HijackThis : Analyse des lignes O14 - iereset.inf
HijackThis : Analyse des lignes O14 - iereset.inf
|
||||
| |
Les lignes O14
Les lignes O14 d'une analyse HijackThis font ressortir une usurpation possible des valeurs stockées dans le fichier c:\windows\inf\iereset.inf. Ces valeurs doivent permettre, en cas de besoin, une restauration des réglages d'Internet Explorer en les repositionnant aux valeurs par défaut de Microsoft lors de l'installation de Windows. Ce fichier contient toutes les valeurs par défaut (valeurs d'origine). Lorsque vous faites une restauration aux valeurs par défaut, les paramètres contenus dans ce fichier sont lus et exploités pour restaurer tous les paramètres d'Internet Explorer. Si un usurpateur a modifié ces paramètres, vous allez alors, croyant restaurer votre navigateur, le paramétrer ou re-paramétrer au profit de cette crapule.
Exemple d'avertissement dans un log HijackThis
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
Que faire ?
Normalement, la valeur contenue dans cette ligne devrait être "http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome". Vous pouvez l'avoir changée vous-même pour, par exemple, http://assiste.com. Il est également possible que ce paramètre ait été modifié légitimement par le fabricant de votre ordinateur ou l'administrateur système de la machine ou votre fournisseur d'accès à Internet (votre FAI). Si l'URL affichée sur cette ligne n'est pas connue de vous, corrigez-la avec HijackThis.
Restaurer intégralement iereset.inf
Recopier ce qui suit (Windows XP Pro et IE6) et le coller dans votre iereset.inf (dont l'emplacement est c:\windows\inf\iereset.inf).
Les lignes O14 d'une analyse HijackThis font ressortir une usurpation possible des valeurs stockées dans le fichier c:\windows\inf\iereset.inf. Ces valeurs doivent permettre, en cas de besoin, une restauration des réglages d'Internet Explorer en les repositionnant aux valeurs par défaut de Microsoft lors de l'installation de Windows. Ce fichier contient toutes les valeurs par défaut (valeurs d'origine). Lorsque vous faites une restauration aux valeurs par défaut, les paramètres contenus dans ce fichier sont lus et exploités pour restaurer tous les paramètres d'Internet Explorer. Si un usurpateur a modifié ces paramètres, vous allez alors, croyant restaurer votre navigateur, le paramétrer ou re-paramétrer au profit de cette crapule.
Exemple d'avertissement dans un log HijackThis
O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com
Que faire ?
Normalement, la valeur contenue dans cette ligne devrait être "http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome". Vous pouvez l'avoir changée vous-même pour, par exemple, http://assiste.com. Il est également possible que ce paramètre ait été modifié légitimement par le fabricant de votre ordinateur ou l'administrateur système de la machine ou votre fournisseur d'accès à Internet (votre FAI). Si l'URL affichée sur cette ligne n'est pas connue de vous, corrigez-la avec HijackThis.
Restaurer intégralement iereset.inf
Recopier ce qui suit (Windows XP Pro et IE6) et le coller dans votre iereset.inf (dont l'emplacement est c:\windows\inf\iereset.inf).
| Contenu de iereset.inf |
| [Version]Signature="$CHICAGO$" AdvancedINF=2.5,"You need a new version of advpack.dll" [RestoreHomePage] AddReg=RestoreHomePage.reg [RestoreBrowserSettings] AddReg=RestoreBrowserSettings.reg DelReg=DeleteTemplates.reg, DeleteAutosearch.reg [RestoreHomePage.reg] HKCU,"Software\Microsoft\Internet Explorer\Main","Start Page",0,%START_PAGE_URL% [RestoreBrowserSettings.reg] HKLM,"Software\Microsoft\Internet Explorer\Main","Default_Page_URL",0,%START_PAGE_URL% HKLM,"Software\Microsoft\Internet Explorer\Main","Default_Search_URL",0,%SEARCH_PAGE_URL% HKLM,"Software\Microsoft\Internet Explorer\Main","Search Page",0,%SEARCH_PAGE_URL% HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate","1",0,"www.%s.com" HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate","2",0,"www.%s.org" HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate","3",0,"www.%s.net" HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate","4",0,"www.%s.edu" HKCU,"Software\Microsoft\Internet Explorer\Main","Search Page",0,%SEARCH_PAGE_URL% ; NOTE (andrewgu) ie5.5 b#108259 - autosearch settings are not properly reset HKCU,"Software\Microsoft\Internet Explorer\SearchUrl","Provider",0,"" HKLM,"Software\Microsoft\Internet Explorer\Search","SearchAssistant",0,"http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm" HKLM,"Software\Microsoft\Internet Explorer\Search","CustomizeSearch",0,"http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm" HKLM,"Software\Microsoft\Windows\CurrentVersion\Internet Settings\SafeSites",%SAFESITE_VALUE%,0,"http://ie.search.msn.com/*" [DeleteTemplates.reg] HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate","5" HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate","6" HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate","7" HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate","8" HKLM,"Software\Microsoft\Internet Explorer\Main\UrlTemplate","9" [DeleteAutosearch.reg] ; NOTE (andrewgu) ie5.5 b#108259 - autosearch settings are not properly reset HKCU,"Software\Microsoft\Internet Explorer\Main","AutoSearch" [Strings] START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome" SEARCH_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch" SAFESITE_VALUE="http://home.microsoft.com/intl/fr/" ; IMPORTANT NOTE: ; IE branding dll (iedkcs32.dll) uses the following entries to restore the default MS values. ; In the vanilla version of IE, the values must be the same as their corresponding non MS_* values. ; For example, START_PAGE_URL and MS_START_PAGE_URL must have the same URL in the IE version released by MS. MS_START_PAGE_URL="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome" |
| Historique des révisions de ce document : |
|
10.03.2005 Révision |
Rédigé en écoutant :
Music
Music