| Ilookup | |
|
|
Auteur | Message |
---|
bruno Membre très Actif
Nombre de messages : 248 Age : 63 Localisation : Dieppe (76) Date d'inscription : 30/03/2005
| Sujet: Ilookup Lun 6 Juin 2005 - 0:38 | |
| bonsoir à tous,
jmlrr nous parle de adawares tenaces, en ce qui me concerne, ilookup est toujours présent dans mon système et insinue dans le registre une entrée bho, pour info.
en fait, c'est xoftspy, ce logiciel, qui le détecte de façon très récurrente.
y a t-il quelque chose à faire?
merci d'avance
bruno | |
|
| |
johna Modérateur
Nombre de messages : 936 Age : 81 Localisation : Thoiry (78) Date d'inscription : 17/03/2005
| Sujet: Re: Ilookup Lun 6 Juin 2005 - 10:32 | |
| | |
|
| |
bruno Membre très Actif
Nombre de messages : 248 Age : 63 Localisation : Dieppe (76) Date d'inscription : 30/03/2005
| Sujet: Re: Ilookup Lun 6 Juin 2005 - 16:57 | |
| merci et salut johna, ben, j'avais vu cette procédure mais il n'y a rien de visible dans ce qui est proposé chez assiste.com, dans downsloaded program files. j'ai aussi tenté sous dos, çà ne donne rien non plus. bref, j'ai installé bhodemon 2.0 il me détecte bien les bho (adobe, google...) mais pas ilookup, alors qu'il y a 5 mn xofrspy l'a à nouveau détecté... çà me marque "menace" mais il ne s'est jamais rien passé de grave (sauf peut-etre ce qui m'est arrivé dernièrement!). mon packard-bell a aussi ce ilookup. --------- je reviens avec çà: http://www.underz.org/modules.php?name=News&file=article&sid=19en lisant bien, on dirait qu'il faut attendre. et moi, j'ai mon arme "xoftspy" pour m'en protéger. | |
|
| |
johna Modérateur
Nombre de messages : 936 Age : 81 Localisation : Thoiry (78) Date d'inscription : 17/03/2005
| Sujet: Re: Ilookup Lun 6 Juin 2005 - 18:01 | |
| Désolé, si tu as tout fait ligne à ligne et point à point !!!
Tu avez bien désactivé la "restauration du systeme" et vider l'historique et les fichiers temporaires d'internet, ainsi que la corbeille ?
Tu es bien allé dans le registre et tu as désactivé les dll ? | |
|
| |
bruno Membre très Actif
Nombre de messages : 248 Age : 63 Localisation : Dieppe (76) Date d'inscription : 30/03/2005
| Sujet: Re: Ilookup Lun 6 Juin 2005 - 18:50 | |
| - Citation :
- Tu es bien allé dans le registre et tu as désactivé les dll ?
par contre pour la base de registre, tu as vu le nombre de ligne à trouver??!! j'ai voulu copier coller les références demandées chez assiste et utiliser "rechercher" mais çà n'est pas çà! pour le reste: - Citation :
- Tu avez bien désactivé la "restauration du systeme" et vider l'historique et les fichiers temporaires d'internet, ainsi que la corbeille ?
c'est ok. | |
|
| |
johna Modérateur
Nombre de messages : 936 Age : 81 Localisation : Thoiry (78) Date d'inscription : 17/03/2005
| Sujet: Re: Ilookup Lun 6 Juin 2005 - 19:10 | |
| Voila: - Citation :
- ilookup
Pierre Pinard© (04.01.2004 - 12.01.2004 - 14.01.2004)
Généralités
Nom ilookup
Autres noms i-lookup
Description Résumée Adware Bho Hijacker ILookup est une barre d'outils pour Internet Explorer qui ajoute une boîte de recherches et des boutons de liens dans la barre d'outils d'IE, inscrit sans votre consentement des liens dans vos favoris (dirigés, bien entendu, vers des sites avec lesquels le promoteur de ILookup a des relations commerciales en tant qu'"Affilié"), et modifie d'autorité (Hijack) votre page de démarrage et votre volet de recherche. ILookup peut espionner vos habitudes de navigation et faire remonter ces informations vers un serveur de publicité (adserver) afin de vous profiler.
Variantes ILookup/Ineb utilise le fichier ineb.dll et se connexte à i-lookup.com ILookup/Gws utilise le fichier gws.dll et se connexte à globalwebsearch.com ILookup/Chgrgs utilise le fichier chgrgs.dll ILookup/Abeb utilise le fichier abeb.dll et se connexte à superwebsearch.com. ILookup/Bmeb utilise le fichier bmeb.dll et se connexte à traffichog.com ILookup/Sbus utilise le fichier sbus.dll et se connexte à searchbus.com ILookup/Drbr utilise le fichier drbr.dll et se connexte à globaltoolbar.com ILookup/Windec32 utilise le fichier windec32.dll ILookup/Belop utilise le fichier belop.dll ILookup/Bmeb utilise le fichier bmeb.dll
D'autres variantes peuvent naître au fur et à mesure de la cession de licences de la technologie i-lookup par son propriétaire, iClicks Internet Inc.
Ce qu'il fait
Publicité Violation de la vie privée Introduit une faille de sécurité Introduit une instabilité du système Oui . . Oui
Publicité : Oui - se connecte régulièrement à son adserver de contrôle - ouvre des pop-ups publicitaires, souvent à caractère pornographique.
Violation de la vie privée : .
Introduit une faille de sécurité : .
Introduit une instabilité du système : Ralentissement de la navigation. Peut causser (vérifié dans les variantes Ineb et Drbr) des erreurs de type "Explorer has caused an error in ineb.dll..." lorsque Internet Explorer et l'explorateur de Windows sont utilisés silultanément.
Editeur iClicks Internet Inc. Suite 1001, 1166 Alberni Street, Vancouver BC Canada V6E 3Z3 http://www.i-lookup.com/ http://www.globalwebsearch.com/ Le site http://www.eaffiliateinc.com/ pourrait être affilié à ce groupe.
Autres produits du même éditeur .
Méthode de distribution 1/ Visite de sites piégés par un script et un contrôle ActiveX alors que vos paramètres de sécurité dans Internet Explorer sont laxistes. Aucun clic nulle part n'est nécessaire pour que l'installation de la malveillance s'accomplice et aucun avertissement n'est affiché durant cet installation qui est totalement silencieuse.
2/ Visite du site http://www.i-lookup.com. Un clic n'importe où sur l'une quelconque des pop-ups de ce site installera la malveillance ilookup. Cette technique pourait aussi être utilisée par d'autres sites piégés de cette manière.
Détection .
Informations techniques .
Eradication
Manuelle Vous devez connaître et maîtriser les actions manuelles suivantes Tuer un processus actif
Retirer une entrée de la liste de démarrage
Détruire des fichiers
Détruire des répertoires
Détruire des clés de registre
Détruire une entrée dans un clé de registre
Désenregistrer des DLLs
1/ Allez dans le sous répertoire "Downloaded Program Files" de votre répertoire Windows (Généralement, ce sera c:\windows\Downloaded Program Files
Faire un click droit sur l'objet appelé : - 'I-Lookup.com Bar' (variantes Ineb et Abeb) - 'GlobalWebSearch.com Bar' (variantes Gws et Chgrgs) - 'SearchBus.com Bar' (variante Sbus) - 'GlobalToolbar.com Bar' (variante Drbr) - 'Search Bar' (variante Bmeb) - ... suivre le même raisonnement si de nouvelles variantes sont crées.
Clicquer sur 'Supprimer' dans le menu contextuel qui vient de s'ouvrir.
2/ Désinstaller la dll. Ouvrir une fenêtre de ligne de commande (mode MS-Dos) (Démarrer > Tous les programmes > Accessoires > Invite de commandes) et tappez strictement ce qui suit, selon votre variante, en respectant les espaces.
Pour la variante Ineb:
cd "%WinDir%\System" regsvr32 /u Ineb.dll Pour la variante Gws:
cd "%WinDir%\System" regsvr32 /u GWS.dll Pour la variante Chgrgs:
cd "%WinDir%\System" regsvr32 /u Chgrgs.dll Pour la variante Abeb:
cd "%WinDir%\System" regsvr32 /u abeb.dll Pour la variante Bmeb:
cd "%WinDir%\System" regsvr32 /u bmeb.dll Pour la variante Sbus:
cd "%WinDir%\System" regsvr32 /u sbus.dll Pour la variante Drbr:
cd "%WinDir%\System" regsvr32 /u drbr.dll Pour la variante Windec32:
cd "%WinDir%\System" regsvr32 /u windec32.dll Pour la variante Belop:
cd "%WinDir%\System" regsvr32 /u belop.dll Pour la variante Bmeb:
cd "%WinDir%\System" regsvr32 /u bmeb.dll Suivre le même raisonnement si d'autres variantes émergent.
La manipulation ci-dessus ayant eu pour effet de désinstaller la dll (de retirer son enregistrement dans la base de registre), aller maintenant la chercher à son emplacement et détruisez-là.
3/ Internet Explorer > Outils > Options Internet > Onglet "Programmes" > Clic sur "Rétablir les paramètres Web". 4/ Internet Explorer > Outils > Options Internet > Onglet "Général" et rétablissez votre page de démarrage.
5/ Visitez vos favoris pour localiser et détruire tout ce qui y a été introduit.
6/ Tuer les tâches suivantes si elles sont actives (appui simultané sur les touches Alt - Ctrl - Suppr)
systemroot+\ilookup\ttil.exe c:\install.exe
7/ Désenregistrer systemroot+\system32\abeb.dll (variante Adeb)
8/ Détruire les clés suivantes si elles existent
HKEY_CLASSES_ROOT\clsid\{0aaf602e-72a1-45fe-bab1-06971e07eaa2} HKEY_CLASSES_ROOT\clsid\{4c759ec6-96bd-4551-a320-e61a1d68437f} HKEY_CLASSES_ROOT\clsid\{54a85a38-a699-4aec-8f88-ab542210c93b} HKEY_CLASSES_ROOT\clsid\{8e4c16f3-45c8-4b24-99e6-f55082b7c4f1} HKEY_CLASSES_ROOT\clsid\{c82b55f0-60e0-478c-bc55-e4e22f11301d} HKEY_CLASSES_ROOT\clsid\{d35a69a7-7a34-4c67-814a-3f508c0bf371} HKEY_CLASSES_ROOT\clsid\{fbaa0b9e-a059-43e4-9699-76eb0aeb975b} HKEY_CLASSES_ROOT\clsid\{0c9cbfe1-91cd-40c2-bb64-1ec84c4c46af} HKEY_CLASSES_ROOT\clsid\{2038a287-4221-4f76-a7c0-addd77afabb3}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{35cc7369-c6eb-4a64-ab05-44cf0b5087a0} HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{61d029ac-972b-49fe-a155-962dfa0a37bb} HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{8e4c16f3-45c8-4b24-99e6-f55082b7c4f1} HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{753AA023-02D1-447D-8B55-53A91A5ABF18} HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{A798ABE7-10FE-6999-8B55-97BEFF7BBF91} HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{18B79968-1A76-4953-9EBB-B651407F8998}
HKEY_LOCAL_MACHINE\software\classes\clsid\{61d029ac-972b-49fe-a155-962dfa0a37bb} HKEY_LOCAL_MACHINE\software\classes\clsid\{8e4c16f3-45c8-4b24-99e6-f55082b7c4f1} HKEY_LOCAL_MACHINE\software\classes\clsid\{d35a69a7-7a34-4c67-814a-3f508c0bf371} HKEY_LOCAL_MACHINE\software\classes\clsid\{753AA023-02D1-447D-8B55-53A91A5ABF18} HKEY_LOCAL_MACHINE\software\classes\clsid\{A798ABE-10FE-6999-8B55-97BEFF7BBF91} HKEY_LOCAL_MACHINE\software\classes\clsid\{6EF3AE25-5A7D-40C2-9B44-9ED0068621C0} HKEY_LOCAL_MACHINE\software\classes\clsid\{18B79968-1A76-4953-9EBB-B651407F8998}
HKEY_LOCAL_MACHINE\software\classes\interface\{7e893886-5641-4867-a323-2d8abb7b4d6d} HKEY_LOCAL_MACHINE\software\classes\interface\{b0632ec9-bd27-48c4-b16c-294f8823bff0} HKEY_LOCAL_MACHINE\software\classes\interface\{e6ed4741-a9df-4bb1-a203-c7461fc00355}
HKEY_LOCAL_MACHINE\software\classes\typelib\{edd73c85-28b8-4145-ab9c-673c74c667e6}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{8e4c16f3-45c8-4b24-99e6-f55082b7c4f1} HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{6EF3AE25-5A7D-40C2-9B44-9ED0068621C0}
HKEY_CURRENT_USER\software\microsoft\internet explorer\toolbar\WebBrowser\{6EF3AE25-5A7D-40C2-9B44-9ED0068621C0}
HKEY_CLASSES_ROOT\typelib\{0aaf602e-72a1-45fe-bab1-06971e07eaa2} HKEY_CLASSES_ROOT\typelib\{0c9cbfe1-91cd-40c2-bb64-1ec84c4c46af} HKEY_CLASSES_ROOT\typelib\{2038a287-4221-4f76-a7c0-addd77afabb3} HKEY_CLASSES_ROOT\typelib\{753aa023-02d1-447d-8b55-53a91a5abf18}
HKEY_CURRENT_USER\software\ineb
HKEY_LOCAL_MACHINE\clsid\{61d029ac-972b-49fe-a155-962dfa0a37bb} HKEY_LOCAL_MACHINE\clsid\{fbaa0b9e-a059-43e4-9699-76eb0aeb975b}
9/ Détruire les fichiers suivants s'ils existent
systemroot+\ilookup\ttil.exe c:\install.exe systemroot+\system32\abeb.dllnew.reg ineb.inf
10/ Détruire le répertoire suivant s'il existe
programfilesdir+\i-lookup
toujours exécuter l'intégralité de "LA MANIP" après cette désinfection.
Automatique avec son propre uninstal Le site i-lookup propose 2 uninstal sur cette page selon que l'on souhaite désinstaller une ancienne ou une nouvelle version de ilookup. Quant à savoir, justement, laquelle nous avons...? toujours exécuter l'intégralité de "LA MANIP" après cette désinfection.
Automatique avec un outil PestPatrol toujours exécuter l'intégralité de "LA MANIP" après cette désinfection.
Conséquences de l'éradication .
Suggestion de serveurs à ajouter à hosts Hosts - Qu'est-ce que c'est? .
Suggestion d'IPs de serveurs à bloquer Par exemple en utilisant PeerGuardian. www.i-lookup.com est sur la machine 216.130.188.210
www.iclicks.net, qui opère i-lookup.com, est sur la machine 65.39.138.149
www.globalwebsearch.com est sur la machine 207.218.250.68
www.eaffiliateinc.com est sur la machine 216.127.76.43 Actif Oiseau Alerte S.A. Sabana sur 25mts al sur del Supermercado AM PM, San Jose Costa Rica CR
Cookies à éradiquer utilisés par ce parasite .
Liens, sources et ressources Pour rédiger cette fiche, les sites suivants ont été consultés i-lookup.com www.iclicks.net www.globalwebsearch.com PestPatrol and.doxdesk.com Kephir
Porter plainte Portez plainte iciO.C.L.C.T.I.C MINISTERE DE L'INTERIEUR Direction Centrale de la Police Judiciaire Sous-Direction des Affaires Economiques et Financières 8, rue de Penthièvre 75008 PARIS Tel : 01.49.27.49.27 Télécopie : 01.40.97.88.59 oclctic@interieur.gouv.fr Pour travailler dans le registre, un excellent forum à faire connaitre et reconnaitre : https://pc-facile.forumactif.com/viewtopic.forum?p=697#697 . | |
|
| |
@lain Membre Actif
Nombre de messages : 19 Localisation : Lyon Date d'inscription : 20/03/2005
| Sujet: Avez vous essayé..... Mar 7 Juin 2005 - 12:23 | |
| bonjour, The cleaner 4.1 build 4252 avec database trojan mise à jour devrait être en mesure de supprimer les trojans se rapportant à ilook toolbar. Ce logiciel n'est pas gratuit mais doit être téléchargeable en version d'évaluation 30 jours. http://www.ordi-netfr.com/thecleaner.phpCordialement @lain | |
|
| |
bruno Membre très Actif
Nombre de messages : 248 Age : 63 Localisation : Dieppe (76) Date d'inscription : 30/03/2005
| Sujet: Re: Ilookup Mar 7 Juin 2005 - 13:16 | |
| merci à vous,
je m'y colle !!!
johna, tu avais peur que ma vue baisse !!! | |
|
| |
johna Modérateur
Nombre de messages : 936 Age : 81 Localisation : Thoiry (78) Date d'inscription : 17/03/2005
| Sujet: Re: Ilookup Mar 7 Juin 2005 - 13:24 | |
| - bruno a écrit:
- par contre pour la base de registre, tu as vu le nombre de ligne à trouver??!!
j'ai voulu copier coller les références demandées chez assiste et utiliser "rechercher" mais çà n'est pas çà!
J'ai simplement répondu à cette affirmation. | |
|
| |
bruno Membre très Actif
Nombre de messages : 248 Age : 63 Localisation : Dieppe (76) Date d'inscription : 30/03/2005
| Sujet: Re: Ilookup Mar 7 Juin 2005 - 13:55 | |
| | |
|
| |
bruno Membre très Actif
Nombre de messages : 248 Age : 63 Localisation : Dieppe (76) Date d'inscription : 30/03/2005
| Sujet: Re: Ilookup Mar 7 Juin 2005 - 17:21 | |
| eh bien non,
je promets de bien avoir suivi la procédure, xoftspy me détecte toujours ilookup, alors...on se demande!!! | |
|
| |
johna Modérateur
Nombre de messages : 936 Age : 81 Localisation : Thoiry (78) Date d'inscription : 17/03/2005
| Sujet: Re: Ilookup Mar 7 Juin 2005 - 19:20 | |
| Tu es bien certain d'avoir tout épluché et, as tu essayé la solution @lain ? | |
|
| |
bruno Membre très Actif
Nombre de messages : 248 Age : 63 Localisation : Dieppe (76) Date d'inscription : 30/03/2005
| Sujet: Re: Ilookup Mer 8 Juin 2005 - 0:27 | |
| oui, du moins je pense.
mais tu as vu la "tartine" à considérer, le refaire c'est à peine pensable.
oui, la suggestion de alain a été suivie, j'ai installé "the cleaner" gratuit 40 jours en mode complet et çà ne donne rien pour ilookup.
néanmoins, l'explorateur de bdr est super, çà a bien aidé à accélérer la manoeuvre, merci encore.
pour le reste, affaire à suivre... | |
|
| |
johna Modérateur
Nombre de messages : 936 Age : 81 Localisation : Thoiry (78) Date d'inscription : 17/03/2005
| Sujet: Re: Ilookup Mer 8 Juin 2005 - 9:39 | |
| Désolé bruno si c'est laborieux il faut ce qu'il faut.
Je ne vais pas te donner d'exemples de choses pires qui ne sont jamais arrivées... | |
|
| |
bruno Membre très Actif
Nombre de messages : 248 Age : 63 Localisation : Dieppe (76) Date d'inscription : 30/03/2005
| Sujet: Re: Ilookup Lun 13 Juin 2005 - 1:53 | |
| bonsoir à tous,
je tiens au courant, en passant.
xoftspy le détecte toujours, je peux toujours l'éliminer mais il revient et bho-demon ne le détecte pas.
avec zone alarm, y a t-il un moyen de le bloquer, j'ai la version pro.
encore merci.
bruno | |
|
| |
johna Modérateur
Nombre de messages : 936 Age : 81 Localisation : Thoiry (78) Date d'inscription : 17/03/2005
| Sujet: Re: Ilookup Lun 13 Juin 2005 - 9:46 | |
| Tu peux le bloquer si tu identifies le process support dans za.
Ensuite il te faudra surveiller les réactions pour voir si celà n'implique pas le blocage d'un autre logiciel. | |
|
| |
bruno Membre très Actif
Nombre de messages : 248 Age : 63 Localisation : Dieppe (76) Date d'inscription : 30/03/2005
| Sujet: Re: Ilookup Lun 13 Juin 2005 - 11:30 | |
| eh bien, c'est fait. chez assiste.com en bas de la procédure il y a:
i-lookup.com
çà emmène sur un site "léger", j'ai copié-collé l'adresse dans les blocages ID de za, faut voir.
sinon quand on fait ilookup avec google, il a un lien avec...xoftspy qui serait l'antispyware seul susceptible de l'éradiquer. | |
|
| |
bruno Membre très Actif
Nombre de messages : 248 Age : 63 Localisation : Dieppe (76) Date d'inscription : 30/03/2005
| Sujet: Re: Ilookup Mer 15 Juin 2005 - 11:58 | |
| bon, eh bien on dirait que çà ne revient pas avec zone alarm paramètré pour bloquer ilookup et çà fait 4, 5 fois que xoftspy ne le détecte plus.
je surveille encore mais on dirait que çà marche.
@+ | |
|
| |
bruno Membre très Actif
Nombre de messages : 248 Age : 63 Localisation : Dieppe (76) Date d'inscription : 30/03/2005
| Sujet: Re: Ilookup Sam 18 Juin 2005 - 14:24 | |
| | |
|
| |
Contenu sponsorisé
| Sujet: Re: Ilookup | |
| |
|
| |
| Ilookup | |
|