t.swapx.cc immer dieselbe Startseite!

#1 Hallo,

ich habe ein Problem. Und zwar startet mein Explorer immer mit dieser Seite:

http://t.swapx.cc/h.php?aid=11034


Ich habe euch hier mal ein Log von Hijack:

Logfile of HijackThis v1.97.7
Scan saved at 12:39:12, on 13.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\ATI Technologies\ATI Systemsteuerung\atiptaxx.exe
D:\Programme\Hercules\Video\Hercules 3DTweaker 3.0\H3dTweaker.exe
D:\PROGRA~1\NORTON~1\navapw32.exe
D:\Programme\Norton Personal Firewall\IAMAPP.EXE
D:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
D:\WINDOWS\Mixer.exe
D:\WINDOWS\System32\rundll32.exe
D:\Programme\eDonkey2000\eDonkey2000.exe
D:\WINDOWS\System32\ctfmon.exe
C:\Program Files\Webroot\Washer\wwDisp.exe
D:\Programme\GetRight\getright.exe
D:\Programme\klickTel\klickTel Januar 2003\KSTART32.EXE
D:\Programme\GetRight\getright.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\Programme\Norton Personal Firewall\NISUM.EXE
D:\WINDOWS\system32\slserv.exe
D:\Programme\Norton Personal Firewall\SymProxySvc.exe
D:\Programme\Norton Personal Firewall\NISSERV.EXE
D:\Programme\Norton Personal Firewall\ATRACK.EXE
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Internet Explorer\iexplore.exe
I:\ANTI-SHIT Tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=11034
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - D:\WINDOWS\System32\JN4O28~1.DLL
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Hercules 3DTweaker 3.0] D:\Programme\Hercules\Video\Hercules 3DTweaker 3.0\H3dTweaker.exe -hide
O4 - HKLM\..\Run: [NAV Agent] D:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [iamapp] D:\Programme\Norton Personal Firewall\IAMAPP.EXE
O4 - HKLM\..\Run: [NeroCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "D:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SafeGuard Popup Updater (required)] regsvr32 /s D:\WINDOWS\System32\pdfupd.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 D:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [webHancer Survey Companion] "D:\Program Files\webHancer\Programs\whSurvey.exe"
O4 - HKLM\..\Run: [eDonkey2000] D:\Programme\eDonkey2000\eDonkey2000.exe -t
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Window Washer] C:\Program Files\Webroot\Washer\wwDisp.exe
O4 - Global Startup: GetRight - Tray Icon.lnk = D:\Programme\GetRight\getright.exe
O4 - Global Startup: klickTel Januar 2003 - Schnellstarter.lnk = D:\Programme\klickTel\klickTel Januar 2003\KSTART32.EXE
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download with GetRight - D:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - D:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: ICQ 4.0 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O10 - Hijacked Internet access by New.Net
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q678340.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C73ED1F6-E8FE-4BC6-BE83-FF7F614F161F}: NameServer = 192.168.122.252,192.168.122.253


Könnt ihr mir bitte sagen, welche Zeilen ich fixen soll bzw. welche Programme ich noch brauche?

Danke

#2 Lies das: http://www.newdotnet.com/removal.html

fix das:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=11034
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - D:\WINDOWS\System32\JN4O28~1.DLL
O4 - HKLM\..\Run: [SafeGuard Popup Updater (required)] regsvr32 /s D:\WINDOWS\System32\pdfupd.dll
O4 - HKLM\..\Run: [New.net Startup] rundll32 D:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup
O4 - HKLM\..\Run: [webHancer Survey Companion] "D:\Program Files\webHancer\Programs\whSurvey.exe"
O16 - DPF: {11311111-1111-1111-1111-111111111157} - file://C:\Recycled\Q678340.exe
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

starte neu, update dein Windows via www.windowsupdate.com, nutze Escan:
http://www.rokop-security.de/board/index.php?showtopic=3867, loesche die Dateien, die es als infected meldet. Poste falls noetig ein neues log mit hijacktis 1.98.2
__________
MfG Ralf
SEO-Spam Hunter