Spammet af Babylon

http://www.youtube.com/watch?v=tFv4gPHiwW

http://www.youtube.com/watch?v=tFv4gPHiwW4

Den holder ikke mere, de har skjult den bedre.

Under hvilket system:
Win98, ME, W2000, XP, Vista, Win7, OS/2, Unix, Linux, ... ?

---

Hent og instalér CCleaner www.ccleaner.com/ + www.spywarefri.dk/manualer/manual-for-installation-og-brug-af-ccleaner/
www.alt-til-windows.dk/?Artikler/CCleaner-GuideTilOptimeringAfVista/763
Lad programmet foretage en oprydning...

http://gratisupload.dk/vis/62873/
http://gratisupload.dk/vis/62874/
http://gratisupload.dk/vis/63036/

--------

Hent Malwarebytes Anti-Malware herfra:
www.besttechie.net/tools/mbam-setup.exe

Installer programmet - når det er gjort skal du lade programmet opdatere sig. Herefter åbner et vindue, hvor du skal flytte prikken til "Kør et fuldstændigt systemscan" - klik på Skan Knappen - lad programmet arbejde. Når det er færdig (det tager lidt tid afhængig af hvor meget du har på computeren).
Derefter - Tryk på "Vis resultater" knappen efter scanningen - og herefter tryk på "Fjern det valgte" - nu åbnes log'en og du skal gemme den et sted, hvor du kan finde den igen.
Kopier indholdet herind sammen med en frisk log fra HiJackThis...

...og her er omtalte HiJackThis ->
www.spywareinfo.dk/index.htm#/manualer/hijackthis.htm

Bemærk at HiJackThis.exe programmet skal gemmes i en dertil oprettet mappe og IKKE køres direkte fra nettet...

PS: Brug denne version af HJT -> www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

Mht.: Vista/Win7 - HøjreMusseTast - "Kør som Administrator..."

------------------

Jeg havde for et halvt års tid siden et par maskiner som var løbet ind i "Babylon toolbar" problemet. Jeg brugte en masse tid på at læse på forums, grave i registreringsdatabasen mv. og samlede til sidst alle mine "findings" i ét batch-script. Jeg afprøvede det på 2 forskellige maskiner, og det løste problemet på begge.

Scriptet var rettet mod maskiner med enten winXP (x86) eller Win7(x64), samt primært IE (selvom den også fjerner de firefox, chrome -ting som jeg faldt over da jeg undersøgte det i sin tid)

Det er muligt at folkene bag Babylon har foretaget ændringer, som gør at det ikke længere er 100% up-to-date, men jeg deler det gerne "as is".

Det er naturligvis helt på eget ansvar at benytte nedenstående. Scriptet foretager ændringer i registreringsdatabasen, mv. og kan derfor potentielt skade systemet (jeg har dog netop kørt det på min egen maskine (skulle lige se om det kørte), så jeg er relativt afslappet omkring det. Men det er på eget ansvar - så er det sagt!

--- snip ---

cls
@echo off
echo ________________________________________________________________________
echo.  Tom A., CPH, Denmark 2012 (c) under GNU
echo.  -- Babylon removal script --
echo.  Run this file AT YOUR OWN RISK!!
echo ________________________________________________________________________

echo Terminating Internet explorer
taskkill /IM iexplore.exe /F /T
taskkill /IM firefox.exe /F /T
echo Uninstalling using WMI...
wmic product where "name like 'Babylon%%'" call uninstall
echo removing files...
rmdir "%programfiles%\BabylonToolbar" /s /q
rmdir "%programfiles%\Babylon" /s /q
del /F /Q "%programfiles%\Mozilla Firefox\searchplugins\babylon.xml"
echo resetting IE default file refs in registry
REG ADD "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v blank /t REG_SZ /d "res://mshtml.dll/blank.htm" /f
REG ADD "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v NoAdd-onsInfo /t REG_SZ /d "res://ieframe.dll/noaddoninfo.htm" /f
REG ADD "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v InPrivate /t REG_SZ /d "res://ieframe.dll/inprivate.htm" /f
REG ADD "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v NavigationFailure /t REG_SZ /d "res://ieframe.dll/navcancl.htm" /f
REG ADD "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v NoAdd-ons /t REG_SZ /d "res://ieframe.dll/noaddon.htm" /f
REG ADD "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v Home /t REG_DWORD /d 0x0000010e /f
REG ADD "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v PostNotCached /t REG_SZ /d "res://ieframe.dll/repost.htm" /f
REG ADD "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v DesktopItemNavigationFailure /t REG_SZ /d "res://ieframe.dll/navcancl.htm" /f
REG ADD "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v NavigationCanceled /t REG_SZ /d "res://ieframe.dll/navcancl.htm" /f
REG ADD "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v OfflineInformation /t REG_SZ /d "res://ieframe.dll/offcancl.htm" /f
REG ADD "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /v SecurityRisk /t REG_SZ /d "res://ieframe.dll/securityatrisk.htm" /f
ver | find "XP" > nul
IF %ERRORLEVEL% == 0  (
goto winxp
) ELSE (
goto win7
)
:winxp
echo Windows XP detected
rmdir "%appdata%\BabylonToolbar" /s /q
goto regclean
:win7
echo Windows 7 detected
rmdir "%userprofile%\appdata\local\BabylonToolbar /s /q
rmdir "%userprofile%\appdata\roaming\BabylonToolbar /s /q
rmdir "%programfiles(x86)%\BabylonToolbar" /s /q
rmdir "%programfiles(x86)%\Babylon" /s /q
del /F /Q "%programfiles(x86)%\Mozilla Firefox\searchplugins\babylon.xml"
echo resetting IE x64 default file refs in registry
REG ADD "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /v blank /t REG_SZ /d "res://mshtml.dll/blank.htm" /f
REG ADD "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /v NoAdd-onsInfo /t REG_SZ /d "res://ieframe.dll/noaddoninfo.htm" /f
REG ADD "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /v InPrivate /t REG_SZ /d "res://ieframe.dll/inprivate.htm" /f
REG ADD "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /v NavigationFailure /t REG_SZ /d "res://ieframe.dll/navcancl.htm" /f
REG ADD "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /v NoAdd-ons /t REG_SZ /d "res://ieframe.dll/noaddon.htm" /f
REG ADD "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /v Home /t REG_DWORD /d 0x0000010e /f
REG ADD "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /v PostNotCached /t REG_SZ /d "res://ieframe.dll/repost.htm" /f
REG ADD "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /v DesktopItemNavigationFailure /t REG_SZ /d "res://ieframe.dll/navcancl.htm" /f
REG ADD "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /v NavigationCanceled /t REG_SZ /d "res://ieframe.dll/navcancl.htm" /f
REG ADD "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /v OfflineInformation /t REG_SZ /d "res://ieframe.dll/offcancl.htm" /f
REG ADD "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs" /v SecurityRisk /t REG_SZ /d "res://ieframe.dll/securityatrisk.htm" /f
goto regclean
:regclean
reg delete "HKEY_CLASSES_ROOT" /v "Babylon.dskBnd.*" /f
reg delete "HKEY_CLASSES_ROOT" /v "Babylon.dskBnd" /f
reg delete "HKEY_CLASSES_ROOT" /v "bbylnApp.appCore.*" /f
reg delete "HKEY_CLASSES_ROOT" /v "bbylnApp.appCore" /f
reg delete "HKEY_CLASSES_ROOT" /v "bbylntlbr.bbylntlbrHlpr.*" /f
reg delete "HKEY_CLASSES_ROOT" /v "bbylntlbr.bbylntlbrHlpr" /f
reg delete "HKEY_CLASSES_ROOT" /v "bbylntlbr.xtrnl.*" /f
reg delete "HKEY_CLASSES_ROOT" /v "bbylntlbr.xtrnl" /f
reg delete "HKEY_CLASSES_ROOT" /v "escort.escortIEPane.*" /f
reg delete "HKEY_CLASSES_ROOT" /v "escort.escortIEPane" /f
reg delete "HKEY_CLASSES_ROOT" /v "escort.escrtBtn.*" /f
reg delete "HKEY_CLASSES_ROOT" /v "esrv.BabylonESrvc.*" /f
reg delete "HKEY_CLASSES_ROOT" /v "esrv.BabylonESrvc" /f
reg delete "HKEY_CLASSES_ROOT\TypeLib" /v {09C554C3-109B-483C-A06B-F14172F1A947 /f
reg delete "HKEY_CLASSES_ROOT\CLSID" /v {2EECD738-5844-4a99-B4B6-146BF802613B /f
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects" /v {2EECD738-5844-4a99-B4B6-146BF802613B /f
reg delete "HKEY_CLASSES_ROOT\Interface" /v {3718D0AF-A3B8-4F5E-86F3-FAD8D02043BE /f
reg delete "HKEY_CLASSES_ROOT\TypeLib" /v {4E1E9D45-8BF9-4139-915C-9F83CC3D5921 /f
reg delete "HKEY_CLASSES_ROOT\TypeLib" /v {6E8BF012-2C85-4834-B10A-1B31AF173D70 /f
reg delete "HKEY_CLASSES_ROOT\Interface" /v {706D4A4B-184A-4434-B331-296B07493D2D /f
reg delete "HKEY_CLASSES_ROOT\Interface" /v {78868069-5D96-4B47-BE52-3D625EE3D7CB /f
reg delete "HKEY_CLASSES_ROOT\Interface" /v {78888F8B-D5E4-43CE-89F5-C8C18223AF64 /f
reg delete "HKEY_CLASSES_ROOT\Interface" /v {8B8558F6-DC26-4F39-8417-34B8934AA459 /f
reg delete "HKEY_CLASSES_ROOT\Interface" /v {94C0B25D-3359-4B10-B227-F96A77DB773F /f
reg delete "HKEY_CLASSES_ROOT\CLSID" /v {98889811-442D-49dd-99D7-DC866BE87DBC /f
reg delete "HKEY_CLASSES_ROOT\Interface" /v {9E393F82-2644-4AB6-B994-1AD39D6C59EE /f
reg delete "HKEY_CLASSES_ROOT\Interface" /v {A3A2A5C0-1306-4D1A-A093-9CECA4230002 /f
reg delete "HKEY_CLASSES_ROOT\AppID" /v {AD25754E-D76C-42B3-A335-2F81478B722F /f
reg delete "HKEY_CLASSES_ROOT\TypeLib" /v {AD25754E-D76C-42B3-A335-2F81478B722F /f
reg delete "HKEY_CLASSES_ROOT\Interface" /v {B0B75FBA-7288-4FD3-A9EB-7EE27FA65599 /f
reg delete "HKEY_CLASSES_ROOT\TypeLib" /v {B12E99ED-69BD-437C-86BE-C862B9E5444D /f
reg delete "HKEY_CLASSES_ROOT\Interface" /v {B173667F-8395-4317-8DD6-45AD1FE00047 /f
reg delete "HKEY_CLASSES_ROOT\CLSID" /v {B8276A94-891D-453C-9FF3-715C042A2575 /f
reg delete "HKEY_CLASSES_ROOT\AppID" /v {BDB69379-802F-4eaf-B541-F8DE92DD98DB /f
reg delete "HKEY_CLASSES_ROOT\Interface" /v {BFE569F7-646C-4512-969B-9BE3E580D393 /f
reg delete "HKEY_CLASSES_ROOT\Interface" /v {C2434722-5C85-4CA0-BA69-1B67E7AB3D68 /f
reg delete "HKEY_CLASSES_ROOT\Interface" /v {C2996524-2187-441F-A398-CD6CB6B3D020 /f
reg delete "HKEY_CLASSES_ROOT\Interface" /v {C8D424EF-CB21-49A0-8659-476FBAB0F8E8 /f
reg delete "HKEY_CLASSES_ROOT\TypeLib" /v {D7EE8177-D51E-4F89-92B6-83EA2EC40800 /f
reg delete "HKEY_CLASSES_ROOT\Interface" /v {E047E227-5342-4D94-80F7-CFB154BF55BD /f
reg delete "HKEY_CLASSES_ROOT\Interface" /v {E3F79BE9-24D4-4F4D-8C13-DF2C9899F82E /f
reg delete "HKEY_CLASSES_ROOT\CLSID" /v {E46C8196-B634-44a1-AF6E-957C64278AB1} /f
reg delete "HKEY_CLASSES_ROOT\Interface" /v {E77EEF95-3E83-4BB8-9C0D-4A5163774997} /f
reg delete "HKEY_CLASSES_ROOT\CLSID" /v {FFB9ADCB-8C79-4C29-81D3-74D46A93D370} /f
reg delete "HKEY_CURRENT_USER\Software" /v BabylonToolbar /f
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE" /v BabylonToolbar /f
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Google\chrome\Extensions" /v dhkplhfnhceodhffomolpfigojocbpcb /f
reg delete "HKEY_CLASSES_ROOT\AppID" /v escort.DLL /f
reg delete "HKEY_CLASSES_ROOT\AppID" /v esrv.EXE /f
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar" /v {98889811-442D-49dd-99D7-DC866BE87DBC} /f
echo.
echo Done!

--- snap ---

Det ser godt ud, jeg kan vel lave backup af basen hvis det skulle gå galt.
Jeg har lagt den ind i Notepad++, hvad type fil skal den gemmes som?
Jeg er ikke så skrap til det her.

Kører Win7 64 bit.

Gem den f.eks som: remove.cmd

Hvis du har UAC slået til skal du muligvis køre den som administrator (højreklik på filen -> run as administrator)

Det så lidt farligt ud, så min løsning blev som følger, jeg slettede alle forekomster af Babylon i browserne hvorefter jeg hentede Spybot-Serch & Destroy, som fandt Babylon, jeg bad den om at slette bæstet, den fik ikke det sidste med så jeg genstartede i Fejlsikret tilstand med netværksadgang, hvorefter den slettede det sidste i opstarten, en ny total scanning viste at Babylon var væk, derefter normal genstart og ny scanning viste at maskinen var ren.