Adware.Iefeats

Version imprimable

Mis à jour : February 13, 2007 11:42:10 AM
Type : Adware
Version : n/a
Editeur : n/a
Impact des risques : High
Noms de fichiers : Msiesh.dll iefeatsl.dll image.dll Mshp.dll f2install.exe
Systèmes affectés : Windows

Comportement


Adware.Iefeats est un composant de logiciel publicitaire qui redirige la page de démarrage d'Internet Explorer et modifie la fonctionnalité de recherche sans permission. Il affiche des fenêtres publicitaires intempestives et télécharge des fichiers à l'insu de l'utilisateur, qui peuvent alors répandre d'autres risques de sécurité et causer d'autres dommages.

Symptômes


Votre programme Symantec détecte Adware.Iefeats.

Transmission


Ce composant de logiciel publicitaire peut être installé manuellement, ou il peut être installé comme composant d'un autre programme.

Dates de la protection antivirus

  • Version initiale des définitions Rapid Release October 02, 2014 révision 022
  • Dernière version des définitions Rapid Release April 21, 2018 révision 004
  • Version initiale des définitions Daily Certified March 05, 2004
  • Dernière version des définitions Daily Certified April 22, 2018 révision 007
  • Date de la version initiale des définitions Weekly Certified March 10, 2004

Click here for a more detailed description of Rapid Release and Daily Certified virus definitions.

Mis à jour : February 13, 2007 11:42:10 AM
Type : Adware
Version : n/a
Editeur : n/a
Impact des risques : High
Noms de fichiers : Msiesh.dll iefeatsl.dll image.dll Mshp.dll f2install.exe
Systèmes affectés : Windows


Lorsque Adware.Iefeats installer s'exécute, il réalise les opérations suivantes :

  1. Crée le fichier suivant :


    %SystemDrive%\f2install.log

    Remarque :
    %SystemDrive% est une variable qui se rapporte au disque sur lequel Windows est installé. Par défaut, il s'agit du disque C.

  2. Ajoute la valeur :

    "[nom du fichier d'installation]" = "[emplacement et nom du fichier d'installation]"

    à la sous-clé de registre :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    de sorte que le programme d'installation s'exécute à chaque démarrage de Windows.

  3. Crée et remplit la sous-clé de registre suivante :

    HKEY_CLASSES_ROOT\CLSID\[clsid d'installation]

    où [clsid d'installation] est un CLSID semi-aléatoire déterminé par l'emplacement et le nom de fichier du programme d'installation.

  4. Télécharge un service crypté et Browser Helper Object à partir d'un ou plusieurs des domaines suivants :

    • u47.cc
    • u45.cx
    • u48.cc
    • u46.cx

      Décrypte les fichiers, les fusionne avec jusqu'à 1024 octets aléatoires et les enregistre en tant que %Windir%\[nom d'exécutable aléatoire] ou %System%[nom d'exécutable aléatoire], où [nom d'exécutable aléatoire] est le nom de fichier produit par le programme d'installation, combinant l'une des chaînes suivantes :

    • sdk
    • java
    • cr
    • d3
    • ms
    • ie
    • sys
    • win
    • add
    • app
    • atl
    • mfc
    • api
    • net
    • ip
    • nt

      avec deux lettres aléatoires souvent suivies de la chaîne "32" et avec l'une des extensions suivantes :

    • .dll
    • .exe

      De plus, le programme d'installation télécharge un fichier de ressources cryptées à partir de l'un des domaines énumérés ci-dessus. Le décrypte et l'enregistre en tant que %Windir%[5 lettres aléatoires].dll ou %System%[5 lettres aléatoires].dll

      Remarque : %Windir% est une variable qui indique l'emplacement du dossier d'installation de Windows. Par défaut, il s'agit de C:\Windows (Windows 95/98/Me/XP) ou C:\Winnt (Windows NT/2000).

  5. Ajoute la valeur :

    "[nom du fichier service]" = "[emplacement et nom du fichier service]"

    pour le service téléchargé à la sous-clé de registre :

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

    de sorte que le service puisse être exécuté au démarrage suivant de Windows.

  6. Pour le service téléchargé et Browser Helper Object, crée et remplit la sous-clé de registre suivante :

    HKEY_CLASSES_ROOT\CLSID\[service clsid]
    HKEY_CLASSES_ROOT\CLSID\[bho clsid]

    Remarque : [service clsid] et [bho clsid] sont des CLSID semi-aléatoires déterminés par l'emplacement et le nom de fichier des composants.

  7. Exécute le service et initialise Browser Helper Object.

  8. Peut périodiquement afficher des messages ou des infobulles semblables au comportement légitime du système d'exploitation afin de duper l'utilisateur et l'inciter à se rendre sur des sites Web probablement malveillants.

  9. Essaie d'éviter la suppression en :

    • réalisant des copies de sauvegarde des composants du service associé et Browser Helper Object dans des fichiers [6 caractères aléatoires].dat ou des flux de données alternatifs NTFS nommés de façon aléatoire de fichiers existants dans le dossier %Windir% ;
    • restaurant les composants manquants ;
    • téléchargeant et réinstallant les composants manquants si nécessaire ;
    • recréant les sous-clés de registre de CLSID et les mettant à jour avec des informations nécessaires pour retrouver d'autres composants d'Adware.Iefeats.
  10. Peut tenter de télécharger des risques de sécurité et des menaces supplémentaires.


Quand le service téléchargé est exécuté, il effectue les actions suivantes :
  1. Essaie de supprimer les sous-clés de registre suivantes :

    HKEY_CLASSES_ROOT\PROTOCOLS\filter\text/html
    HKEY_CLASSES_ROOT\PROTOCOLS\filter\text/plain
    HKEY_CLASSES_ROOT\CLSID\[clsid du filtre html]
    HKEY_CLASSES_ROOT\CLSID\[clsid du filtre normal]

    Remarque : [clsid du filtre html] et [clsid du filtre normal] sont les valeurs d'entrées CLSID des sous-clés :

    HKEY_CLASSES_ROOT\PROTOCOLS\filter\text/html
    HKEY_CLASSES_ROOT\PROTOCOLS\filter\text/plain

    Essaie également de supprimer les fichiers référencés par les entrées par défaut des sous-clés :

    HKEY_CLASSES_ROOT\CLSID\[clsid du filtre html]\InProcServer32
    HKEY_CLASSES_ROOT\CLSID\[clsid du filtre normal]\InProcServer32

  2. Essaie de supprimer la valeur :

    "AppInit_DLLs"

    de la sous-clé de registre suivante :

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

    et de supprimer le fichier référencé par cette valeur.

  3. Installe un service avec un nom obscur et pour chemin d'accès de l'image :

    "[emplacement et nom du fichier service] /s"

    et l'un des noms d'affichage suivants :

    • Network Security Service
    • Network Security Service (NSS)
    • Remote Procedure Call (RPC) Helper
    • Workstation NetLogon Service

Remarque : Le service reproduit la fonctionnalité suivante du programme d'installation afin d'éviter la suppression :
    • récréation de la valeur dans la sous-clé de registre de RunOnce ;
    • réalistaion de copies et restauration des composants manquants des sauvegardes ;
    • récréation des sous-clés de registre de CLSID et mise à jour avec des informations nécessaires pour retrouver d'autres composants d'Adware.Iefeats.


Quand le Browser Helper Object téléchargé est initialisé, il effectue les actions suivantes :
  1. Crée et remplit les sous-clés de registre suivantes :

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\HSA
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SE
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SW

    afin de créer des liens vers les pages Web fournissant des programmes de désinstallation non fonctionnels pour les programmes suivants :

    • Home Search Assistent
    • Search Extender
    • Shopping Wizard

  2. Crée et remplit la sous-clé de registre suivante :

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\[clsid bho]

    pour s'enregistrer comme Browser Helper Object.

  3. Remplace la fonctionnalité de recherche d'Internet Explorer en supprimant les sous-clés de registre suivantes :

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks

    et ajoute la valeur :

    "[clsid bho]" = "0x00 [38 octets superflus]"

    à la sous-clé recréée :

    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks
  4. Peut créer différents liens dans les dossiers suivants :
    • %UserProfile%\Favourites
    • %UserProfile%\Favourites\Sites

      Remarque : %UserProfile% est une variable qui se rapporte au dossier profil de l'utilisateur en cours. Par défaut, il s'agit de C:\Documents and Settings\[Utilisateur en cours] (Windows NT/2000/XP).
Une fois que ceci se produit, quand Internet Explorer est ouvert, Browser Helper Object procède ainsi :
  1. Télécharge des fichiers de configuration et de données cryptés à partir d'un ou plusieurs des domaines suivants :

    • u47.cc
    • u45.cx
    • u48.cc
    • u46.cx

      Décrypte les fichiers et les enregistre en tant que de %Windir%[nom de fichier aléatoire] ou %System%[nom de fichier aléatoire].

  2. Ajoute la valeur :

    "Set"

    à la sous-clé de registre :

    HKEY_LOCAL_MACHINE\Software\Microsoft

  3. Ajoute la valeur :

    "ImageDescriptor"

    à la sous-clé de registre :

    HKEY_CLASSES_ROOT\icofile

  4. Modifie les valeurs :

    "Default_Page_URL" = "about:blank"
    "Default_Search_URL" = "res://[emplacement et nom du fichier de ressources]/sp.html#37049
    "Use Search Asst" = "no"

    dans la sous-clé de registre :

    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main

  5. Modifie les valeurs :

    "Search Bar" = "res://[emplacement et nom du fichier de ressources]/sp.html#37049
    "Search Page" = "res://[emplacement et nom du fichier de ressources]/sp.html#37049
    "Start Page" = "about:blank"

    dans les sous-clés de registre :

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main

  6. Modifie les valeurs :

    "SearchAssistant" = "res://[emplacement et nom du fichier de ressources]/sp.html#37049

    dans la sous-clé de registre :

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search

  7. Essaie de désactiver et d'endommager divers risques de sécurité en terminant des processus, en supprimant des fichiers et en supprimant des sous-clés de registre. Puisque l'algorithme employé par ce logiciel publicitaire ne dispose pas des possibilités de détection appropriée des risques de sécurité, il peut également endommager des processus et des fichiers légitimes. De plus, il supprime le fichier légitime suivant :

    %System%\drivers\etc\hosts

    et le dossier :

    %Windir%\LastGood

  8. Crée la sous-clé de registre suivante :

    HKEY_CLASSES_ROOT\CLSID\{676575dd-4d46-911d-8037-9b10d6ee8bb5}

  9. Affiche des fenêtres publicitaires intempestives et contacte divers sites Web divers sans la permission de l'utilisateur.

Remarque : Browser Helper Object reproduit la fonctionnalité suivante du programme d'installation afin de compliquer la suppression du logiciel publicitaire :
    • réalisation de copies et restauration des composants manquants des sauvegardes ;
    • téléchargement et réinstallation des composants manquants si nécessaire ;
    • récréation des sous-clés de registre de CLSID et mise à jour avec des informations nécessaires pour retrouver d'autres composants d'Adware.Iefeats.


Des versions plus anciennes de ce logiciel publicitaire peuvent :
  1. Ajouter la valeur :

    "Image"= "rundll32 [emplacement de image.dll]\image.dll,UpdateDll fs"

    aux sous-clés de registre :

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

  2. Ajouter la valeur :

    "Updater"= "rundll32 [emplacement de iefeatsl.dll]iefeatsl.dll\1.new,UpdateDll fs"

    à la sous-clé de registre :

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

  3. Créer et remplir la sous-clé de registre :

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\ iefeatsl

  4. Enregistrer Browser Helper Object en créant et en peuplant les sous-clés de registre suivantes :

    HKEY_CLASSES_ROOT\CLSID\{0B40A54D-BEC3-4077-9A33-701BD6ACDEB2}
    HKEY_CLASSES_ROOT\CLSID\{587DBF2D-9145-4C9E-92C2-1F953DA73773}
    HKEY_CLASSES_ROOT\CLSID\ {FD9BC004-8331-4457-B830-4759FF704C22}
    HKEY_CLASSES_ROOT\iefeatsl.ViewSource
    HKEY_CLASSES_ROOT\iefeatsl.ViewSource.1
    HKEY_CLASSES_ROOT\Image.Image
    HKEY_CLASSES_ROOT\Image.Image.1
    HKEY_CLASSES_ROOT\ SearchHook.SearchHookObject
    HKEY_CLASSES_ROOT\ SearchHook.SearchHookObject.1
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{587DBF2D-9145-4C9E-92C2-1F953DA73773}
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\{587DBF2D-9145-4C9E-92C2-1F953DA73773}
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\{FD9BC004-8331-4457-B830-4759FF704C22}

  5. Configurer la page de démarrage d'Internet Explorer avec une adresse URL sur le domaine mshp.dll, puis afficher une page de moteur de recherche quand le navigateur est ouvert.

  6. Télécharger les fichiers suivants :

    • [dossier du logiciel publicitaire]\iefeatsl.dll
    • [dossier du logiciel publicitaire]\image.dll
    • [dossier du logiciel publicitaire]\msiesh.dll
    • [dossier de logiciel publicitaire]\mssearch.dll (non disponible au moment de la rédaction de cet article)
    • %Windir%\mshp.dll
    • [dossier du logiciel publicitaire]\dict.dat (un fichier de configuration)
    • [dossier du logiciel publicitaire]\keywords.dat (un fichier de configuration)
    • [dossier du logiciel publicitaire]\update.txt (un fichier de configuration)

      où [dossier du logiciel publicitaire] est le dossier d'installation du logiciel publicitaire, habituellement %UserProfile%\Application Data\iefeatsl

      Remarque :
      %UserProfile% est une variable qui se rapporte au dossier profil de l'utilisateur en cours. Par défaut, il s'agit de C:\Documents and Settings\[Utilisateur en cours] (Windows NT/2000/XP).

Mis à jour : February 13, 2007 11:42:10 AM
Type : Adware
Version : n/a
Editeur : n/a
Impact des risques : High
Noms de fichiers : Msiesh.dll iefeatsl.dll image.dll Mshp.dll f2install.exe
Systèmes affectés : Windows


Suppression à l'aide de l'outil de suppression d'Adware.Iefeats
Symantec Security Response a développé un outil de suppression pour Adware.Iefeats. Essayez cet outil en premier lieu, il représente le moyen le plus simple pour éliminer cette menace.

L'outil peut être trouvé ici :

http://securityresponse.symantec.com/avcenter/FixIefts.exe

La version actuelle de l'outil est la version 1.0.1 et portera une signature numérique datant du jeudi 2 décembre, 3.03 AM (PST).

Remarque : La date et l'heure affichées seront réglées en fonction de votre fuseau horaire, si votre ordinateur n'est pas configuré sur le fuseau horaire Pacifique.


Les instructions suivantes concernent tous les produits antivirus de Symantec qui prennent en charge la détection de risques de sécurité.

  1. Mettre à jour les définitions
  2. Préparer une copie papier de ces instructions de suppression
  3. Redémarrer l’ordinateur en mode sans échec ou en mode VGA.
  4. Exécuter l'analyse, noter le chemin d'accès complet et le nom de fichier puis supprimer les fichiers
  5. Redémarrer l’ordinateur en Mode normal.
  6. Trouver et désactiver le service (Windows NT /2000/XP)
  7. Rétablir les modifications apportées au registre
  8. Réinstaller le programme antivirus de Symantec
  9. Reconfigurer la page de démarrage d'Internet Explorer
  10. Reconfigurer la page de recherche d'Internet Explorer

Pour plus de détails sur chacune de ces étapes, lisez les instructions suivantes.


1. Pour mettre à jour les définitions
Pour obtenir les définitions les plus récentes, lancez votre programme Symantec et exécutez LiveUpdate.


2. Pour préparer une copie papier de ces instructions de suppression
Puisque Adware.Iefeats peut fonctionner comme extension de Microsoft Internet Explorer, il est nécessaire de fermer toutes les fenêtres ouvertes d'Internet Explorer pour le supprimer. Si vous lisez cet article dans Internet Explorer, imprimez-le en utilisant l'option Imprimer ce document en haut de la page, ou notez les instructions suivantes, et fermez ensuite toutes les fenêtres d'Internet Explorer.


3. Pour redémarrer l’ordinateur en mode sans échec ou en mode VGA
Arrêtez l'ordinateur puis éteignez-le. Attendez au moins 30 secondes puis redémarrez l'ordinateur en mode sans échec ou en mode VGA.
  • Sous Windows 95, 98, Me, 2000 ou XP, redémarrez l'ordinateur en mode sans échec. Pour des instructions détaillées, consultez le document intitulé Comment démarrer l'ordinateur en mode sans échec.
  • Sous Windows NT 4, redémarrez l'ordinateur en mode VGA.


4. Pour exécuter l'analyse, noter le chemin d'accès complet et le nom de fichier puis supprimer les fichiers
  1. Lancez votre programme antivirus de Symantec, puis exécutez une analyse complète du système.
  2. Si des fichiers sont détectés comme Adware.Iefeats ou Adware.CoolWebSearch et en fonction de la version du logiciel que vous utilisez, certaines options suivantes peuvent s'afficher :

    Remarque : Ceci s'applique seulement aux versions de Norton AntiVirus qui prennent en charge la détection de risques de sécurité. Si vous exécutez une version de Symantec Antivirus Corporate Edition qui prend en charge la détection de risques de sécurité, et si la détection de risques de sécurité a été activée, vous verrez seulement une boîte de dialogue indiquant les résultats de l'analyse. Si vous avez des questions à ce propos, contactez l'administrateur réseau.

    • Exclure (non recommandé) : Si vous cliquez sur ce bouton, le programme configurera le risque de manière à ce qu'il ne soit plus détecté. En d'autres termes, le programme antivirus conservera le risque de sécurité sur l'ordinateur et ne le détectera plus pour le supprimer.

    • Ignorer : Cette option indique au moteur d'analyse d'ignorer le risque pour cette analyse seulement. Elle sera encore détectée à la prochaine analyse.

    • Annuler : Il s'agit d'une nouvelle option de Norton AntiVirus 2005. Elle est utilisée quand le programme a déterminé qu'il ne peut pas supprimer un risque de sécurité. Cette option d'annulation indique au moteur d'analyse d'ignorer le risque pour cette analyse seulement ; ainsi, le risque sera détecté à la prochaine analyse.

      Pour supprimer véritablement le risque de sécurité :
      • Cliquez sur le nom du fichier (sous la colonne Nom de fichier).
      • Dans la boîte de dialogue Informations sur l'élément, saisissez le nom complet du chemin d'accès et le nom du fichier.
      • Servez-vous ensuite de l'Explorateur Windows pour localiser et supprimer le fichier.

    • Supprimer : Cette option tentera de supprimer les fichiers détectés. Dans certains cas, le moteur d'analyse n'en sera pas capable.
      • Si un message du type "Echec de la suppression" s'affiche, supprimez manuellement le fichier.
      • Cliquez sur le nom de fichier du risque sous la colonne Nom de fichier.
      • Dans la boîte de dialogue Informations sur l'élément, saisissez le nom complet du chemin d'accès et le nom du fichier.
      • Servez-vous ensuite de l'Explorateur Windows pour localiser et supprimer le fichier.


5. Pour redémarrer l’ordinateur en mode normal


6. Pour trouver et désactiver le service (Windows NT/2000/XP)
  1. Cliquez sur Démarrer > Exécuter.
  2. Tapez  services.msc, puis cliquez sur OK.
  3. Localisez et choisissez le service qui a été détecté comme Adware.Iefeats ou Adware.CoolWebSearch.

    Remarque : Pour trouver le service, il est possible que vous deviez vérifier les entrées suivantes dans la fenêtre des services :
    • Network Security Service
    • Network Security Service (NSS)
    • Remote Procedure Call (RPC) Helper
    • Workstation NetLogon Service

  4. Cliquez sur Action > Propriétés.
  5. Assurez-vous que le champ Chemin d'accès des fichiers exécutables fait référence à l'un des fichiers détectés, puis cliquez sur Arrêter et remplacez le Type de démarrage par Manuel.
  6. Cliquez sur OK et fermez la fenêtre Services.


7. Pour rétablir les modifications apportées au registre
Important : Nous vous recommandons vivement d’effectuer une sauvegarde du registre avant d’y apporter des modifications. Une modification incorrecte du registre peut provoquer la perte définitive de données ou la corruption de fichiers. Ne modifiez que les sous-clés indiquées. Consultez le document intitulé : Comment faire une copie de sauvegarde du Registre de Windows pour des instructions détaillées.

  1. Cliquez sur Démarrer > Exécuter.

  2. Tapez regedit

    Puis cliquez sur OK.

  3. Accédez à la sous-clé :

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

    et dans le volet de droite, supprimez la valeur :

    "[nom du fichier détecté]" = "[emplacement et nom du fichier détecté]"

  4. Accédez à la sous-clé :

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

    et dans le volet de droite, supprimez la valeur suivante, si elle existe :

    "[nom du fichier détecté]" = "[emplacement et nom du fichier détecté]"

  5. Accédez à la sous-clé :

    HKEY_CLASSES_ROOT\

    puis cliquez sur Edition > Rechercher. Dans le champ "Rechercher", tapez le nom du fichier .dll qui a été détecté comme Adware.Iefeats dans la section 7. Recherchez des entrées de :

    "(par défaut)" = "[emplacement et nom du fichier .dll détecté]"

    dans la sous-clé de registre :

    HKEY_CLASSES_ROOT\CLSID\[semi-random clsid]\InProcServer32

    puis notez la valeur [clsid semi-arbitraire]. Il est possible que vous deviez répéter cette étape pour d'autres fichiers .dll qui ont été détectés dans la section 7.

  6. Accédez à la sous-clé suivante et dans le volet de gauche supprimez-la :

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\[clsid semi-arbitraire]

    où [clsid semi-arbitraire] correspond à la valeur trouvée dans la recherche précédente.

  7. Accédez à la sous-clé suivante :

    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks

    et dans le volet de droite, supprimez la valeur :

    "[clsid semi-arbitraire]"

    où [clsid semi-arbitraire] correspond à la valeur trouvée dans la recherche précédente.

  8. Accédez aux sous-clés suivantes et dans le volet de gauche supprimez-les :

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\HSA
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SE
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\SW

  9. Accédez à la clé suivante :

    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer

  10. Dans le volet gauche, sélectionnez la clé "Internet Explorer", cliquez dessus avec le bouton droit et sélectionner Nouveau -> Clé. Donnez-lui le nom UrlSearchHooks.
  11. Recherchez cette clé et créez une nouvelle valeur en cliquant avec le bouton droit de la souris dans le volet droit et en sélectionnant Nouveau -> Valeur chaîne. Donnez-lui la valeur {CFBFAE00-17A6-11D0-99CB-00C04FD64497}.
  12. Quittez l’Editeur du Registre.


8. Pour supprimer les sites Web ajoutés à vos favoris Internet Explorer
    1. Lancez Microsoft Internet Explorer.
    2. Cliquez sur Favoris > Organiser vos favoris
    3. Supprimez les favoris suspects ajoutés par le risque.

9. Pour réinstaller le programme antivirus de Symantec
Ce logiciel publicitaire peut tenter de supprimer les fichiers et sous-clés de registre utilisés par votre programme antivirus Symantec et vous devrez peut-être réinstaller le programme. Si votre programme antivirus de Symantec ne fonctionne pas correctement, désinstallez-le, puis réinstallez-le.


10. Pour reconfigurer la page de démarrage d'Internet Explorer
  1. Lancez Microsoft Internet Explorer.
  2. Connectez-vous à Internet, puis allez à la page que vous voulez définir en tant que page de démarrage.
  3. Cliquez sur Outils > Options Internet.
  4. Dans la section Page de démarrage de l'onglet Général, cliquez sur Page actuelle > OK.

Pour obtenir des informations supplémentaires, ou si cette procédure ne fonctionne pas, lisez l'article de la base de données de Microsoft® : Le paramétrage de la page de démarrage change de façon inattendue ou vous ne pouvez pas le modifier (n° d'article : F320159) .


11. Pour reconfigurer la page de recherche d'Internet Explorer
Suivez les instructions pour votre version de Windows :

Windows 98/Me/2000
  1. Lancez Microsoft Internet Explorer.
  2. Cliquez sur le bouton Rechercher dans la barre d'outils.
  3. Dans le volet Rechercher, cliquez sur Personnaliser.
  4. Cliquez sur Réinitialiser.
  5. Cliquez sur Paramètres de recherche automatique.
  6. Choisissez un site de recherche à partir de la liste déroulante, puis cliquez OK.
  7. Cliquez sur OK.

Windows XP
Puisque Windows XP est configuré par défaut pour utiliser des personnages animés dans la recherche, la méthode peut changer. Lisez toutes les instructions avant de commencer.
  1. Lancez Microsoft Internet Explorer.
  2. Cliquez sur le bouton Rechercher dans la barre d'outils.
  3. Effectuez l'une des opérations suivantes :
    • Si le volet qui s'ouvre est semblable à l'image suivante, cliquez sur le terme Personnaliser et passez à l'étape h :




    • Si, en haut du volet qui s'ouvre, les termes "Assistant recherche" s'affichent, et si le centre du volet ressemble à l'illustration ci-dessous, cliquez sur le lien Modifier les préférences et passez à l'étape d.




  4. Cliquez sur le lien Modifier le comportement de recherche sur Internet.
  5. Sous "Comportement de recherche sur Internet", cliquez sur Utiliser la recherche classique sur Internet.
  6. Cliquez sur OK. Fermez ensuite Internet Explorer. (Fermez le programme pour que la modification soit appliquée.)
  7. Démarrez Internet Explorer. Quand le volet de recherche s'ouvre, il devrait ressembler à l'illustration suivante :





    Cliquez sur Personnaliser et passez à l'étape suivante.

  8. Dans le volet Rechercher, cliquez sur Personnaliser.
  9. Cliquez sur Réinitialiser.
  10. Cliquez sur Paramètres de recherche automatique.
  11. Choisissez un site de recherche à partir de la liste déroulante, puis cliquez OK.
  12. Cliquez sur OK.
  13. Effectuez l'une des opérations suivantes :
    • Si vous utilisiez (ou souhaitez continuer à utiliser) le volet "Recherche classique sur Internet", ne lisez pas ce qui suit ou passez à la section suivante.
    • Si vous souhaitez revenir à l'"Assistant recherche" (disposant généralement d'un personnage animé), passez à l'étape n.

  14. Cliquez sur Personnaliser.
  15. Dans la fenêtre "Personnaliser les paramètres de recherche", cliquez sur Utiliser l'Assistant de recherche > OK.
  16. Fermez Internet Explorer. A la prochaine ouverture du programme, l'Assistant Recherche sera utilisé.