Win 8 (64bit): Avast meldet "FileRepMalware" & "Win32:evo-gen [Susp]"
 

Hallo ihr Lieben!
Ein potentielles Malware-Problem treibt mich mal wieder hier her. Folgendes:

Seit heute morgen benimmt sich der (noch ziemlich neue; ca. 1,5 Monate alt) Laptop meiner Frau seltsam. Zunächst fiel ihr auf, dass ihr Desktophintergundbild plötzlich weg war und der Desktophintergrund nun schwarz war. Kurz danach meldete sich Avast mit einem Malewarefund "FileRepMalware" in der Datei "BrYNSvc.exe" im Ordner "Programm files (x86)/Brownie02". Weiterhin war sie auf der Suche nach einem neuen Hintergrundbild in ihrer Bildergalerie darauf gestoßen, dass sich einige Bilddateien in einem speziellen Ordner nicht mehr öffnen liesen (*).
Daraufhin habe ich zunächst über die betroffene .exe recherchiert, dass es sich vermutlich um eine Datei von Brother handelt (wir haben mehrere Brother-Drucker hier). Zudem hatte Avast die .exe in seinen "Virencontainer" verschoben. Was mich stutzig machte war, dass ich a) bei Avast keine ausführliche Logfiles auffinden konnte und b) dass Avast bei erneuter Prüfung der Datei im Virencontainer keinen Virus fand. Daraufhin habe ich a) eine (von Avast empfohlene) Startzeitüberpüfung gemacht und nach dem Neustart b) eine vollständige Systemüberprüfung durch Avast mit dem Erkennungsfaktor "Hoch". Beide Überpüfungen blieben ohne Viren-/Malewarefund.
Anschließend habe ich die .exe aus dem Virencontainer in dem Ursprungsordner wiederhergestellt und sie sofort erneut durch Avast überprüfen lassen - es wurde kein Virus gefunden. Dann probierte ich jedoch aus, die .exe auf den Desktop zu kopieren und sofort meldete sich Avast, verhinderte das Kopieren und verschob die Datei in den Virencontainer. Auch ein direktes Ausführen der .exe quittiert Avast mit einer Malewarewarnung und dem Verschieben der Datei in den Virencontainer (Screenshot 2 + 3 im Anhang).

___________________________
Weitere ungewöhnliche Dinge die passiert sind, aber evtl. nichts mit dem Problem zu tun haben:

(*) Zwischenzeitlich hatte ich auch versucht, die Bilddateien, die sich nicht mehr öffnen ließen, wiederherzustellen. Ich stellte fest, dass die Dateien noch vorhanden waren, jedoch die Zugriffsrechte fehlten (oder geändert wurden?). Jedenfalls war unter den erweiterten Sicherheitseinstellungen der Dateien (Rechtsklick/Eigenschaften/Sicherheit/Erweitert) als "Besitzer" ein seltsamer Zahlencode eingetragen mit einem roten Fragezeichen dahinter und unter "Berechtigungseinträge" fehlte der Benutzername meiner Frau (Franzi). Nachdem ich "Franzi" bei den Berechtigungseinträgen einfügte und kurzerhand auch den seltsamen Besitzer
gelöscht und dafür ebenfalls den Benutzer "Franzi" eingetragen hatte, waren die Bilder wieder sichtbar und konnten geöffnet werden.
Mittlerweile habe ich festgestellt, dass auch andere Bilder in der Bildergallerie meiner Frau einen seltsamen Besitzercode aufweisen (vgl. Screenshot 4). Dieser hat jedoch kein rotes Fragezeichen dahinter und die Bilder lassen sich öffnen. Die Bilddateien stammen alle aus einer alten Windows 7 - Sicherung. Vielleicht liegt es daran? Im Viruscontainer fand sich dann auch plötzlich eine weitere Datei "$R54V4WC.exe" mit dem Fund "Win32:evo-gen [Susp]". Auch die erste .exe war mittlerweile einmal unter diesem Fund im Viruscontainer registriert (s. Screenshot). Jedenfalls lag die Datei "$R54V4WC.exe" im Ordner "C:\$RECYCLE.BIN\***". Dieser Ordner wird trotz der Einstellung "versteckte Objekte anzeigen" nicht unter "C:" angezeigt. Bei direktem Aufrufen in der Browserzeile des Explorers wird der Ordner als "leer" angezeigt. Avast zeigt jedoch, das die "$R54V4WC.exe" in einem Ordner lag, dessen Name sehr dem Aufbau des seltsamen Besitzercodes (der mit dem roten Fragezeichen) bzw. denen der Besitzercodes der anderen Bilder ähnelt (vgl. Screnshot 4 + 7). Ob er identisch war, kann ich allerdings nicht mehr überprüfen, da ich den Besitzer in den erweiterten Sicherheitseinstellungen ja gelöscht und durch Franzi ersetzt habe.

Phu... ganz schön schwer das zu erklären - ich hoffe ihr versteht, was ich meine. :/

Eine weitere Sache, die mir noch aufgefallen ist war folgende:
Ich habe versucht, eine neue Version von LibreOffice zu installieren. Hierbei gab es ebenfalls Probleme mit der Benutzerkontensteuerung und dem Windows Indexierungsdienst. Auffallend ist, dass der Dienst zeitweise über 40% der CPU beansprucht (vgl. Screenshot 6) und sich auch nicht beenden lässt. Zudem hat er den Abbruch der Installation von LibreOffice verursacht. Der Setup konnte nicht abgeschlossen werden mit der Fehlermeldung, dass der Prozess "SearchFilterHost.exe" (Microsoft Windows Search Filter Host) auf Daten zugreife, die LibreOffice verändern möchte. Ich führte eine Windows Problembehebung für den Indexierungsdienst durch und danach "beruhigte" sich der Prozess. Die Installation konnte fortgesetzt werden, wurde dann jedoch abgebrochen, weil LibreOffice Zugriffsrechte fehlten. Nach einem Neustart des Systems konnte ich dann LibreOffice installieren. Mittlerweile "belastet" die "SearchFilterHost.exe" (Microsoft Windows Search Filter Host) jedoch wieder über 40% der CPU.

Ob diese zwei Probleme jetzt irgendwas mit dem Virenproblem zu tun haben oder ob der Rechner nun überhaupt Viren hab, kann ich leider nicht abschätzen. Deshalb hab ich das alles jetzt mal geschrieben, damit ihr alles vollständig habt, was ich gemacht habe/was passiert ist.
________________________________


Nun noch die Logs/Steps, die ihr glaub ich braucht:

1) Mit defogger Laufwerksemulatoren abgeschaltet (auf dem Rechner ist keine Emulatorensoftware installiert), auf Disable geklickt und den Scan durchlaufen lassen. Scan complete mit OK bestätigt. Wurde nicht zum Neustart aufgefordert!

2) FRST
a) FRST.log (Anhang)

b) Adition.log (Anhang)

3) GMER:
Habe mir GMER heruntergeladen, alle Programme beendet, Internet und Avast aus und gestartet. Habe vor dem Scan eine Fehlermeldung erhalten (s. Screenshot 8), während des Scans, dieselbe nochmal und noch eine weitere (s. Screnshot 9+10). Keine Ahnung warum. Wenn das Log nutzlos ist, bitte melden und mir nen Tip geben, wie ich GMER richtig ausführe. Habe es sowohl unter "Als Admin ausführen" probiert, als auch ohne. Selbes Ergebnis (Log im Anhang)

So das wars erstmal! Entschuldigt die umständliche Erklärung. Ich wollte nur alles so genau wie möglich beschreiben. Ich hoffe ihr könnt mir weiterhelfen! :)

Danke schonmal fürs Lesen!
Lg!
Asmaron

P.S.: Die Logs haben die max. Zeichenlänge überschritten und sind daher im Anhang. Die GMER.txt hat sogar die max. Größe für txt Dateien überschritten. Ich habe sie daher gezipt.

Hi,

Logs bitte zur Not teilen und posten. Anhang macht das Auswerten schwerer.

Hallo Schrauber,

sorry. Ich sende die Logfiles jetzt in mehreren Posts:

1. FRST.log:


FRST Logfile:
--- --- ---




2. Addition.log:

Und noch
3. GMER.log:

Ich hoffe, so ist es besser! :)

Danke fürs helfen!
Lg!
Asmaron

Combofix sollte ausschließlich ausgeführt werden, wenn dies von einem Teammitglied angewiesen wurde!

Downloade dir bitte Combofix vom folgenden Downloadspiegel

Link 1


WICHTIG - Speichere Combofix auf deinem Desktop

• Deaktiviere bitte all deine Anti Viren sowie Anti Malware/Spyware Scanner. Diese können Combofix bei der Arbeit stören.

Starte die Combofix.exe und folge den Anweisungen auf dem Bildschirm.

Wenn Combofix fertig ist, wird es eine Logfile erstellen. Bitte poste die C:\Combofix.txt in deiner nächsten Antwort.


Hinweis: Solltest du nach dem Neustart folgende Fehlermeldung erhalten
starte den Rechner einfach neu. Dies sollte das Problem beheben.

Hey Schrauber,
danke für deine Hilfe!
Anbei das Combofix Log:

Lg!
Asmaron

Downloade Dir bitte Malwarebytes Anti-Malware

• Installiere das Programm in den vorgegebenen Pfad. (Bebilderte Anleitung zu MBAM)
• Starte Malwarebytes' Anti-Malware (MBAM).
• Klicke im Anschluss auf Scannen, wähle den Bedrohungssuchlauf aus und klicke auf Suchlauf starten.
• Lass am Ende des Suchlaufs alle Funde (falls vorhanden) in die Quarantäne verschieben. Klicke dazu auf Auswahl entfernen.
• Lass deinen Rechner ggf. neu starten, um die Bereinigung abzuschließen.
• Starte MBAM, klicke auf Verlauf und dann auf Anwendungsprotokolle.
• Wähle das neueste Scan-Protokoll aus und klicke auf Export. Wähle Textdatei (.txt) aus und speichere die Datei als mbam.txt auf dem Desktop ab. Das Logfile von MBAM findest du hier.
• Füge den Inhalt der mbam.txt mit deiner nächsten Antwort hinzu.

Downloade Dir bitte AdwCleaner auf deinen Desktop.

• Schließe alle offenen Programme und Browser. Bebilderte Anleitung zu AdwCleaner.
• Starte die AdwCleaner.exe mit einem Doppelklick.
• Stimme den Nutzungsbedingungen zu.
• Klicke auf Optionen und vergewissere dich, dass die folgenden Punkte ausgewählt sind:
  • "Tracing" Schlüssel löschen
  • Winsock Einstellungen zurücksetzen
  • Proxy Einstellungen zurücksetzen
  • Internet Explorer Richtlinien zurücksetzen
  • Chrome Richtlinien zurücksetzen
  • Stelle sicher, dass alle 5 Optionen wie hier dargestellt, ausgewählt sind
• Klicke auf Suchlauf und warte bis dieser abgeschlossen ist.
• Klicke nun auf Löschen und bestätige auftretende Hinweise mit Ok.
• Dein Rechner wird automatisch neu gestartet. Nach dem Neustart öffnet sich eine Textdatei. Poste mir deren Inhalt mit deiner nächsten Antwort.
• Die Logdatei findest du auch unter C:\AdwCleaner\AdwCleaner[Cx].txt. (x = fortlaufende Nummer).

Beende bitte Deine Schutzsoftware um eventuelle Konflikte zu vermeiden.
Bitte lade Junkware Removal Tool auf Deinen Desktop

• Starte das Tool mit Doppelklick. Ab Windows Vista (oder höher) bitte mit Rechtsklick "als Administrator ausführen" starten.
• Drücke eine beliebige Taste, um das Tool zu starten.
• Je nach System kann der Scan eine Weile dauern.
• Wenn das Tool fertig ist wird das Logfile (JRT.txt) auf dem Desktop gespeichert und automatisch geöffnet.
• Bitte poste den Inhalt der JRT.txt in Deiner nächsten Antwort.

und ein frisches FRST log bitte.

Hey Schrauber! Anbei nach und nach die Logs:

1) Malewarebytes Quick Scan log:
2) AdwCleaner
3. JRT:
Habe JRT ausgeführt. Beim 1. Log vergessen "Als Admin ausführen" auszuwählen. Beim 2. Mal ausführen habe ich anfangs (beim Backup der Registry) eine Fehlermeldung bekommen:

JRT Log Versuch 1:
JRT Log Versuch 2:
P.S.: Habe jedoch noch immer zwei Dateien im Quarantäneornder von Avast. Werden die mitgescannt? Bzw. Avast war bei den Suchläufen von Malwarebytes und AdwCleaner an. Das Abschalten der Schutzprogramme habe ich jetzt nur auf Junkware bezogen. War das richtig?

Lg! Und DANKE!!!

Und noch das frische FRST log:

FRST Logfile:

FRST Logfile:
--- --- ---

--- --- ---


Ein neues Addition log hab ich nicht bekommen.

Lg!
Asmaron

ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Downloade Dir bitte SecurityCheck und:

• Speichere es auf dem Desktop.
• Starte SecurityCheck.exe und folge den Anweisungen in der DOS-Box.
• Wenn der Scan beendet wurde sollte sich ein Textdokument (checkup.txt) öffnen.

Poste den Inhalt bitte hier.

und ein frisches FRST log bitte. Noch Probleme? :)

Hallo Schrauber,

seit heute morgen (Neustart des Systems) habe ich mehr Probleme als vorher. Irgendwie sind jetzt alle Ordner (soweit ich das überprüft habe) schreibgeschützt. Programme wie Dropbox und LibreOffice bringen Fehlermeldungen, dass sie auf entsprechende Dateien/Ordner nicht zugreifen können. Besonders blöd ist das, weil meine Frau den Laptop für ihre Schularbeiten braucht (Lehrerin). :/
Das ganze Problem klingt ganz genau so, wie in diesem Thread eines anderen Forums beschrieben: (hxxp://www.hijackthis-forum.de/allgemeine-probleme/55799-alle-ordner-ploetzlich-schreibgeschuetzt-3.html)

Alle Ordner sind schreibgeschützt - wobei unter "Eigenschaften" der Ordner das Kästchen "Schreibgeschützt" ausgefüllt ist und dahinter steht "betrifft nur die Dateien im Ordner". Unter den "Eigenschaften" der einzelnen Dateien im Ordner ist jedoch kein Häkchen beim Kästchen "Schreibgeschützt" gesetzt. Dennoch kann ich nicht auf die Dateien zugreifen (z.B. ODT Dateien, Bilddateien, usw. -> siehe Screens). Selbst die Windows Problembehebung scheint von dem Schreibschutz betroffen zu sein (hatte zwischenzeitlich plötzlich keine Internetverbindung mehr und versuchte es mit der Problembehebung zu beheben). Oje... oje... was hab ich da nur angestellt... :(

Versuche ich den Schreibschutz bei den Ordnern zu entfernen (-> Entfernen des ausgefüllten Kästchens -> klick auf Übernehmen -> Ok) ist beim nächsten Aufrufen der Eigenschaften das Kästchen sofort wieder ausgefüllt. Auch neu erstellte Ordner haben sofort diesen Schreibschutz drauf. So konnte ich auch nicht mal einen ZIP-Ordner mit den Screenshots erstellen, weil der Zugriff auf den neuen Ordner verweigert wurde...

Kann das Ganze irgendwas mit der Löschung von dem Ordner "ProgramData\Roaming" zu tun haben, wie es beim Ausführen von Combofix geschehen ist (zumindest laut Logfile s.o. v. 07.09.13)?

Und die Frage ist: Soll ich mit deiner Anleitung vom letzten Post jetzt so weitermachen oder müssen wir was anderes probieren?

Lg!
Asmaron

Drücke bitte die Windowstaste + R Taste und schreibe notepad in das Ausführen Fenster.

Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument


Speichere diese bitte als Fixlist.txt auf deinem Desktop (oder dem Verzeichnis in dem sich FRST befindet).

• Starte nun FRST erneut und klicke den Entfernen Button.
• Das Tool erstellt eine Fixlog.txt.
• Poste mir deren Inhalt.

Nach dem Fix FRST löschen und neu laden. Immer noch solche Probleme?

Hey Schrauber!

Anbei die Fixlog.txt:

Hätte ich deinen Code in "Unlock: C:\Users\Franzi\AppData\Local\Temp" umändern sollen?

Habe gestern (und jetzt gerade auch wieder) beim Starten von FRST die Meldung bekommen, dass es "out of date" ist und mir daher bereits gestern einfach FRST neu geladen. Zudem hatte ich die erste FRST-Version im Ordner Downloads ausgeführt, die zweite FRST-Version dann auf dem Desktop. War das vielleicht der Fehler? :-/ Jetzt habe ich bei der Frage ob FRST neu geladen werden soll "Nein" geklickt und dann deinen Fix angewendet.
Soll ich jetzt FRST löschen und neu laden oder muss der Code oben abgeändert werden? Oje... das tut mir leid, wenn ich alles durcheinander gebracht habe! :(

Lg!
Asmaron

EDIT: Bislang habe ich jetzt FRST nicht gelöscht und nicht neu geladen. Habe nur mal den Rechner neu hochgefahren, aber das Schreibschutzproblem besteht immer noch...

Ja bitte den Usernamen ersetzen, sorry. dann den Fix machen und ab dann nur noch ne neue Version von FRST nutzen.

Hey Schrauber!
Danke für deine Hilfe! :)

Hier die neue Fixlog:

Lösche jetzt FRST und lade es neu. Über die Berechtigungsprobleme berichte ich gleich. Soll ich ein frisches FRST dann posten oder erst noch die Scanner drüber laufen lassen, die du gestern vorgeschlagen hast?

EDIT: Mit den Zugriffsproblemen passt jetzt alles wieder!!! :) :) Danke!!! Kann jetzt wieder auf alle Dateien zugreifen und auch die Programme meckern beim Öffnen von Dateien/Dokumenten und beim Start nicht mehr! Das einzige was jetzt noch ist, ist, dass weiterhin jeder Ordner in den Eigenschaften das Feld "Schreibgeschützt" ausgefüllt hat. Dahinter steht immer noch in Klammern "(betrifft nur die Dateien im Ordner)". Die Dateien selbst sind nicht schreibgeschützt (zumindest nicht lt. Eigenschaften). Kann ich das jetzt noch irgendwie ändern? Wär echt super, wenn du mir da nochmal hilfst!
Ansonsten habe ich jetzt FRST gelöscht und neu geladen (aber noch nicht ausgeführt). Soll ich jetzt mit den Scans durch den ESET Online Scanner und mit dem Security Check weitermachen und danach ein frisches FRST posten oder erstmal gleich ein FRST posten und danach sehen wir weiter?
Lg!
Asmaron

EDIT 2: Noch eine Sache: Habe gerade bemerkt, dass der Viruscontainer von Avast jetzt leer ist. D.h. die von Avast gemeldeten Dateien sind jetzt weg? Waren die beiden .exe jetzt überhaupt Viren - weil eine der Dateien schien ja von Brother zu stammen? Im Ursprungsordner ist die .exe jetzt aber jedenfalls nicht mehr. Was wenn es aber nur ein Fehlalarm war und das System die Dateien benötigt?
Wär froh, wenn du mir das erklären könntest! :) Danke!

Ja jetzt einfach weiter im Text mit ESET und Co. Rest schaue ich mir dann an :)