 |
|
BookedSpace
|
| |
|
|
suppression, effacer, effacement, supprimer, virer, détruire, désinstaller, désinstallation, get rid of, uninstall, remove, removal, tool, delete
|
| Alias : |
|
BookedSpace, Adware.Bookedspace, bs2.dll, bs3.dll, rem00001.dll, oo4.dll, remanent |
| Classes : |
|
BookedSpace est un adware, un spyware et un downloader s'installant selon la technologie des BHO dans Internet Explorer pour vous délivrer des publicités. Le système est hijacké et vous êtes victime de spam massif. |
| Risque : |
|
 
|
| Editeur : |
|
Inconnu. Un contrat, lisible ici, signale uniquement une relation entre l'utilisateur et un site nommé BookedSpace.com
Site : http://www.bookedspace.com/
e-Mail : more@bookedspace.com |
| Découverte : |
|
Nombre inhabituel de pop-ups durant votre navigation, y compris sur des sites n'en proposant pas. |
| Installation : |
|
L'installation se fait silencieusement avec un grand nombre d'outils gratuits gravitant autour des lecteurs et des convertisseurs de formats musicaux (MThree, FreeWire's FreeMP3Player...). Tout le monde du piratage musical est visé (MP3, WAV etc. ...)
Variantes:
BookedSpace/Remanent est une variante des débuts de BookedSpace (vers juillet 2003) avec le nom de fichier rem00001.dll et communiquant avec le serveur 66.225.192.199.
BookedSpace/bs2.dll et bs3.dll sont plus recents (août 2003) et communiquent avec le serveur www.bookedspace.com
|
| Affectés : |
|
Tous les systèmes Windows utilisant Internet Explorer (de nombreuses applications Windows utilisent le moteur d'Internet Explorer en sus du navigateur Internet de Microsoft - toutes les versions de Outlook sont concernées ainsi que Windows Média Player...) |
| Epargnés : |
|
DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x |
| Activité : |
|
Publicité
Chaque fois qu'une nouvelle page de n'importe quel site est visité, ce spyware et adware le signale au site que le contrôle (66.225.192.199 dans les anciennes versions et www.bookedspace.com actuellement). Le serveur décide ou non, alors, de balancer de la publicité sous forme de pop-ups en fonction de l'analyse de ce que vous regardez et en profite pour consolider votre profil (tracking par espionnage). |
| Vie privée : |
|
Violation de votre vie privée
Comme dit ci-dessus : tracking avec utilisation d'un identificateur de type Guid.
Lors du contact avec son serveur, l'url de chaque page visitée est communiquée accompagnée d'un code d'identification unique de l'utilisateur afin de faire du tracking et du profiling. |
| Faille : |
|
Faille de sécurité
Ce truc introduit une faille de sécurité dans nos systèmes dans la mesure ou il est capable de downloader, installer et activer du code (des programmes de tierces parties) depuis son serveur sans nous en informer, sans notre consentement, sans que nous sachions ce qu'ils font et sans que nous puissions nous y opposer. Il download, actuellement, les parasites BargainBuddy, nCase, MySearch/MyWay, TVMedia, DownloadWare et TopMoxie/eBates. |
| Instabilité : |
|
Instabilité du système
On signale une impossibilité d'utiliser la barre de recherches d'Internet Explorer lorsque BookedSpace est installé.
bs2.dll et bs3.dll semblent ralentir considérablement Internet Explorer. |
| Conséquences : |
|
|
| Précautions : |
|
Sauvegarde de la base de registre
Désactiver les points de restauration
Redémarrer en mode sans échec
|
Eradication automatique
Scan avec votre antivirus
Si vous avez un antivirus, utilisez-le, sinon télécharger BitDefender Pro ou Kaspersky AVP maintenant. Le scan doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, avec un paramétrage de votre antivirus tel que tous les types de fichiers sont scannés (y compris les fichiers compressés (archives .zip, .rar, .cab etc. ...)). Scanner et détruire tous les fichiers trouvés. Les antivirus ne sont pas des anti-trojans et n'arrivent pas à éradiquer complètement les parasites non viraux dont ils s'occupent. Une intervention manuelle est souvent nécessaire. S'assurer d'avoir un antivirus paramétré à son maximum puis lancer le scan.
Analyse avec votre anti-trojan
Si vous avez un anti-trojan, utilisez-le, sinon téléchargez PestPatrol ou a² personnal ou The Cleaner Pro ou Tauscan maintenant. Le scan doit se faire après avoir désactivé les points de restauration puis avoir redémarré en mode sans échec, et avec les réglages poussés au maximum (voir mode d'emploi de PestPatrol en français). Scanner et détruire tous les objets malicieux trouvés. En version d'essai, illimitée dans le temps et autorisant les mises à jour, PestPatrol effectue seulement la détection complète mais pas l'éradication. A charge pour vous de faire l'éradication à la main.
SpyBot Search and Destroy détruit plusieurs variantes de BookedSpace.
Eradication en utilisant l'outil proposé par l'auteur du parasite
Vous pouvez utiliser cet outil mais, dans la mesure ou son auteur est également l'auteur du parasite, toutes les réserves sont faites quant-à l'inocuité de cet utilitaire.
Bookedspace Plug-in Uninstaller Download
http://www.bookedspace.com/uninstaller.exe
Eradication manuelle
Désenregister les dll
Il y a de très nombreuses variantes et de très nombreux fichiers sous divers noms. Il est préférable d'utiliser un anti-trojans que de tenter d'éradiquer ce parasite à la main, toutefois, si un outil détecte le parasite mais n'arrive pas à le détruire, notez le nom de la .dll trouvée et désenregistrer la dll en ouvrant une fenêtre Dos (Démarrer > Tous les programmes > Accessoires > Invite de commande) et saisir la commande suivante, très précisemment:
regsvr32 /u "chemin du répertoire système\nom de fichier de la .dll
Comment trouver le chemin du répertoire système, "systemroot" ?
le nom de fichier de la .dll peut être :
systemroot+\bs2.dll
systemroot+\bs3.dll
systemroot+\bsx5.dll
systemroot+\bxxs5.dll
systemroot+\oo4.dll
systemroot+\system\bs2.dll
systemroot+\system\bs3.dll
systemroot+\system\bsx5.dll
systemroot+\system\bxsx5.dll
systemroot+\system\bxxs5.dll
systemroot+\system\oo4.dll
systemroot+\system\rem00001.dll
systemroot+\system32\acd.dll
systemroot+\system32\anaamon.dll
systemroot+\system32\bs2.dll
systemroot+\system32\bs3.dll
systemroot+\system32\bsx5.dll
systemroot+\system32\bxsx5.dll
systemroot+\system32\bxxs5.dll
systemroot+\system32\oo4.dll
systemroot+\system32\rem00001.dll
Détruire une valeur de clé
Démarrer > Exécuter > Regedit > Naviguer jusqu'à la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run > Dans le panneau de droite, détruire la valeur
"<nom de fichier de la .dll>"="RunDLL32.exe <chemin d'accès à la .dll file>, DllRun"
Rechercher, dans cette clé, les entrées suivantes et les détruire, lorsqu'elles existent:
'BookedSpace' (cas de la variante BS2)
'Bsx3' (cas de la variante BS3)
'Oo4' (cas de la variante BS4)
'Bxxs5' ou 'Bxsx5' (cas de la variante BS5)
Détruire ensuite les clés suivantes si elles existent
HKEY_CLASSES_ROOT\AppID\{0DC5CD7C-F653-4417-AA43-D457BE3A9622}
HKEY_CLASSES_ROOT\AppID\BookedSpace.DLL
HKEY_CLASSES_ROOT\bookedspace.extension
HKEY_CLASSES_ROOT\bookedspace.extension.5
HKEY_CLASSES_ROOT\clsid\{0019c3e2-dd48-4a6d-ab2d-8d32436313d9}
HKEY_CLASSES_ROOT\clsid\{0019c3e2-dd48-4a6d-abcd-8d32436313d9}
HKEY_CLASSES_ROOT\clsid\{0019c3e2-dd48-4a6d-abcd-8d32436323d9}
HKEY_CLASSES_ROOT\clsid\{2b3452c5-1b9a-440f-a203-f6ed0f64c895}
HKEY_CLASSES_ROOT\clsid\{392be62b-e7de-430a-8859-0afe677de6e1}
HKEY_CLASSES_ROOT\clsid\{a85c4a1b-bd36-44e5-a70f-8ec347d9b24f}
HKEY_CLASSES_ROOT\Interface\{05080E6B-A88A-4CFD-8C3D-982557670B6E}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{0019c3e2-dd48-4a6d-ab2d-8d32436313d9}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{0019c3e2-dd48-4a6d-abcd-8d32436313d9}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{0019c3e2-dd48-4a6d-abcd-8d32436323d9}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{2b3452c5-1b9a-440f-a203-f6ed0f64c895}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{392be62b-e7de-430a-8859-0afe677de6e1}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{a85c4a1b-bd36-44e5-a70f-8ec347d9b24f}
HKEY_CLASSES_ROOT\TypeLib\{0DC5CD7C-F653-4417-AA43-D457BE3A9622}
HKEY_LOCAL_MACHINE\clsid\{0019c3e2-dd48-4a6d-ab2d-8d32436313d9}
HKEY_LOCAL_MACHINE\clsid\{0019c3e2-dd48-4a6d-abcd-8d32436313d9}
HKEY_LOCAL_MACHINE\clsid\{0019c3e2-dd48-4a6d-abcd-8d32436323d9}
HKEY_LOCAL_MACHINE\clsid\{2b3452c5-1b9a-440f-a203-f6ed0f64c895}
HKEY_LOCAL_MACHINE\clsid\{392be62b-e7de-430a-8859-0afe677de6e1}
HKEY_LOCAL_MACHINE\clsid\{a85c4a1b-bd36-44e5-a70f-8ec347d9b24f}
HKEY_LOCAL_MACHINE\software\bookedspace
HKEY_LOCAL_MACHINE\software\classes\appid\{0dc5cd7c-f653-4417-aa43-d457be3a9622}\""
HKEY_LOCAL_MACHINE\software\classes\appid\bookedspace.dll\appid
HKEY_LOCAL_MACHINE\software\classes\bookedspace.extension.5\""
HKEY_LOCAL_MACHINE\software\classes\bookedspace.extension.5\clsid\""
HKEY_LOCAL_MACHINE\software\classes\bookedspace.extension\""
HKEY_LOCAL_MACHINE\software\classes\bookedspace.extension\clsid\""
HKEY_LOCAL_MACHINE\software\classes\bookedspace.extension\curver\""
HKEY_LOCAL_MACHINE\software\classes\clsid\{0019c3e2-dd48-4a6d-ab2d-8d32436313d9}
HKEY_LOCAL_MACHINE\software\classes\clsid\{0019c3e2-dd48-4a6d-abcd-8d32436313d9}
HKEY_LOCAL_MACHINE\software\classes\clsid\{0019c3e2-dd48-4a6d-abcd-8d32436323d9}
HKEY_LOCAL_MACHINE\software\classes\clsid\{0019c3e2-dd48-4a6d-abcd-8d32436323d9}\""
HKEY_LOCAL_MACHINE\software\classes\clsid\{0019c3e2-dd48-4a6d-abcd-8d32436323d9}\appid
HKEY_LOCAL_MACHINE\software\classes\clsid\{00320615-b6c2-40a6-8f99-f1c52d674fad}
HKEY_LOCAL_MACHINE\software\classes\clsid\{00320615-b6c2-40a6-8f99-f1c52d674fad}\""
HKEY_LOCAL_MACHINE\software\classes\clsid\{2b3452c5-1b9a-440f-a203-f6ed0f64c895}
HKEY_LOCAL_MACHINE\software\classes\clsid\{392be62b-e7de-430a-8859-0afe677de6e1}
HKEY_LOCAL_MACHINE\software\classes\clsid\{7dd896a9-7aeb-430f-955b-cd125604fdcb}\""
HKEY_LOCAL_MACHINE\software\classes\clsid\{a85c4a1b-bd36-44e5-a70f-8ec347d9b24f}
HKEY_LOCAL_MACHINE\software\classes\clsid\{ebbd88e5-c372-469d-b4c5-1fe00352ab9b}
HKEY_LOCAL_MACHINE\software\classes\clsid\{ebbd88e5-c372-469d-b4c5-1fe00352ab9b}\""
HKEY_LOCAL_MACHINE\software\classes\interface\{05080e6b-a88a-4cfd-8c3d-9b2557670b6e}
HKEY_LOCAL_MACHINE\software\classes\interface\{05080e6b-a88a-4cfd-8c3d-9b2557670b6e}\""
HKEY_LOCAL_MACHINE\software\classes\interface\{4534cd6b-59d6-43fd-864b-06a0d843444a}\""
HKEY_LOCAL_MACHINE\software\classes\invisiblepop.invisible.1\""
HKEY_LOCAL_MACHINE\software\classes\invisiblepop.invisible.1\clsid\""
HKEY_LOCAL_MACHINE\software\classes\invisiblepop.invisible\""
HKEY_LOCAL_MACHINE\software\classes\invisiblepop.invisible\clsid\""
HKEY_LOCAL_MACHINE\software\classes\invisiblepop.invisible\curver\""
HKEY_LOCAL_MACHINE\software\classes\localnrddll.localnrddllobj.1\""
HKEY_LOCAL_MACHINE\software\classes\localnrddll.localnrddllobj.1\clsid\""
HKEY_LOCAL_MACHINE\software\classes\typelib\{0dc5cd7c-f653-4417-aa43-d457be3a9622}
HKEY_LOCAL_MACHINE\software\classes\typelib\{690bccb4-6b83-4203-ae77-038c116594ec}
HKEY_LOCAL_MACHINE\software\classes\typelib\{dffe1ccf-e1e8-4470-9962-73277cc2c898}
HKEY_LOCAL_MACHINE\software\classes\typelib\{eb5e961f-f519-303c-9744-0d4376b1b0b5}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{0019c3e2-dd48-4a6d-ab2d-8d32436313d9}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{0019c3e2-dd48-4a6d-abcd-8d32436313d9}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{0019c3e2-dd48-4a6d-abcd-8d32436323d9}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{2b3452c5-1b9a-440f-a203-f6ed0f64c895}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{392be62b-e7de-430a-8859-0afe677de6e1}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{a85c4a1b-bd36-44e5-a70f-8ec347d9b24f}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\bookedspace
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\bsx3
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\bxss5
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\bxsx5
HKEY_LOCAL_MACHINE\software\remanent
Quitter l'éditeur de base de registre
Redémarrer la machine
Détruire les fichiers
Maintenant vous pouvez localiser et détruire les fichiers eux-mêmes
systemroot+\bs2.dll
systemroot+\bs3.dll
systemroot+\bsx5.dll
systemroot+\bxxs5.dll
systemroot+\oo4.dll
systemroot+\system\bs2.dll
systemroot+\system\bs3.dll
systemroot+\system\bsx5.dll
systemroot+\system\bxsx5.dll
systemroot+\system\bxxs5.dll
systemroot+\system\oo4.dll
systemroot+\system\rem00001.dll
systemroot+\system32\acd.dll
systemroot+\system32\anaamon.dll
systemroot+\system32\bs2.dll
systemroot+\system32\bs3.dll
systemroot+\system32\bsx5.dll
systemroot+\system32\bxsx5.dll
systemroot+\system32\bxxs5.dll
systemroot+\system32\oo4.dll
systemroot+\system32\rem00001.dll
Détruire le répertoire
Pour le cas de la variante BS5, détruire également le répertoire
systemroot+\bsx32
Suggestion de serveurs à bloquer par leurs noms de domaine dans hosts
Qu'est-ce que hosts
127.0.0.1 www.bookedspace.com
Suggestion de serveurs à bloquer par leurs IPs
66.225.192.199
Ressources
Des informations complémentaires peuvent être trouvées sur ces pages
http://www.doxdesk.com/parasite/BookedSpace.html (pas à jour)
http://sarc.com/avcenter/venc/data/adware.bookedspace.html (pas à jour)
http://www.pestpatrol.com/PestInfo/b/bookedspace.asp (a jour mais cette fiche comporte des informations en trop qui n'ont rien à voir avec BookedSpace, comme VX2 ou Favoriteman ou GoogleToolBar...)
http://www.kephyr.com/spywarescanner/library/bookedspace/index.phtml (pas à jour)
Cordialement
Pierre Pinard
Je vous ai aidé ? Merci de m'aider à poursuivre.
Soutien et donnations
Document initial : 06.11.2003
Révision 1 : 23.09.2004
Rédigé en écoutant :
|
 |
|
