googleupdate.exe - virus? - Privacy en beveiliging

donderdag 3 september 2009 22:44

Acties:

Topicstarter

Vanavond gebeurde er iets vreemds: Google Update vroeg toestemming om te draaien waarna ik op "Yes" klikte. Vervolgens begon Kaspersky mij de ene na de andere melding over trojans te geven. Allemaal heel vervelend, maar Kaspersky leek alles te kunnen verwijderen. Toch ging er iets niet helemaal goed, vanaf dat moment gaf Windows iedere keer na het opstarten de melding dat "D:\Users\Vincent\Appdata\Roaming\Microsoft\GoogleUpdate.exe" aanpassingen aan mijn systeem wilde doen. Bizar, die hele file staat niet in die directory.

Omdat ik het niet pluis vond besloot ik maar gewoon even schoon schip te maken: een format van zoweel mijn C (systeem) als D (userdata) partitie en direct van Vista naar Windows 7 gedaan. En tot mijn grote verbazing krijg ik nu wéér die melding. Iemand enig idee wat er hier aan de hand is? En belangrijker, hoe ik er vanaf kom?

omniscale.nl

donderdag 3 september 2009 22:47

Acties:

Verwijderd

Draai eens hijacktis. Ik sluit een false positive van Kaspersky ook niet uit.

Overigens heb ik een bloedhekel aan de googleupdater/installer. Je kunt de programma's ook gewoon los downloaden zonder die tool.

[ Voor 46% gewijzigd door Verwijderd op 03-09-2009 22:48 ]

donderdag 3 september 2009 22:48

Acties:

gambieter

Just me & my cat

Als je nu eerst eens Googleupdate.exe in ... Google ... had ingevoerd, dan krijg je stapels websites met adviezen, uitleg etc. Zie linkje.

I had a decent lunch, and I'm feeling quite amiable. That's why you're still alive.

donderdag 3 september 2009 22:50

Acties:

Verwijderd

dat ding installeert ook een scheduled task die ieder uur draait, als je dat nog even aanpast ben je "in the clear" vermoed ik.

donderdag 3 september 2009 22:51

Acties:

posttoast

Topicstarter

gambieter schreef op donderdag 03 september 2009 @ 22:48:
Als je nu eerst eens Googleupdate.exe in ... Google ... had ingevoerd, dan krijg je stapels websites met adviezen, uitleg etc. Zie linkje.

Dat heb ik natuurlijk al lang gedaan. Maar: ik heb nog helemaal niets van Google geinstalleerd. Geen maps, geen Picasa, niks, nada. Dat doet me dus vermoeden dat er iets anders aan de hand is. Ik heb ook helemaal geen scheduled task gevonden (had ik ook al bekeken).

Uitslag van Hijacktis:

code:

Running processes:
C:\Program Files (x86)\SecCopy\SecCopy.exe
D:\Users\Vincent\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe"
O4 - HKLM\..\Run: [WinsysMon] D:\Users\Vincent\AppData\Roaming\Microsoft\GoogleUpdate.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [Second Copy] "C:\Program Files (x86)\SecCopy\SecCopy.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - Startup: downloader.exe
O9 - Extra button: &Virtual keyboard - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O9 - Extra button: URLs c&heck - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2010\klwtbbho.dll
O13 - Gopher Prefix: 
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 2010\avp.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk10\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk10\PDEngine.exe
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: TabletServicePen - Unknown owner - C:\Windows\system32\Pen_Tablet.exe (file missing)
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

omniscale.nl

donderdag 3 september 2009 22:54

Acties:

gambieter

Just me & my cat

posttoast schreef op donderdag 03 september 2009 @ 22:51:
Dat heb ik natuurlijk al lang gedaan.

Dan is het de volgende keer handig als je dat dan ook zegt, weinig helderzienden hier

.

Maar: ik heb nog helemaal niets van Google geinstalleerd. Geen maps, geen Picasa, niks, nada. Dat doet me dus vermoeden dat er iets anders aan de hand is. Ik heb ook helemaal geen scheduled task gevonden (had ik ook al bekeken).

Er zijn programma's als Irfanview en zo die per default Google-rommel installeren. Verder kan het zijn dat je Google als standaard zoekmachine hebt?

Maar als je geen Google programma's hebt, waarom drukte je dan op Yes?

I had a decent lunch, and I'm feeling quite amiable. That's why you're still alive.

donderdag 3 september 2009 22:56

Acties:

posttoast

Topicstarter

Sorry, ik had het inderdaad niet goed uitgelegd.

In mijn vorige installatie draaide ik meerdere Google-applicaties, daarom had ik toen op Yes geklikt. Nu (na format en herinstallatie) heb ik die nog niet geïnstalleerd en daarom verbaast de melding mij.

Overigens heb ik wél Google als standaard zoekmachine, maar het is nieuw voor mij dat dan direct GoogleUpdater geïnstalleerd wordt. Betekent dit paniek om niets, of moet ik me toch zorgen maken?

[ Voor 3% gewijzigd door posttoast op 03-09-2009 22:57 ]

omniscale.nl

donderdag 3 september 2009 23:00

Acties:

gambieter

Just me & my cat

posttoast schreef op donderdag 03 september 2009 @ 22:56:
Overigens heb ik wél Google als standaard zoekmachine, maar het is nieuw voor mij dat dan direct GoogleUpdater geïnstalleerd wordt. Betekent dit paniek om niets, of moet ik me toch zorgen maken?

Ik weet niet of het dan "gratis" meekomt. Heb je al de instructies voor verwijdering geprobeerd?

I had a decent lunch, and I'm feeling quite amiable. That's why you're still alive.

donderdag 3 september 2009 23:01

Acties:

Verwijderd

Google installeert echt niet vanzelf software als je hun zoekmachine bezoekt. Ws. heb je iets geinstalleerd waar een toolbar oid bij zat.

donderdag 3 september 2009 23:05

Acties:

posttoast

Topicstarter

Verwijderd schreef op donderdag 03 september 2009 @ 23:01:
Google installeert echt niet vanzelf software als je hun zoekmachine bezoekt. Ws. heb je iets geinstalleerd waar een toolbar oid bij zat.

Ja, dat zou je wel denken maar ik let daar echt heel goed op (alleen custom installaties en ik check alles wat ik aanvink). Bovendien heb ik nog amper iets geïnstalleerd.

Het vervelende is dat ik ook niets terugvind uit de verschillende verwijder-tutorials (zoals deze: http://www.mydigitallife....pdateexe-from-the-system/). Die bestanden, service en register-entry heb ik gewoon niet. Heel bizar, maar behalve de melding van Windows bij het opstarten vind ik dus nergens een spoor van GoogleUpdate terug.

omniscale.nl

donderdag 3 september 2009 23:07

Acties:

Verwijderd

Je hebt neem ik aan een firewall en spywarescanner? Up to date?

donderdag 3 september 2009 23:08

Acties:

Verwijderd

Upload je googleupdate.exe eens naar www.virustotal.com en www.jotti.org .

donderdag 3 september 2009 23:08

Acties:

Verwijderd

kijk eens met autoruns of je het kan terugvinden.

donderdag 3 september 2009 23:08

Acties:

posttoast

Topicstarter

Verwijderd schreef op donderdag 03 september 2009 @ 23:07:
Je hebt neem ik aan een firewall en spywarescanner? Up to date?

Firewall zit in Windows ingebouwd, Kaspersky AntiVirus checkt ook voor spyware (maar vindt in dit geval niets).

Verwijderd schreef op donderdag 03 september 2009 @ 23:08:
Upload je googleupdate.exe eens naar www.virustotal.com en www.jotti.org .

Dat is dus het gekke, ik kan dat hele bestand niet vinden.

[ Voor 66% gewijzigd door posttoast op 03-09-2009 23:10 ]

omniscale.nl

donderdag 3 september 2009 23:08

Acties:

Verwijderd

Verwijderd schreef op donderdag 03 september 2009 @ 23:08:
Upload je googleupdate.exe eens naar www.virustotal.com en www.jotti.org .

Moet ie wel eerst te vinden zijn op z'n systeem

donderdag 3 september 2009 23:12

Acties:

posttoast

Topicstarter

OK, met autoruns heb ik hem teruggevonden. In de startlijst dan, heel gek zo staat ie erin:

code:

1	WinsysMon SM Software d:\users\vincent\appdata\roaming\microsoft\googleupdate.exe

Maar googleupdate.exe staat dus niet waar hij zou moeten staan (ik heb "show hidden files" aangevinkt in explorer).

omniscale.nl

donderdag 3 september 2009 23:12

Acties:

Verwijderd

Verwijderd schreef op donderdag 03 september 2009 @ 23:08:
[...]

Moet ie wel eerst te vinden zijn op z'n systeem

Hehe

Om het bestand te vinden: verborgen bestanden + systeembestanden weergeven al aangevinkt bij mapopties? Edit: dat is dus ook al gedaan. Al eens het hele pad+filenaam gekopieerd en geplakt in bijvoorbeeld het uploadvenster van de bovengenoemde sites?

[ Voor 20% gewijzigd door Verwijderd op 03-09-2009 23:14 ]

donderdag 3 september 2009 23:14

Acties:

Verwijderd

start --> run --> cmd

code:

1 2	del d:\users\vincent\appdata\roaming\microsoft\googleupdate.exe enter

indien bevestiging wordt gevraagd: yes.

donderdag 3 september 2009 23:16

Acties:

posttoast

Topicstarter

Verwijderd schreef op donderdag 03 september 2009 @ 23:14:
start --> run --> cmd
code:
1
2
del d:\users\vincent\appdata\roaming\microsoft\googleupdate.exe
enter
indien bevestiging wordt gevraagd: yes.

Dan krijg ik dit:

Could Not Find d:\users\vincent\appdata\roaming\microsoft\googleupdate.exe

omniscale.nl

donderdag 3 september 2009 23:17

Acties:

Verwijderd

posttoast schreef op donderdag 03 september 2009 @ 23:12:
OK, met autoruns heb ik hem teruggevonden. In de startlijst dan, heel gek zo staat ie erin:
code:
1
WinsysMon       SM Software d:\users\vincent\appdata\roaming\microsoft\googleupdate.exe
Maar googleupdate.exe staat dus niet waar hij zou moeten staan (ik heb "show hidden files" aangevinkt in explorer).

wel, misschien heeft Kaspersky niet alleen gewaarschuwd, maar het ook al in quarantaine geplaatst (of wat doen die av-progsels tegenwoordig)? er zijn namelijk wel degelijk trojans ed in omloop die gebruik lijken te maken van een fake googeupdate.exe.

trouwens : in autoruns kun je dit opstartitem uitvinken en deleten.

[ Voor 5% gewijzigd door Verwijderd op 03-09-2009 23:21 ]

donderdag 3 september 2009 23:18

Acties:

Verwijderd

Als dat bestand er echt niet staat dan wil ik de precieze melding wel eens zien. Screenshotje oid.
Mss is het wel gewoon een melding dat het bestand verwacht wordt maar ontbreekt. Dan mik je die regel gewoon uit je startup.

donderdag 3 september 2009 23:20

Acties:

posttoast

Topicstarter

Ik krijg geen melding van Kaspersky maar van Windows. Hij staat dan ook niet in de Kaspersky-quarantaine. Als ik hem uitvink in autoruns krijg ik de melding niet meer inderdaad, maar voor de volledigheid vink ik hem nu weer aan en maak ik een screenshot. Momentje

En terug. Goed, screenshot maken werkt blijkbaar niet bij zo'n veiligheidsmelding. Maar ik heb het nog even gecheckt en er staat echt iets in de trant van "This application wants to make changes to your system". Niet dat hij hem niet kan vinden.

Uitvinken in autoruns helpt dus, maar dat is volgens mij symptoombestrijding. Hoe kom ik hier écht van af? En belangrijker: wat is er nou eigenlijk aan de hand?

Ho, stop, hold your horses: nu zie ik hem opeens wel staan in die directory. Ik ga eens proberen wat er gebeurt als ik hem weggooi en dan opnieuw opstart.

Gecheckt: dan blijft ie dus weg. Wat nu te doen? Weer formateren? Of is alles nu met een sisser afgelopen en is er niets aan de hand? En wat is WinsysMon?

[ Voor 61% gewijzigd door posttoast op 03-09-2009 23:32 ]

omniscale.nl

donderdag 3 september 2009 23:30

Acties:

Neverwinterx

Zorg dat Kaspersky helemaal up to date is. Volgens dit detecteert het googleupdate als trojan (of althans vroeger).
Mogelijk heeft Kaspersky het verwijderd, maar niet bepaalde registry entries waardoor het programma nu freakt.

donderdag 3 september 2009 23:30

Acties:

Verwijderd

symptoom

Het lijkt er toch op dat dat bestand ontbreekt en dat je daarom die melding krijgt. Mss dat in Win7 zoiets gepoogd wordt om terug te zetten via een of andere herstelprocedure oid. En dat ie die bestanden niet scanned bij een search. Ik heb nog niet met Win7 gewerkt dus dat kan ik niet zeggen.

Als je de regel kunt verwijderen met autoruns, en daarna het bestand echt niet terug kunt vinden, en verder gebeuren er geen rare dingen na een reboot oid, dan zou ik me niet al teveel zorgen maken.

donderdag 3 september 2009 23:33

Acties:

posttoast

Topicstarter

_{symptoom inderdaad. Typo, want ik ben een taalpurist. Bovendien is mijn vriendin neerlandicus, dus ik krijg slaag als ik dat soort fouten maak}

Ik heb overigens wat updates gezet in mijn post hierboven. Het kwam erop neer dat de file er wel stond maar dat ik hem heb weggegooid en hij nu niet meer terug komt. Overigens heb ik de meest recente versie van Kaspersky met de nieuwste updates.

Nu gewoon schouders ophalen en verder werken?

omniscale.nl

donderdag 3 september 2009 23:39

Acties:

Verwijderd

Tenzij je paranoide bent. Dan zet je er een versie Win7-installatie op met de netwerkkabel uit de machine. Na installatie zet je er meteen vanaf usb-stick de virusscanner + updates op, en gaat daarna pas online

vrijdag 4 september 2009 00:05

Acties:

Verwijderd

posttoast schreef op donderdag 03 september 2009 @ 23:33:
Het kwam erop neer dat de file er wel stond maar dat ik hem heb weggegooid en hij nu niet meer terug komt.

niet slim, waarom heb je die file niet even door jotti gejaagd nu je de kans had? maar goed, als je voor de rest geen eigenaardigheden meer ziet, zal het wel goed zitten.

vrijdag 18 september 2009 08:28

Acties:

posttoast

Topicstarter

Zo, even een flinke trap. Was inderdaad dom dat ik die file de vorige keer heb weggegooid, maarrr: ik heb zojuist Windows Server 2008 op een andere machine geïnstalleerd en daar had ik precies hetzelfde probleem. Hier gaf Windows bij het opstarten de melding "Project1 has stopped working" met een verwijzing naar GoogleUpdate.exe.

Dit keer heb ik het bestandje maar even door Jotti's scanner en VirusTotal heen gejaagd, en die hebben niets gevonden. Betekent dat dat er echt niets aan de hand is? Voor de liefhebbers heb ik hem hier nog neergezet: GoogleUpdate.zip.

omniscale.nl