Win 8 (64bit): Avast meldet "FileRepMalware" & "Win32:evo-gen [Susp]"

asmaron

Hallo ihr Lieben!
Ein potentielles Malware-Problem treibt mich mal wieder hier her. Folgendes:

Seit heute morgen benimmt sich der (noch ziemlich neue; ca. 1,5 Monate alt) Laptop meiner Frau seltsam. Zunächst fiel ihr auf, dass ihr Desktophintergundbild plötzlich weg war und der Desktophintergrund nun schwarz war. Kurz danach meldete sich Avast mit einem Malewarefund "FileRepMalware" in der Datei "BrYNSvc.exe" im Ordner "Programm files (x86)/Brownie02". Weiterhin war sie auf der Suche nach einem neuen Hintergrundbild in ihrer Bildergalerie darauf gestoßen, dass sich einige Bilddateien in einem speziellen Ordner nicht mehr öffnen liesen (*).
Daraufhin habe ich zunächst über die betroffene .exe recherchiert, dass es sich vermutlich um eine Datei von Brother handelt (wir haben mehrere Brother-Drucker hier). Zudem hatte Avast die .exe in seinen "Virencontainer" verschoben. Was mich stutzig machte war, dass ich a) bei Avast keine ausführliche Logfiles auffinden konnte und b) dass Avast bei erneuter Prüfung der Datei im Virencontainer keinen Virus fand. Daraufhin habe ich a) eine (von Avast empfohlene) Startzeitüberpüfung gemacht und nach dem Neustart b) eine vollständige Systemüberprüfung durch Avast mit dem Erkennungsfaktor "Hoch". Beide Überpüfungen blieben ohne Viren-/Malewarefund.
Anschließend habe ich die .exe aus dem Virencontainer in dem Ursprungsordner wiederhergestellt und sie sofort erneut durch Avast überprüfen lassen - es wurde kein Virus gefunden. Dann probierte ich jedoch aus, die .exe auf den Desktop zu kopieren und sofort meldete sich Avast, verhinderte das Kopieren und verschob die Datei in den Virencontainer. Auch ein direktes Ausführen der .exe quittiert Avast mit einer Malewarewarnung und dem Verschieben der Datei in den Virencontainer (Screenshot 2 + 3 im Anhang).

___________________________
Weitere ungewöhnliche Dinge die passiert sind, aber evtl. nichts mit dem Problem zu tun haben:

(*) Zwischenzeitlich hatte ich auch versucht, die Bilddateien, die sich nicht mehr öffnen ließen, wiederherzustellen. Ich stellte fest, dass die Dateien noch vorhanden waren, jedoch die Zugriffsrechte fehlten (oder geändert wurden?). Jedenfalls war unter den erweiterten Sicherheitseinstellungen der Dateien (Rechtsklick/Eigenschaften/Sicherheit/Erweitert) als "Besitzer" ein seltsamer Zahlencode eingetragen mit einem roten Fragezeichen dahinter und unter "Berechtigungseinträge" fehlte der Benutzername meiner Frau (Franzi). Nachdem ich "Franzi" bei den Berechtigungseinträgen einfügte und kurzerhand auch den seltsamen Besitzer
gelöscht und dafür ebenfalls den Benutzer "Franzi" eingetragen hatte, waren die Bilder wieder sichtbar und konnten geöffnet werden.
Mittlerweile habe ich festgestellt, dass auch andere Bilder in der Bildergallerie meiner Frau einen seltsamen Besitzercode aufweisen (vgl. Screenshot 4). Dieser hat jedoch kein rotes Fragezeichen dahinter und die Bilder lassen sich öffnen. Die Bilddateien stammen alle aus einer alten Windows 7 - Sicherung. Vielleicht liegt es daran? Im Viruscontainer fand sich dann auch plötzlich eine weitere Datei "$R54V4WC.exe" mit dem Fund "Win32:evo-gen [Susp]". Auch die erste .exe war mittlerweile einmal unter diesem Fund im Viruscontainer registriert (s. Screenshot). Jedenfalls lag die Datei "$R54V4WC.exe" im Ordner "C:\$RECYCLE.BIN\***". Dieser Ordner wird trotz der Einstellung "versteckte Objekte anzeigen" nicht unter "C:" angezeigt. Bei direktem Aufrufen in der Browserzeile des Explorers wird der Ordner als "leer" angezeigt. Avast zeigt jedoch, das die "$R54V4WC.exe" in einem Ordner lag, dessen Name sehr dem Aufbau des seltsamen Besitzercodes (der mit dem roten Fragezeichen) bzw. denen der Besitzercodes der anderen Bilder ähnelt (vgl. Screnshot 4 + 7). Ob er identisch war, kann ich allerdings nicht mehr überprüfen, da ich den Besitzer in den erweiterten Sicherheitseinstellungen ja gelöscht und durch Franzi ersetzt habe.

Phu... ganz schön schwer das zu erklären - ich hoffe ihr versteht, was ich meine. :/

Eine weitere Sache, die mir noch aufgefallen ist war folgende:
Ich habe versucht, eine neue Version von LibreOffice zu installieren. Hierbei gab es ebenfalls Probleme mit der Benutzerkontensteuerung und dem Windows Indexierungsdienst. Auffallend ist, dass der Dienst zeitweise über 40% der CPU beansprucht (vgl. Screenshot 6) und sich auch nicht beenden lässt. Zudem hat er den Abbruch der Installation von LibreOffice verursacht. Der Setup konnte nicht abgeschlossen werden mit der Fehlermeldung, dass der Prozess "SearchFilterHost.exe" (Microsoft Windows Search Filter Host) auf Daten zugreife, die LibreOffice verändern möchte. Ich führte eine Windows Problembehebung für den Indexierungsdienst durch und danach "beruhigte" sich der Prozess. Die Installation konnte fortgesetzt werden, wurde dann jedoch abgebrochen, weil LibreOffice Zugriffsrechte fehlten. Nach einem Neustart des Systems konnte ich dann LibreOffice installieren. Mittlerweile "belastet" die "SearchFilterHost.exe" (Microsoft Windows Search Filter Host) jedoch wieder über 40% der CPU.

Ob diese zwei Probleme jetzt irgendwas mit dem Virenproblem zu tun haben oder ob der Rechner nun überhaupt Viren hab, kann ich leider nicht abschätzen. Deshalb hab ich das alles jetzt mal geschrieben, damit ihr alles vollständig habt, was ich gemacht habe/was passiert ist.
________________________________


Nun noch die Logs/Steps, die ihr glaub ich braucht:

1) Mit defogger Laufwerksemulatoren abgeschaltet (auf dem Rechner ist keine Emulatorensoftware installiert), auf Disable geklickt und den Scan durchlaufen lassen. Scan complete mit OK bestätigt. Wurde nicht zum Neustart aufgefordert!

2) FRST
a) FRST.log (Anhang)

b) Adition.log (Anhang)

3) GMER:
Habe mir GMER heruntergeladen, alle Programme beendet, Internet und Avast aus und gestartet. Habe vor dem Scan eine Fehlermeldung erhalten (s. Screenshot 8), während des Scans, dieselbe nochmal und noch eine weitere (s. Screnshot 9+10). Keine Ahnung warum. Wenn das Log nutzlos ist, bitte melden und mir nen Tip geben, wie ich GMER richtig ausführe. Habe es sowohl unter "Als Admin ausführen" probiert, als auch ohne. Selbes Ergebnis (Log im Anhang)

So das wars erstmal! Entschuldigt die umständliche Erklärung. Ich wollte nur alles so genau wie möglich beschreiben. Ich hoffe ihr könnt mir weiterhelfen!

Danke schonmal fürs Lesen!
Lg!
Asmaron

P.S.: Die Logs haben die max. Zeichenlänge überschritten und sind daher im Anhang. Die GMER.txt hat sogar die max. Größe für txt Dateien überschritten. Ich habe sie daher gezipt.

__________________
Großes Dankeschön an die Trojaner-Bord Helfer und Helfeshelfer! Ihr seid spitze!