Babylon,cerco Di Disistallarlo,ma Non Lo Trovo

shampo · July 24, 2013

buonasera,quando apro chrome mi trovo nella barra babylon,cerco di disistallarlo,ma non lo trovo,vi allego il post

grazie

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:05:45, on 24/07/2013

Platform: Unknown Windows (WinNT 6.01.3505 SP1)

MSIE: Internet Explorer v10.0 (10.00.9200.16635)

Boot mode: Normal

Running processes:

C:\Users\rosy\AppData\Roaming\cacaoweb\cacaoweb.exe

C:\Program Files\AVAST Software\Avast\AvastUI.exe

C:\Windows\SysWOW64\DllHost.exe

C:\Users\rosy\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/p/?LinkId=255141

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/p/?LinkId=255141

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm

O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Program Files (x86)\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll

O2 - BHO: PDF Architect Helper - {3A2D5EBA-F86D-4BD3-A177-019765996711} - C:\Program Files (x86)\PDF Architect\PDFIEHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~1\Office14\GROOVEEX.DLL

O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll

O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL

O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui

O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe"

O4 - HKCU\..\Run: [cacaoweb] "C:\Users\rosy\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer

O4 - HKCU\..\Run: [Google Update] "C:\Users\rosy\AppData\Local\Google\Update\GoogleUpdate.exe" /c

O9 - Extra button: Invia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: I&nvia a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll

O9 - Extra button: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O9 - Extra 'Tools' menuitem: &Note collegate di OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll

O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll

O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL

O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe

O23 - Service: Adobe Flash Player Update Service (AdobeFlashPlayerUpdateSvc) - Adobe Systems Incorporated - C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe

O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)

O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe

O23 - Service: Servizio Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)

O23 - Service: Servizio Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe

O23 - Service: Servizio Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Canon Inkjet Printer/Scanner/Fax Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files (x86)\Canon\IJPLM\IJPLMSVC.EXE

O23 - Service: Servizio iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: Mozilla Maintenance Service (MozillaMaintenance) - Mozilla Foundation - C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe

O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: NMIndexingService - Nero AG - C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexingService.exe

O23 - Service: PDF Architect Helper Service - pdfforge GmbH - C:\Program Files (x86)\PDF Architect\HelperService.exe

O23 - Service: PDF Architect Service - pdfforge GmbH - C:\Program Files (x86)\PDF Architect\ConversionService.exe

O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)

O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe

O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)

O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)

O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)

O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)

O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)

O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--

End of file - 8338 bytes

pike · July 24, 2013

Hai comunque anche altri software che portano pubblicità, come CacaoWeb.

HJT per Windows 7 non è molto indicato, meglio usare DDS.

Aggiorna SpyBot Search And Destroy, esegui una scansione, pulisci quanto ti propone e posta il log

Poi scarica adwcleaner da qui, qui trovi una guida di come usarlo.

Dai direttamente "elimina" alla prima esecuzione.

Se hai ancora la barra di Babylon, butta un occhio alle estensioni di Chrome

gopher · July 24, 2013

HJT per Windows 7 non è molto indicato, meglio usare DDS.

Ancora di più considerando che sta usando una versione molto vecchia (2.0.2). Le ultime versioni 2.0.4 e 2.0.5 beta con licenza GPL sono decisamente meglio: http://sourceforge.net/projects/hjt/

shampo · July 25, 2013

ciao,scusa che significa HJT per Windows 7 non è molto indicato, meglio usare DDS.cosa dovrei fare,comunque grazie con adwcleaner sono riuscita a togliere babylon,cacao web nn lo vedo va tolto?

eppoi scusa versione vecchia ma di cosa? di chrome?

grazie ancora,posto il file.......

SpyBot Search And Destroy non ha trovato niente

# AdwCleaner v2.306 - Logfile creato il 25/07/2013 alle 14:31:41
# Aggiornamento 19/07/2013 by Xplode
# Sistema Operativo : Windows 7 Home Premium Service Pack 1 (64 bits)
# Utente : rosy - ROSY-PC
# Modalità Avvio : Modalità Normale
# Eseguito da : C:\Users\rosy\Desktop\adwcleaner.exe
# Opzioni [Elimina]


***** [servizi] *****


***** [File / Cartelle] *****

Cartella Eliminato : C:\Program Files (x86)\1ClickDownload
Cartella Eliminato : C:\ProgramData\Tarma Installer
Cartella Eliminato : C:\Users\rosy\AppData\Roaming\cacaoweb
Cartella Eliminato : C:\Users\rosy\AppData\Roaming\DSite
Cartella Eliminato : C:\Users\rosy\AppData\Roaming\Mozilla\Firefox\Profiles	szygzfs.default\extensions\cacaoweb@cacaoweb.org
Cartella Eliminato : C:\Users\rosy\AppData\Roaming\OpenCandy
Cartella Eliminato : C:\Users\rosy\AppData\Roaming\pdfforge
File Eliminato : C:\Users\rosy\Desktop\cacaoweb.exe

***** [Registro] *****

Chiave Eliminata : HKCU\Software\cacaoweb
Chiave Eliminata : HKCU\Software\ChatZum Toolbar
Chiave Eliminata : HKCU\Software\Conduit
Chiave Eliminata : HKCU\Software\InstallCore
Chiave Eliminata : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
Chiave Eliminata : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Chiave Eliminata : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{31AD400D-1B06-4E33-A59A-90C2C140CBA0}
Chiave Eliminata : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
Chiave Eliminata : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Chiave Eliminata : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\grusskartencenter.com
Chiave Eliminata : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\EscDomains\grusskartencenter.com
Chiave Eliminata : HKCU\Software\SmartbarLog
Chiave Eliminata : HKCU\Software\Softonic
Chiave Eliminata : HKCU\Software\YahooPartnerToolbar
Chiave Eliminata : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}
Chiave Eliminata : HKLM\Software\ChatZum Toolbar
Chiave Eliminata : HKLM\SOFTWARE\Classes\AppID\{608D3067-77E8-463D-9084-908966806826}
Chiave Eliminata : HKLM\SOFTWARE\Classes\AppID\{CFE8AAFD-A0F3-4329-84E9-6B679EC93EC2}
Chiave Eliminata : HKLM\SOFTWARE\Classes\Prod.cap
Chiave Eliminata : HKLM\SOFTWARE\Microsoft\Tracing\chatzum_nt_RASAPI32
Chiave Eliminata : HKLM\SOFTWARE\Microsoft\Tracing\chatzum_nt_RASMANCS
Chiave Eliminata : HKLM\SOFTWARE\Microsoft\Tracing\Giant Savings_RASAPI32
Chiave Eliminata : HKLM\SOFTWARE\Microsoft\Tracing\Giant Savings_RASMANCS
Chiave Eliminata : HKLM\SOFTWARE\Microsoft\Tracing\offerbox_RASAPI32
Chiave Eliminata : HKLM\SOFTWARE\Microsoft\Tracing\offerbox_RASMANCS
Chiave Eliminata : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASAPI32
Chiave Eliminata : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASMANCS
Chiave Eliminata : HKLM\SOFTWARE\Microsoft\Tracing\SweetPacksUpdateManager_RASAPI32
Chiave Eliminata : HKLM\SOFTWARE\Microsoft\Tracing\SweetPacksUpdateManager_RASMANCS
Chiave Eliminata : HKLM\SOFTWARE\Microsoft\Tracing\WebCakeDesktop_RASAPI32
Chiave Eliminata : HKLM\SOFTWARE\Microsoft\Tracing\WebCakeDesktop_RASMANCS
Chiave Eliminata : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{006EE092-9658-4FD6-BD8E-A21A348E59F5}
Chiave Eliminata : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Chiave Eliminata : HKLM\Software\Offerbox
Chiave Eliminata : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{02054E11-5113-4BE3-8153-AA8DFB5D3761}
Chiave Eliminata : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{25A3A431-30BB-47C8-AD6A-E1063801134F}
Chiave Eliminata : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Chiave Eliminata : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{7B5E8CE3-4722-4C0E-A236-A6FF731BEF37}
Chiave Eliminata : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}
Chiave Eliminata : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68B81CCD-A80C-4060-8947-5AE69ED01199}
Chiave Eliminata : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{74C36554-31F0-49DD-8857-ED6A64DF45BE}
Chiave Eliminata : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E6B969FB-6D33-48D2-9061-8BBD4899EB08}
Chiave Eliminata : HKLM\SOFTWARE\Classes\Interface\{7B5E8CE3-4722-4C0E-A236-A6FF731BEF37}
Chiave Eliminata : HKLM\SOFTWARE\Google\Chrome\Extensions\dlnembnfbcpjnepmfjmngjenhhajpdfd
Chiave Eliminata : HKLM\SOFTWARE\Software
Chiave Eliminata : HKLM\SOFTWARE\Tarma Installer
Valore Eliminata : HKCU\Software\Microsoft\Windows\CurrentVersion\Run [cacaoweb]
Valore Eliminata : HKLM\SOFTWARE\Mozilla\Firefox\extensions [{336D0C35-8A85-403a-B9D2-65C292C39087}]

***** [browser Internet] *****

-\\ Internet Explorer v10.0.9200.16635

[OK] Registro Pulito.

-\\ Mozilla Firefox v20.0.1 (it)

File : C:\Users\rosy\AppData\Roaming\Mozilla\Firefox\Profiles	szygzfs.default\prefs.js

C:\Users\rosy\AppData\Roaming\Mozilla\Firefox\Profiles	szygzfs.default\user.js ... Eliminato !

[OK] File Pulito.

-\\ Google Chrome v28.0.1500.72

File : C:\Users\rosy\AppData\Local\Google\Chrome\User Data\Default\Preferences

Eliminata [l.2929] : urls_to_restore_on_startup = [ "hxxp://search.babylon.com/?babsrc=HP_ss_din2g&mntrId=7867001B[...]

-\\ Opera v12.15.1748.0

File : C:\Users\rosy\AppData\Roaming\Opera\Opera\operaprefs.ini

Eliminata : Home URL=hxxp://mystart.incredibar.com/mb201?a=6OyYnMDLqm&i=26

*************************

AdwCleaner[R1].txt - [6172 octets] - [25/07/2013 14:29:53]
AdwCleaner[R2].txt - [6291 octets] - [25/07/2013 14:31:28]
AdwCleaner[s1].txt - [343 octets] - [25/07/2013 14:30:15]
AdwCleaner[s2].txt - [6083 octets] - [25/07/2013 14:31:41]

########## EOF - C:\AdwCleaner[s2].txt - [6143 octets] ##########

gopher · July 25, 2013

Ciao,

diciamo che HijackThis è stato progettao soprattuto per Windows 2000/Xp e con le versioni più recenti di Windows è meno efficace. dicevo che stai usando una vecchia versione perché nel log leggo HijackThis v2.0.2 mentre le versioni più recenti sono la 2.0.4 e 2.0.5 beta.

Credo che per DDS Pike intenda questo http://www.bleepingcomputer.com/download/dds/ ma aspetta una sua risposta per essere sicuri

La presenza di CW è evidente nella penultima riga O4 del log iniziale

pike · July 26, 2013

In ordine inverso... CW è stato rimosso da adwcleaner, è visibile nel log

Per DDS intendo proprio quello, gopher.

Infine, una nota che spero possa esserti utile, gopher: SourceForge è un servizio di hosting sorgenti e binari per progetti "open"

Non credo però che HJT sia pubblicato sotto la licenza "GPL", ma qualcosa di meno restrittivo che consenta a TrendMicro di usufruire dello sviluppo dello stesso in maniera gratuita e senza vincoli in caso di implementazione su prodotti propri.

gopher · July 26, 2013

SourceForge lo conosco piuttosto bene a dire il vero In passato lo utilizzavo per ospitare alcuni script shell per Mepis...

Nel caso di HijackThis credo che sia stato rilasciato proprio con licenza GPL v2. Lo riporta Wikipedia (http://en.wikipedia.org/wiki/HijackThis) anche se la fonte originaria non è più disponibile. Ma anche su SF.net viene indicata come licenza la GPL v2 e viene messo a disposizione il codice sorgente. Se ci fai caso infatti HijackThis non si trova più sui vari siti Trendmicro. Credo che lo scopo fosse quello di coinvolgere nello sviluppo una comunità più ampia.

pike · July 26, 2013

E allora sono io che sono beota e tu mi hai fornito informazioni più circostanziate delle mie.

Grazie per avermi fornito queste info

gopher · July 26, 2013

Confesso di averlo scoperto anch'io molto di recente

shampo · July 29, 2013

non ci ho capito nulla,comunque grazie,sono riuscita a togliere babylon

ciaoooo e grazie ancora

shampo · July 31, 2013

scusate,vi riposto il mio logfile.perchè il pc fa fatica carica molto lentamente,e internet a volte non mi apre le pagine

che succe de? :wall1:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 14:49:29, on 31/07/2013

Platform: Windows 7 SP1 (WinNT 6.00.3505)

MSIE: Internet Explorer v10.0 (10.00.9200.16635)

Boot mode: Normal

Running processes:

C:\Program Files\AVAST Software\Avast\AvastUI.exe

C:\Program Files (x86)\eMule\emule.exe

C:\Users\rosy\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Program Files (x86)\Trend Micro\HijackThis\HiJackThis.exe