trojaner auch im abgesicherten Modus aktiv?

#1 Hallo zusammen!
Ich hab zwar mit Viren, Würmern und Security generell schon einiges an Erfahrung, aber das hier hab ich noch nie erlebt.

Systemkonfig:
win2000 sp4
alle updates für win2000 und IE
Norton Anti Virus (mit ganz aktueller Virensignatur)
Norton Personal Firewall

Problem:
verschiedene Programme beenden sich sofort nach deren Start von selbst wieder. (zb. norton Anti Virus, regedit, dos-programme) Außerdem schließt sich der IE wenn man auf bestimmte Seiten geht (diverse antivirenseiten oder von verschieden spyblockern)

bis jetzt schon gemacht:
Hab daher mal den Rechner im abgesicherten Modus gestartet und einen kompletten Scan mit dem Norton gemacht (läuft im abgesicherten Modus) - natürlich nix gefunden.
dann wollt ich auf dem rechner noch Spybot S&D installieren und dabei ist folgendes passiert: hab die setup datei (spybotsd13.exe) auf einer cd. Allerdings wird diese auf dem rechner nicht angezeigt, man kann sie auch nicht über die command line aufrufen. es ist also so als ob die datei gar nicht in dem verzeichnis wäre. Also hab ich eine Freigabe erstellt und die Datei mal schnell von einem anderem Rechner aus reinkopiert. Allerdings sieht man die Datei auch nicht auf der lokalen Platte, also nochmal vom remoterechner draufgeschaut - die datei ist dort und lässt sich auch ausführen. Dieses Verhalten ist im normalen und im Abgesicherten Modus gleich. benennt man die Datei vom remoterechner aus um so erscheint sie sofort im Explorer und kann im abgesicherten modus sogar installiert werden. Spybot hat dann ein paar Sachen entfernt und nach beenden von Spybot war im Programme verzeichnis nichtsmehr von Spybot zu sehen.
Also hab ich es noch mit:
Symantec online virus scanner
Housecall trendmicro online scanner
Stinger
Trojanscan.com
pc cillin
versucht, aber immer ohne irgendwas würmchenartiges zu finden.

Hijack This konnte ich noch nicht installieren

Bin für jede Anregung sehr dankbar
Gerald
__________
not the sky ist the limit,
....the ground is.

#2 Hallo @dormi98

#Deaktiviere die Wiederherstellung

#Gehe in die Host-Datei (mit Editor oeffnen)
Windows XP = C:\WINDOWS\SYSTEM32\DRIVERS\ETC
Windows 2K = C:\WINNT\SYSTEM32\DRIVERS\ETC

Im Normalfall sollte dass hier drin stehen, alles andere loeschen
127.0.0.1 localhost
#Orginal Host Datei

#Lade eScan (entpacke in C:\bases...die du erstellst
http://www.mwti.net/antivirus/free_utilities.asp
Nun suchst du eine "kavupd.exe" und anklicken.
<Es oeffnet sich ein DOS-Fenster und es wird ein Update ausgeführt(dauert ein bisschen)
_______________________________
Gehe in den abgesicherten Modus
<den Scanner mit der "mwav.exe starten. Alle Häkchen setzen und "Scan clean" klicken.

Dann versuche, das HijackThis zu laden.(und zu erstellen)
Downloadlinks:
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
http://computercops.biz/zx/Merijn/hijackthis.zip

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#3 @ Dormi

Kopier mal die regedit.exe in ein anderes verzeichnis.
Benenn die Datei in xxx.com um.
Pack Sie in ein zipFile und starte Sie aus dem zipFile

Selbes Vorgehen für HiJackThis.exe.
Das "wichtigste" wäre ein HiJackThis logfile zu haben. Dort sieht man vielleicht schon was Sache ist.

Poste mal deine Ergebnisse.

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#4 Erst mal danke für die Tipps!

eScan hat einen Troj/HacDef gefunden und gelöscht. Was ich so darüber gefunden hab stimmt ziemlich mit meinem Fehlerbild überein. Er kopiert sich angeblich als svhost ins windows verzeichnis.Meine Probleme bestehen auf jeden Fall weiterhin. Weitere Scans mit eScan bleiben ergebnislos. Auch Norton findet inzwischen wieder ein bissl was (die umbenannten dateien von eScan um genau zu sein)
In der Hosts Datei sind ein Haufen Einträge wie man ja auch im folgenden Hijack Logfile sieht, die sich bei jedem Neustart (normal wie auch abgesichert) neu in die Hosts Datei schreiben. HijackThis wird im normalen Modus zwar auch nach wenigen sekunden wieder geschlossen, aber es gelang mir immerhin ein logfile zu generieren.


------------------------------
Logfile of HijackThis v1.98.2
Scan saved at 00:08:17, on 30.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Culturall\tomcat\bin\tomcat.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Hand-Crafted Software\FreeProxy\FreeProxy.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\Programme\Culturall\mysql\bin\mysqld-nt.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINNT\system32\internat.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Dokumente und Einstellungen\sbrozyna\Desktop\gerald\nix.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://dqumri.outhost.info/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://dqumri.outhost.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://dqumri.outhost.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://dqumri.outhost.info/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dqumri.outhost.info/sp.php
O1 - Hosts: 213.159.118.228 collections.inhost.info
O1 - Hosts: 213.159.118.228 collections.inhost2.info
O1 - Hosts: 213.159.118.228 1-se.com
O1 - Hosts: 213.159.118.228 58q.com
O1 - Hosts: 213.159.118.228 aifind.cc
O1 - Hosts: 213.159.118.228 aifind.info
O1 - Hosts: 213.159.118.228 allneedsearch.com
O1 - Hosts: 213.159.118.228 approvedlinks.com
O1 - Hosts: 213.159.118.228 auto.ie.searchforge.com
O1 - Hosts: 213.159.118.228 awebfind.biz
O1 - Hosts: 213.159.118.228 best.royalsearch.net
O1 - Hosts: 213.159.118.228 Cra*hier nicht!*.am
O1 - Hosts: 213.159.118.228 default-homepage-network.com
O1 - Hosts: 213.159.118.228 find.microgirls.com
O1 - Hosts: 213.159.118.228 find4u.net
O1 - Hosts: 213.159.118.228 freshvideogals.com
O1 - Hosts: 213.159.118.228 i-lookup.com
O1 - Hosts: 213.159.118.228 ie-search.com
O1 - Hosts: 213.159.118.228 in.webcounter.cc
O1 - Hosts: 213.159.118.228 itseasy.us
O1 - Hosts: 213.159.118.228 just.find-itnow.com
O1 - Hosts: 213.159.118.228 link.startmake.com
O1 - Hosts: 213.159.118.228 mysearchnow.com
O1 - Hosts: 213.159.118.228 nativehardcore.com
O1 - Hosts: 213.159.118.228 qwertysearch123.biz
O1 - Hosts: 213.159.118.228 search.ieplugin.com
O1 - Hosts: 213.159.118.228 search.psn.cn
O1 - Hosts: 213.159.118.228 searchbar.findthewebsiteyouneed.com
O1 - Hosts: 213.159.118.228 searchcentrix.com
O1 - Hosts: 213.159.118.228 searchmyrequest.com
O1 - Hosts: 213.159.118.228 super-spider.com
O1 - Hosts: 213.159.118.228 t.rack.cc
O1 - Hosts: 213.159.118.228 teen-biz.com
O1 - Hosts: 213.159.118.228 teenhqpics.com
O1 - Hosts: 213.159.118.228 tits.hardcore4ever.net
O1 - Hosts: 213.159.118.228 webcoolsearch.com
O1 - Hosts: 213.159.118.228 wmmse.com
O1 - Hosts: 213.159.118.228 www.008i.com
O1 - Hosts: 213.159.118.228 www.2fastsearch.net
O1 - Hosts: 213.159.118.228 www.8095.com
O1 - Hosts: 213.159.118.228 www.alfa-search.com
O1 - Hosts: 213.159.118.228 www.boredlife.com
O1 - Hosts: 213.159.118.228 www.couldnotfind.com
O1 - Hosts: 213.159.118.228 www.Cra*hier nicht!*.am
O1 - Hosts: 213.159.118.228 www.daum.net
O1 - Hosts: 213.159.118.228 www.dreamwiz.com
O1 - Hosts: 213.159.118.228 www.find-itnow.com
O1 - Hosts: 213.159.118.228 www.find-itnow.com
O1 - Hosts: 213.159.118.228 www.find4u.net
O1 - Hosts: 213.159.118.228 www.firstbookmark.com
O1 - Hosts: 213.159.118.228 www.gajai.com
O1 - Hosts: 213.159.118.228 www.hand-book.com
O1 - Hosts: 213.159.118.228 www.hao123.com
O1 - Hosts: 213.159.118.228 www.hotsearchbox.com
O1 - Hosts: 213.159.118.228 www.hotwebsearch.com
O1 - Hosts: 213.159.118.228 www.hugesearch.net
O1 - Hosts: 213.159.118.228 www.iquicksearch.com
O1 - Hosts: 213.159.118.228 www.lookfor.cc
O1 - Hosts: 213.159.118.228 www.maxxxhosters.com
O1 - Hosts: 213.159.118.228 www.naver.com
O1 - Hosts: 213.159.118.228 www.nkvd.us
O1 - Hosts: 213.159.118.228 www.F***.com
O1 - Hosts: 213.159.118.228 www.ohcorea.com
O1 - Hosts: 213.159.118.228 www.omega-search.com
O1 - Hosts: 213.159.118.228 www.onet.pl
O1 - Hosts: 213.159.118.228 www.power-search.info
O1 - Hosts: 213.159.118.228 www.rightfinder.net
O1 - Hosts: 213.159.118.228 www.search-1.net
O1 - Hosts: 213.159.118.228 www.search-and-go.com
O1 - Hosts: 213.159.118.228 www.search-dot.com
O1 - Hosts: 213.159.118.228 www.search-space.com
O1 - Hosts: 213.159.118.228 www.searchforge.com
O1 - Hosts: 213.159.118.228 www.searching-the-net.com
O1 - Hosts: 213.159.118.228 www.searchv.com
O1 - Hosts: 213.159.118.228 www.searchxl.com
O1 - Hosts: 213.159.118.228 www.seznam.cz
O1 - Hosts: 213.159.118.228 www.slotch.com
O1 - Hosts: 213.159.118.228 www.spidersearch.com
O1 - Hosts: 213.159.118.228 www.startium.com
O1 - Hosts: 213.159.118.228 www.therealsearch.com
O1 - Hosts: 213.159.118.228 www.ttjj.com
O1 - Hosts: 213.159.118.228 www.viewpornkey.com
O1 - Hosts: 213.159.118.228 www.wazzupnet.com
O1 - Hosts: 213.159.118.228 www.websearch.com
O1 - Hosts: 213.159.118.228 www.windowws.cc
O1 - Hosts: 213.159.118.228 www.xgmm.com
O1 - Hosts: 213.159.118.228 xwebsearch.biz
O1 - Hosts: 213.159.118.228 yourbookmarks.ws
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [GFBDate] C:\GFB\GFBDate.exe
O4 - HKLM\..\Run: [iholad] C:\WINNT\iholad.exe
O4 - HKLM\..\Run: [Network Service] C:\WINNT\svhost.exe -sr -1
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Network Service] C:\WINNT\svhost.exe -sr -1
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Offerterechner.lnk = C:\Programme\Culturall\installXPW2K.exe
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xyz.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{50BAEE40-1C55-4F6D-875B-482A5BC7B448}: NameServer = 195.58.160.2,195.58.161.3
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xyz.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = xyz.local
---------------------------------------------

Danke nochmal
Gerald
__________
not the sky ist the limit,
....the ground is.

#5 Hackkdefender betrachte ich als echte "Bedrohung". Selbst Trend schreibt "damage Potential High"!

Ueberlege dir, ob du nicht schneller ein sauberes vertrauenswuerdiges System bekommst, wenn du alles neu aufsetzt oder es per Hand versuchst.

Infos und Reinigunstool gibt es u.a. hier:
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=BKDR_HACDEF.E&VSect=T

Du solltest dir auch etwas Gedanken ueber die Absicherung deines Systems machen.
__________
MfG Ralf
SEO-Spam Hunter

#6 @raman

Kaum geeinigt, schon gehts los
Hab mir mal die Payload angeschaut

Zitat

Payloads

This backdoor automatically creates hidden Internet Explorer sessions. It connects to the following Web sites:
www.windowsupdate.com
213.159.<BLOCKED>.228

From the latter site, it runs the following files:
X.EXE - an exact copy of this backdoor
D.EXE

The file D.EXE is also downloaded to the infected system.

To ensure that the user does not suspect anything malicious, it opens an Internet Explorer session that accesses the following online gaming site:
http://www.casinopalazzo.com/index.php?sourceid=100775

It also creates a shortcut to the said Web site at the user's desktop using the name Online Show Link.

Das schreit eigentlich nicht nach Formatierung.

@dormi98

Geh in den Abgesicherten Modus

Fixe bitte das in HiJackThis (ankreuzen und FixChecked drücken)
alles mit R0&R1
alles mit O1 oder editiere die "hosts" von Hand
O4 - HKLM\..\Run: [GFBDate] C:\GFB\GFBDate.exe
O4 - HKLM\..\Run: [iholad] C:\WINNT\iholad.exe
O4 - HKLM\..\Run: [Network Service] C:\WINNT\svhost.exe -sr -1
O4 - HKCU\..\Run: [Network Service] C:\WINNT\svhost.exe -sr -1
O4 - Global Startup: Offerterechner.lnk = C:\Programme\Culturall\installXPW2K.exe

Dann neustart machen und nochmal Logfile posten.

Schick mal bitte diese Beiden Dateien
C:\WINNT\iholad.exe
C:\Programme\Culturall\installXPW2K.exe
an
virus@rokop-securtity.de
und
mike_hangover@gozomail.com (Meine FakeEMail)

oder check die Dateien hier
http://www.kaspersky.com/remoteviruschk.html

Gruß paff
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware

#7 Man beachte den Link im Link! Rootkits sind boese, sehr boese!

Backdoor Capabilities

This backdoor is categorized as a KERNEL level rootkit. It is capable of running in stealth mode by hooking on selected Application Program Interface (APIs) in processes on the system memory.

It is capable of using any port on the infected system that is used by any process accessing the network. It makes this activity possible by intercepting network traffic on the infected system.
__________
MfG Ralf
SEO-Spam Hunter

#8 @dormi98

Der Backdoor hat voll Besitz von deinem PC ergriffen .
Deaktiviere wenigstens die Remot-Registrierung !
...........................................................................................................
Die REGSVC.EXE (Remote Registry Service) ist ein Systemprozess.
Mit dieser kann man von einem anderen Rechner auf die Registry zugreifen und sie bearbeiten.
Wer diesen Dienst nicht nutzt (was wohl für die Meisten zutrifft) kann ihn deaktivieren.(SICHERHEITSRISIKO)
Start<Systemsteuerung<Verwaltung <Dienste.

#und loesche alles wie von @paff beschrieben.

#und deaktiviere die Wiederherstellung
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

#und loesche nach der Beseitigung des Backdoors wieder die Hosts-Eintraege,
#Deinstalliere deine Firewall (ist zerstoert und lade sie neu, am besten von CD, ohne Internetverbindung )
#Mache die WindowsUpdates (SP2), aber bedenke, dass die XP-Firewall aktiviert wird . (nachpruefen)

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit

#9 @ dormi98

Hallo,
dein System ist leider nicht mehr vertrauenswürdig für dich und sollte aus Sicherheitsgründen neuaufgesetzt werden, wie es raman bereits posteste.
http://faq.underflow.de/#SECTION000120000000000000000
http://oschad.de/wiki/index.php/Kompromittierung

Zur Info:
Was Backdoor Trojaner können:
http://www.trojaner-info.de/beschreibung.shtml
http://de.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Trojaner_%28Computer%29

Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

Von einen sauberen Rechner oder einer Linux Distribution runterladen und ausführen:
NT- Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org

Danach:
- dein System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.com/v5consumer/default.aspx
-IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
- Deine Passwörter ändern
- Image deiner Systempartition erstellen mit z.B. Acronis True Image 7
- Surfverhalten überdenken

Für die Zukunft:
http://www.mathematik.uni-marburg.de/~wetzmj/index.php?viewPage=sec-compromise.html
__________
Das Wertvollste im Leben ist die Zeit. Leben heißt, mit der Zeit richtig umzugehen.
Neuaufsetzen des Systems/Absicherung! HJT Anleitung

#10 So, nochmal vielen Dank für die zahlreichen Posts.

Ich hab beide Dateien wie beschrieben von kaspersky checken lassen. Sind beide in Ordnung. Außerdem hab ich die Einträge mit HijackThis gelöscht, das Remote Registry Service deaktiviert und nochmal die Host Datei händisch geleert.
Siehe da! Die Programme laufen wieder einwandfrei und auch die Host Datei wird beim Neustart nichtmehr mir Müll befüllt. Sogar die Startseite des IE lässt sich wieder einstellen. Die einzige Problem das weiterhin bestand war das verschwinden von Dateien mit dem Namen highjack oder spybot. Da das Würmchen offensichtlich doch noch nicht ganz vom System entfernt ist, sowieso mehrere zum Formatieren geraten haben und ich noch über ein älteres Plattenimage von dem Rechner verfüge, habe ich mich dann doch dazu entschlossen, dieses zu verwenden und die zahlreichen Änderungen seitdem nochmal zu machen.
Damit kann dieser Thread als geschlossen betrachtet werden. Nochmal vielen Dank für Eure Hilfe. Vielleicht nutzt es ja noch irgendjemandem der das Würmchen auch fängt.

PS: Surfgewohnheiten ändern wird schwer, da es sich nicht um meinen Rechner handelt sondern um den eines Freundes, der sich eher nicht so gut auskennt.
__________
not the sky ist the limit,
....the ground is.