topantispyware.com läßt sich nicht entfernen

#0
17.03.2005, 10:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#31 Hallo@Farnsworth

der NOD32 ist 30 Tage frei und nach den Ergebnissen, die mir vorliegen, erkennt er die betreffende Malware.

Du kannst das Tool also sehr gut nutzen und 30 Tage spaeter wieder deinstallieren ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.03.2005, 17:30
...neu hier

Beiträge: 3
#32 hier ein mein aktuelles logfile.


Logfile of HijackThis v1.99.1
Scan saved at 17:24:43, on 17.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\ProgrammeXPPro\norton\Norton Ghost\GhostStartTrayApp.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\PROGRA~4\norton\NORTON~2\GHOSTS~2.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\ProgrammeXPPro\norton\Norton AntiVirus\navapsvc.exe
C:\ProgrammeXPPro\norton\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~4\norton\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\downloads\tools\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\ProgrammeXPPro\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\security\download\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\ProgrammeXPPro\norton\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\ProgrammeXPPro\norton\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\programmexppro\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\ProgrammeXPPro\norton\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\ProgrammeXPPro\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\RunOnce: [Local runole service] C:\WINDOWS\System32\srvc32.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Local runole service] C:\WINDOWS\System32\srvc32.exe
O4 - Global Startup: Microsoft Office.lnk = C:\ProgrammeXPPro\OfficeXP\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~4\OfficeXP\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {F7DC2A2E-FC34-11D3-B1D9-00A0C99B41BB} (Zoom Class) - http://www.zoomify.com/download/zoomify305.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~4\norton\NORTON~2\GHOSTS~2.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\ProgrammeXPPro\norton\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\ProgrammeXPPro\norton\Norton Utilities\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~4\norton\SPEEDD~1\nopdb.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\security\download\tuneup\WinStylerThemeSvc.exe
Seitenanfang Seitenende
18.03.2005, 01:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#33 Hallo@Farnsworth

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O4 - HKLM\..\RunOnce: [Local runole service] C:\WINDOWS\System32\srvc32.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Local runole service] C:\WINDOWS\System32\srvc32.exe
O16 - DPF: {F7DC2A2E-FC34-11D3-B1D9-00A0C99B41BB} (Zoom Class) - http://www.zoomify.com/download/zoomify305.cab

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\runsrv32.exe
C:\WINDOWS\System32\runsrv32.dll
C:\WINDOWS\System32\txfdb32.dll
C:\r.exe
C:\WINNT\System32\srpcsrv32.dll
C:\WINDOWS\System32\taskmanagr.exe
C:\WINDOWS\System32\MTC.dll
C:\WINDOWS\System32\mtc2608.dll
C:\WINDOWS\System32\spm1316.dll
C:\WINDOWS\System32\wer1316.dll
C:\WINDOWS\System32\spoolsrv32.exe
C:\WINDOWS\System32\srvc32.exe

PC neustarten

suche und loesche:Speedy.bat

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.03.2005, 14:56
...neu hier

Beiträge: 1
#34 Hallo Sabina,

würde mich freuen, wenn Du Dir mein Log-File mal durchschaust und nen Tip zum entfernen dieser Spyware gibst.

Vorab schöne Ostern! Danke!!

Logfile of HijackThis v1.99.1
Scan saved at 17:19:12, on 21.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\Programme\Panda Antivirus Platinum\Firewall\PavFires.exe
C:\Programme\Panda Antivirus Platinum\pavsrv51.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Promise Array Management\MsgAgt.exe
C:\Programme\Promise Array Management\MsgSvr.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Panda Antivirus Platinum\AVENGINE.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Panda Antivirus Platinum\APVXDWIN.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\MSI Core Center\CoreCenter.exe
C:\Programme\FRITZ!\FriWeb32.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Panda Antivirus Platinum\pavProxy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\notepad.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\downloads\hijackthis_xxx\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [NBJ] "C:\Programme\nero burning rom\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: CoreCenter.lnk = C:\Programme\MSI Core Center\CoreCenter.exe
O4 - Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe
O4 - Startup: Trillian.lnk = C:\Programme\Trillian\trillian.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B5D226D9-286A-4F94-9CA6-DAA185B30B5D}: NameServer = 192.168.120.254,192.168.120.253
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Programme\Panda Antivirus Platinum\Firewall\PavFires.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programme\Panda Antivirus Platinum\pavsrv51.exe
O23 - Service: Promise Array Message Agent (RAIDmAgt) - Unknown owner - C:\Programme\Promise Array Management\MsgAgt.exe
O23 - Service: Promise Array Message Server (RAIDmSvr) - Unknown owner - C:\Programme\Promise Array Management\MsgSvr.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
Seitenanfang Seitenende
25.03.2005, 16:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#35 Hallo@headnut

Der Trojaner versucht, Dateien von einem remoten Speicherort herunterzuladen und zu starten. Die Dateinamen der von dem Trojaner benutzten Komponenten sind runsvc32.exe, spoolsrv32.exe und srpcsrv32.dll. Die heruntergeladenen Dateien werden in C:\r.exe gespeichert.

#Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"


Registry;)Start<Ausfuehren--> regedit)
+HKEY_CURRENT_USER\Software\Microsoft\Internet \Explorer\Desktop\Components
falls du es findest--> loesche auf der rechten Seite der Registry den Unterschluessel "0" mit Rechtsklick

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\System32\runsrv32.exe
C:\WINDOWS\System32\runsrv32.dll
C:\WINDOWS\System32\txfdb32.dll
C:\WINDOWS\System32\srpcsrv32.dll
C:\WINDOWS\System32\runsvc32.exe
C:\WINDOWS\System\runsrv32.dll
C:\WINDOWS\System32\spoolsrv32.exe
C:\WINDOWS\System32\runoledb32.exe
C:\Program Files\TopAntiSpyware
C:\WINDOWS\desktop.html
C:\WINDOWS\Web\desktop.html
C:\r.exe

PC neustarten

falls du es findest:--> loeschen

C:\r.exe
Speedy.bat

•C:\Program Files\TopAntiSpyware
•C:\WINDOWS\desktop.html
•C:\WINDOWS\Web\desktop.html

so kann man C:\WINDOWS\Web\desktop.html loeschen
Geht auf Start -> Einstellungen -> Systemsteuerung und klickt dort auf "Anzeige" Darin gibt es ein Register "Desktop" und die Möglichkeit "Desktop anpassen". Darin wiederum klickt ihr auf das Register "Web" und entfernt dort "Security" in der Liste

•C:\WINDOWS\Web\desktop.html
•C:\WINDOWS\SSICO.ICO
•C:\Dokumente und Einstellungen\User\Desktop\! Protect Your Data.url
•C:\Dokumente und Einstellungen\User\Favorites\! Smart Security.url
•C:\Dokumente und Einstellungen\User\Recent\! Smart Security.url
•C:\Dokumente und Einstellungen\User\Start Menu\! Secure Yourself.url

•Download NOD32 Antivirus System
http://www.nod32.de/download/download.php
Man sollte jedoch darauf achten, dass man die Einstellungen
dahingehend ändert das ALLE DATEIEN durchsucht werden.
Voreingestellt sind nur bestimmte Dateitypen.

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->

loesche dann alles, was noch angezeigt wird als "infected"

#neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

+ poste das neue Log vom HijackThis

--------------------------------------------------------------------------
File: SPOOLSRV32.EXE
Status: INFECTED/MALWARE
Packers detected: UPX

AntiVir No viruses found (0.74 seconds taken)
Avast No viruses found (3.00 seconds taken)
AVG Antivirus Downloader.Small.25.H (1.20 seconds taken)
BitDefender Trojan.Downloader.Adload.C (0.85 seconds taken)
ClamAV No viruses found (1.17 seconds taken)
Dr.Web Trojan.Promospy (1.66 seconds taken)
F-Prot Antivirus No viruses found (0.17 seconds taken)
Fortinet W32/Nachi.fam (0.77 seconds taken)
Kaspersky Anti-Virus Trojan-Downloader.Win32.Adload.c (1.07 seconds taken)
mks_vir No viruses found (0.25 seconds taken)
NOD32 Win32/TrojanDownloader.Adload.C (0.51 seconds taken)
Norman Virus Control No viruses found (0.75 seconds taken)
http://www.sophos.de/virusinfo/analyses/trojspyrea.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.03.2005, 14:18
...neu hier

Beiträge: 1
#36 hallo an alle!
natürlich hat auch mein pc 'topantispyware.com' befallen,bin allerdings in sachen bekämpfung nicht sehr bewandert!
habe mir zunächst hijackthis geholt...könnte mir jemand mit der logfile weiterhelfen?

Logfile of HijackThis v1.99.1
Scan saved at 13:59:04, on 26.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Pinnacle\MediaCenter\Remote\Remoterm.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Messenger\msmsgs.exe
C:\windows\system32\taskmg.exe
C:\WINDOWS\System32\mshelp32.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\StarOffice7\program\soffice.exe
C:\Dokumente und Einstellungen\Tobias\Lokale Einstellungen\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [PMCRemote] C:\Programme\Pinnacle\MediaCenter\Remote\Remoterm.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [InstantTray] C:\Programme\Pinnacle\Shared Files\InstantCDDVD\PCLETray.exe
O4 - HKCU\..\Run: [IW_Drop_Icon] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe /DropDisc
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Windows Task Manager] c:\windows\system32\taskmg.exe
O4 - HKCU\..\Run: [mshelp32] C:\WINDOWS\System32\mshelp32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Startup: StarOffice 7.lnk = C:\Programme\StarOffice7\program\quickstart.exe
O4 - Startup: winupdate23058363[1].exe
O4 - Global Startup: Bootvis.lnk = C:\sysprep\Bootvis_Sleep.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Service Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Microsoft AntiSpyware helper - {22068FEF-64B3-47F9-89FF-6001C9708675} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {22068FEF-64B3-47F9-89FF-6001C9708675} - (no file) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {73559F66-B89C-43AF-86A7-D2A9B32B2F34} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {73559F66-B89C-43AF-86A7-D2A9B32B2F34} - (no file) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {95ACD942-76A6-48D9-BA68-614CC4035F07} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {95ACD942-76A6-48D9-BA68-614CC4035F07} - (no file) (HKCU)
O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) - - c:\progra~1\pinnacle\mediac~1\epgspo~2.exe
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\progra~1\pinnacle\shared~1\programs\medias~1\pmshost.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE (file missing)

ansonsten frohe ostern...und schonmal danke im voraus!
Seitenanfang Seitenende
26.03.2005, 18:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#37 Hallo@beavisone

Was tun bei Kompromittierung des Systems?
http://oschad.de/wiki/index.php/Kompromittierung
http://virus-protect.org/

____________________________________________________________________

Jotti's malware scan 2.4 - einzelne "exe" ueberpruefen
http://virusscan.jotti.org/

C:\windows\system32\taskmg.exe
C:\WINDOWS\System32\mshelp32.exe

Oben auf der Seite auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit...
jetzt abwarten und danach das Ergebnis abkopieren und hier im Beitrag posten


Deaktivieren Wiederherstellung
«XP
Arbeitsplatz-->rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann aktiviere sie wieder)


#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten


O4 - HKCU\..\Run: [Windows Task Manager] c:\windows\system32\taskmg.exe<<-WORM_FORBOT.AB ???
O4 - HKCU\..\Run: [mshelp32] C:\WINDOWS\System32\mshelp32.exe<--Win32.Rbot Backdoor
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe<--Trojan-Clicker.Win32.Spyre.b/Troj/Spyre-A
O4 - Startup: winupdate23058363[1].exe<--"Trojan-Downloader.Win32.Small.ait"
O9 - Extra button: Microsoft AntiSpyware helper - {22068FEF-64B3-47F9-89FF-6001C9708675} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {22068FEF-64B3-47F9-89FF-6001C9708675} - (no file) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {73559F66-B89C-43AF-86A7-D2A9B32B2F34} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {73559F66-B89C-43AF-86A7-D2A9B32B2F34} - (no file) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {95ACD942-76A6-48D9-BA68-614CC4035F07} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {95ACD942-76A6-48D9-BA68-614CC4035F07} - (no file) (HKCU)

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\WINDOWS\svchost.exe
C:\WINDOWS\System32\mshelp32.exe
C:\WINDOWS\System32\runsrv32.exe
C:\WINDOWS\System32\runsrv32.dll
C:\WINDOWS\System32\txfdb32.dll
C:\WINDOWS\System32\srpcsrv32.dll
C:\WINDOWS\System32\runsvc32.exe
C:\WINDOWS\System\runsrv32.dll
C:\WINDOWS\System32\runoledb32.exe
C:\r.exe
C:\Program Files\TopAntiSpyware
C:\WINDOWS\desktop.html
C:\WINDOWS\Web\desktop.html
C:\WINDOWS\System32\spoolsrv32.exe

PC neustarten

C:\Dokumente und Einstellungen\...\Startmenü\Programme\Autostart\winupdate23058363[1].exe
<--loeschen

falls du es findest;)loeschen)
•C:\Program Files\TopAntiSpyware
•C:\WINDOWS\desktop.html
•C:\WINDOWS\Web\desktop.html
•Speedy.bat
•C:\r.exe

so kann man C:\WINDOWS\Web\desktop.html loeschen

Geht auf Start -> Einstellungen -> Systemsteuerung und klickt dort auf "Anzeige" Darin gibt es ein Register "Desktop" und die Möglichkeit "Desktop anpassen". Darin wiederum klickt ihr auf das Register "Web" und entfernt dort "Security" in der Liste

•C:\WINDOWS\Web\desktop.html
•C:\WINDOWS\SSICO.ICO
•C:\Dokumente und Einstellungen\User\\Desktop\! Protect Your Data.url
•C:\Dokumente und Einstellungen\User\\Favorites\! Smart Security.url
•C:\Dokumente und Einstellungen\User\\Recent\! Smart Security.url
•C:\Dokumente und Einstellungen\User\\Start Menu\! Secure Yourself.url

Antivirus (free)--> scanne aber im abgesicherten Modus
http://www.free-av.de/

Nach dem Installationsscan (in Ruehe abwarten und alles Bestaetigen waehrend der Installation:
Optionen--> Konfiguration-->Heuristik-->win32 Datei-heuristik--> aktivieren--> auf Mittel stellen

[X] Speicher
[X] Bootsektor Suchlaufwerke
[ ] Unbekannte Bootsektoren melden
[X] Alle Dateien
[ ] Programmdateien

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->

gehe in den abgesicherten Modus

http://www.tu-berlin.de/www/software/virus/savemode.shtml

#scanne mit dem Antivirus

#und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten
+
das neue Log vom HijackThis

---------------------------------------------------------------------------

Onlinescanns --> dann alles #infected# loeschen/im abgesicherten Modus
http://security.symantec.com/default.asp?
http://housecall.trendmicro.com/
http://www.pandasoftware.com/activescan/
http://www.ravantivirus.com/scan/
http://www3.ca.com/virusinfo/
http://www.bitdefender.com/scan/licence.php
http://www.commandondemand.com/eval/index.cfm
http://www.freedom.net/viruscenter/...viruscheck.html
http://info.ahnlab.com/english/
http://www.pcpitstop.com/pcpitstop/AntiVirusCntr.asp
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.03.2005, 12:49
...neu hier

Beiträge: 1
#38 Hallöchen ich hab das gleiche problem

HijackThis
http://www.downloads.subratam.org/hijackthis.zip
McAfee löscht es automatisch ;)
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
funktioniert nich

noch ne frage wie komme ich in den "abgesicherten Modus"??^^
Seitenanfang Seitenende
27.03.2005, 13:07
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
Seitenanfang Seitenende
31.03.2005, 21:25
...neu hier

Beiträge: 3
#40 Hi Sabrina,

hab gesehen,dass Du mehreren bei dem "TopAntiSpyware-Problem" helfen konntest.

Leider habe ich auch das blöde Warn-Symbol in der Taskleiste welches auf o.g. Page verweist,den schwarzen Desktop der sich immer wieder selbst erstellt usw.

Ich hoffe sehr,dass Du mit meinen Hijackthis-Logfiles was anfangen und auch mein Problem beheben kannst.
Vielen Dank schon mal für Deine Mühe

=============================================================


Logfile of HijackThis v1.99.1
Scan saved at 21:14:06, on 31.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\ICQ\NDetect.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Netropa\Multimedia Keyboard\TrayMon.exe
C:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\ICQPlus\VPlus.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Sitecom\Bluetooth Software\BTTray.exe
C:\Programme\Microsoft Office\Office10\msoffice.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
D:\Eigene Dateien D\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
O2 - BHO: (no name) - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Programme\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: STLinksCtrl Class - {B54BFA47-D897-49CA-9657-05EC9F80A32B} - C:\Programme\STLinks\STLinks2.dll
O2 - BHO: STIEbarBHO Class - {D797AD6C-6447-4DB4-91D0-090344408E72} - C:\Programme\0CAT YellowPages\STIEbar2.dll (file missing)
O3 - Toolbar: 0CAT Yellow Pages - {679695BC-A811-4A9D-8CDF-BA8C795F261A} - C:\Programme\0CAT YellowPages\STIEbar2.dll (file missing)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\VPlus.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: My button - {47FE5D70-9AA2-40F1-9C6B-12A255F085EA} - C:\Programme\0CAT YellowPages\STIEbar2.dll (file missing)
O9 - Extra 'Tools' menuitem: My menu - {47FE5D70-9AA2-40F1-9C6B-12A255F085EA} - C:\Programme\0CAT YellowPages\STIEbar2.dll (file missing)
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Sitecom\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O15 - Trusted Zone: *.registration.sonystyle-europe.com (HKLM)
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} -
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.160.98/affiliates/acc0000/client/acc0000.chm::/acc0000.exe
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101845431966
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-0-3-0.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/de/check/qdiagh.cab?323
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB67BF53-4FA8-4705-AEE0-51656F965D7B}: NameServer = 192.168.0.100
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Sitecom\Bluetooth Software\bin\btwdins.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
Seitenanfang Seitenende
01.04.2005, 01:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#41 Hallo@them

#Arbeitsplatz -> rechter Mausklick -->Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

Registry;)Start<Ausfuehren--> regedit)
+HKEY_CURRENT_USER\Software\Microsoft\Internet \Explorer\Desktop\Components
falls du es findest--> loesche auf der rechten Seite der Registry den Unterschluessel "0" mit Rechtsklick

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

O2 - BHO: (no name) - {001F2570-5DF5-11d3-B991-00A0C9BB0874} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: STLinksCtrl Class - {B54BFA47-D897-49CA-9657-05EC9F80A32B} - C:\Programme\STLinks\STLinks2.dll
O2 - BHO: STIEbarBHO Class - {D797AD6C-6447-4DB4-91D0-090344408E72} - C:\Programme\0CAT YellowPages\STIEbar2.dll (file missing)
O3 - Toolbar: 0CAT Yellow Pages - {679695BC-A811-4A9D-8CDF-BA8C795F261A} - C:\Programme\0CAT YellowPages\STIEbar2.dll (file missing)
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O9 - Extra button: My button - {47FE5D70-9AA2-40F1-9C6B-12A255F085EA} - C:\Programme\0CAT YellowPages\STIEbar2.dll (file missing)
O9 - Extra 'Tools' menuitem: My menu - {47FE5D70-9AA2-40F1-9C6B-12A255F085EA} - C:\Programme\0CAT YellowPages\STIEbar2.dll (file missing)
O16 - DPF: {00000000-663f-49e8-bdf6-f26db51c7dd5} -
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://c:\nosuch.mht!http://69.50.160.98/affiliates/acc0000/client/acc0000.chm::/acc0000.exe

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\Programme\0CAT YellowPages\STIEbar2.dll
C:\WINDOWS\svchost.exe
C:\WINDOWS\System32\mshelp32.exe
C:\WINDOWS\System32\runsrv32.exe
C:\WINDOWS\System32\runsrv32.dll
C:\WINDOWS\System32\txfdb32.dll
C:\WINDOWS\System32\srpcsrv32.dll
C:\WINDOWS\System32\runsvc32.exe
C:\WINDOWS\System\runsrv32.dll
C:\WINDOWS\System32\runoledb32.exe
C:\r.exe
C:\Program Files\TopAntiSpyware
C:\WINDOWS\desktop.html
C:\WINDOWS\Web\desktop.html
C:\WINDOWS\System32\spoolsrv32.exe

PC neustarten

C:\Programme\0CAT YellowPages\ <--loeschen

c:\WINDOWS\Downloaded Program Files\<--loeschen, was du findest
rdgUS1342.exe (oder andere exe mit rdgUS.....)

falls du es findest;)loeschen)

•C:\Program Files\TopAntiSpyware
•C:\WINDOWS\desktop.html
•C:\WINDOWS\Web\desktop.html
•Speedy.bat
•C:\r.exe

so kann man C:\WINDOWS\Web\desktop.html loeschen
Geht auf Start -> Einstellungen -> Systemsteuerung und klickt dort auf "Anzeige" Darin gibt es ein Register "Desktop" und die Möglichkeit "Desktop anpassen". Darin wiederum klickt ihr auf das Register "Web" und entfernt dort "Security" in der Liste

•C:\WINDOWS\Web\desktop.html
•C:\WINDOWS\SSICO.ICO
•C:\Dokumente und Einstellungen\User\\Desktop\! Protect Your Data.url
•C:\Dokumente und Einstellungen\User\\Favorites\! Smart Security.url
•C:\Dokumente und Einstellungen\User\\Recent\! Smart Security.url
•C:\Dokumente und Einstellungen\User\\Start Menu\! Secure Yourself.url

•Download NOD32 Antivirus System--> scanne im abgesicherten Modus ;)
http://www.nod32.de/download/download.php
Man sollte jedoch darauf achten, dass man die Einstellungen
dahingehend ändert das ALLE DATEIEN durchsucht werden.
Voreingestellt sind nur bestimmte Dateitypen.

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

#und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten
+
das neue Log vom HijackThis

---------------------------------------------------------------------------
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.04.2005, 21:43
...neu hier

Beiträge: 3
#42 Hallo, ich habe einige Beiträge gelesen und ich habe dasselbe Problem mit topantispyware.vom

Hier mein log-file:
Logfile of HijackThis v1.99.1
Scan saved at 21:16:14, on 01.04.05
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\09nn Dialerwarner\w0svc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\norman\NPF\NPFSVICE.EXE
C:\Programme\normanV5\bin\ZANDA.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
i:\ruf\sys\UNISHARED\unirpc\unirpcd.exe
i:\ruf\sys\UV\bin\uvservice.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
i:\ruf\sys\UV\bin\execsrv.exe
i:\ruf\sys\UV\bin\tl_service.exe
i:\RUF\SYS\UV\bin\uvdlockd.exe
C:\Programme\normanV5\Nvc\bin\nvcoas.exe
C:\Programme\normanV5\Nvc\BIN\NVCSCHED.EXE
C:\PROGRAMME\NORMANV5\Nvc\BIN\nipsvc.exe
C:\Programme\normanV5\bin\NJEEVES.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\cdplayer.exe
C:\PROGRA~1\09NNDI~1\WARN0190.EXE
C:\Programme\normanV5\bin\ZLH.EXE
C:\Programme\Norman\NPF\NPFMSG.EXE
C:\WINNT\system32\rundll32.exe
C:\Programme\normanV5\Nvc\BIN\NIP.EXE
C:\Programme\normanV5\Nvc\bin\cclaw.exe
C:\Temp\hiijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://quickmetasearch.com/?said=acc0001_ho
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://quickmetasearch.com/?said=acc0001_ho
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Provided by Tele2
O1 - Hosts: 194.56.239.201 ibntpdc_201 IBNTPDC_201
O1 - Hosts: 194.56.239.202 ibntexc_202 IBNTEXC_202
O1 - Hosts: 194.56.239.206 ibntgm IVNTGM
O1 - Hosts: 194.56.239.210 ivntoe IVNTOE
O1 - Hosts: 194.56.239.211 ivntoq IVNTOQ
O1 - Hosts: 194.56.239.201 ibntpdc_201
O1 - Hosts: 194.56.239.207 ibntaus
O1 - Hosts: 194.56.239.206 ibntgm
O1 - Hosts: 194.56.239.212 ivntot IVNTOT
O1 - Hosts: 194.56.239.213 ivdms IVDMS
O1 - Hosts: 194.56.239.216 ibntoffice IBNTOFFICE
O1 - Hosts: 194.56.239.230 ncr4330 NCR4330
O1 - Hosts: 194.56.239.231 rs6e30 RS6E30
O1 - Hosts: 194.56.239.232 rs6000 RS6000
O1 - Hosts: 194.56.239.233 ibrsent
O2 - BHO: HomePageCtrl Class - {1B9CB0F8-118B-49C1-956D-B703E976F8E3} - C:\Programme\STHomePage\STHomePage2.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: STLinksCtrl Class - {B54BFA47-D897-49CA-9657-05EC9F80A32B} - C:\Programme\STLinks\STLinks2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [DeluxeCD] C:\WINNT\System32\cdplayer.exe -tray
O4 - HKLM\..\Run: [09nn Dialerwarner] C:\PROGRA~1\09NNDI~1\WARN0190.EXE
O4 - HKLM\..\Run: [Norman ZANDA] C:\Programme\normanV5\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Windows Service] C:\WINNT\system32\prvdi.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [Windows Service] C:\WINNT\system32\prvdi.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
O4 - Startup: Verknüpfung mit ADSL Control und Status.lnk = ?
O4 - Global Startup: NPF Messenger.lnk = C:\Programme\Norman\NPF\NPFMSG.EXE
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\OFFICE~1\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: 09nn Dialerwarner Service (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\09nn Dialerwarner\w0svc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: UniVerse REXEC Service (hsrexec) - IBM Corporation - i:\ruf\sys\UV\bin\execsrv.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\PROGRAMME\NORMANV5\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Programme\normanV5\bin\NJEEVES.EXE
O23 - Service: Norman Type-R - Unknown owner - C:\Programme\norman\NPF\NPFSVICE.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Programme\normanV5\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Programme\normanV5\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Programme\normanV5\Nvc\BIN\NVCSCHED.EXE
O23 - Service: Remote_Procedure_Call (svchost) - Unknown owner - %windir%\system32\svchost.cmd (file missing)
O23 - Service: Uni RPC Service (unirpc) - IBM Corporation - i:\ruf\sys\UNISHARED\unirpc\unirpcd.exe
O23 - Service: UniVerse Resource Service (universe) - IBM Corporation - i:\ruf\sys\UV\bin\uvservice.exe
O23 - Service: UniVerse Telnet Service (uvtelnet) - IBM Corporation - i:\ruf\sys\UV\bin\tl_service.exe

Ich bin froh, wenn mir jemand weiterhelfen kann. Bin nicht geübt in solchen Fragen und dankbar um verständliche Anweisungen. Danke!
Seitenanfang Seitenende
01.04.2005, 23:44
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#43 Hallo@tomywe

Start-> Einstellungen-> Systemsteuerung-> Verwaltung-> Computerverwaltung und dann den Eintrag Dienste auswählen. Nun werden alle laufenden Dienste angezeigt. Hier den Punkt "Remote_Procedure_Call (svchost) " aussuchen. Wenn unter Status "gestartet" steht, mit der rechten Maustaste anklicken und die Option "Eigenschaften" auswählen. Nicht "Den Dienst beenden" auswählen, denn dann wird der
"Remote_Procedure_Call (svchost) " beim nächsten Systemstart erneut ausgeführt.

Als Starttyp "deaktiviert" auswählen und den Dienststatus mit "Beenden" schliessen. Jetzt noch "Übernehmen" anklicken. Der " Remote_Procedure_Call (svchost)" läuft nicht mehr im Hintergrund und wird auch nicht mehr bei einem Neustart ausgeführt.

Start-->Ausfuehren-->regedit
Bearbeiten-->Suchen

Kopiere LEGACY_SVCHOST Adressenfeld:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCHOST
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCHOST
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCHOST

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\svchost
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\svchost
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\svchost

Sollten Sie Probleme haben, die Einträge zu löschen, [Rechtsklick] auf den Schlüssel und wählen Sie Eigenschaften. Klicken Sie auf Inbesitznahme. Klicken Sie dann auf Berechtigung und klicken Sie dann auf Vollzugriff.Klicken Sie auf [Übernehemen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuchen Sie diesen zu löschen.

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers
Erstellt er diesen Eintrag:--> ist mit rechtsklick zu loeschen
«^%SystemRoot^%\\SYSTEM32\\NTROOTKIT.exe»=«WIN2000» oder
«C:\\Windows\\SYSTEM32\\NTROOTKIT.exe»=«WIN2000»

______________________________________________________________________________

#öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://quickmetasearch.com/?said=acc0001_ho
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://quickmetasearch.com/?said=acc0001_ho
O1 - Hosts: 194.56.239.201 ibntpdc_201 IBNTPDC_201
O1 - Hosts: 194.56.239.202 ibntexc_202 IBNTEXC_202
O1 - Hosts: 194.56.239.206 ibntgm IVNTGM
O1 - Hosts: 194.56.239.210 ivntoe IVNTOE
O1 - Hosts: 194.56.239.211 ivntoq IVNTOQ
O1 - Hosts: 194.56.239.201 ibntpdc_201
O1 - Hosts: 194.56.239.207 ibntaus
O1 - Hosts: 194.56.239.206 ibntgm
O1 - Hosts: 194.56.239.212 ivntot IVNTOT
O1 - Hosts: 194.56.239.213 ivdms IVDMS
O1 - Hosts: 194.56.239.216 ibntoffice IBNTOFFICE
O1 - Hosts: 194.56.239.230 ncr4330 NCR4330
O1 - Hosts: 194.56.239.231 rs6e30 RS6E30
O1 - Hosts: 194.56.239.232 rs6000 RS6000
O1 - Hosts: 194.56.239.233 ibrsent
O2 - BHO: HomePageCtrl Class - {1B9CB0F8-118B-49C1-956D-B703E976F8E3} - C:\Programme\STHomePage\STHomePage2.dll
O2 - BHO: STLinksCtrl Class - {B54BFA47-D897-49CA-9657-05EC9F80A32B} - C:\Programme\STLinks\STLinks2.dll
O4 - HKLM\..\Run: [DeluxeCD] C:\WINNT\System32\cdplayer.exe -tray
O4 - HKLM\..\Run: [Windows Service] C:\WINNT\system32\prvdi.exe
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [Windows Service] C:\WINNT\system32\prvdi.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe
O23 - Service: Remote_Procedure_Call (svchost) - Unknown owner - %windir%\system32\svchost.cmd (file missing)

PC neustarten

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\Programme\STLinks\STLinks2.dll
C:\WINNT\system32\prvdi.exe
C:\WINNT\svchost.exe
C:\WINNT\System32\mshelp32.exe
C:\WINNT\System32\runsrv32.exe
C:\WINNT\System32\runsrv32.dll
C:\WINNT\System32\txfdb32.dll
C:\WINNT\System32\srpcsrv32.dll
C:\WINNT\System32\runsvc32.exe
C:\WINNT\System\runsrv32.dll
C:\WINNT\System32\runoledb32.exe
C:\r.exe
C:\Program Files\TopAntiSpyware
C:\WINNT\desktop.html
C:\WINNT\Web\desktop.html
C:\WINNT\System32\spoolsrv32.exe
C:\WINNT\system32\svchost.ini
C:\WINNT\system32\svchost32.exe
C:\WINNT\system32\svchost.cmd
C:\Winnt\System32\ntrootkit.exe
C:\Winnt\System32\ntrootkit.reg

PC neustarten

falls du es findest;)loeschen)
•C:\Program Files\TopAntiSpyware
•C:\WINDOWS\desktop.html
•C:\WINDOWS\Web\desktop.html
•Speedy.bat
•C:\r.exe

so kann man C:\WINDOWS\Web\desktop.html loeschen
Geht auf Start -> Einstellungen -> Systemsteuerung und klickt dort auf "Anzeige" Darin gibt es ein Register "Desktop" und die Möglichkeit "Desktop anpassen". Darin wiederum klickt ihr auf das Register "Web" und entfernt dort "Security" in der Liste

•C:\WINDOWS\Web\desktop.html
•C:\WINDOWS\SSICO.ICO
•C:\Dokumente und Einstellungen\User\\Desktop\! Protect Your Data.url
•C:\Dokumente und Einstellungen\User\\Favorites\! Smart Security.url
•C:\Dokumente und Einstellungen\User\\Recent\! Smart Security.url
•C:\Dokumente und Einstellungen\User\\Start Menu\! Secure Yourself.url

•Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

•Download NOD32 Antivirus System--> scanne im abgesicherten Modus ;)
http://www.nod32.de/download/download.php
Man sollte jedoch darauf achten, dass man die Einstellungen
dahingehend ändert das ALLE DATEIEN durchsucht werden.
Voreingestellt sind nur bestimmte Dateitypen.

•eScan-Erkennungstool
eSan ist hier unter dem Namen Free eScan Antivirus Toolkit Utility kostenlos erhältlich:
http://www.mwti.net/antivirus/free_utilities.asp
oeffne den Scanner--> noch nicht scannen--> gehe in Start<Ausfuehren< schreib rein: %temp% und suche
kavupd.exe, die klickst du an--> (Update- in DOS) ausführen

-->mwav.exe oeffnen-->alle Haekchen setzen-->scannen-->View Log anklicken--> Bearbeiten anklicken--> "infected" reinschreiben
und nun alles rauskopieren, was angezeigt wird-->

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/virus/savemode.shtml

#und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory

->und "Scan " klicken.

•Gehe wieder in den Normalmodus:

•mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du "infected" ein

•jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
•und ganz unten steht die zusammenfassung, diese auch hier posten
+
das neue Log vom HijackThis

----------------------------------

W32/Raleka
Meldung vom 04.09.2003

Dieser Ende August aufgetauchte Wurm verwendet dieselbe Sicherheitslücke wie der Blaster-Wurm (alias Lovsan). Er installiert ein Backdoor-Programm, das via IRC auf Kommandos von potentiellen Angreifern wartet.
Die vom Raleka-Wurm missbrauchte Sicherheitslücke in Windows NT 4.0, Windows 2000, Windows XP und Windows 2003 Server bewirkt, dass sich der Schädling via Netzwerk oder Internet direkt auf ungeschützten PCs installieren kann, ohne erst Mails zu verbreiten.

Die Sicherheitslücke «Pufferüberlauf in RPC-Schnittstelle kann Codeausführung ermöglichen» lässt sich durch die Installation eines Sicherheitsupdates [1] patchen. Auch wenn eine Firewall oder ein Router mit NAT (Network Address Translation [2]) vorhanden ist, welche die entsprechenden Ports [3] blockieren, sollten Sie dieses Sicherheitsupdate unbedingt auf allen anfälligen PCs, Servern und Notebooks installieren.
Um sich zu verbreiten, scannt der Wurm einen ganzen zufällig gewählten Bereich von IP-Adressen, meist viele gleichzeitig. Findet er ein angreifbares System, erstellt er ein dort eine Datei namens down.com und führt sie aus.
Ist dies gelungen, versucht diese Datei, vom angreifenden PC drei Dateien herunterzuladen. Gemäss F-Secure [4] sind das diese:
- svchost32.exe: der Wurm selber
- ntrootkit.exe: eine Backdoor-Komponente
- ntrootkit.reg: der Registry-Eintrag für die Backdoor-Komponente

Zudem versucht er, von diesen Dateien auf vordefinierten Servern im Internet neuere Versionen herunter zu laden.

Der Wurm beginnt sogleich, nach weiteren verwundbaren PCs zu suchen. Er installiert aber auch eine Backdoor-Komponente, die es einem Angreifer erlauben könnte, aus der Ferne Befehle an den infizierten PC zu schicken. Hierfür verbindet er sich mit einem von mehreren vordefinierten IRC-Servern (Internet Relay Chat), betritt einen der Channels und wartet dort auf die Kommandos seines «Schöpfers» oder eines anderen Crackers.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.04.2005, 17:54
...neu hier

Beiträge: 3
#44 Hallo Sabina

Super! Besten Dank für deine Anleitung. War zwar nicht ganz alles klar, doch habe ich es versucht - und topantispyware.com ist weg!

Hier also das Ergnis aus MWAV.log und HijackThis:

=> File C:\WINNT\system32\msvcrta.dll infected by "Trojan.Win32.Agent.q" Virus. Action Taken: No Action Taken.
=> System found infected with Alexa Spyware/Adware ({c95fe080-8f5d-11d2-a20b-00aa003c157a})! Action taken: No Action Taken.
=> File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.
=> System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken.
=> File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken.
=> System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken.
=> File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken.
=> System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken.
=> File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.
=> File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\0cyp.exe infected by "not-a-virus:AdWare.ToolBar.STIEBar.b" Virus. Action Taken: No Action Taken.
=> File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\ishield.cmd infected by "Trojan.Win32.Agent.q" Virus. Action Taken: No Action Taken.
=> File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\runsvc32.exe infected by "Trojan-Dropper.Win32.Small.oy" Virus. Action Taken: No Action Taken.
=> File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\sthp.exe infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken.
=> File C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\stl.exe infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken.
=> File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\0cyp.exe infected by "not-a-virus:AdWare.ToolBar.STIEBar.b" Virus. Action Taken: No Action Taken.
=> File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ishield.cmd infected by "Trojan.Win32.Agent.q" Virus. Action Taken: No Action Taken.
=> File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\runsvc32.exe infected by "Trojan-Dropper.Win32.Small.oy" Virus. Action Taken: No Action Taken.
=> File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\sthp.exe infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken.
=> File C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\stl.exe infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken.
=> File C:\ht.hta infected by "Trojan-Clicker.JS.gen" Virus. Action Taken: No Action Taken.
=> File C:\kernel32.exe infected by "Trojan-Downloader.Win32.Small.cc" Virus. Action Taken: No Action Taken.
=> Scanning Folder: C:\Programme\ESET\infected\*.*
=> Scanning File C:\Programme\ESET\infected\12X4BZDA.NQF
=> Scanning File C:\Programme\ESET\infected\12X4BZDA.NQI
=> Scanning File C:\Programme\ESET\infected\BQOLOBAA.NQF
Scanning File C:\Programme\ESET\infected\BQOLOBAA.NQI
=> File C:\Programme\STHomePage\STHomePage.dll infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken.
=> File C:\Programme\STHomePage\uninst.exe infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken.
=> File C:\Programme\STLinks\STLinks.dll infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken.
=> File C:\Programme\STLinks\uninst.exe infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken.
=> File C:\sext.chm_VIRUSINFIZIERT!!!! infected by "Trojan.Win32.Dialer.by" Virus. Action Taken: No Action Taken.
=> File C:\stasxx.chm_VIRUSINFIZIERT!!!! infected by "Trojan.Win32.Dialer.ce" Virus. Action Taken: No Action Taken.
=> File C:\takeover.exe infected by "Trojan-Dropper.Win32.Small.ct" Virus. Action Taken: No Action Taken.
=> File C:\Temp\hiijackthis\backups\backup-20050402-075626-178.dll infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken.
=> File C:\Temp\hiijackthis\backups\backup-20050402-075626-868.dll infected by "not-a-virus:AdWare.MetaSearch.a" Virus. Action Taken: No Action Taken.


Sat Apr 02 13:09:01 2005 => ***** Checking for specific ITW Viruses *****
Sat Apr 02 13:09:01 2005 => Checking for Welchia Virus...
Sat Apr 02 13:09:01 2005 => Traces of "Welchia" found and cleaned !!!
Sat Apr 02 13:09:01 2005 => Checking for LovGate Virus...
Sat Apr 02 13:09:01 2005 => Checking for CodeRed Virus...
Sat Apr 02 13:09:01 2005 => Checking for OpaServ Virus...
Sat Apr 02 13:09:01 2005 => Checking for Sobig.e Virus...
Sat Apr 02 13:09:01 2005 => Checking for Winupie Virus...
Sat Apr 02 13:09:01 2005 => Checking for Swen Virus...
Sat Apr 02 13:09:01 2005 => Checking for JS.Fortnight Virus...
Sat Apr 02 13:09:01 2005 => Checking for Novarg Virus...
Sat Apr 02 13:09:01 2005 => Checking for Pagabot Virus...
Sat Apr 02 13:09:01 2005 => Checking for Parite.b Virus...
Sat Apr 02 13:09:01 2005 => Checking for Parite.a Virus...

Sat Apr 02 13:09:02 2005 => ***** Scanning complete. *****

Sat Apr 02 13:09:02 2005 => Total Objects Scanned: 114096
Sat Apr 02 13:09:02 2005 => Total Virus(es) Found: 30
Sat Apr 02 13:09:02 2005 => Total Disinfected Files: 0
Sat Apr 02 13:09:02 2005 => Total Files Renamed: 0
Sat Apr 02 13:09:02 2005 => Total Deleted Objects: 0
Sat Apr 02 13:09:02 2005 => Total Errors: 14
Sat Apr 02 13:09:02 2005 => Time Elapsed: 02:34:36
Sat Apr 02 13:09:02 2005 => Virus Database Date: 2005/04/01
Sat Apr 02 13:09:02 2005 => Virus Database Count: 124236

Sat Apr 02 13:09:02 2005 => Scan Completed.

=======================================

Logfile of HijackThis v1.99.1
Scan saved at 17:48:36, on 02.04.05
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\09nn Dialerwarner\w0svc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\norman\NPF\NPFSVICE.EXE
C:\Programme\normanV5\bin\ZANDA.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
i:\ruf\sys\UNISHARED\unirpc\unirpcd.exe
i:\ruf\sys\UV\bin\uvservice.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
i:\ruf\sys\UV\bin\execsrv.exe
i:\ruf\sys\UV\bin\tl_service.exe
i:\RUF\SYS\UV\bin\uvdlockd.exe
C:\PROGRAMME\NORMANV5\Nvc\BIN\nipsvc.exe
C:\Programme\normanV5\Nvc\bin\nvcoas.exe
C:\Programme\normanV5\Nvc\BIN\NVCSCHED.EXE
C:\Programme\normanV5\bin\NJEEVES.EXE
C:\WINNT\Explorer.EXE
C:\PROGRA~1\09NNDI~1\WARN0190.EXE
C:\Programme\normanV5\bin\ZLH.EXE
C:\Programme\Norman\NPF\NPFMSG.EXE
C:\WINNT\system32\rundll32.exe
C:\Programme\normanV5\Nvc\BIN\NIP.EXE
C:\Programme\normanV5\Nvc\bin\cclaw.exe
C:\Office2000\Office\WINWORD.EXE
C:\Temp\hiijackthis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

O1 - Hosts: 194.56.239.201 ibntpdc_201 IBNTPDC_201
O1 - Hosts: 194.56.239.202 ibntexc_202 IBNTEXC_202
O1 - Hosts: 194.56.239.206 ibntgm IVNTGM
O1 - Hosts: 194.56.239.210 ivntoe IVNTOE
O1 - Hosts: 194.56.239.211 ivntoq IVNTOQ
O1 - Hosts: 194.56.239.201 ibntpdc_201
O1 - Hosts: 194.56.239.207 ibntaus
O1 - Hosts: 194.56.239.206 ibntgm
O1 - Hosts: 194.56.239.212 ivntot IVNTOT
O1 - Hosts: 194.56.239.213 ivdms IVDMS
O1 - Hosts: 194.56.239.216 ibntoffice IBNTOFFICE
O1 - Hosts: 194.56.239.230 ncr4330 NCR4330
O1 - Hosts: 194.56.239.231 rs6e30 RS6E30
O1 - Hosts: 194.56.239.232 rs6000 RS6000
O1 - Hosts: 194.56.239.233 ibrsent
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [09nn Dialerwarner] C:\PROGRA~1\09NNDI~1\WARN0190.EXE
O4 - HKLM\..\Run: [Norman ZANDA] C:\Programme\normanV5\bin\ZLH.EXE /LOAD /SPLASH
O4 - Startup: Verknüpfung mit ADSL Control und Status.lnk = ?
O4 - Global Startup: NPF Messenger.lnk = C:\Programme\Norman\NPF\NPFMSG.EXE
O8 - Extra context menu item: Bild in &Microsoft PhotoDraw öffnen - res://C:\OFFICE~1\Office\1031\phdintl.dll/phdContext.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: 09nn Dialerwarner Service (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\09nn Dialerwarner\w0svc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: UniVerse REXEC Service (hsrexec) - IBM Corporation - i:\ruf\sys\UV\bin\execsrv.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\PROGRAMME\NORMANV5\Nvc\BIN\nipsvc.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\Programme\normanV5\bin\NJEEVES.EXE
O23 - Service: Norman Type-R - Unknown owner - C:\Programme\norman\NPF\NPFSVICE.EXE
O23 - Service: Norman ZANDA - Unknown owner - C:\Programme\normanV5\bin\ZANDA.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Programme\normanV5\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Programme\normanV5\Nvc\BIN\NVCSCHED.EXE
O23 - Service: Uni RPC Service (unirpc) - IBM Corporation - i:\ruf\sys\UNISHARED\unirpc\unirpcd.exe
O23 - Service: UniVerse Resource Service (universe) - IBM Corporation - i:\ruf\sys\UV\bin\uvservice.exe
O23 - Service: UniVerse Telnet Service (uvtelnet) - IBM Corporation - i:\ruf\sys\UV\bin\tl_service.exe


Danke, dass du dir die log-files anschaust.

Hab da noch was vergessen.

Im regedit habe ich
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SVCHOST
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_SVCHOST
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_SVCHOST
nicht löschen können. Es kam die Meldung "Kann nicht gelöscht werden: Fehler beim Löschen des Schlüssels." Leider hat das Kontextmenu keine Eigenschaften. Muss ich da noch etwas unternehmen?

Grüsse tomywe
Dieser Beitrag wurde am 02.04.2005 um 17:58 Uhr von tomywe editiert.
Seitenanfang Seitenende
02.04.2005, 22:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#45 Hallo@tomywe

•KillBox
http://www.bleepingcomputer.com/files/killbox.php

•Delete File on Reboot <--anhaken

und klick auf das rote Kreuz,
wenn gefragt wird, ob "Do you want to reboot? "----> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

C:\ht.hta
C:\kernel32.exe
C:\WINNT\system32\msvcrta.dll
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\0cyp.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ishield.cmd
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\runsvc32.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\sthp.exe
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\stl.exe
C:\Programme\STHomePage\STHomePage.dll
C:\Programme\STHomePage\uninst.exe
C:\Programme\STLinks\STLinks.dll
C:\Programme\STLinks\uninst.exe
C:\sext.chm_VIRUSINFIZIERT!!!!
C:\stasxx.chm_VIRUSINFIZIERT!!!!
C:\takeover.exe

PC neustarten
-------------------------------------------------------------------------------------------------------------------------

ueberpruefe, ob die sthp.exe und runsvc32.exe usw. wirklich geloescht sind.

Reinigung
CCleaner

http://www.ccleaner.com/ccdownload.asp

•Hoster-Tool : http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

•Trend-Micro (Online)
http://de.trendmicro-europe.com/consumer/products/housecall_launch.php
http://de.trendmicro-europe.com/enterprise/products/housecall_pre.php

•Online-Scann (Panda)
http://www.pandasoftware.com/activescan/com/activescan_principal.htm

•Online-Scann <f-secure<
http://support.f-secure.com/enu/home/ols.shtml

•Hoster-Tool :noch einmal !!!!!!!!!!!
http://members.aol.com/toadbee/hoster.zip
Press 'Restore Original Hosts' and press 'OK'
Exit Program.

Windows Worms Doors Cleaner erlaubt Ihnen die Dienste auf die die Würmer angewiesen sind, zu schließen
Link : WWDC.exe
Size : 50 KB
http://www.firewallleaktester.com/wwdc.htm

#Windows-Dienste abschalten"!

http://www.dingens.org/

berichte von den Onlinescanns
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »