ilookup
  • Résumé : ilookup - une barre d'outils non sollicitée qui s'installe dans Internet Explorer, conduit de la publicité, hijack les réglages...
 
  • Mots-clés : ilookup, i-lookup, ineb.dll, i-lookup.com, gws.dll, globalwebsearch.com, chgrgs.dll, abeb.dll, superwebsearch.com, bmeb.dll, traffichog.com, sbus.dll, searchbus.com, drbr.dll, globaltoolbar.com, windec32.dll, belop.dll

    get rid of, uninstall, remove, removal, suppression, effacer, effacement, supprimer, virer, détruire, désinstaller, désinstallation


ilookup
 



ilookup
Pierre Pinard© (04.01.2004 - 12.01.2004 - 14.01.2004)


Généralités
  • Nom
    ilookup

  • Autres noms
    i-lookup

  • Description Résumée
    Adware Bho Hijacker ILookup est une barre d'outils pour Internet Explorer qui ajoute une boîte de recherches et des boutons de liens dans la barre d'outils d'IE, inscrit sans votre consentement des liens dans vos favoris (dirigés, bien entendu, vers des sites avec lesquels le promoteur de ILookup a des relations commerciales en tant qu'"Affilié"), et modifie d'autorité (Hijack) votre page de démarrage et votre volet de recherche. ILookup peut espionner vos habitudes de navigation et faire remonter ces informations vers un serveur de publicité (adserver) afin de vous profiler.

  • Variantes
    ILookup/Ineb utilise le fichier ineb.dll et se connexte à i-lookup.com
    ILookup/Gws utilise le fichier gws.dll et se connexte à globalwebsearch.com
    ILookup/Chgrgs utilise le fichier chgrgs.dll
    ILookup/Abeb utilise le fichier abeb.dll et se connexte à superwebsearch.com.
    ILookup/Bmeb utilise le fichier bmeb.dll et se connexte à traffichog.com
    ILookup/Sbus utilise le fichier sbus.dll et se connexte à searchbus.com
    ILookup/Drbr utilise le fichier drbr.dll et se connexte à globaltoolbar.com
    ILookup/Windec32 utilise le fichier windec32.dll
    ILookup/Belop utilise le fichier belop.dll
    ILookup/Bmeb utilise le fichier bmeb.dll

    D'autres variantes peuvent naître au fur et à mesure de la cession de licences de la technologie i-lookup par son propriétaire, iClicks Internet Inc.


Ce qu'il fait

Publicité Violation de la vie privée Introduit une faille de sécurité Introduit une instabilité du système

Oui

.

.

Oui

  • Publicité :
    Oui - se connecte régulièrement à son adserver de contrôle - ouvre des pop-ups publicitaires, souvent à caractère pornographique.

  • Violation de la vie privée :
    .

  • Introduit une faille de sécurité :
    .

  • Introduit une instabilité du système :
    Ralentissement de la navigation. Peut causser (vérifié dans les variantes Ineb et Drbr) des erreurs de type "Explorer has caused an error in ineb.dll..." lorsque Internet Explorer et l'explorateur de Windows sont utilisés silultanément.

Editeur
iClicks Internet Inc.
Suite 1001, 1166 Alberni Street, Vancouver BC Canada V6E 3Z3
http://www.i-lookup.com/
http://www.globalwebsearch.com/
Le site http://www.eaffiliateinc.com/ pourrait être affilié à ce groupe.

Autres produits du même éditeur
.

Méthode de distribution
1/ Visite de sites piégés par un script et un contrôle ActiveX alors que vos paramètres de sécurité dans Internet Explorer sont laxistes. Aucun clic nulle part n'est nécessaire pour que l'installation de la malveillance s'accomplice et aucun avertissement n'est affiché durant cet installation qui est totalement silencieuse.

2/ Visite du site http://www.i-lookup.com. Un clic n'importe où sur l'une quelconque des pop-ups de ce site installera la malveillance ilookup. Cette technique pourait aussi être utilisée par d'autres sites piégés de cette manière.

Détection
.

Informations techniques
.

Eradication



1/ Allez dans le sous répertoire "Downloaded Program Files" de votre répertoire Windows (Généralement, ce sera c:\windows\Downloaded Program Files

Faire un click droit sur l'objet appelé :
- 'I-Lookup.com Bar' (variantes Ineb et Abeb)
- 'GlobalWebSearch.com Bar' (variantes Gws et Chgrgs)
- 'SearchBus.com Bar' (variante Sbus)
- 'GlobalToolbar.com Bar' (variante Drbr)
- 'Search Bar' (variante Bmeb)
- ... suivre le même raisonnement si de nouvelles variantes sont crées.

Clicquer sur 'Supprimer' dans le menu contextuel qui vient de s'ouvrir.


2/ Désinstaller la dll. Ouvrir une fenêtre de ligne de commande (mode MS-Dos) (Démarrer > Tous les programmes > Accessoires > Invite de commandes) et tappez strictement ce qui suit, selon votre variante, en respectant les espaces.
Pour la variante Ineb:
cd "%WinDir%\System"
regsvr32 /u Ineb.dll

Pour la variante Gws:
cd "%WinDir%\System"
regsvr32 /u GWS.dll

Pour la variante Chgrgs:
cd "%WinDir%\System"
regsvr32 /u Chgrgs.dll

Pour la variante Abeb:
cd "%WinDir%\System"
regsvr32 /u abeb.dll

Pour la variante Bmeb:
cd "%WinDir%\System"
regsvr32 /u bmeb.dll

Pour la variante Sbus:
cd "%WinDir%\System"
regsvr32 /u sbus.dll

Pour la variante Drbr:
cd "%WinDir%\System"
regsvr32 /u drbr.dll

Pour la variante Windec32:
cd "%WinDir%\System"
regsvr32 /u
windec32.dll

Pour la variante Belop:
cd "%WinDir%\System"
regsvr32 /u
belop.dll

Pour la variante Bmeb:
cd "%WinDir%\System"
regsvr32 /u
bmeb.dll
Suivre le même raisonnement si d'autres variantes émergent.

La manipulation ci-dessus ayant eu pour effet de désinstaller la dll (de retirer son enregistrement dans la base de registre), aller maintenant la chercher à son emplacement et détruisez-là.

3/ Internet Explorer > Outils > Options Internet > Onglet "Programmes" > Clic sur "Rétablir les paramètres Web".
4/ Internet Explorer > Outils > Options Internet > Onglet "Général" et rétablissez votre page de démarrage.

5/ Visitez vos favoris pour localiser et détruire tout ce qui y a été introduit.

6/ Tuer les tâches suivantes si elles sont actives (appui simultané sur les touches Alt - Ctrl - Suppr)

systemroot+\ilookup\ttil.exe
c:\install.exe


7/ Désenregistrer systemroot+\system32\abeb.dll (variante Adeb)

8/ Détruire les clés suivantes si elles existent

HKEY_CLASSES_ROOT\clsid\{0aaf602e-72a1-45fe-bab1-06971e07eaa2}
HKEY_CLASSES_ROOT\clsid\{4c759ec6-96bd-4551-a320-e61a1d68437f}
HKEY_CLASSES_ROOT\clsid\{54a85a38-a699-4aec-8f88-ab542210c93b}
HKEY_CLASSES_ROOT\clsid\{8e4c16f3-45c8-4b24-99e6-f55082b7c4f1}
HKEY_CLASSES_ROOT\clsid\{c82b55f0-60e0-478c-bc55-e4e22f11301d}
HKEY_CLASSES_ROOT\clsid\{d35a69a7-7a34-4c67-814a-3f508c0bf371}
HKEY_CLASSES_ROOT\clsid\{fbaa0b9e-a059-43e4-9699-76eb0aeb975b}
HKEY_CLASSES_ROOT\clsid\{0c9cbfe1-91cd-40c2-bb64-1ec84c4c46af}
HKEY_CLASSES_ROOT\clsid\{2038a287-4221-4f76-a7c0-addd77afabb3}


HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{35cc7369-c6eb-4a64-ab05-44cf0b5087a0}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{61d029ac-972b-49fe-a155-962dfa0a37bb}
HKEY_CLASSES_ROOT\software\microsoft\windows\currentversion\explorer\browser helper objects\{8e4c16f3-45c8-4b24-99e6-f55082b7c4f1}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{753AA023-02D1-447D-8B55-53A91A5ABF18}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{A798ABE7-10FE-6999-8B55-97BEFF7BBF91}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\browser helper objects\{18B79968-1A76-4953-9EBB-B651407F8998}

HKEY_LOCAL_MACHINE\software\classes\clsid\{61d029ac-972b-49fe-a155-962dfa0a37bb}
HKEY_LOCAL_MACHINE\software\classes\clsid\{8e4c16f3-45c8-4b24-99e6-f55082b7c4f1}
HKEY_LOCAL_MACHINE\software\classes\clsid\{d35a69a7-7a34-4c67-814a-3f508c0bf371}
HKEY_LOCAL_MACHINE\software\classes\clsid\{753AA023-02D1-447D-8B55-53A91A5ABF18}
HKEY_LOCAL_MACHINE\software\classes\clsid\{A798ABE-10FE-6999-8B55-97BEFF7BBF91}
HKEY_LOCAL_MACHINE\software\classes\clsid\{6EF3AE25-5A7D-40C2-9B44-9ED0068621C0}
HKEY_LOCAL_MACHINE\software\classes\clsid\{18B79968-1A76-4953-9EBB-B651407F8998}


HKEY_LOCAL_MACHINE\software\classes\interface\{7e893886-5641-4867-a323-2d8abb7b4d6d}
HKEY_LOCAL_MACHINE\software\classes\interface\{b0632ec9-bd27-48c4-b16c-294f8823bff0}
HKEY_LOCAL_MACHINE\software\classes\interface\{e6ed4741-a9df-4bb1-a203-c7461fc00355}


HKEY_LOCAL_MACHINE\software\classes\typelib\{edd73c85-28b8-4145-ab9c-673c74c667e6}


HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{8e4c16f3-45c8-4b24-99e6-f55082b7c4f1}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{6EF3AE25-5A7D-40C2-9B44-9ED0068621C0}

HKEY_CURRENT_USER\software\microsoft\internet explorer\toolbar\WebBrowser\{6EF3AE25-5A7D-40C2-9B44-9ED0068621C0}

HKEY_CLASSES_ROOT\typelib\{0aaf602e-72a1-45fe-bab1-06971e07eaa2}
HKEY_CLASSES_ROOT\typelib\{0c9cbfe1-91cd-40c2-bb64-1ec84c4c46af}
HKEY_CLASSES_ROOT\typelib\{2038a287-4221-4f76-a7c0-addd77afabb3}
HKEY_CLASSES_ROOT\typelib\{753aa023-02d1-447d-8b55-53a91a5abf18}


HKEY_CURRENT_USER\software\ineb


HKEY_LOCAL_MACHINE\clsid\{61d029ac-972b-49fe-a155-962dfa0a37bb}
HKEY_LOCAL_MACHINE\clsid\{fbaa0b9e-a059-43e4-9699-76eb0aeb975b}



9/ Détruire les fichiers suivants s'ils existent


systemroot+\ilookup\ttil.exe
c:\install.exe
systemroot+\system32\abeb.dllnew.reg
ineb.inf




10/ Détruire le répertoire suivant s'il existe

programfilesdir+\i-lookup

toujours exécuter l'intégralité de "La Manip" après cette désinfection.
  • Automatique avec son propre uninstal
    Le site i-lookup propose 2 uninstal sur cette page selon que l'on souhaite désinstaller une ancienne ou une nouvelle version de ilookup. Quant à savoir, justement, laquelle nous avons...?
    toujours exécuter l'intégralité de "La Manip" après cette désinfection.

  • Automatique avec un outil
    PestPatrol
    toujours exécuter l'intégralité de "La Manip" après cette désinfection.

  • Conséquences de l'éradication
    .


Suggestion de serveurs à ajouter à hosts
Hosts - Qu'est-ce que c'est?
.

Suggestion d'IPs de serveurs à bloquer
Par exemple en utilisant PeerGuardian.
www.i-lookup.com est sur la machine 216.130.188.210

www.iclicks.net, qui opère i-lookup.com, est sur la machine 65.39.138.149

www.globalwebsearch.com est sur la machine 207.218.250.68


www.eaffiliateinc.com est sur la machine 216.127.76.43
Actif Oiseau Alerte S.A.
Sabana sur
25mts al sur del
Supermercado AM PM, San Jose Costa Rica
CR


Cookies à éradiquer utilisés par ce parasite
.

Liens, sources et ressources
Pour rédiger cette fiche, les sites suivants ont été consultés
i-lookup.com
www.iclicks.net
www.globalwebsearch.com
PestPatrol
and.doxdesk.com
Kephir

Porter plainte
Portez plainte iciO.C.L.C.T.I.C
MINISTERE DE L'INTERIEUR
Direction Centrale de la Police Judiciaire
Sous-Direction des Affaires Economiques et Financières
8, rue de Penthièvre
75008 PARIS
Tel : 01.49.27.49.27
Télécopie : 01.40.97.88.59
oclctic@interieur.gouv.fr


Retour d'information (FeedBack)
S'il y a la moindre chose nouvelle ou à ajouter ou à corriger sur cette page, merci d'utiliser le petit formulaire de feedback ci-dessous.


Rédigé en écoutant Ecoute




Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com

Nouvelle adresse du site Assiste.com depuis le 22 octobre 2012 : http://assiste.com