cUpdate.exe

30.04.05, 10:53
Przypałętało mi się coś takiego jak cUpdate.exe. Jest to trojan downloader.
Nie potrafię sobie z tym poroadzić. Nic nie pomaga mój program antywirusowy
(KAV), ani Scaner online MKS, nie pomagają też takie programy jak TDS-3
Professional i hijackthis. LUDZIE POMÓŻCIE MI BO MNIE ZARAZ COŚ TRAFI. Nie
pomaga nawet fizyczne wywalenie i usunięcie z rejestru plików.
    • Gość: Kolobos Re: cUpdate.exe IP: *.warszawa.sdi.tpnet.pl 30.04.05, 11:05
      Zeby uzywac hijackthis, trzeba wiedziec co sie robi ;-)
      Wklej log z hijackthis na forum to zobaczymy co tam masz.
      • gwidonisko Re: cUpdate.exe 01.05.05, 18:21
        Gość portalu: Kolobos napisał(a):

        > Zeby uzywac hijackthis, trzeba wiedziec co sie robi ;-)
        > Wklej log z hijackthis na forum to zobaczymy co tam masz.


        to jest log:
        Logfile of HijackThis v1.99.1
        Scan saved at 18:20:02, on 2005-05-01
        Platform: Windows 2000 SP4 (WinNT 5.00.2195)
        MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

        Running processes:
        C:\WINNT\System32\smss.exe
        C:\WINNT\system32\csrss.exe
        C:\WINNT\system32\winlogon.exe
        C:\WINNT\system32\services.exe
        C:\WINNT\system32\lsass.exe
        C:\WINNT\system32\svchost.exe
        C:\WINNT\system32\spoolsv.exe
        C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
        C:\WINNT\System32\svchost.exe
        C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
        C:\WINNT\system32\regsvc.exe
        C:\WINNT\system32\MSTask.exe
        C:\WINNT\System32\WBEM\WinMgmt.exe
        C:\WINNT\system32\svchost.exe
        C:\WINNT\Explorer.EXE
        C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
        C:\WINNT\system32\internat.exe
        C:\WINNT\system32\RunDLL32.exe
        C:\PROGRA~1\SPYWAR~1\swdoctor.exe
        C:\Program Files\Netscape\Netscape\Netscp.exe
        C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
        C:\WINNT\system32\wuauclt.exe
        C:\Program Files\wincmd\WINCMD32.EXE
        C:\WINNT\system32\cUpdate.exe
        C:\Documents and Settings\Administrator\Pulpit\hijackthis\HijackThis.exe

        R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
        O1 - Hosts: 64.91.255.87 www.dcsresearch.com
        O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} -
        C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
        O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} -
        C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
        O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
        C:\WINNT\system32\msdxm.ocx
        O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
        O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
        O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
        O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky
        Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
        O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus
        Personal Pro\avpcc.exe" /wait
        O4 - HKLM\..\Run: [Norton Update] cUpdate.exe
        O4 - HKLM\..\RunServices: [Norton Update] cUpdate.exe
        O4 - HKCU\..\Run: [internat.exe] internat.exe
        O4 - HKCU\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
        O4 - HKCU\..\Run: [Spyware Doctor] C:\PROGRA~1\SPYWAR~1\swdoctor.exe /Q
        O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program
        Files\Netscape\Netscape\Netscp.exe" -turbo
        O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky
        Lab\Kaspersky Anti-Hacker\KAVPF.exe
        O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} -
        C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
        O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
        C:\WINNT\web\related.htm
        O9 - Extra 'Tools' menuitem: Show &Related Links -
        {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
        O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
        skaner.mks.com.pl/SkanerOnline.cab
        O17 - HKLM\System\CCS\Services\Tcpip\..\{EB32C9F4-E481-4504-855C-66FA58060A44}:
        NameServer = 192.168.100.1,194.204.159.1
        O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program
        Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file
        missing)
        O23 - Service: Usługa administracyjna Menedżera dysków logicznych (dmadmin) -
        VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
        O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner -
        C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe"
        /service (file missing)
        O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
        C:\WINNT\System32\nvsvc32.exe

        proszę pomóż
        • Gość: Kolobos Re: cUpdate.exe IP: *.warszawa.sdi.tpnet.pl 01.05.05, 18:34
          Zaznacz w hijackthis te wpisy:
          O1 - Hosts: 64.91.255.87 www.dcsresearch.com
          O4 - HKLM\..\Run: [Norton Update] cUpdate.exe
          O4 - HKLM\..\RunServices: [Norton Update] cUpdate.exe

          Nastepnie sciagnij killbox:
          www.downloads.subratam.org/KillBox.zip
          Zaznacz delete file on reboot, wklej sciezke do:
          C:\WINNT\system32\cUpdate.exe i nacisnij czerwony przycisk.
          Po resecie powinno juz go nie byc.

          Do tego zainstaluj:
          www.safer-networking.org/pl/mirrors/index.html <- SpyBot S&D ->
          przeskanuj i wlacz ochrone przegladarki
          www.javacoolsoftware.com/spywareblaster.html <- SpywareBlaster -> wlacz
          ochrone przegladarki
          www.wilderssecurity.net/spywareguard.html <- SpywareGuard

          Przeskanuj tez system tym:
          housecall.trendmicro.com/housecall/start_corp.asp
          www.windowsecurity.com/trojanscan/
          www.pandasoftware.com/activescan/pol/activescan_principal.htm
          Po wszystkim wklej nowy log z hijackthis po resecie.

          A co do Spyware Doctor to bym go na Twoim miejscu odinstalowal.
          • gwidonisko Re: cUpdate.exe 02.05.05, 00:00
            Dziękuję Ci bardzo. Za pomoc chyba się udało. Jestem Ci bardzo wdzięczny, że mi
            tyle pomogłeś i to bezinteresownie. Jeszcze raz dzięki wielkie.
          • gmx3 Re: cUpdate.exe 03.05.05, 19:49
            a mi pomożecie? mam coś akiego samego....
            ???

            Marzenka
            • neder Re: cUpdate.exe 03.05.05, 19:51
              www.mgregor.republika.pl
              • neder Re: cUpdate.exe 03.05.05, 19:51
                miało byc inaczej :)
                www.mgregor.republika.pl/
          • gwidonisko Re: cUpdate.exe 04.05.05, 14:53
            Witaj Kolobos
            Musiałem jeszcze przeskanować komputer scanerami online
            przesyłam ponownie loga z hijackthis. Ale zanim go wkleję to napiszę coś jeszcze.
            Otórz PANDA skaner on line wykrył mi jakieś świnstwa, których nie mógł mi
            usunąć. Prześlę Ci również to co mi znalazł:


            Incident Status Location




            Adware:Adware/ExactSearch No disinfected Windows Registry



            Virus:Eicar.Mod No disinfected
            E:\KAVPersonalPro\data1.cab[eicar.html]





            A to jest log z HIJACKTHIS:

            Logfile of HijackThis v1.99.1
            Scan saved at 14:33:10, on 2005-05-04
            Platform: Windows 2000 SP4 (WinNT 5.00.2195)
            MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

            Running processes:
            C:\WINNT\System32\smss.exe
            C:\WINNT\system32\csrss.exe
            C:\WINNT\system32\winlogon.exe
            C:\WINNT\system32\services.exe
            C:\WINNT\system32\lsass.exe
            C:\WINNT\system32\svchost.exe
            C:\WINNT\system32\spoolsv.exe
            C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
            C:\WINNT\System32\svchost.exe
            C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe
            C:\WINNT\system32\regsvc.exe
            C:\WINNT\system32\MSTask.exe
            C:\WINNT\System32\WBEM\WinMgmt.exe
            C:\WINNT\system32\svchost.exe
            C:\WINNT\Explorer.EXE
            C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe
            C:\WINNT\system32\internat.exe
            C:\WINNT\system32\RunDLL32.exe
            C:\Program Files\Kaspersky Lab\Kaspersky Anti-Hacker\KAVPF.exe
            C:\Program Files\SpywareGuard\sgmain.exe
            C:\Program Files\SpywareGuard\sgbhp.exe
            C:\WINNT\system32\wuauclt.exe
            C:\WINNT\system32\ntvdm.exe
            C:\Program Files\Netscape\Netscape\Netscp.exe
            C:\Program Files\a2\a2guard.exe
            C:\Program Files\wincmd\WINCMD32.EXE
            C:\WINNT\System32\cisvc.exe
            C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
            C:\WINNT\System32\cidaemon.exe
            C:\Documents and Settings\Administrator\Pulpit\hijackthis\HijackThis.exe

            R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Łącza
            O2 - BHO: SpywareGuard Download Protection -
            {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program Files\SpywareGuard\dlprotect.dll
            O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} -
            C:\PROGRA~1\SPYBOT~1\SDHelper.dll
            O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
            O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
            C:\WINNT\system32\msdxm.ocx
            O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
            O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
            O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
            O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Program Files\Kaspersky
            Lab\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
            O4 - HKLM\..\Run: [AVPCC] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus
            Personal Pro\avpcc.exe" /wait
            O4 - HKCU\..\Run: [internat.exe] internat.exe
            O4 - HKCU\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
            O4 - HKCU\..\Run: [a-squared] "C:\Program Files\a2\a2guard.exe"
            O4 - Startup: SpywareGuard.lnk = C:\Program Files\SpywareGuard\sgmain.exe
            O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Program Files\Kaspersky
            Lab\Kaspersky Anti-Hacker\KAVPF.exe
            O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} -
            C:\WINNT\web\related.htm
            O9 - Extra 'Tools' menuitem: Show &Related Links -
            {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
            O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -
            www.pandasoftware.com/activescan/as5/asinst.cab
            O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (ASquaredScanForm Element) -
            www.windowsecurity.com/trojanscan/axscan.cab
            O16 - DPF: {E7544C6C-CFD6-43EA-B4E9-360CEE20BDF7} (MainControl Class) -
            skaner.mks.com.pl/SkanerOnline.cab
            O17 - HKLM\System\CCS\Services\Tcpip\..\{EB32C9F4-E481-4504-855C-66FA58060A44}:
            NameServer = 192.168.100.1,194.204.159.1
            O23 - Service: AVP Control Centre Service (AVPCC) - Unknown owner - C:\Program
            Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /service (file
            missing)
            O23 - Service: Usługa administracyjna Menedżera dysków logicznych (dmadmin) -
            VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
            O23 - Service: KAV Monitor Service (KAVMonitorService) - Unknown owner -
            C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\avpm.exe"
            /service (file missing)
            O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation -
            C:\WINNT\System32\nvsvc32.exe
            O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software -
            C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe

            • Gość: Kolobos Re: cUpdate.exe IP: *.warszawa.sdi.tpnet.pl 04.05.05, 15:05
              Eicar to taki test antyvirusa :-)
              Zobacz:
              www.google.pl/search?sourceid=navclient&hl=pl&ie=UTF-8&oe=UTF-8&q=Eicar
              A to:
              Adware:Adware/ExactSearch No disinfected Windows Registry
              to chyba tylko w rejestrze cos zostalo bo log jest czysty.
              wpisz w google ExactSearch i poszukaj dokladnego opisu usuwania, moze cos
              zostalo :-)
              • gwidonisko Re: cUpdate.exe 04.05.05, 15:13
                Mam jeszcze jedno pytanie. Wnioskuję, że skoro posiadasz taką wiedzę to wiesz
                dużo o programach antywirusowych. Mam pytanie co sądzisz o kaspersky
                antywirus?? Lub jaki program byś polecił??
      • gwidonisko Re: cUpdate.exe 04.05.05, 16:23
        No to nie mam dobrej nowiny. Dla wszystkich walczących z cUpdate.exe
        Mimo wytrwałej pomocy KOLOBOS'a nie udało się usunąć tego pliku. Właśnie
        ponownie mi się pojawił mimo tego, że nie sięgałem nic z neta oprócz programów
        do walki z tym gównem, więc nie mam pojęcia co mam dalej robić. Czekam na
        interesujące pomysły.
        • Gość: Kolobos Re: cUpdate.exe IP: *.warszawa.sdi.tpnet.pl 05.05.05, 07:45
          Uruchom windows w trybie awaryjnym i zrob sobie log z tym:
          www.silentrunners.org/Silent%20Runners.vbs
          Nastepnie go tutaj wklej :-)
          Antyvirusa uzywaj jakiego chcesz jak Ci odpowiada, sam uzywam:
          www.free-av.com/
          Jak komus polecam to:
          www.avast.com/eng/avast_4_home.html
Inne wątki na temat:
Pełna wersja