Trojaner-Board - mir unbekannte Datei in der Auswertung von hjt wclean.exe

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - mir unbekannte Datei in der Auswertung von hjt wclean.exe (https://www.trojaner-board.de/78987-mir-unbekannte-datei-auswertung-hjt-wclean-exe.html)

mir unbekannte Datei in der Auswertung von hjt wclean.exe

Hallo Leute, ich habe ein Problem, zumindest denke ich, dass ich ein Problem habe.

Ich habe eine exe names wclean.exe auf meinem Rechner und konnte bisher nicht rausfinden ob das bösartig ist oder nicht, deshalb wende ich mich mal an euch Experten.

das Log für euch:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:56:18, on 31.10.2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ATI Technologies\HydraVision\HydraMD.exe
D:\Programme\buffed\BLASC.exe
C:\Program Files\DAEMON Tools Lite\DTLite.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [HydraVisionMDEngine] "C:\Program Files\ATI Technologies\HydraVision\HydraMD.exe"
O4 - HKCU\..\Run: [BLASC] "D:\Programme\buffed\BLASC.exe" silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: Windows Cleanup.lnk = Chrisman\AppData\Local\Temp\wclean.exe
O13 - Gopher Prefix:
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe

--
End of file - 2863 bytes

Ja, wäre super wenn ihr mir helfen könntet und mir sagen könntet ob dieses Programm schädlich ist.
Antimalware zumindest schlägt nicht darauf an, aber das muss ja nicht unbedingt was heißen.
Verwendetes Betriebssystem ist übrigens Windows 7
Danke bereits im VOrraus für eure Hilfe

Edit:

das ist übrigens die auswertung von Antimalware:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3064
Windows 6.1.7600

31.10.2009 08:04:01
mbam-log-2009-10-31 (08-04-01).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 85212
Laufzeit: 56 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Bitte lasse diese Datei einmal bei Virustotal überprüfen und poste die komplette Auswertung :)

Datei wclean.exe empfangen 2009.10.31 12:36:12 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

das kam leider dabei raus

und das kommt dabei raus, wenn man bereits vorgegebene ergebnisse nimmt:

Datei wclean.exe empfangen 2009.10.28 07:56:45 (UTC)
Status: Beendet
Ergebnis: 5/41 (12.20%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.10.28 Trojan-Downloader.Virut!IK
AhnLab-V3 5.0.0.2 2009.10.27 -
AntiVir 7.9.1.44 2009.10.27 TR/Dldr.Virut.E
Antiy-AVL 2.0.3.7 2009.10.27 -
Authentium 5.1.2.4 2009.10.28 -
Avast 4.8.1351.0 2009.10.27 -
AVG 8.5.0.423 2009.10.27 -
BitDefender 7.2 2009.10.28 -
CAT-QuickHeal 10.00 2009.10.28 -
ClamAV 0.94.1 2009.10.28 -
Comodo 2755 2009.10.28 -
DrWeb 5.0.0.12182 2009.10.28 -
eSafe 7.0.17.0 2009.10.27 -
eTrust-Vet 35.1.7086 2009.10.27 -
F-Prot 4.5.1.85 2009.10.27 -
F-Secure 9.0.15370.0 2009.10.27 -
Fortinet 3.120.0.0 2009.10.28 -
GData 19 2009.10.28 -
Ikarus T3.1.1.72.0 2009.10.28 Trojan-Downloader.Virut
Jiangmin 11.0.800 2009.10.26 -
K7AntiVirus 7.10.881 2009.10.27 -
Kaspersky 7.0.0.125 2009.10.28 -
McAfee 5784 2009.10.27 -
McAfee+Artemis 5784 2009.10.27 Artemis!1A5683750B9D
McAfee-GW-Edition 6.8.5 2009.10.27 Heuristic.BehavesLike.Win32.Suspicious.H
Microsoft 1.5202 2009.10.27 -
NOD32 4550 2009.10.28 -
Norman 6.03.02 2009.10.27 -
nProtect 2009.1.8.0 2009.10.28 -
Panda 10.0.2.2 2009.10.27 -
PCTools 4.4.2.0 2009.10.19 -
Prevx 3.0 2009.10.28 -
Rising 21.53.21.00 2009.10.28 -
Sophos 4.46.0 2009.10.28 -
Sunbelt 3.2.1858.2 2009.10.27 -
Symantec 1.4.4.12 2009.10.28 -
TheHacker 6.5.0.2.055 2009.10.27 -
TrendMicro 8.950.0.1094 2009.10.27 -
VBA32 3.12.10.11 2009.10.27 -
ViRobot 2009.10.28.2008 2009.10.28 -
VirusBuster 4.6.5.0 2009.10.28 -
weitere Informationen
File size: 174095 bytes
MD5 : 1a5683750b9d1fb348df94064cd94915
SHA1 : d940a7aefafcdc38436cadfe6fc8d265bb024746
SHA256: 46186c870fddb12dc7ac83b6a67e5000d6b0ab76ed5e1b0666e55ef8dbafd650
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x30F1
timedatestamp.....: 0x494CE7E5 (Sat Dec 20 13:41:09 2008)
machinetype.......: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5C3C 0x5E00 6.44 ca314b02a65f7cd556e9938ef6148f5e
.rdata 0x7000 0x129C 0x1400 5.05 165e3e874dc59c8a96748c6f4d0f4207
.data 0x9000 0x25C58 0x400 4.80 28b2755506618890839c0d0306912643
.ndata 0x2F000 0x9000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x38000 0x64E0 0x6600 5.96 4c65e509e49d004098a954a018a0a6c0

( 8 imports )

> advapi32.dll: RegQueryValueExA, RegSetValueExA, RegEnumKeyA, RegEnumValueA, RegOpenKeyExA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA
> comctl32.dll: ImageList_AddMasked, ImageList_Destroy, -, ImageList_Create
> gdi32.dll: SetBkColor, GetDeviceCaps, DeleteObject, CreateBrushIndirect, CreateFontIndirectA, SetBkMode, SetTextColor, SelectObject
> kernel32.dll: CompareFileTime, SearchPathA, GetShortPathNameA, GetFullPathNameA, MoveFileA, SetCurrentDirectoryA, GetFileAttributesA, GetLastError, CreateDirectoryA, SetFileAttributesA, Sleep, GetTickCount, GetFileSize, GetModuleFileNameA, GetCurrentProcess, CopyFileA, ExitProcess, GetWindowsDirectoryA, SetFileTime, GetCommandLineA, SetErrorMode, LoadLibraryA, lstrcpynA, GetDiskFreeSpaceA, GlobalUnlock, GlobalLock, CreateThread, CreateProcessA, RemoveDirectoryA, CreateFileA, GetTempFileNameA, lstrlenA, lstrcatA, GetSystemDirectoryA, GetVersion, CloseHandle, lstrcmpiA, lstrcmpA, ExpandEnvironmentStringsA, GlobalFree, GlobalAlloc, WaitForSingleObject, GetExitCodeProcess, GetModuleHandleA, LoadLibraryExA, GetProcAddress, FreeLibrary, MultiByteToWideChar, WritePrivateProfileStringA, GetPrivateProfileStringA, WriteFile, ReadFile, MulDiv, SetFilePointer, FindClose, FindNextFileA, FindFirstFileA, DeleteFileA, GetTempPathA
> ole32.dll: CoTaskMemFree, OleInitialize, OleUninitialize, CoCreateInstance
> shell32.dll: SHGetPathFromIDListA, SHBrowseForFolderA, SHGetFileInfoA, ShellExecuteA, SHFileOperationA, SHGetSpecialFolderLocation
> user32.dll: EndDialog, ScreenToClient, GetWindowRect, EnableMenuItem, GetSystemMenu, SetClassLongA, IsWindowEnabled, SetWindowPos, GetSysColor, GetWindowLongA, SetCursor, LoadCursorA, CheckDlgButton, GetMessagePos, LoadBitmapA, CallWindowProcA, IsWindowVisible, CloseClipboard, SetClipboardData, EmptyClipboard, RegisterClassA, TrackPopupMenu, AppendMenuA, CreatePopupMenu, GetSystemMetrics, SetDlgItemTextA, GetDlgItemTextA, MessageBoxIndirectA, CharPrevA, DispatchMessageA, PeekMessageA, DestroyWindow, CreateDialogParamA, SetTimer, SetWindowTextA, PostQuitMessage, SetForegroundWindow, wsprintfA, SendMessageTimeoutA, FindWindowExA, SystemParametersInfoA, CreateWindowExA, GetClassInfoA, DialogBoxParamA, CharNextA, OpenClipboard, ExitWindowsEx, IsWindow, GetDlgItem, SetWindowLongA, LoadImageA, GetDC, EnableWindow, InvalidateRect, SendMessageA, DefWindowProcA, BeginPaint, GetClientRect, FillRect, DrawTextA, EndPaint, ShowWindow
> version.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

( 0 exports )
TrID : File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
ssdeep: 3072:8YL0xqfjyDymJZiYmovIzqyPo40BEglYtg5mgTtHj5L3HiOZFC:8oBtRovIqyPo40BTlY+5PLHikFC
PEiD : -
packers (F-Prot): NSIS
RDS : NSRL Reference Data Set

Wenn es das ist was da steht, haben wir ein problem

Scan mit SystemLook

Lade SystemLook von jpshortstuff von einem der folgenden Spiegel herunter und speichere das Tool auf dem Desktop.

Download Mirror #1 - Download Mirror #2

Doppelklick auf die SystemLook.exe, um das Tool zu starten.
Vista-User mit Rechtsklick und als Administrator starten.
Kopiere den Inhalt der folgenden Codebox in das Textfeld des Tools:

Code:

:filefind wclean.exe
Klicke nun auf den Button Look, um den Scan zu starten.
Wenn der Suchlauf beendet ist, wird sich Dein Editor mit den Ergebnissen öffnen, diese hier in den Thread posten.
Die Ergebnisse werden auf dem Desktop als SystemLook.txt gespeichert.

ok habe ich gemacht, dies ist das log:

SystemLook v1.0 by jpshortstuff (29.08.09)
Log created at 22:56 on 31/10/2009 by Chrisman (Administrator - Elevation successful)

========== filefind ==========

Searching for "wclean.exe"
C:\Users\Chrisman\AppData\Local\Temp\wclean.exe --a--- 174095 bytes [06:14 31/10/2009] [06:23 31/10/2009] 1A5683750B9D1FB348DF94064CD94915

-=End Of File=-

EDIT:
Deine Aussage macht mir aber nicht wirklich mut muss ich sagen.

Die datei im hijackthis einfach zu cleanen bringt nichts?
Hab da nu erstmal nichts gemacht mit, und warte auf weitere Tipps erstmal von dir.
Danke dass du dich der Sache annimmst.

Bitte wende DrWeb nach Anleitung an.

Poste mir danach noch eine HJT Logfile dazu.

OK Dr.- Weblog ist dieser hier:
Irgendwie scheint mein gesamter PC total verseucht zu sein, der hat ja unheimlich viel gefunden, wahnsinn. Aber alles weg ist immernoch nicht oder?

7291.tmp;C:\Windows\system32;Trojan.DownLoad.37236;Gelöscht.;
cmd.exe;C:\Windows\system32;Win32.Virut.56;Desinfiziert.;
a.exe;C:\Users\Chrisman\AppData\Local\Temp;Trojan.MulDrop.34119;Gelöscht.;
shost32.exe;C:\Users\Chrisman\AppData\Local\Temp;Win32.Virut.56;Desinfiziert.;
uiconsole.exe;C:\Users\Chrisman\AppData\Local\Temp;Win32.Virut.56;Desinfiziert.;
VRT3469.tmp;C:\Windows\temp;Trojan.Fakealert.5073;Gelöscht.;
bootinst_w7ldr.exe;C:\Windows\temp\RarSFX0;Win32.Virut.56;Desinfiziert.;
md5.exe;C:\Windows\temp\RarSFX0;Win32.Virut.56;Desinfiziert.;
DTPro4300305.exe/data006\data007;C:\Documents and Settings\Chrisman\AppData\Local\Anwendungsdaten\Temp\DTPro4300305.exe/data006;Wahrscheinlich DLOADER.Trojan;;
data006;C:\Documents and Settings\Chrisman\AppData\Local\Anwendungsdaten\Temp;Archiv enthält infizierte Objekte;;
DTPro4300305.exe;C:\Documents and Settings\Chrisman\AppData\Local\Anwendungsdaten\Temp;Archiv enthält infizierte Objekte;Verschoben.;
DTPro4300305.exe/data006\data007;C:\Documents and Settings\Chrisman\DoctorWeb\Quarantine\DTPro4300305.exe/data006;Wahrscheinlich DLOADER.Trojan;;
data006;C:\Documents and Settings\Chrisman\DoctorWeb\Quarantine;Archiv enthält infizierte Objekte;;
DTPro4300305.exe;C:\Documents and Settings\Chrisman\DoctorWeb\Quarantine;Archiv enthält infizierte Objekte;Verschoben.;
DTPro4300300.exe/data006\data007;C:\Dokumente und Einstellungen\Chrisman\DoctorWeb\Quarantine\DTPro4300300.exe/data006;Wahrscheinlich DLOADER.Trojan;;
data006;C:\Dokumente und Einstellungen\Chrisman\DoctorWeb\Quarantine;Archiv enthält infizierte Objekte;;
DTPro4300300.exe;C:\Dokumente und Einstellungen\Chrisman\DoctorWeb\Quarantine;Archiv enthält infizierte Objekte;Verschoben.;
nc.exe;D:\Downloads\CryptLoad_1.1.8_de\router\FRITZ!Box;Tool.Netcat;;

Nun der neue HJT Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:42:22, on 01.11.2009
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskhost.exe
C:\Windows\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\ATI Technologies\HydraVision\HydraMD.exe
D:\Programme\buffed\BLASC.exe
C:\Program Files\DAEMON Tools Lite\DTLite.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Programme\Firefox\firefox.exe
C:\Users\Chrisman\AppData\Local\Temp\dc58208867\wwtaj5.exe
C:\Users\Chrisman\AppData\Local\Temp\dc58208867\8txb6XP.exe
C:\Windows\system32\calc.exe
D:\Fallout 3\Fallout3ng.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [HydraVisionMDEngine] "C:\Program Files\ATI Technologies\HydraVision\HydraMD.exe"
O4 - HKCU\..\Run: [BLASC] "D:\Programme\buffed\BLASC.exe" silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
O4 - Startup: Windows Cleanup.lnk = Chrisman\AppData\Local\Temp\wclean.exe
O13 - Gopher Prefix:
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe

Es hat sich also nichts geändert.
Dr.Web hab ich noch nicht zu gemacht, weil er sagt es gäbe noch Bedrohungen für die keine Aktion ausgewählt wurde.

:(

Hier bleibt mir nur noch eines zu sagen.

Anleitung zum Neu aufsetzten
Hier steht WARUM

Bitte vermeide eine Datensicherung. Dieser Virus infiziert alle .exe Dateien und auch schon jpg doc usw.

hmm ok, das ist natürlich eine bittere Pille, hatte eigentlich gehofft dass ich das umgehen kann.

Ok, nichts destro trotz vielen Dank für die Arbeit die du dir gemacht hast.

Gibts evtl. noch einen Tipp mit auf den Weg wie man verhindern kann dass sowas mit auf den PC kommt?
Dachte eigentlich ich wäre relativ sicher.

Über Absicherung eines Rechners scheiden sich die Geister :D

Hier noch was zu lesen für Dich zum Thema Sicherheit von JigSaw.

Viel Glück :daumenhoc: