…Bonjour Apple CS3 LSP TCP-IP Winsock2
Les produits Adobe de la série CS3 installent systématiquement un service appelé "Bonjour". Tout bricoleur du dimanche en informatique sera titillé par l’instinct de désinstaller ce service que l’on soupçonne d’être une entrée royale pour les Hackers de tout poil.
Mais indépendamment de Bonjour, on peut être face à la désinstallation d’un vrai Malware utilisant la même technologie et dont la suppression entrainera le non fonctionnement de TCP/IP
Le service "Bonjour" pris comme exemple est un utilitaire développé par Apple dans le but de permettre la reconnaissance de périphériques ou de serveurs sur le réseau sans configuration IP compliquée !!. Cet utilitaire s’installe en tant que service nt et la DLL associée est enregistrée et nommée dans les clés de registre de Winsock2 en tant que LSP.

Qu’est ce qu’un LSP ?

LSP = "Layered Service Provider". C’est un soft que l’on peut insérer dans les Handler TCP/IP comme un maillon d’une chaine. Cette chaine ne doit pas être cassée sous peine de bloquer le fonctionnement de TCP/IP donc de la navigation WEB et des échanges réseau qui utilisent TCP/IP. La description des maillons de la chaine se trouve dans les registres :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\00000000000x

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\00000000000x

Il existe deux catalogues : "NameSpace_Catalog5" et  "Protocol_Catalog9"
Pour les deux catalogues, les entrées sont définies sous "Catalog_Entries", chaque entrée s’appelle "00000000000x" (x est le numéro de l’entrée).
Dans notre cas la DLL du service Bonjour est insérée dans  "NameSpace_Catalog5"  .
Le logiciel "Bonjour" se résume à 2 fichiers : "mDNSResponder.exe" et "mdnsNSP.dll" qui s’installent dans "Program Files\Bonjour"
Si on se contente de désinstaller le service par > mDNSResponder -remove , puis de supprimer le dossier "Bonjour", alors, on a toutes les chances de casser son TCP/IP, puisqu’en effet la clef de registre 00000000000x qui contient la référence à C:\Program Files\Bonjour\mdnsNSP.dll est toujours présente, mais plus le fichier. Dans ce cas, la navigation Web ne marche plus et, par exemple, si l’on tente sous fenêtre DOS de lancer l’utilitaire "netsh", on obtient le message d’erreur suivant :

Le démarrage de la fonction d’initialisation InitHelperDll dans IPMONTR.DLL a échoué ; code d’erreur : 11003

Pour réparer tout cela :

1. Rechercher dans les entrées LSP du catalogue "NameSpace_Catalog5" celle dont le "LibraryPath" pointe sur "C:\Program Files\Bonjour\mdnsNSP.dll"
2. Supprimer cette entrée
3. Si cette entrée était la dernière du catalogue : RAS, sinon renommer toutes les entrée qui suivent pour respecter l’ordre numérique du nommage des ces entrées, "000000000001", "000000000002", "000000000003" …. etc
   ATTENTION: respecter le nombres de caractères et ajuster le nombre de zéros si on dépasse 9.
4. Faire -1 sur le compteur (nombre de maillons de la chaine)

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5]
   "Num_Catalog_Entries"=dword:00000004 —> devient 00000003 (exemple)

Nota: Cette procédure est également valable si le problème se situe au niveau d’un protocole qui serait décrit dans la table "Protocole_Catalogue9"
Seule différence, les noms sont en binaire, il faut cliquer sur la chaine pour obtenir l’outil de modification et lire le nom en clair dans la colonne de droite.

Avant de vous lancer dans cette aventure, n’oubliez pas de faire une exportation de votre clé Winsock2, on ne sait jamais !!

3 réponses à to “Plus d’internet après suppression du service “Bonjour””