Computerbeveiliging - Hoe je bad guys buiten de deur houdt

GoogleUpdate.exe

24-09-2008, 11:08 door capricornus, 28 reacties
Ik heb GoogleChrome gedeinstalleerd 'comme il faut' en sindsdien heb ik een probleem: GoogleUpdate.exe wil absoluut in het startprogramma staan. Oh, niet moeilijk, denkt u. Dat dacht ik ook. Vooral in de verleden tijd. Ik heb gisterenavond en vanochtend heel mijn trukendoos geopend, langs verschillende invalshoeken en tenslotte agressief - in safe mode - via regedit de registers aangepakt en alles met Googleupd* gewoonweg verwijderd... en niets helpt. Het gedraagt zich heel agressief: indien ik 'no' antwoord, komt het binnen de seconde terug. En het blijft maar komen. Het doet mij nog het meest aan een rootkit van enkele maanden geleden denken. Niet te verwijderen. Ik heb nu een Firewall geïnstalleerd om te controleren wat er naar buiten gaat, want ik vertrouw het niet, zeker niet met de gedachte dat ik met deze pc ook nog zou kunnen telebankieren. Wat zijn de ervaringen van de community ?
Reacties (28)
24-09-2008, 13:34 door Jachra
Ga naar start >> run >> type "msconfig" >> startup services
Verwijder het vinkje bij google updater >> klik op ok en herstart de computer..
24-09-2008, 13:50 door capricornus
Allez, Jachra, ik zou mijn bijdrage niet hebben durven schrijven indien ik dát niet zou gedaan hebben. Ik heb mijn hele trukendoos geopend, schreef ik, en ik heb echt wel wat fora afgezocht. Anders ben je er toch geen twee volle dagdelen mee bezig...
Ik stel voor deze draad niet nodeloos te vullen met vanzelfsprekende tips, doorspekt met wellicht nog te verwachten bashing.
Ik heb een serieus probleem, ik heb er serieus aan gewerkt en ik stel een serieuze vraag. Graag zou ik reactie zien van mensen die eerst hetzelfde hebben meegemaakt en met een werkende oplossing komen. Want als inderdaad de vraag van Google om zich te mogen installeren in het startup-proces, niet zomaar verwijderbaar is, vind ik dat Google te ver gegaan is, zij gebruiken misschien een script dat mij kwaadaardig lijkt...en bij mij in elk geval bijzonder irritant overkomt.
24-09-2008, 14:05 door SirDice
Heb je ook in de scheduled tasks gekeken?

NB Wij weten niet wat jouw "hele trukendoos" is. Bovendien kun je zelfs de meest voor de hand liggende dingen over het hoofd gezien hebben ;)
24-09-2008, 14:08 door Anoniem
To locate instances of googleupdate, search all local fixed drives for googleupd or googleupd* (depending on the search utility, the * wildcard may be required. Note that it is not required for the Windows search feature in Windows Explorer).
Make copies of any files found, noting their original location. Depending on the OS, some or all of the following may be found:
Google Update (Task Scheduler Object)
Googleupdate.exe (Application) (two or more locations)
GoogleUpdateHelper.msi (Windows Installer Package)
You should be able to delete the Google Update Task Scheduler Object and the GoogleUpdateHelper.msi with no problem. However, to delete googleupdate.exe, you'll first need to launch Task Manager, locate the running Google Update process, and stop it. After doing that, you should be able to delete Googleupdate.exe. In other cases, GoogleUpdate may be installed as a service, in which case you will need to first stop the service before attempting to delete the file.
Next, open the Registry Editor and browse to the following subkey:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
In the right pane, locate the value named "Google Update", right-click the name and select Delete. Click Yes to confirm the deletion. When finished, close the Registry Editor.
After following the above steps, reboot the system.

Ergens op internet gevonden. Heb je het al op exact deze manier geprobeerd?

Daarnaast nog een vraag:
Gebruik je naast Google Chrome andere Google producten die het process weer overnieuw zouden kunnen downloaden?
24-09-2008, 14:49 door Anoniem
Ik begin me af te vragen of het niet een stuk malware is dat zich voordoet als Googleupdater.exe want ik weet best dat het niet zo 1,2,3 gedeinstalleert is maar dit is toch wel heer erg.
24-09-2008, 15:19 door Jachra
Door capricornusAllez, Jachra, ik zou mijn bijdrage niet hebben durven schrijven indien ik dát niet zou gedaan hebben. Ik heb mijn hele trukendoos geopend, schreef ik, en ik heb echt wel wat fora afgezocht. Anders ben je er toch geen twee volle dagdelen mee bezig...
Ik stel voor deze draad niet nodeloos te vullen met vanzelfsprekende tips, doorspekt met wellicht nog te verwachten bashing.
Ik heb een serieus probleem, ik heb er serieus aan gewerkt en ik stel een serieuze vraag. Graag zou ik reactie zien van mensen die eerst hetzelfde hebben meegemaakt en met een werkende oplossing komen. Want als inderdaad de vraag van Google om zich te mogen installeren in het startup-proces, niet zomaar verwijderbaar is, vind ik dat Google te ver gegaan is, zij gebruiken misschien een script dat mij kwaadaardig lijkt...en bij mij in elk geval bijzonder irritant overkomt.

Sorry, ik dacht dat je een oplossing zocht. Mijn excuses bij deze. Het gedrag van deze updater is in mijn opinie uiterst vervelend. Het is dan ook storend dat de Updater niet op correcte wijze wordt verwijderd als er geen andere Google Applicaties meer aanwezig zijn. Het gedrag van deze updater doet mij erg denken aan malware.

Misschien moet deze applicatie wel worden aangemeld bij stopbadware.
24-09-2008, 15:29 door capricornus
@ Anoniem. Ja die herken ik. Allemaal niet zo moeilijk. Alleen: de vraag om te mogen (her)installeren in het StartUp menu kwam terug, telkens ik iets verwijderde, of het nu een map of een sleutel betrof, en bleef dan komen. Vandaar ook mijn aanval op het register in safe mode, ik heb alles met google en update nagekeken, en elke combinatie van beide: delete? yes... En bij het opnieuw opstarten: hupsakee van 't zelfde. Om gek te worden. Om niet gek te worden dan maar yes geklikt en een firewall geinstalleerd, nu ook WhatsRunning, en de pc al een paar uur laten draaien, om te weten te komen waar die hardnekkigheid van GoogleUpdate.exe "goed" voor is (bij manier van spreken)?

Het gedrag doet mij óók denken aan malware, en het feit dat ie terugkeert na opschonen van het register in safe mode doet mij denken aan rootkitachtige toestanden. En dat mag de community - denk ik - toch wel weten en onderzoeken.
24-09-2008, 15:45 door Anoniem
Post eens een HJT log als je wil. Daar zal die bij moeten staan.
24-09-2008, 16:44 door Anoniem
Door capricornusIk heb nu een Firewall geïnstalleerd om te controleren wat er naar buiten gaat, want ik vertrouw het niet, zeker niet met de gedachte dat ik met deze pc ook nog zou kunnen telebankieren. Wat zijn de ervaringen van de community ?

Ik vraag me toch af hoe groot je truken doos is als je zelfs een firewall gaat installeren
Kijk eens op. http://www.3xkloppen.nl/ en dan op http://software.opensuse.org/ of http://www.ubuntu.com/
24-09-2008, 19:07 door [Account Verwijderd]
[Verwijderd]
24-09-2008, 20:10 door Anoniem
Probeer even met hijackthis 2.0.2 van trend. Dit is een instrument waar u veel mee aan kunt o. a. verwijderen van virussen, zoals rootkits en Googlebar's enz. Ik denk dat u hiermeegeholpen wordt. Laat iets weten nietwaar. Heb u hulp nodig om dit progje te gebruiken dan hoor ik het wel. Succes.
24-09-2008, 23:57 door Bitwiper
Met wat Googlen (!!!) vond ik [url=http://entangled.wordpress.com/2008/09/03/stealthy-googleupdate/]deze page[/url] waarvan de bron, ene douglas9 in [url=http://forum.avast.com/index.php?topic=38720.msg325065#msg325065]deze post[/url] meldt dat ie werkt. Of dat echt zo is weet ik niet (conservatief als ik ben zit ik nog op FF 2.0.0.16, dub nu over 2.0.0.17 of toch maar naar 3).

Volgende keer [url=http://news.cnet.com/8301-17939_109-10030522-2.html]RTFTOS[/url] ([url=http://entangled.wordpress.com/2008/09/03/stealthy-googleupdate/]bron[/url]) om te voorkomen dat je weer naar trukendozen moet grijpen? :^)
25-09-2008, 10:53 door spatieman
ik verwacht chrome binnenkort ook te zien geinstaleerd als ik de googletoolbar wil updaten (Niet dat die uberhaupt werkt onder vista)
25-09-2008, 10:58 door Darkman
De verwarring is compleet.
De Google Updaters waren voorheen steeds services, zoniet de updater van Chrome.
Elke gebruiker krijgt zijn eigen Chrome map (C:\Documents and Settings\Gebruikersnaam\Local Settings\Application Data\Google\).
De updater is nu een executable in de submap Update en is voorzien van een uniek id.
Deze updater staat als taak gepland wanneer de computer 10 minuten inactief is.
Na het deïnstalleren moet je de resten uit je map Local Settings\Application Data\, en de taak uit "Geplande Taken" verwijderen.

Oh ja, wat trucendozen betreft, als je [url=http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx]Process Explorer[/url] of iets dergelijks had gebruikt had je dat zelf uit kunnen vinden.
Gewoon ff kijken waar ie zit en wie hem opstart zodra ie in beeld komt.
25-09-2008, 13:38 door Anoniem
Er is een Google Update Service (gupdatexxxxx waarbij de xxxxx het unieke ID nummer is van de update service op het systeem) en Google Updater Service (gusvc).
Je moet dus de eerste hebben (Update en niet UpdateR), de laatste is van de Google Toobar.

Ga naar Start>Uitvoeren>'services.msc'
OK
Stop handmatig de Google Update Service en kopieer de unieke ID

Verwijder de service:
Open een cmd prompt (Uitvoeren>'cmd') en typ:
sc delete gupdatexxxxx
Enter

Je moet dan de terugmelding SUCCES krijgen.

Uiteraard ook de rest opschonen (geplande taken enz.)

@Capricornus
Staat ook op GSS hoor

Groetjes van keyzer
25-09-2008, 14:46 door Anoniem
Het lijkt er trouwens op dat de meest recente versie van Chrome geen services meer installeert, de eerste versies deden dat wel.
De .exe kan pas verwijderd worden nadat deze is uitgeschakeld in msconfig en het systeem is gereboot.
Daarna blijft ie nog wel in de startup-lijst zichtbaar, nader onderzoek in het register en met Process Explorer en Codestuff Starter wijst uit dat de .exe echter wel degelijk is verwijderd. Waarschijnlijk staat er nog een loze verwijzing naar de .exe in het register waardoor msconfig deze blijft zien
25-09-2008, 19:47 door Anoniem
niet laten runnen alternatief > ntfs permissie DENY all noway dat het dan nog kan runnen
25-09-2008, 20:25 door Darkman
Volgens mij heeft Chrome nooit een service geïnstalleerd.
Dit lijkt misschien zo als je naar je processen kijkt, maar de "Task Scheduler" wordt door svchost gestart waardoor ie tussen de services staat.
25-09-2008, 21:11 door Anoniem
Ik heb crome ff op een test lappie geïnstalleerd, gelukkig maar....lol..........
26-09-2008, 02:57 door Anoniem
als je die google bs niet wil, kan je ook kiezen voor de Iron browser (fork van chrome): http://it.slashdot.org/it/08/09/25/1440225.shtml

maar ik kan natuurlijk geen garanties over die code geven...
26-09-2008, 08:23 door Anoniem
http://myitforum.com/cs2/blogs/rtrent/archive/2008/09/03/chrome-user-or-not-watch-out-for-googleupdate-exe.aspx

"The interesting thing is that if you uninstall Chrome (which I have gladly) GoogleUpdate.exe still runs in the list of processes (the screen shot above was taken AFTER I uninstalled Chrome). The Chrome uninstall only took a couple seconds, which surprised me considering how long Chrome actually took to install. Apparently, it didn’t really uninstall!
I’m currently scouring my computer to see what other remnants of Chrome were left behind.
So, what does Google want with my computer? Sounds like Spyware to me."

Deelnemers,
als het allemaal zo eenvoudig was als door meerderen meegedeeld, had ik deze draad nOOit durven openen, waarom zou ik mij belachelijk maken met zoiets stoms.
Probleem was:
"Het gedraagt zich heel agressief: indien ik 'no' antwoord, komt het [dialoogbox] binnen de seconde terug."

Met andere woorden:
telkens ik IETS doe dat mij aangeraden wordt - en dat ik ook allemaal wist - popt die dialoogbox onmiddellijk terug op, waardoor je geen andere keuze hebt dan ja te klikken. Welke interventie KAN dan nog? Och simpel, ik safe mode duikel ik het register in, wat met Norton kon kan ook met Google. Ja watte ! Vandaar dus deze draad...

mvg
capricornus
26-09-2008, 10:55 door Darkman
Je zegt dat je op "no" klkt, welk programma?
Het zal wel een firewall zijn waar je een regel voor zou moeten kunnen maken.
Dat jij niet begrijpt wat er gebeurd betekent niet dat Chrome malware is. (hooguit badware omdat ie de updater achterlaat)
26-09-2008, 13:04 door Anoniem

Deelnemers,
als het allemaal zo eenvoudig was als door meerderen meegedeeld, had ik deze draad nOOit durven openen, waarom zou ik mij belachelijk maken met zoiets stoms.
Probleem was:
"Het gedraagt zich heel agressief: indien ik 'no' antwoord, komt het [dialoogbox] binnen de seconde terug."

Met andere woorden:
telkens ik IETS doe dat mij aangeraden wordt - en dat ik ook allemaal wist - popt die dialoogbox onmiddellijk terug op, waardoor je geen andere keuze hebt dan ja te klikken. Welke interventie KAN dan nog? Och simpel, ik safe mode duikel ik het register in, wat met Norton kon kan ook met Google. Ja watte ! Vandaar dus deze draad...

mvg
capricornus
[/quote]
Het is eigenlijk ook simpel.
Ik snap ook niet meer wat je probleem is, ik heb Chrome en het spul dat achterblijf gewoon kunnen verwijderen door gebruik te maken van de mogelijkheden van Windows (msconfig, services.msc enz). de andere genoemde tools zijn alleen ter controle.

Ik ben het ook met Darman eens, je moet die hoed van aluminium folie nu eens af zetten.
26-09-2008, 13:35 door Anoniem
Probeer eens met Runscanner (http://www.runscanner.net)
Daarmee zou je in expert mode dit gemakkelijk moeten kunnen uitschakelen
26-09-2008, 19:10 door capricornus
@ moderator: gelieve deze draad te verwijderen uit de startpagina
@ allen: dank voor uw grandioze benaderingen en oplossingen: ik heb u een probleem voorgeschoteld en meteen lees ik het niveau van KennisMaatschappijNederland.
@ mijzelf: nooit meer doen, joeng, ge wordt hier niet beter van en zellie ook niet.
26-09-2008, 19:38 door capricornus
Problem solved!

Partition deleted and reformated to NTFS. Re-installed WinXP sp3. No Chrome this time. Thanx for your help!
28-09-2008, 08:18 door Anoniem
Spijtign want er was reeds een goed advies geopperd: Post eens een [url=http://www.emphyrio.be/stap4.html]Hijack This log[/url]...
Dit tooltje maakt een soort van "moment opname" van je "kwetsbare registers".
Waaronder ook de opstart items.
Aan de hand van dit tooltje (en de log) , kunnen we dan advies geven ivm het al of niet fixen.

Emphyrio :)
29-09-2008, 00:29 door Anoniem
Door AnoniemProbeer eens met Runscanner (http://www.runscanner.net)
Daarmee zou je in expert mode dit gemakkelijk moeten kunnen uitschakelen

Bedankt voor deze tip.
Runnerscanner heeft een zeer goede indruk gemaakt.
Wat ik zeer waardeer is dat je je log bestand kunt uploaden, en vervolgens een bestand terug gemaild krijgt waarmee je de op je pc fouten kunt corrigeren. Dit gaat net iets verder dan Hijack.
Of je 100% kunt afgaan op de deskundigheid van degen die mijn pc fix't moet nog blijken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.