarantäne
gestellt. Vorher hat er sie gleich gelöscht.

‚adware.gen‘ deutet darauf hin, wie in der anderen Antwort erwähnt wurde, dass die Datei aufgrund der Heuristik als ‚böse‘ eingestuft wird. Bei der Heuristik versucht der Virenscanner zu erraten, wie sich eine Datei verhalten wird. Was sie tun wird. ‚Adware‘ deutet auf ein Programm hin, das dafür verwendet wird, Werbung einzublenden. Und ‚gen‘ bedeutet ‚generic‘, also ‚verhält sich ungefähr wie eine Werbe-Einblendungs-Software‘.

Man kann auch sagen: Der Virenscanner spielt ein Ratespiel. Denn Heuristiken bei Virenscannern sind längst nicht so zuverlässig, wie die Hersteller es behaupten oder gern hätten.

Ich frage mich die ganze Zeit, woher soll dieser Virus
jedesmal neu kommen? Wenn NAV ihn doch erkannt hat und in
Quarantäne gestellt hat müsse er doch weg sein.

Ein Virus, der aktiv ist, kann in der Regel vom Virenscanner nicht nachhaltig gelöscht werden. Wenn eine Datei gelöscht wird, erstellt sie der Schädling wieder neu.

Aber:

Der Tastaturtreiber stammt übrigens von einer CD, die ca. 6 Jahre
alt ist.

Das deutet erst recht darauf hin, dass Dein Virenscanner da fälschlicherweise anschlägt.

Wenn ein Virenscanner eine Datei als verseucht reklamiert, heisst das eigentlich erstmal gar nichts. Es bedeutet lediglich, dass irgendetwas an der Datei dem Virenscanner verdächtig vorkommt. Entweder weil der geprüfte Byte-Bereich mit einem Eintrag in seinen Signaturen übereinstimmt oder eben weil er durch Heuristik (aka wildes Raten) meint, dass die Datei böses macht.

Hör also auf, dem Virenscanner blindlings zu glauben.

CU
Peter

Man kann auch sagen: Der Virenscanner spielt ein Ratespiel.
Denn Heuristiken bei Virenscannern sind längst nicht so
zuverlässig, wie die Hersteller es behaupten oder gern hätten.

Die Heuristik ist eigentlich sogar grottenschlecht. Es ist schlicht nicht möglich, zuverlässig zu entscheiden was ein Programm macht oder was es nicht macht.
Aus diesem Grund kann ein Virenscanner auch nie ein zuverlässiger Schutz vor Schadprogrammen sein. Im Allgemeinen wird das was ein Virenscanner kann, von den meisten Menschen völlig überschätzt. Das zeigt sich auch mal wieder an dieser Antwort des OP:

Ich frage mich die ganze Zeit, woher soll dieser Virus
jedesmal neu kommen? Wenn NAV ihn doch erkannt hat und in
Quarantäne gestellt hat müsse er doch weg sein.

Tja, offensichtlich ist das nicht so. Sobald ein Virus ausgeführt wurde, kann er mit deinem System und mit deinem Virenscanner machen was er will, v.a. wenn du über Administrator-Rechte verfügst. Ob ein Virus das tut oder nicht, hängt meist einzig und allein von der Faulheit oder dem Fleiß des Virenprogrammierers ab.

Wenn das Ding also mal ausgeführt wurde, dann ist es oft zu spät. In erster Linie solltest du also schauen, dass du dir generell keine Viren einfängst. Die fallen nämlich nicht vom Himmel

Erst mal schönen Dank für eure sehr ausführlichen Antworten.
Da mein Hund heute operiert wurde und jetzt noch betreut werden muss, komme ich erst morgen oder am Wochenende dazu, eure Antworten zu „verdauen“.
Ich melde mich dann noch mal konkreter.

Hallo Cora

Da mein Hund heute operiert wurde und jetzt noch betreut
werden muss, komme ich erst morgen oder am Wochenende dazu,
eure Antworten zu „verdauen“.

Ich wünsche Deinem Hund gute Besserung.

Was fehlt ihm denn?

CU
Peter, mit einer Katze, die morgen zur Impf-Erneuerung muss

Hallo cora,

Ich heiße Daniel und ich arbeite für den externen Symantec Foren-Support in Europa.

Du solltest Dich beim Hersteller der Tastatur erkundigen, ob ein neuerer Treiber für Dein Betriebssystem verfügbar ist und die Tastatur mit dem neuen Treiber neu installieren. Danach solltest Du sicherstellen, dass Du die neuesten Virendefinitionen hast und einen vollständigen Systemscan durchführen, um zu prüfen, ob noch aktive Bedrohungen auf Deinem Computer sind.

Gruß Daniel
Norton Forum Assist Team