coagluu.exe, TR/Trash.Gen & Co.

Hi,

junge Frau was machst du denn in letzter Zeit. Ist deine Firewall kaputt und der Virenscanner in Urlaub ?

Also das Logfile von Hijackthis ist unauffällig.

Das Logfile von malwarebytes steckt allerdings voll.

Konzentriere dich beim scannen mit malwarebytes vorläufig auf Laufwerk C.

Vielleicht ist er dann schneller fertig.

Ich habe mir übrigens erlaubt deinen Namen aus den Logfiles zu entfernen und durch XXXXXXXXXXX zu ersetzen.

Infizierte Dateien:
C:\Dokumente und Einstellungen\XXXXXXXXXXXX\coapuu.exe (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\XXXXXXXXXXXX\coapuu.scr (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\XXXXXXXXXXXX\Eigene Dateien\Zibbit Files\Spiele\7365\pztrain.exe

Den Pfaden zu den rot markierten Dateien folgen und diese bitte löschen.

Rechnerneustart und einen weiteren Scan mit malwarebytes von Laufwerk C.

LG

Hi,

keine Ahnung, was los ist - naja, diesmal selber USB-Stick .... autsch! Ich komm leider erst am WE zum Durchchecken, aber schon mal Riesendank, dann weiß ich wenigstens sofort, was ich machen muss.
Ist der Trojaner dafür verantwortlich, dass mein Malwarebytes-Check so ewig dauerte? War bei besagter Freundin genau so.

LG und erstmal schickes WE,

jinx

Hi,

achjaverdammt, dass ich das immer vergesse - danke!

So, habe im abgesichterten Modus nach den Dingern gesucht und NÜSCHT gefunden! Auch beim anschließenden Malwarebytes-Check (1 1/2 Std! ) - nix. Alles sauber. Jetzt bin ich doch etwas irritiert, obwohl das Ergebnis ja eigentlich gut ist - hm.

Werde jetzt noch mal mein AntiVir deinstallieren und neu aufspielen - das updatet nämlich nicht mehr - jedesmal 'ne Fehlermeldung. Sollte das Deinstallieren und Neuaufspielen nix bringen, muss ich wohl doch mal was anderes nehmen.

Jedenfalls danke und hoffentlich bis nicht so bald.

LG, jinx

was meldet denn Antivir ?

LG

Na, dass der Updatevorgang abgebrochen werden musste bzw. nicht gestartet werden konnte.

Das kann ja bei der Freeware von Antivir schon mal passieren, bei denen ist öfter mal der Updateserver voll.

Wie lange geht das schon ?

Funktioniert der manuelle Start des Updates ?

LG

Ja, hatte das bei der letzten Version schon, hat sich dann dank der neuen erledigt.

Das Problem habe ich seit etwa 1-2 Monaten - zwischendrin hat das Update dann mal funktioniert, daher hab' ich noch nix unternommen (jaja, nachlässig, ich weiß). Manuell oder automatisch - egal.

Joo, das ist eindeutig zu lange.....

2-3 Tage Schwierigkeiten kann schon mal sein....

bei der Version:




hab ich bisher auf drei Rechnern keine Schwierigkeiten gehabt..

LG

Hi,

ah okay, meine Version ist am 30.12.2009 neu installiert worden - denn versuche ich das mal mit der vom Januar.
Bin dann später hoffentlich mit Erfolgsmeldung zurück.

LG, jinx

Sooooo - ich habe deinstalliert, neuinstalliert - und wieder das Update-Problem (sprich kein Update, selbst nach mittlerweile über drei Minuten.).

Nenn' mich blöd, aber ich habe Deine Version nicht gefunden. Chip bot mir Version 9.0.0.418, die AntiVir-Seite sogar nur 9.0.0.415 - hä?

(Edit: kleiner Schreibfehler.)

Moin,
meine Version ist absolut identisch zu der von Q-Max. Ich kann mich auch nicht entsinnen, dass es eine besondere manuelle Download-Angelegenheit gewesen sein könnte, um diese zu erhalten sondern mit dem Update auch dieses Upgrade gegeben hat.
Was passiert, wenn du dem nach gehst: Avira AntiVir Personal - FREE Antivirus: FAQ

Hi,

hä? Was passiert? Ich lande auf der 'Avira AntiVir Personal - FREE Antivirus: FAQ'-Seite.
Welcher SlideUp-Hinweis? Was ist das bitte?


LG, jinx

Moin,
.... und da steht das, was ich extra für dich rauskopiert und auch noch schön Grün unterstrichen habe.

'N Aaaaabnd,

boah, wie krass peinlich - ich hab das ganz unten einfach übersehen - sorry, ich schieb's mal auf die permanentepcprobleminduzierte Müdigkeit.

....

Okay, ich hab's gemacht und es funktionert nicht. Angeblich existiert die Datei bereits seit knapp einem Jahr. Boah, kotzt mich dieses Programm langsam an!! Sorry.

LG, jinx

ich kann mir bald nicht vorstellen das Antivir Schuld ist.

Schalt für den Downloadversuch mal deine Firewall ab.

LG

Moin,
das war ja auch nur ein Versuch weil ich es nicht nachbilden kann.
Hier noch einer:

Hi,

@-Max
okay, dann liegt es also woran? An mir? Meinem PC? Dämonischen Viren?
Moment, ich soll ohne Firewall ins Netz?!?! Bei meinem neuerlichen Virenbefall?? Whoa! Okay ... .

@schmidtchen
Bin ja dankbar für alles - leider hat dit ooch nicht geklappt.

LG, jinx

Du sollst nicht ohne Firewall ins Netz - jedenfalls nicht so wie du denkst

Browser schließen - Firewall aus - Download versuchen. Ich glaube kaum das der Update-Server von Avira Viren verbreitet - obwohl.....wäre ja mal eine Variante

LG

Hi,

sorry, für mich heißt Update ins Netz gehen und somit klingeln da bei mir die Alarmglocken - na jut, gib mir ein paar Minuten, dann antworte ich hier wieder.

Moin,
mach erst mal dit mit de Firewall.
Du schreibst, du hast das neue bei *chip.de* geholt, eine an sich zuverlässige Adresse. Avira verweist jedoch auf andere Download-Server:
Computer-Bild
PC-Welt
Netzwelt.
Vielleicht hat *chip.de* deine noch als Ladenhüter liegen.

Hi,

ha' ick erledigt mit die Firewall, wa? Nüschte.

Hbe dann alle Download-Server durchprobiert - der einzige mit der '-19'er-Version war magnus.de oder so. Ergebnis: kein Update. Buhääääähähähähäääää!

LG, jinx

Hm...

das hatten wir so noch nicht.....

schreib doch mal eine Mail an den Support von Avira...

vielleicht haben die einen Tipp.

LG

Hi,

hurra, ich bin was Besonderes.
Okay, dann danke Euch soweit erstmal.

LG, jinx

Moin,
das du etwas Besonderes bist, wussten Q-Max und ich auch ganz ohne Updates.

LOOOOOOOOOOOOOOOOOOOOOOOOOOL

Vielen Dank für den Lacher des Tages.
Hab' nen schönen, sonnigen Schnee-Frühlingstag.
*Blümchen, Schoki und Kuchen reich*

GLG, jinx

Zitat von schmidtchen

Moin,
das du etwas Besonderes bist, wussten Q-Max und ich auch ganz ohne Updates.

WOW...schmidtchen, jetzt hast du aber zugeschlagen, ich dachte immer ich wäre fürs schleimen zuständig.

aber du hast ja Recht, sie ist schon ne Nette....
LG

*wird jetzt fast trotz des rot und schleicht sich grinsend*

brauchst du nicht - ist doch immer sehr angenehm mit dir hier Probleme zu lösen.

LG

ÖHm, danke und dito, Ihr zwei.

Melde mich dann wieder, sobald ich mehr vom Avira-Support höre.

Schönen Abend noch, LG, jinx

Hi,

keine Panik , nur zwei kleine Nachträge:
a) das manuelle AntiVir-Update hat mittlerweile geklappt, alllerdings auch nur das. Laut Support sollte es danach auch wieder 'ganz normal' funktionieren - naja .... daran arbeite ich noch.
b) Gestern tauchten die Trojaner bei einem Malwarebytes-Check wieder auf. Nach erneutem Löschen der 'pztrain.exe', einem HijackThis- und Malwarebytes-Check im abgesicherten Modus sowie direkter Suche nach den 'coapuus' (in beiden Modi) waren sie dann wieder verschwunden, aber ich trau der Sache nicht ganz.
Kann also bitte noch mal einer übers Logfile schauen?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:05:23, on 24.02.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
C:\WINDOWS\System32\gearsec.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\UAService7.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\Digital Imaging\Unload\hpqcmon.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Orbit Downloader Start
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN, Messenger und Hotmail sowie Nachrichten, Unterhaltung, Video, Sport, Lifestyle, Finanzen, Auto uvm. bei MSN
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\HP\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - https://update.microsoft.com/microsof...?1158856724061
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload2.macromedia.com/ge...sh/swflash.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\Programme\MAGIX\Common\Database\bin\fbserver.ex e (file missing)
O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O24 - Desktop Component 1: MuggleNet's Goblet of Fire Movie Countdown (November 17) - https://www.mugglenet.com/countdown/g...wn.php?o=nov17

--
End of file - 7771 bytes

LG, jinx

Moin,
im Logfile ist nichts besonders Auffälliges zu erkennen.
Lediglich um den MSN Messenger ist irgend etwas unklar:

Zitat von HjT

Laut unserer Datenbank läuft dieser Prozess nomalerweise in c:\programme\msn messenger\

Zitat von HjT

Unnötiger (unwirksamer) Eintrag der entfernt werden kann

bezieht sich auf das:

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

Fixe und lösche es. Neuinstallieren könntest du es ja wieder.

Wenn du schon S&D als Zweit-Malwarescanner benutzt, dann verzichte auf den Teatimer. Der verwirrt nur.

PS.: Wir sind dabei, eine bessere Anleitung im Umgang mit HjT zu erstellen.

Hi,

danke Dir!!
Alles gefixt und den Teatimer ausgeschaltet.
Hm - Achtung, Anfängerfragen: wenn ich AntiVir und Malwarebytes (das findet doch auch Spyware oder?) habe, brauche ich dann Spybot überhaupt noch? Wenn der Teatimer jetzt eh aus ist, dann nützt mir das Programm doch eh nur noch bei 'selbsteingeleiteter' Überprüfung oder?

LG, jinx

PS: Ja cool, hab' ich schon gesehen.

Moin,
angeblich findet AntiVir auch Malware.
Ich lasse aber den Malwarebytes immer parallel auch scannen.
Er ist mir einfach sympathischer als S&D, den ich vorher hatte.
Sicher gibt es User, die dem einen mehr vertrauen als dem anderen -oder meinen: 'doppelt hält besser'. Aber dann kommt man vor lauter Scannen kaum noch zum arbeiten.
Nur beim Virenscanner sollte nur einer eingesetzt werden, da sie sich gegenseitig behindern.

Hi,

yo, na dann lasse ich das Spybot mal wech. Der Teatimer und die Langsamkeit des Programmstarts haben mich eh wahnsinnig gemacht, lol
Und solange ich AntiVir zumindest über dieses manuelle fusebundle-Dings updaten kann, isses ja auch okay.

Schicken Tach noch und mal wieder tausend Dank.

LG, jinx