Page de démarrage IE modifiée

4 réponses

Le Préfet

23/12/2003 à 18:52

Bonjour,
Depuis quelques jours, la page de démarrage d'IE6 a été remplacée par
http://t.rack.cc/s.php?aid=227, alors que google.fr me convenait
parfaitement!
Cette situation a déja été évoquée dans ce groupe. J'ai donc essayé Ad-Aware
et Spybot pour m'en débarrasser, sans résultats.
En utilsant HiJackThis, j'obtiens le rapport suivant :

Logfile of HijackThis v1.97.7
Scan saved at 18:34:21, on 23/12/2003
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\Program Files\Norton Internet Security\ccPxySvc.exe
C:\WINDOWS\system32\HPConfig.exe
C:\Program Files\HPQ\Notebook Utilities\HPWirelessMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\carpserv.exe
C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Caere\OmniPagePro10.0\opware32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Microsoft Office\Office\OSA.EXE
C:\ProgrammesBis\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://t.rack.cc/s.php?aid=227
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
http://t.rack.cc/s.php?aid=227
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://t.rack.cc/h.php?aid=227
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
http://t.rack.cc/s.php?aid=227
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://t.rack.cc/h.php?aid=227
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =
http://t.rack.cc/s.php?aid=227
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://t.rack.cc/s.php?aid=227
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=040c&s=search&ap=b204
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
http://t.rack.cc/s.php?aid=227
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak =
http://www.google.fr/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP =
http://t.rack.cc/h.php?aid=227
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
Liens
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext =
http://go.compaq.com/2Q00CPT/040C/bF7.asp
N2 - Netscape 6: user_pref("browser.search.defaultengine",
"engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%206%5Csearchplugins%5
CNetscape_France.src"); (C:\Documents and Settings\Jacques CORNE\Application
Data\Mozilla\Profiles\default\29lf938g.slt\prefs.js)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program
Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program
Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -
C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -
C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [Watch] C:\PROGRA~1\Minitel\Watch.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control
Panel\atiptaxx.exe
O4 - HKLM\..\Run: [PreloadApp] c:\hp\drivers\printers\photosmart\hphprld.exe
c:\hp\drivers\printers\photosmart\setup.exe -d
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [Display Settings] C:\Program Files\HPQ\Notebook
Utilities\hptasks.exe /s
O4 - HKLM\..\Run: [QT4HPOT] C:\PROGRA~1\HPQ\ONE-TO~1\OneTouch.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec
Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Fichiers communs\Symantec
Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [OmniPage] C:\Program
Files\Caere\OmniPagePro10.0\opware32.exe
O4 - HKLM\..\Run: [pdfFactory Pro Dispatcher v1]
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
O4 - HKLM\..\Run: [sys] regedit -s sys.reg
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe"
/background
O4 - Global Startup: Démarrage d'Office.lnk = C:\Program Files\Microsoft
Office\Office\OSA.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft
Office\Office10\OSA.EXE
O9 - Extra button: Sites Perso (HKLM)
O9 - Extra 'Tools' menuitem: Compaq France (HKLM)
O9 - Extra button: Capturer ! (HKLM)
O9 - Extra 'Tools' menuitem: Capturer ce web (HKLM)
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -
http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) -
http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37873.4412731482

J'ai éliminé les clés contenant le t.rack.cc en question, mais la page
revient lors du prochain boot.
Que faire de plus dans ces conditions?
Merci de vos conseils
Jacques

4 réponses

joke0

23/12/2003 à 20:29

Salut,

Le Préfet:

O4 - HKLM..Run: [srmclean] C:CpqsScomsrmclean.exe

Vous pouvez vérifier ça? Faites-en une copie et envoyez là ici:
http://www.kaspersky.com/remoteviruschk.html

--
joke0

Gei

23/12/2003 à 20:47

"joke0" a écrit dans le message de
news:

Salut,

Le Préfet:
O4 - HKLM..Run: [srmclean] C:CpqsScomsrmclean.exe

Vous pouvez vérifier ça? Faites-en une copie et envoyez là ici:
http://www.kaspersky.com/remoteviruschk.html

--
joke0

Slt,
J'ai trouvé ça sur internet en farfouillant :

Srmclean helps in the installation and execution of the SoundMax SoftPaq for
Compaq/ADI SoundMax Integrated Digital Audio. According to Compaq - "If you
disable the entry from loading into startup, then you will not be able to
use the features of the sound card"

Ca semble donc servir à quelquechose de connu...

Gei
Nothing but the Geirangerfjord

bidouille

23/12/2003 à 21:15

bonjour
voir le news du 22.12.2003 :
adresse avec virus .
http://searchweb.ws/cool.php
le Exploit.Applet.ActiveXComponent peux changer la page de ie ,
mais c'est un vieux truc connus , et y a des patchs ...
a+

Le Préfet

24/12/2003 à 07:26

"joke0" a écrit dans le message de
news:

Salut,

Le Préfet:
O4 - HKLM..Run: [srmclean] C:CpqsScomsrmclean.exe

Vous pouvez vérifier ça? Faites-en une copie et envoyez là ici:
http://www.kaspersky.com/remoteviruschk.html

--
joke0

Bonjour,
A priori, Cpqs est d'origine sur mon micro ( portable Compaq ).

J'ai poursuivi mes recherches sur cette page parasite, et suis tombé, après
recherche de t.rack avec google, sur ce forum traitant du problème :

http://forums.techguy.org/t186175/sa8130e0d176ca45eb87dabcd9da294b7.html

Le conseil est de télécharger et d'exécuter CoolWebShredder. Ce que j'ai
fait, avec succès. Je n'ai pas encore analysé la clé ou l'exécutable enlevé
par ce petit programme, mais il semble qu'il traite les effets de
CoolWebSearch. Il examine aussi host, win.ini, ...
J'ai vu d'autres posts sur ce thème, si cela peut aider quelqu'un d'autre.
Merci d'avoir examiné ma demande.
Amicalement
Jacques

Page de démarrage IE modifiée

4 réponses

Veuillez sélectionner un problème