Home » Viren, Trojaner & Malware Forum » Trojan horse Downloader.Agent.2.BM geht nicht weg! Hilfe » Themenansicht

Trojan horse Downloader.Agent.2.BM geht nicht weg! Hilfe
#0
14.09.2004, 19:29
kmetall
...neu hier

Beiträge: 8
#1 Hallo !

Bin leider kein Top-Spezi in Sachen PC. Vor 2 Monaten meldete mein AVG6 ständig einen neuen Virus. Manchmal waren über 20 Dateien verseucht. Ich fand dann heraus, dass mein Internet Expl. ständig bestimmte Seiten als Startseite abspeicherte. Trotz Änderung wurden die Startseiten beim erneuten Starten des IE wieder automatisch hinterlegt. Ich habe dann den IE gemieden und auf AOL umgestellt. Nach 4 Wochen habe ich erneute Probleme - der gleichen Art - mit AOL. Im Betreff genannte Meldung erscheint mehrmals.

Die verseuchten Dateien werden vom AVG meistens im WINDOWS / 32 oder System Volume ... gefunden.

Trotz Löschung erscheinen sie ständig.

Was kann ich tun???

Hab heute XP Service P. 2 instal. und gehofft, das Problem löse sich ggf., aber es blieb.

Gruß
Thomas
Seitenanfang Seitenende
15.09.2004, 14:41
Ajax
Member
Avatar Ajax

Beiträge: 890
#2

Zitat

Vor 2 Monaten meldete mein AVG6 ständig einen neuen Virus.
Welchen Virus?
Ansonsten bitte diese Anleitung mal anschauen.
Als sicheren Browser empfehle ich dir Firefox/Mozilla oder Opera.

Gruß
Ajax
Seitenanfang Seitenende
16.09.2004, 15:50
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 Hallo @kmetall

http://www.hijackthis.de/
Wie schon auf der Site von @Ajax erklaert, lade das HijackThis (ganz oben, Direktdownload), scanne, save und kopiere das Log ins Forum.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 16.09.2004 um 15:50 Uhr von Sabina editiert.
Seitenanfang Seitenende
16.09.2004, 20:08
kmetall
...neu hier

Themenstarter

Beiträge: 8
#4 Logfile of HijackThis v1.98.2
Scan saved at 20:07:55, on 16.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\F-Secure Anti-Virus 2004 - WEB.DE Edition\fswsclds.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\sysch.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Ashampoo\Ashampoo WinOptimizer 2004\PopUpKiller.exe
C:\WINDOWS\Printkey2000.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\WINDOWS\twain_32\CIS600X\WATCH.exe
C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Temp\HijackThis.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xjtrq.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xjtrq.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://xjtrq.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xjtrq.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xjtrq.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xjtrq.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://xjtrq.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xjtrq.dll/sp.html#96676
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {235AC682-1EA0-63EA-569B-DB01B824F50A} - C:\WINDOWS\system32\ieqy.dll (file missing)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [LaunchApp] 'LaunApp
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] 'C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] 'C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LaunchAp] 'C:\Progra~1\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [PowerKey] '"C:\Progra~1\Launch Manager\PowerKey.exe"
O4 - HKLM\..\Run: [LManager] 'C:\Progra~1\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] 'C:\Progra~1\Launch Manager\CtrlVol.exe
O4 - HKLM\..\Run: [Wbutton] '"C:\Progra~1\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [AcerNotebookManager] 'C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AVG_CC] C:\Programme\Grisoft\AVG6\avgcc32.exe /startup
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [sysch.exe] C:\WINDOWS\system32\sysch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\Programme\Ashampoo\Ashampoo WinOptimizer 2004\PopUpKiller.exe
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\CIS600X\WATCH.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Printkey2000.exe.lnk = C:\WINDOWS\Printkey2000.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.gocyberlink.com/winxp/CheckDVD.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094547221236
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{90207C22-00F6-456C-B25A-EEBEF7261731}: NameServer = 205.188.146.146

Hallo Sabina

anbei habe ich die Logdatei kopiert. Kannst Du damit was anfangen? Ich nicht. Würde mich echt freuen, wenn Du mir helfen kannst. Solangsam bin ich am Ende, hab fast jeden Virenscanner schon ausprobiert.

Gruß Thomas
Seitenanfang Seitenende
17.09.2004, 01:00
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 @kmetall

Fixe:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xjtrq.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xjtrq.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://xjtrq.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\xjtrq.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\xjtrq.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\xjtrq.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://xjtrq.dll/index.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\xjtrq.dll/sp.html#96676
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {235AC682-1EA0-63EA-569B-DB01B824F50A} - C:\WINDOWS\system32\ieqy.dll (file missing)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [sysch.exe] C:\WINDOWS\system32\sysch.exe

neustarten

Loesche:
C:\WINDOWS\system32\sysch.exe

FindnFix:
http://www10.brinkster.com/expl0iter/freeatlast/FNF/
1. Entpacken
2. !LOG!.BAT anklicken
3. Log(log.txt) abkopieren und posten

(poste nicht die Admin-Namen und aehnliches, was das Log auch beinhaltet)

#Lade dieses DOS-Tool und scanne
#CLRAV> Kaspersky DOS-Scanner
http://www.vsantivirus.com/util-clrav.htm


mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 17.09.2004 um 01:05 Uhr von Sabina editiert.
Seitenanfang Seitenende
17.09.2004, 18:16
kmetall
...neu hier

Themenstarter

Beiträge: 8
#6 Fri 17 Sep 04 20:42:01

»»»»»»»»»»»»»»»»»»***LOG!***(*updated *9/1*)»»»»»»»»»»»»»»»»

*System:
Microsoft Windows XP Home Edition 5.1 Service Pack 2 (Build 2600)
*IE version:
6.0.2900.2180 SP2



MS-DOS Version 5.00.500

*command.com test passed!

__________________________________
!!*Creating backups...!!

The operation completed successfully
20:42:01,55 17.09.2004
__________________________________

*Local time:
Freitag, 17. September 2004 (17.09.2004)
20:42, Westeuropäische Normalzeit
*Uptime:
20:42:02 up 0 days, 2:49:05

*Path:
C:\FINDnFIX
----------------------------------------------------
»»Member of...: ("ADMIN" logon + group match required!)



!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!


Running in WORKSTATION MODE.

SystemDrive is C:
SystemRoot is C:\WINDOWS


»»»»»»»»»»»»»»»»»»*** Note! ***»»»»»»»»»»»»»»»»
The list will produce a small database of files that will match certain criteria.
Ex: read only files, s/h files, last modified date. size, etc.
The filters provided and registry scan should match the
corresponding file(s) listed.
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
Unless the file match the entire criteria, it should not be pointed to remove
without attempting to confirm it's nature!
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
At times there could be several (legit) files flagged, and/or duplicate culprit file(s)!
If in doubt, always search the file(s) and properties according to criteria!

The file(s) found should be moved to \FINDnFIX\"junkxxx" Subfolder

______________________________________________________________________________
***YOU NEED TO DISABLE YOUR ACTIVE ANTI VIRUS PROTECTION TO AVOID CONFLICTS!***
______________________________________________________________________________

......Scanning for file(s)...
*Note! The list(s) may include legitimate files!
»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»

»»»»» (*1*) »»»»» .........
»»Read access error(s)...


»»»»» (*2*) »»»»»........

»»»»» (*3*) »»»»»........

No matches found.

unknown/hidden files...

C:\WINDOWS\SYSTEM32\
vhkho.dll Sun 4 Jul 2004 23:59:02 A.SH. 71.168 69,50 K
ikolz.dll Sat 3 Jul 2004 11:34:20 A.SH. 71.168 69,50 K
etfoc.dll Mon 5 Jul 2004 1:11:50 A.SH. 71.168 69,50 K

3 items found: 3 files, 0 directories.
Total of file sizes: 213.504 bytes 208,50 K

»»»»» (*4*) »»»»».........
Sniffing..........
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Sniffed -> C:\WINDOWS\SYSTEM32\VHKHO.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\IKOLZ.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\ETFOC.DLL
SNiF 1.34 statistics

Matching files : 3 Amount in bytes : 213504
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»»»(*5*)»»»»»

»»»»»(*6*)»»»»»

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»»»»Search by size...
*List of files and specs according to 'size' :
*Note: Not all files listed here are infected, but *may include* the
name and spces of the offending file...
___________________________________________________________________________
Path: C:\WINDOWS\SYSTEM32 Including: *.DLL

765. Msasn1 Dll 57,344 . . . . A 8-04-04 12:57 am
800. Mshtmler Dll 57,344 . . . . A 8-04-04 12:55 am
250. Dmloader Dll 35,840 . . . . A 8-04-04 12:57 am
455. Imgutil Dll 35,840 . . . . A 8-04-04 12:57 am
275. Dpvacm Dll 21,504 . . . . A 8-04-04 12:57 am
327. Feclient Dll 21,504 . . . . A 8-04-04 12:57 am

____________________________________________________________________________
*By size and date...


C:\WINDOWS\SYSTEM32\
msasn1.dll Wed 4 Aug 2004 0:57:26 A.... 57.344 56,00 K
mshtmler.dll Wed 4 Aug 2004 0:55:32 A.... 57.344 56,00 K

2 items found: 2 files, 0 directories.
Total of file sizes: 114.688 bytes 112,00 K

C:\WINDOWS\SYSTEM32\
imgutil.dll Wed 4 Aug 2004 0:57:22 A.... 35.840 35,00 K
dmloader.dll Wed 4 Aug 2004 0:57:18 A.... 35.840 35,00 K

2 items found: 2 files, 0 directories.
Total of file sizes: 71.680 bytes 70,00 K

C:\WINDOWS\SYSTEM32\
feclient.dll Wed 4 Aug 2004 0:57:20 A.... 21.504 21,00 K
dpvacm.dll Wed 4 Aug 2004 0:57:18 A.... 21.504 21,00 K

2 items found: 2 files, 0 directories.
Total of file sizes: 43.008 bytes 42,00 K

Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Sniffed -> C:\WINDOWS\SYSTEM32\MSASN1.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\MSHTMLER.DLL
SNiF 1.34 statistics

Matching files : 2 Amount in bytes : 114688
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Sniffed -> C:\WINDOWS\SYSTEM32\IMGUTIL.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\DMLOADER.DLL
SNiF 1.34 statistics

Matching files : 2 Amount in bytes : 71680
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL
Power SNiF 1.34 - The Ultimate File Snifferdog. Created Mar 16 1992, 21:09:15.

Sniffed -> C:\WINDOWS\SYSTEM32\FECLIENT.DLL
Sniffed -> C:\WINDOWS\SYSTEM32\DPVACM.DLL
SNiF 1.34 statistics

Matching files : 2 Amount in bytes : 43008
Directories searched : 1 Commands executed : 0

Masks sniffed for: *.DLL

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»


BHO search and other files...



No matches found.

"C:\WINDOWS\system32\"
rtipxmib.dll 4 Aug 2004 31744 "rtipxmib.dll"

1 item found: 1 file, 0 directories.
Total of file sizes: 31.744 bytes 31,00 K

--*sp.html in temp folder was NOT FOUND!--

*Filter keys search...
REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/html' (2)

--(*text/html Subkey was NOT FOUND!)--

REGDMP: Unable to open key 'HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Filter\text/plain' (2)

--(*text/plain Subkey was NOT FOUND!)--

»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»*»»»
»»Size of Windows key:
(*Default-450 *No AppInit-398 *fake(infected)-448,504,512...)

Size of HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Windows: 398

»»Checking for AppInit_DLLs (empty) value...
________________________________
!"AppInit_DLLs"=""!

Value does not exist
________________________________

»»Comparing *saved* key with *original*...

REGDIFF 2.1 - Freeware written by Gerson Kurz (http://www.p-nand-q.com)

Comparing File #1 (Keys1\winkey.reg) with File #2 (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows).

No differences found.

»»Dumping Values........
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\DeviceNotSelectedTimeout SZ 15
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\GDIProcessHandleQuota DWORD 00002710
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Spooler SZ yes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\swapdisk SZ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\TransmissionRetryTimeout SZ 90
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\USERProcessHandleQuota DWORD 00002710

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
DeviceNotSelectedTimeout = 15
GDIProcessHandleQuota = REG_DWORD 0x00002710
Spooler = yes
swapdisk =
TransmissionRetryTimeout = 90
USERProcessHandleQuota = REG_DWORD 0x00002710

»»Security settings for 'Windows' key:



»»Performing string scan....
00001150: vk UDeviceNotSelecte
00001190:dTimeout 1 5 m h vk ' zGDIProce
000011D0:ssHandleQuota" 9 0 V vk Spooler2
00001210: y e s w vk =pswapdisk h
00001250: X vk R TransmissionRetryTimeout vk
00001290: ' ~USERProcessHandleQuota P h X
000012D0: (
00001310:
00001350:
00001390:
000013D0:
00001410:
00001450:
00001490:
000014D0:
00001510:
00001550:
00001590:
000015D0:

---------- WIN.TXT
--------------
--------------
$0117F: UDeviceNotSelectedTimeout
$011C7: zGDIProcessHandleQuota
$01270: TransmissionRetryTimeout
$012A0: USERProcessHandleQuota
--------------
--------------
No strings found.

--------------
--------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

.............
A handle was successfully obtained for the
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows key.
This key has 0 subkeys.
The AppInitDLLs value entry was NOT found!
-----------------------

»»»»»»Backups list...»»»»»»
20:44:13 up 0 days, 2:51:16
-----------------------
Fri 17 Sep 04 20:44:13


C:\FINDNFIX\
keyback.hiv Fri 17 Sep 2004 20:42:02 A.... 8.192 8,00 K

1 item found: 1 file, 0 directories.
Total of file sizes: 8.192 bytes 8,00 K

C:\FINDNFIX\KEYS1\
winkey.reg Fri 17 Sep 2004 20:42:02 A.... 268 0,26 K

1 item found: 1 file, 0 directories.
Total of file sizes: 268 bytes 0,26 K

*Temp backups...

"C:\Dokumente und Einstellungen.....\Lokale Einstellungen\Temp\Backs2\"
keyback2.hi_ 17 Sep 2004 8192 "keyback2.hi_"
winkey2.re_ 17 Sep 2004 268 "winkey2.re_"

2 items found: 2 files, 0 directories.
Total of file sizes: 8.460 bytes 8,26 K
-D---- JUNKXXX 00000000 20:42.02 17/09/2004
A----- STARTIT .BAT 00000060 20:42.02 17/09/2004

________________________________________________________________________________
***THE FIX IS NOT COMPATIBLE WITH EARLIER;UNPATCHED VERSIONS OF WIN2K'(SP3 and BELLOW)'
AND/OR LAX OF SECURITY UPDATES AND SERVICE PACKS FOR ALL PLATFORMS!
MINIMAL REQUIREMENTS INCLUDE:
_________XP HOME/PRO; SP1; IE6/SP1
_________2K/SP4; IE6/SP1
________________________________________________________________________________
»»»»»*** www10.brinkster.com/expl0iter/freeatlast/FNF/ ***»»»»»
-----END------
Fri 17 Sep 04 20:44:15




Hallo Sabina,
hab alles gemacht wie Du empfohlen hast und
hab die o. a. Kopie nun gepostet.
Der Internetexplorer meldete mir - obwohl ich den AOL-Browser nutze - eine neue Nachricht sei vorhanden...!? Ich habe dieses Fenster geschlossen und nicht wie aufgefordert auf OK gedrückt. Richtig?

Habe dann die DOS Datei geladen und Kasp. laufen lassen. Während dessen meldete Kaspersky. in der System Vol. einen Error und zeitgleich mein Virenprogramm Antivir einen Trojaner. Was mach ich denn jetzt?

Gruß

Thomas
Dieser Beitrag wurde am 17.09.2004 um 21:26 Uhr von kmetall editiert.
Seitenanfang Seitenende
18.09.2004, 00:22
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Hallo @kmetall ;)

Loesche manuell:
C:\WINDOWS\system32\sysch.exe

#CWShredder 1.59
http://www.chip.de/downloads/c_downloads_11353799.html
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden.

#Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen
Abgesicherter Modus
http://www.bsi.de/av/texte/winsave.htm

und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen und "Scan clean" klicken. (vireninfo posten, bitte)

Dann poste das neue Log noch mal.
.....................................................................................................

schwere Sicherheitslücke in Windows XP SP2
http://www.pcwelt.de/news/sicherheit/103013/index.html

Sobald Sie auf einem Windows-XP-PC mit einer bestimmten Konfiguration SP2 installieren, sind Ihre Datei- und Druckerfreigaben trotz aktivierter Firewall weltweit sichtbar, ebenso alle anderen Dienste. Der PC muss lediglich für ein internes LAN Freigaben zur Verfügung stellen sowie per Modem oder ISDN eine Verbindung zum Internet herstellen. DSL-Nutzer sind ebenfalls betroffen, ausgenommen diejenigen, die bereits eine Firewall im DSL-Modem integriert haben oder einen DSL-Router verwenden. Außerdem muss die Internetverbindungsfreigabe dieses PCs deaktiviert sein.

Bei der ersten DFÜ-Anwahl nach der SP2-Installation stehen Ihre Freigaben dann im Internet zur Verfügung. Nun können sich muntere Zeitgenossen daran machen, Passwörter für Administrator und Gast zu raten, und Sie stehen sicherheitstechnisch nicht besser da, als die ersten Windows-95-Benutzer mit Internet-Anschluss, Service Pack 2 sei Dank.

Wählen Sie dazu aus der Systemsteuerung "Windows-Firewall", dort die Registerkarte "Ausnahmen". Markieren Sie hier "Datei- und Druckdienste" und klicken Sie den Button "Bearbeiten". Nun sehen Sie vier Ports, die von der Datei- und Druckerfreigabe verwendet werden.

Um Sie nach außen zu sperren und nur im internen LAN zuzulassen, müssen Sie jeden einzeln markieren und über den entsprechenden Button seinen Bereich ändern. Unserem Leser Yves Jerschow verdanken wir folgenden Warnhinweis: Hier lauert ein weiterer Bug, und der Wert für den voreingestellten Bereich "Nur für eigenes Netzwerk (Subnetz)" funktioniert nur dann, wenn die Internetverbindungsfreigabe aktiviert ist. Ist das nicht der Fall, sind Ihre Freigaben weltweit sichtbar. Abhilfe schaffen Sie, indem Sie jeweils "Benutzerdefinierte Liste" wählen und hier die IP-Adressen, also die Ihres LANs, eintragen, die wirklich Zugriff haben sollen. Einen ganzen IP-Bereich tragen Sie übrigens als "192.168.x.0/255.255.255.0" ein, wenn die zugehörigen Adressen mit 192.168.x beginnen.
Nach diesen Maßnahmen haben Sie dann wieder die Sicherheit, die vor SP1 vorhanden war

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 18.09.2004 um 00:27 Uhr von Sabina editiert.
Seitenanfang Seitenende
18.09.2004, 13:45
kmetall
...neu hier

Themenstarter

Beiträge: 8
#8 File C:\WINDOWS\gokpuj.dat infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: File Deleted.
File C:\WINDOWS\smcbtr.dat infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: File Deleted.
File C:\WINDOWS\javapm.exe.bak infected by "TrojanDownloader.Win32.Agent.ap" Virus. Action Taken: File Deleted.
File C:\Programme\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\info6.cab infected by "Trojan.Win32.Dialer.t" Virus. Action Taken: File Deleted.


Dies ist die Virenionformation des Scanners eScan Antivirus Tool..
Sind da noch immer welche ?

Was ist denn das fürn Dialer? Was macht der? ich erhalte öfters d. Meldung: Sie haben eine Nachricht, ok. In einem Fenster mit der Überschrift (java Script) !

Gruß Thomas
Dieser Beitrag wurde am 18.09.2004 um 15:49 Uhr von kmetall editiert.
Seitenanfang Seitenende
18.09.2004, 17:03
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Hallo @kmetall

#Backdoor Functionality
http://www.trojaner-board.de/showpost.php?p=71796&postcount=9
#Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
http://oschad.de/wiki/index.php/Kompromittierung

#IE Spyad
http://www.pctipp.ch/downloads/dl/27634.asp
IE Spyad legt x-verschiedene unseriöse Webseiten direkt in die Eingeschränkte Zone des Internet Explorers.
Immer mehr Webseiten wollen Ihnen teuren Software-Schrott unterjubeln. Ob Spyware, Adware, billige Porno-Seiten oder teure Dialer - es gibt nichts, was unseriöse Gestalten nicht zum Kauf anbieten. Und da sie genau wissen, dass Sie nicht auf ihre luschen Angebote reinfallen, versuchen sie es mit Tricks.

Lade den Browser <Firefox< und surfe nur mit ihm
http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe

1.Deaktiviere die Wiederherstellung, boote und aktiviere sie wieder.
2.entmuelle deine Autostarteintrage (!)
3.scanne noch mal im Normalmodus mit mwav.exe.

mfg
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 18.09.2004 um 17:04 Uhr von Sabina editiert.
Seitenanfang Seitenende
18.09.2004, 18:54
kmetall
...neu hier

Themenstarter

Beiträge: 8
#10 hallo sabina

hab ie spyad runtergladen, als zip-datei. lässt sich aber nicht installieren, bzw. wenn ich in den dateien auf install.bat drücke, öffnet sich ein fenster und flimmert.

habe daher nochmal den scan mit mwav.exe gemacht. anbei virusinfo:

File C:\Programme\AOL 9.0\Jiti\Jiti_mm.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

den firefox habe ich mir gestern runtergeladen. die autostarteinträge habe ich entmüllt. was verstehst du denn unter punkt 1 ? was bedeutet "deaktiviere die wiederherstellung, boote und aktiviere sie wieder? wie kann ich das machen, was ist das?

sorry, bin leider kein pc-profi.

gruß

kmetall
Seitenanfang Seitenende
18.09.2004, 18:58
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 @kmetall
Deaktivieren Wiederherstellung
XP
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/gdocid/20030807105707924

Und poste noch mal das neue Log vom HijackThis.

mfg
Sabina ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 18.09.2004 um 19:00 Uhr von Sabina editiert.
Seitenanfang Seitenende
19.09.2004, 12:28
kmetall
...neu hier

Themenstarter

Beiträge: 8
#12 Hallo Sabina ;)

hab die Wiederherstellung gemäß Beschreibung deaktiviert, PC runtergefahren und neu gestartet. Danach wieder die Wiederherstellung aktiviert und mit mwav gescannt. Leider immer noch die gleiche Meldung wie gestern. (Tool.Win32 Reboot ...).

Anbei Log vom Hijack This:

Logfile of HijackThis v1.98.2
Scan saved at 12:18:43, on 19.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
C:\Programme\Norton SystemWorks\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\system32\WFXSVC.EXE
C:\Programme\Norton SystemWorks\WinFax\WFXMOD32.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Synaptics\SynTP\Media\SYNTPLPR.EXE
C:\Programme\Synaptics\SynTP\Media\SYNTPENH.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\ctrlvol.exe
C:\Programme\.....\Notebook Manager\almxptray.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
C:\PROGRA~1\NORTON~1\WinFax\WFXSWTCH.exe
C:\WINDOWS\system32\wfxsnt40.exe
C:\Programme\Ashampoo\Ashampoo WinOptimizer 2004\PopUpKiller.exe
C:\WINDOWS\Printkey2000.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\.........\Lokale Einstellungen\Temp\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\Media\SYNTPLPR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\Media\SYNTPENH.EXE
O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\HotkeyApp.exe
O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\ctrlvol.exe
O4 - HKLM\..\Run: [......NotebookManager] C:\Programme\......\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [InstantAccess] C:\PROGRA~1\TEXTBR~1.0\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NAV Agent] C:\PROGRA~1\NORTON~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [WFXSwtch] C:\PROGRA~1\NORTON~1\WinFax\WFXSWTCH.exe
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\RunServices: [RegisterDropHandler] C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\Programme\Ashampoo\Ashampoo WinOptimizer 2004\PopUpKiller.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Printkey2000.exe.lnk = C:\WINDOWS\Printkey2000.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {54823A9D-6BAE-11D5-B519-0050BA2413EB} (ChkDVDCtl Class) - http://www.gocyberlink.com/winxp/CheckDVD.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094547221236
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
Seitenanfang Seitenende
19.09.2004, 17:42
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Hallo @kmetall
Das Log ist sauber ;)
#Tool.Win32 Reboot ist kein Virus, sondern der Rest alter Software.

#Alternativbrowser zum IE
Firefox
http://www.mozilla.org/products/firefox/download.html?http%3A//ftp.mozilla.org/pub/mozilla.org/firefox/releases/0.10/Firefox%20Setup%201.0PR.exe
Opera
http://www.opera7.de/

#PC-Selbsttest
http://check.lfd.niedersachsen.de/start.php[b

MfG
Sabina
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 19.09.2004 um 17:45 Uhr von Sabina editiert.
Seitenanfang Seitenende
30.09.2004, 12:38
kmetall
...neu hier

Themenstarter

Beiträge: 8
#14 Hallo Sabina ;)

erstmal sorry, dass ich erst heute reagiere! ich war nun 1 woche auf geschäftsreise und hatte keine gelegenheit ins internet zu gehen. ich hab gestern alles gescannt und keinen offenen port gefunden. scheint ja nun alles ok zu sein.
hast mir echt weitergeholfen. würde mich ja gerne "sichtlich" bedanken aber über email kann ich dir keinen ausgeben. ich hoffe sehr, dass mein herzliches DANKE auch so ankommt!

gruss

thomas ;)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1