Ilookup

bonsoir à tous,

jmlrr nous parle de adawares tenaces, en ce qui me concerne, ilookup est toujours présent dans mon système et insinue dans le registre une entrée bho, pour info.

en fait, c'est xoftspy, ce logiciel, qui le détecte de façon très récurrente.

y a t-il quelque chose à faire?

merci d'avance

bruno

Je crois que la solution est ici http://assiste.free.fr/assiste.com.html?http://assiste.free.fr/p/internet_attaquants/ilookup.php .

merci et salut johna,

ben, j'avais vu cette procédure mais il n'y a rien de visible dans ce qui est proposé chez assiste.com, dans downsloaded program files.

j'ai aussi tenté sous dos, çà ne donne rien non plus.

bref, j'ai installé bhodemon 2.0 il me détecte bien les bho (adobe, google...) mais pas ilookup, alors qu'il y a 5 mn xofrspy l'a à nouveau détecté... çà me marque "menace" mais il ne s'est jamais rien passé de grave (sauf peut-etre ce qui m'est arrivé dernièrement!).

mon packard-bell a aussi ce ilookup.

---------

je reviens avec çà:

http://www.underz.org/modules.php?name=News&file=article&sid=19

en lisant bien, on dirait qu'il faut attendre.

et moi, j'ai mon arme "xoftspy" pour m'en protéger.

Désolé, si tu as tout fait ligne à ligne et point à point !!!

Tu avez bien désactivé la "restauration du systeme" et vider l'historique et les fichiers temporaires d'internet, ainsi que la corbeille ?

Tu es bien allé dans le registre et tu as désactivé les dll ?

Citation :

Tu es bien allé dans le registre et tu as désactivé les dll ?

par contre pour la base de registre, tu as vu le nombre de ligne à trouver??!!

j'ai voulu copier coller les références demandées chez assiste et utiliser "rechercher" mais çà n'est pas çà!

pour le reste:

Citation :

Tu avez bien désactivé la "restauration du systeme" et vider l'historique et les fichiers temporaires d'internet, ainsi que la corbeille ?

c'est ok.

Voila:

Citation :

ilookup

Pierre Pinard© (04.01.2004 - 12.01.2004 - 14.01.2004)


Généralités

Nom
ilookup


Autres noms
i-lookup


Description Résumée
Adware Bho Hijacker ILookup est une barre d'outils pour Internet Explorer qui ajoute une boîte de recherches et des boutons de liens dans la barre d'outils d'IE, inscrit sans votre consentement des liens dans vos favoris (dirigés, bien entendu, vers des sites avec lesquels le promoteur de ILookup a des relations commerciales en tant qu'"Affilié"), et modifie d'autorité (Hijack) votre page de démarrage et votre volet de recherche. ILookup peut espionner vos habitudes de navigation et faire remonter ces informations vers un serveur de publicité (adserver) afin de vous profiler.


Variantes
ILookup/Ineb utilise le fichier ineb.dll et se connexte à i-lookup.com
ILookup/Gws utilise le fichier gws.dll et se connexte à globalwebsearch.com
ILookup/Chgrgs utilise le fichier chgrgs.dll
ILookup/Abeb utilise le fichier abeb.dll et se connexte à superwebsearch.com.
ILookup/Bmeb utilise le fichier bmeb.dll et se connexte à traffichog.com
ILookup/Sbus utilise le fichier sbus.dll et se connexte à searchbus.com
ILookup/Drbr utilise le fichier drbr.dll et se connexte à globaltoolbar.com
ILookup/Windec32 utilise le fichier windec32.dll
ILookup/Belop utilise le fichier belop.dll
ILookup/Bmeb utilise le fichier bmeb.dll

D'autres variantes peuvent naître au fur et à mesure de la cession de licences de la technologie i-lookup par son propriétaire, iClicks Internet Inc.


Ce qu'il fait


Publicité Violation de la vie privée Introduit une faille de sécurité Introduit une instabilité du système
Oui
.
.
Oui





Publicité :
Oui - se connecte régulièrement à son adserver de contrôle - ouvre des pop-ups publicitaires, souvent à caractère pornographique.


Violation de la vie privée :
.


Introduit une faille de sécurité :
.


Introduit une instabilité du système :
Ralentissement de la navigation. Peut causser (vérifié dans les variantes Ineb et Drbr) des erreurs de type "Explorer has caused an error in ineb.dll..." lorsque Internet Explorer et l'explorateur de Windows sont utilisés silultanément.



Editeur
iClicks Internet Inc.
Suite 1001, 1166 Alberni Street, Vancouver BC Canada V6E 3Z3
http://www.i-lookup.com/
http://www.globalwebsearch.com/
Le site http://www.eaffiliateinc.com/ pourrait être affilié à ce groupe.



Autres produits du même éditeur
.



Méthode de distribution
1/ Visite de sites piégés par un script et un contrôle ActiveX alors que vos paramètres de sécurité dans Internet Explorer sont laxistes. Aucun clic nulle part n'est nécessaire pour que l'installation de la malveillance s'accomplice et aucun avertissement n'est affiché durant cet installation qui est totalement silencieuse.

2/ Visite du site http://www.i-lookup.com. Un clic n'importe où sur l'une quelconque des pop-ups de ce site installera la malveillance ilookup. Cette technique pourait aussi être utilisée par d'autres sites piégés de cette manière.



Détection
.



Informations techniques
.



Eradication


Manuelle
Vous devez connaître et maîtriser les actions manuelles suivantes
Tuer un processus actif

Retirer une entrée de la liste de démarrage

Détruire des fichiers

Détruire des répertoires

Détruire des clés de registre

Détruire une entrée dans un clé de registre

Désenregistrer des DLLs



1/ Allez dans le sous répertoire "Downloaded Program Files" de votre répertoire Windows (Généralement, ce sera c:\windows\Downloaded Program Files

Faire un click droit sur l'objet appelé :
- 'I-Lookup.com Bar' (variantes Ineb et Abeb)
- 'GlobalWebSearch.com Bar' (variantes Gws et Chgrgs)
- 'SearchBus.com Bar' (variante Sbus)
- 'GlobalToolbar.com Bar' (variante Drbr)
- 'Search Bar' (variante Bmeb)
- ... suivre le même raisonnement si de nouvelles variantes sont crées.

Clicquer sur 'Supprimer' dans le menu contextuel qui vient de s'ouvrir.


2/ Désinstaller la dll. Ouvrir une fenêtre de ligne de commande (mode MS-Dos) (Démarrer > Tous les programmes > Accessoires > Invite de commandes) et tappez strictement ce qui suit, selon votre variante, en respectant les espaces.

Pour la variante Ineb:

cd "%WinDir%\System"
regsvr32 /u Ineb.dll
Pour la variante Gws:

cd "%WinDir%\System"
regsvr32 /u GWS.dll
Pour la variante Chgrgs:

cd "%WinDir%\System"
regsvr32 /u Chgrgs.dll
Pour la variante Abeb:

cd "%WinDir%\System"
regsvr32 /u abeb.dll
Pour la variante Bmeb:

cd "%WinDir%\System"
regsvr32 /u bmeb.dll
Pour la variante Sbus:

cd "%WinDir%\System"
regsvr32 /u sbus.dll
Pour la variante Drbr:

cd "%WinDir%\System"
regsvr32 /u drbr.dll
Pour la variante Windec32:

cd "%WinDir%\System"
regsvr32 /u windec32.dll
Pour la variante Belop:

cd "%WinDir%\System"
regsvr32 /u belop.dll
Pour la variante Bmeb:

cd "%WinDir%\System"
regsvr32 /u bmeb.dll
Suivre le même raisonnement si d'autres variantes émergent.

La manipulation ci-dessus ayant eu pour effet de désinstaller la dll (de retirer son enregistrement dans la base de registre), aller maintenant la chercher à son emplacement et détruisez-là.

3/ Internet Explorer > Outils > Options Internet > Onglet "Programmes" > Clic sur "Rétablir les paramètres Web".
4/ Internet Explorer > Outils > Options Internet > Onglet "Général" et rétablissez votre page de démarrage.

5/ Visitez vos favoris pour localiser et détruire tout ce qui y a été introduit.

6/ Tuer les tâches suivantes si elles sont actives (appui simultané sur les touches Alt - Ctrl - Suppr)

systemroot+\ilookup\ttil.exe
c:\install.exe


7/ Désenregistrer systemroot+\system32\abeb.dll (variante Adeb)

8/ Détruire les clés suivantes si elles existent

HKEY_CLASSES_ROOT\clsid\{0aaf602e-72a1-45fe-bab1-06971e07eaa2}
HKEY_CLASSES_ROOT\clsid\{4c759ec6-96bd-4551-a320-e61a1d68437f}
HKEY_CLASSES_ROOT\clsid\{54a85a38-a699-4aec-8f88-ab542210c93b}
HKEY_CLASSES_ROOT\clsid\{8e4c16f3-45c8-4b24-99e6-f55082b7c4f1}
HKEY_CLASSES_ROOT\clsid\{c82b55f0-60e0-478c-bc55-e4e22f11301d}
HKEY_CLASSES_ROOT\clsid\{d35a69a7-7a34-4c67-814a-3f508c0bf371}
HKEY_CLASSES_ROOT\clsid\{fbaa0b9e-a059-43e4-9699-76eb0aeb975b}
HKEY_CLASSES_ROOT\clsid\{0c9cbfe1-91cd-40c2-bb64-1ec84c4c46af}
HKEY_CLASSES_ROOT\clsid\{2038a287-4221-4f76-a7c0-addd77afabb3}


HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{35cc7369-c6eb-4a64-ab05-44cf0b5087a0}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{61d029ac-972b-49fe-a155-962dfa0a37bb}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{8e4c16f3-45c8-4b24-99e6-f55082b7c4f1}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{753AA023-02D1-447D-8B55-53A91A5ABF18}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{A798ABE7-10FE-6999-8B55-97BEFF7BBF91}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{18B79968-1A76-4953-9EBB-B651407F8998}

HKEY_LOCAL_MACHINE\software\classes\clsid\{61d029ac-972b-49fe-a155-962dfa0a37bb}
HKEY_LOCAL_MACHINE\software\classes\clsid\{8e4c16f3-45c8-4b24-99e6-f55082b7c4f1}
HKEY_LOCAL_MACHINE\software\classes\clsid\{d35a69a7-7a34-4c67-814a-3f508c0bf371}
HKEY_LOCAL_MACHINE\software\classes\clsid\{753AA023-02D1-447D-8B55-53A91A5ABF18}
HKEY_LOCAL_MACHINE\software\classes\clsid\{A798ABE-10FE-6999-8B55-97BEFF7BBF91}
HKEY_LOCAL_MACHINE\software\classes\clsid\{6EF3AE25-5A7D-40C2-9B44-9ED0068621C0}
HKEY_LOCAL_MACHINE\software\classes\clsid\{18B79968-1A76-4953-9EBB-B651407F8998}


HKEY_LOCAL_MACHINE\software\classes\interface\{7e893886-5641-4867-a323-2d8abb7b4d6d}
HKEY_LOCAL_MACHINE\software\classes\interface\{b0632ec9-bd27-48c4-b16c-294f8823bff0}
HKEY_LOCAL_MACHINE\software\classes\interface\{e6ed4741-a9df-4bb1-a203-c7461fc00355}


HKEY_LOCAL_MACHINE\software\classes\typelib\{edd73c85-28b8-4145-ab9c-673c74c667e6}


HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{8e4c16f3-45c8-4b24-99e6-f55082b7c4f1}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{6EF3AE25-5A7D-40C2-9B44-9ED0068621C0}

HKEY_CURRENT_USER\software\microsoft\internet explorer\toolbar\WebBrowser\{6EF3AE25-5A7D-40C2-9B44-9ED0068621C0}

HKEY_CLASSES_ROOT\typelib\{0aaf602e-72a1-45fe-bab1-06971e07eaa2}
HKEY_CLASSES_ROOT\typelib\{0c9cbfe1-91cd-40c2-bb64-1ec84c4c46af}
HKEY_CLASSES_ROOT\typelib\{2038a287-4221-4f76-a7c0-addd77afabb3}
HKEY_CLASSES_ROOT\typelib\{753aa023-02d1-447d-8b55-53a91a5abf18}


HKEY_CURRENT_USER\software\ineb


HKEY_LOCAL_MACHINE\clsid\{61d029ac-972b-49fe-a155-962dfa0a37bb}
HKEY_LOCAL_MACHINE\clsid\{fbaa0b9e-a059-43e4-9699-76eb0aeb975b}



9/ Détruire les fichiers suivants s'ils existent


systemroot+\ilookup\ttil.exe
c:\install.exe
systemroot+\system32\abeb.dllnew.reg
ineb.inf



10/ Détruire le répertoire suivant s'il existe

programfilesdir+\i-lookup


toujours exécuter l'intégralité de "LA MANIP" après cette désinfection.



Automatique avec son propre uninstal
Le site i-lookup propose 2 uninstal sur cette page selon que l'on souhaite désinstaller une ancienne ou une nouvelle version de ilookup. Quant à savoir, justement, laquelle nous avons...?
toujours exécuter l'intégralité de "LA MANIP" après cette désinfection.


Automatique avec un outil
PestPatrol
toujours exécuter l'intégralité de "LA MANIP" après cette désinfection.


Conséquences de l'éradication
.


Suggestion de serveurs à ajouter à hosts
Hosts - Qu'est-ce que c'est?
.



Suggestion d'IPs de serveurs à bloquer
Par exemple en utilisant PeerGuardian.
www.i-lookup.com est sur la machine 216.130.188.210

www.iclicks.net, qui opère i-lookup.com, est sur la machine 65.39.138.149

www.globalwebsearch.com est sur la machine 207.218.250.68



www.eaffiliateinc.com est sur la machine 216.127.76.43
Actif Oiseau Alerte S.A.
Sabana sur
25mts al sur del
Supermercado AM PM, San Jose Costa Rica
CR





Cookies à éradiquer utilisés par ce parasite
.



Liens, sources et ressources
Pour rédiger cette fiche, les sites suivants ont été consultés
i-lookup.com
www.iclicks.net
www.globalwebsearch.com
PestPatrol
and.doxdesk.com
Kephir

Porter plainte
Portez plainte iciO.C.L.C.T.I.C
MINISTERE DE L'INTERIEUR
Direction Centrale de la Police Judiciaire
Sous-Direction des Affaires Economiques et Financières
8, rue de Penthièvre
75008 PARIS
Tel : 01.49.27.49.27
Télécopie : 01.40.97.88.59
oclctic@interieur.gouv.fr

Pour travailler dans le registre, un excellent forum à faire connaitre et reconnaitre : https://pc-facile.forumactif.com/viewtopic.forum?p=697#697 .

bonjour,

The cleaner 4.1 build 4252 avec database trojan mise à jour devrait être en mesure de supprimer les trojans se rapportant à ilook toolbar.

Ce logiciel n'est pas gratuit mais doit être téléchargeable en version d'évaluation 30 jours.
http://www.ordi-netfr.com/thecleaner.php

Cordialement
@lain

merci à vous,

je m'y colle !!!

johna, tu avais peur que ma vue baisse !!!

bruno a écrit:

par contre pour la base de registre, tu as vu le nombre de ligne à trouver??!!

j'ai voulu copier coller les références demandées chez assiste et utiliser "rechercher" mais çà n'est pas çà!

J'ai simplement répondu à cette affirmation.

eeeeeh oui !!!

eh bien non,

je promets de bien avoir suivi la procédure, xoftspy me détecte toujours ilookup, alors...on se demande!!!

Tu es bien certain d'avoir tout épluché et, as tu essayé la solution @lain ?

oui, du moins je pense.

mais tu as vu la "tartine" à considérer, le refaire c'est à peine pensable.

oui, la suggestion de alain a été suivie, j'ai installé "the cleaner" gratuit 40 jours en mode complet et çà ne donne rien pour ilookup.

néanmoins, l'explorateur de bdr est super, çà a bien aidé à accélérer la manoeuvre, merci encore.

pour le reste, affaire à suivre...

Désolé bruno si c'est laborieux il faut ce qu'il faut.

Je ne vais pas te donner d'exemples de choses pires qui ne sont jamais arrivées...

bonsoir à tous,

je tiens au courant, en passant.

xoftspy le détecte toujours, je peux toujours l'éliminer mais il revient et bho-demon ne le détecte pas.

avec zone alarm, y a t-il un moyen de le bloquer, j'ai la version pro.

encore merci.

bruno

Tu peux le bloquer si tu identifies le process support dans za.

Ensuite il te faudra surveiller les réactions pour voir si celà n'implique pas le blocage d'un autre logiciel.

eh bien, c'est fait. chez assiste.com en bas de la procédure il y a:

i-lookup.com

çà emmène sur un site "léger", j'ai copié-collé l'adresse dans les blocages ID de za, faut voir.

sinon quand on fait ilookup avec google, il a un lien avec...xoftspy qui serait l'antispyware seul susceptible de l'éradiquer.

bon, eh bien on dirait que çà ne revient pas avec zone alarm paramètré pour bloquer ilookup et çà fait 4, 5 fois que xoftspy ne le détecte plus.

je surveille encore mais on dirait que çà marche.

@+

le site a été fermé!!

www.i-lookup.com