W32/Nsag.B - Wer kann mich unterstützen den loszuwerden ?Thema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
23.07.2006, 22:24
Member
Beiträge: 16 |
||
|
||
24.07.2006, 00:04
Ehrenmitglied
Beiträge: 29434 |
#2
poste hier diese logs, dann schaue ich nach
http://board.protecus.de/t23188.htm __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.07.2006, 09:49
Member
Themenstarter Beiträge: 16 |
#3
Hi Sabina,
vielen Dank fuer Dein Angebot zu helfen. hier das Logfile von Hijack this : Logfile of HijackThis v1.99.1 Scan saved at 09:41:49, on 24.07.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\atiptaxx.exe C:\Programme\Apoint\Apoint.exe C:\Programme\Sony\HotKey Utility\HKserv.exe C:\Programme\Sony\Jog Dial Utility\JogServ2.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Sony\10Key Utility\va10key.exe C:\Programme\Winamp\winampa.exe C:\Programme\Apoint\Apntex.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\PowerPanel\Program\PcfMgr.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Outlook Express\msimn.exe C:\Dokumente und Einstellungen\Jürgen\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe O4 - HKLM\..\Run: [JOGSERV2.EXE] C:\Programme\Sony\Jog Dial Utility\JogServ2.exe O4 - HKLM\..\Run: [va10key] C:\Programme\Sony\10Key Utility\va10key.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AWMON] "C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: PowerPanel.lnk = ? O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe ------------------------------------------------------------------------ Außerdem habe ich noch einen Scan mit meinem Antivir PE 7.0 gemacht. Das Ergebnis hier : AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Montag, 24. Juli 2006 08:06 Es wird nach 462117 Virenstämmen gesucht. Lizenznehmer: AntiVir PersonalEdition Classic Seriennummer: 0000149996-WURGE-0001 Plattform: Windows XP Windowsversion: (Service Pack 1) [5.1.2600] Benutzername: Jürgen Computername: NOTEBOOK Versionsinformationen: AVSCAN.EXE : 7.0.0.42 557096 23.07.2006 19:13:10 AVSCAN.DLL : 7.0.0.42 57384 23.07.2006 19:13:10 LUKE.DLL : 7.0.0.42 118824 23.07.2006 19:13:10 LUKERES.DLL : 7.0.0.42 32808 23.07.2006 19:13:10 ANTIVIR0.VDF : 6.35.0.1 7371264 23.07.2006 19:13:10 ANTIVIR1.VDF : 6.35.0.168 730112 23.07.2006 19:13:10 ANTIVIR2.VDF : 6.35.0.240 226304 23.07.2006 19:13:10 ANTIVIR3.VDF : 6.35.0.243 11776 23.07.2006 19:13:10 AVEWIN32.DLL : 7.1.0.24 1556992 23.07.2006 19:13:10 AVPREF.DLL : 7.0.0.1 53288 23.07.2006 19:13:10 AVREP.DLL : 6.35.0.222 725032 23.07.2006 19:13:10 AVRPBASE.DLL : 7.0.0.0 2162728 23.07.2006 19:13:10 AVPACK32.DLL : 7.1.0.1 335912 23.07.2006 19:13:10 AVREG.DLL : 6.31.0.90 27688 23.07.2006 19:13:10 NETNT.DLL : 6.32.0.0 6696 23.07.2006 19:13:11 NETNW.DLL : 6.32.0.0 9768 23.07.2006 19:13:11 RCIMAGE.DLL : 7.0.0.71 1642536 23.07.2006 19:13:12 RCTEXT.DLL : 7.0.0.75 77864 23.07.2006 19:13:12 Konfiguration für den aktuellen Suchlauf: Job Name......................: Manuelle Auswahl Konfigurationsdatei...........: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\PROFILES\folder.avp Bootsektoren..................: C,D Durchsuche Speicher...........: 1 Laufende Programme............: 1 Prüfe alle Dateien............: 2 Durchsuche Archive............: 1 Maximale Rekursionstiefe......: 20 Smart Extensions..............: 1 Makrovirenheuristik...........: 1 Dateiheuristik................: -1 Primäre Aktion................: 1 Sekundäre Aktion..............: 0 Beginn des Suchlaufs: Montag, 24. Juli 2006 08:06 Der Suchlauf über gestartete Prozesse wird begonnen: Es wurden 33 Prozesse durchsucht Es wird begonnen die Bootsektoren zu durchsuchen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'D:\' [HINWEIS] Es wurde kein Virus gefunden! Scan der Registry auf Verweise zu ausführbaren Dateien. Die Registry wurde durchsucht ( 21 Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Jürgen\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Jürgen\NTUSER.DAT.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Jürgen\Anwendungsdaten\Mozilla\Firefox\Profiles\izob5iqj.default\parent.lock [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Jürgen\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Jürgen\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ307271$\usbuhci.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ307271$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ307271$\spuninst\spuninst.inf [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ307274$\shgina.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ307274$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ307274$\spuninst\spuninst.inf [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ308374$\ohci1394.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ308374$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ308374$\spuninst\spuninst.inf [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ308677$\userenv.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ308677$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ308677$\spuninst\spuninst.inf [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309056$\syscomponentinfo.js [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309056$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309056$\spuninst\spuninst.inf [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309691$\cdrom.inf [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309691$\imapi.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309691$\imapi.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309691$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ309691$\spuninst\spuninst.inf [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ311889$\termsrv.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ311889$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ311889$\spuninst\spuninst.inf [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ312131$\msobmain.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ312131$\msobshel.htm [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ312131$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ312131$\spuninst\spuninst.inf [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ312368$\syssetup.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ312368$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ312368$\spuninst\spuninst.inf [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ315000$\netsetup.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ315000$\ssdpapi.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ315000$\ssdpsrv.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ315000$\upnp.dll [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ315000$\spuninst\spuninst.exe [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\$NtUninstallQ315000$\spuninst\spuninst.inf [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\WININET.dll.vir [FUND] Enthält Signatur des Windows-Virus W32/Nsag.B [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '451278cd.qua' verschoben! C:\WINDOWS\system32\config\default [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\DEFAULT.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SAM [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SAM.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SECURITY [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SECURITY.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\software [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SOFTWARE.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\system [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\config\SYSTEM.LOG [WARNUNG] Die Datei konnte nicht geöffnet werden! Ich muss jetzt leider gleich weg, habe zwar Urlaub, hab aber heut einen Termin beim Kiefernchirurgen. Bin heute nachmittag / Heute abend aber wieder online. Nochmals herzlichen Dank im Voraus. Tolles Forum ! Jürgen / Hannover __________ zauberhafte Grüße Jürgen (Yogi53) |
|
|
||
24.07.2006, 12:15
Ehrenmitglied
Beiträge: 29434 |
#4
arbeite smitrem ab und poste unbedingt den scanreport
http://virus-protect.org/artikel/tools/smitrem.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.07.2006, 19:40
Member
Themenstarter Beiträge: 16 |
#5
Hallo Sabina,
habe hoffentlich alles richtig gemacht. hier das Textfile, welches ich nach dem Durchlauf auf C:\ entdeckt habe: smitRem © log file version 3.1 by noahdfear Microsoft Windows XP [Version 5.1.2600] "IE"="6.0000" Running from C:\downloads\smitRem ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Pre-run SharedTask Export (GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler) Copyright(C) 2006 BleepingComputer.com Registry Pseudo-Format Mode (Not a valid reg file): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" "{B212D577-05B7-4963-911E-4A8588160DFA}"="Memory monitor" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32] @="%SystemRoot%\System32\browseui.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32] @="%SystemRoot%\System32\browseui.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B212D577-05B7-4963-911E-4A8588160DFA}\InProcServer32] @="C:\WINDOWS\q208680_disk.dll" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ checking for ShudderLTD key ShudderLTD key not present! checking for PSGuard.com key PSGuard.com key not present! checking for WinHound.com key WinHound.com key not present! checking for drsmartload2 key drsmartload2 key not present! spyaxe uninstaller NOT present Winhound uninstaller NOT present SpywareStrike uninstaller NOT present AlfaCleaner uninstaller NOT present SpyFalcon uninstaller NOT present SpywareQuake uninstaller NOT present SpywareSheriff uninstaller NOT present ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Trust Cleaner Fix © by noahdfear Starting Trust Cleaner uninstaller ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ SpyHeal uninstaller NOT present ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Existing Pre-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ amcompat.tlb nscompat.tlb logfiles ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org Killing PID 676 'explorer.exe' Killing PID 676 'explorer.exe' Starting registry repairs Registry repairs complete ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ SharedTask Export after registry fix (GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler) Copyright(C) 2006 BleepingComputer.com Registry Pseudo-Format Mode (Not a valid reg file): [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader" "{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon" "{B212D577-05B7-4963-911E-4A8588160DFA}"="Memory monitor" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32] @="%SystemRoot%\System32\browseui.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32] @="%SystemRoot%\System32\browseui.dll" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B212D577-05B7-4963-911E-4A8588160DFA}\InProcServer32] @="C:\WINDOWS\q208680_disk.dll" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Deleting files ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Remaining Post-run Files ~~~ Program Files ~~~ ~~~ Shortcuts ~~~ ~~~ Favorites ~~~ ~~~ system32 folder ~~~ ~~~ Icons in System32 ~~~ ~~~ Windows directory ~~~ ~~~ Drive root ~~~ ~~~ Miscellaneous Files/folders ~~~ ~~~ Wininet.dll ~~~ CLEAN! ------------------------------------------------------------------- Hmmmm..... Sollte ich meinen kleinen Untermieter schon los sein ??? Zumindest meldet Antivir sich gar nicht mehr, wenn ich bei ebay oder tv-tv die Fenster öffne und schließe..... Herzliche Grüße Yogi53 - Jürgen __________ zauberhafte Grüße Jürgen (Yogi53) Dieser Beitrag wurde am 24.07.2006 um 19:52 Uhr von yogi53 editiert.
|
|
|
||
24.07.2006, 20:58
Ehrenmitglied
Beiträge: 29434 |
#6
zur Ueberpruefung:
scanne mit smitfraudfix http://virus-protect.org/artikel/tools/smitfrautfix.html Option 1 - poste den report __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.07.2006, 21:03
Member
Themenstarter Beiträge: 16 |
#7
Hallo Sabina,
hier das log: SmitFraudFix v2.74 Scan done at 21:02:25,30, 24.07.2006 Run from C:\downloads\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in normal mode »»»»»»»»»»»»»»»»»»»»»»»» C:\ »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Jrgen\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\JRGEN~1\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Programme »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Die derzeitige Homepage" »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{B212D577-05B7-4963-911E-4A8588160DFA}"="Memory monitor" [HKEY_CLASSES_ROOT\CLSID\{B212D577-05B7-4963-911E-4A8588160DFA}\InProcServer32] @="C:\WINDOWS\q208680_disk.dll" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{B212D577-05B7-4963-911E-4A8588160DFA}\InProcServer32] @="C:\WINDOWS\q208680_disk.dll" »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End __________ zauberhafte Grüße Jürgen (Yogi53) |
|
|
||
24.07.2006, 21:05
Ehrenmitglied
Beiträge: 29434 |
#8
wende option 2 an und poste den report (lasse auch die registry mitreinigen)
+ poste das log vom silentrunner http://virus-protect.org/silentrunner.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.07.2006, 21:08
Member
Themenstarter Beiträge: 16 |
#9
Hier das Ergebnis:
SmitFraudFix v2.74 Scan done at 21:05:37,58, 24.07.2006 Run from C:\downloads\SmitfraudFix\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT Fix ran in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] "{B212D577-05B7-4963-911E-4A8588160DFA}"="Memory monitor" [HKEY_CLASSES_ROOT\CLSID\{B212D577-05B7-4963-911E-4A8588160DFA}\InProcServer32] @="C:\WINDOWS\q208680_disk.dll" [HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{B212D577-05B7-4963-911E-4A8588160DFA}\InProcServer32] @="C:\WINDOWS\q208680_disk.dll" »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri C:\WINDOWS\q208680_disk.dll -> Missing File »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End __________ zauberhafte Grüße Jürgen (Yogi53) |
|
|
||
24.07.2006, 21:11
Ehrenmitglied
Beiträge: 29434 |
#10
1.
poste das log vom silentrunner http://virus-protect.org/silentrunner.html 2. Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab) http://virus-protect.org/datfindbat.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.07.2006, 21:16
Member
Themenstarter Beiträge: 16 |
#11
Uppps, jetz etwas langsam bitte....
Habe jetzt eine Datei, die heißt "Silent Runners.vbs" Soll ich die starten ? DAs unter Punkt 2 mit den 4 Textdateien hab ich gar nicht verstanden.... sorry .... bitte erklärbär __________ zauberhafte Grüße Jürgen (Yogi53) |
|
|
||
24.07.2006, 21:23
Ehrenmitglied
Beiträge: 29434 |
#12
was den Silentrunner betrifft...es ist genaustens auf der Seite erklaert
was datfindbat betrifft : ebenfalls __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.07.2006, 21:38
Member
Themenstarter Beiträge: 16 |
#13
Hi Sabina ,
Hier schonmal das logfile von Silentrunners weiter unten die Logfiles von datfindbat..... "Silent Runners.vbs", revision 46, http://www.silentrunners.org/ Operating System: Windows XP Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "ATIModeChange" = "Ati2mdxx.exe" ["ATI Technologies, Inc."] "AtiPTA" = "atiptaxx.exe" ["ATI Technologies, Inc."] "Apoint" = "C:\Programme\Apoint\Apoint.exe" ["Alps Electric Co., Ltd."] "HKSERV.EXE" = "C:\Programme\Sony\HotKey Utility\HKserv.exe" ["Sony Corporation"] "JOGSERV2.EXE" = "C:\Programme\Sony\Jog Dial Utility\JogServ2.exe" ["Sony Corporation"] "va10key" = "C:\Programme\Sony\10Key Utility\va10key.exe" ["Sony"] "NeroCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"] "AWMON" = ""C:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"" [file not found] "SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."] "WinampAgent" = "C:\Programme\Winamp\winampa.exe" [null data] "avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"] HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."] "{2E9D3540-211C-11d0-A5F2-00A0248C37BE}" = "Nero Shell Extension Property Sheet" -> {HKLM...CLSID} = "Nero Shell Extension Property Sheet" \InProcServer32\(Default) = "C:\Programme\ahead\Nero\neroshx.dll" [file not found] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] HKLM\Software\Classes\*\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\ Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" -> {HKLM...CLSID} = "Shell Extension for Malware scanning" \InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"] Active Desktop and Wallpaper: ----------------------------- Active Desktop is disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Enabled Screen Saver: --------------------- HKCU\Control Panel\Desktop\ "SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS] Startup items in "Jürgen" & "All Users" startup folders: -------------------------------------------------------- C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "Adobe Gamma Loader.exe" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."] "Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office\OSA9.EXE -b -l" [MS] "PowerPanel" -> shortcut to: "C:\Programme\PowerPanel\Program\PcfMgr.exe /launch" ["Phoenix Technologies Ltd."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 23 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Toolbars HKLM\Software\Microsoft\Internet Explorer\Toolbar\ "{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided) -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] Extensions (Tools menu items, main toolbar menu buttons) HKLM\Software\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.5.0_06" \InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."] {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Messenger" "Exec" = "C:\Programme\Messenger\MSMSGS.EXE" [MS] Miscellaneous IE Hijack Points ------------------------------ C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings") Added lines (compared with English-language version): [Strings]: START_PAGE_URL=http://www.club-vaio.sony-europe.com Missing lines (compared with English-language version): [Strings]: 1 line HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\ "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided) -> {HKLM...CLSID} = "ICQ Toolbar" \InProcServer32\(Default) = "C:\Programme\ICQToolbar\toolbaru.dll" ["ICQ Inc."] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ AntiVir PersonalEdition Classic Guard, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"] AntiVir PersonalEdition Classic Planer, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"] Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."] ewido security suite control, ewido security suite control, "C:\Programme\ewido\security suite\ewidoctrl.exe" ["ewido networks"] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\System32\wdfmgr.exe" [MS] ---------- + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points and all Registry CLSIDs for dormant Explorer Bars, use the -supp parameter or answer "No" at the first message box. ---------- (total run time: 687 seconds, including 18 seconds for message boxes) --------------------------------------------------------------------------- Hier nun die gewünschten Teile aus datfindbat 1: Datentr„ger in Laufwerk C: ist VAIO Volumeseriennummer: A0F3-11B6 Verzeichnis von C:\WINDOWS\system32 17.07.2006 17:51 1.136 wpa.dbl 02.06.2006 11:04 57.384 avsda.dll 16.05.2006 22:23 28.672 vxblock.dll 16.05.2006 22:23 339.968 pxwave.dll 16.05.2006 22:23 57.344 pxcpya64.exe 16.05.2006 22:23 450.560 pxdrv.dll 16.05.2006 22:23 1.257.472 pxsfs.dll 16.05.2006 22:23 61.440 pxhpinst.exe 16.05.2006 22:23 430.080 px.dll 16.05.2006 22:23 56.832 pxinsa64.exe 16.05.2006 22:23 176.128 pxmas.dll 27.04.2006 17:49 288.417 SrchSTS.exe 02.04.2006 13:40 311.938 perfh009.dat 02.04.2006 13:40 40.326 perfc009.dat 02.04.2006 13:40 317.168 perfh007.dat 02.04.2006 13:40 48.552 perfc007.dat 02.04.2006 13:40 723.568 PerfStringBackup.INI 05.02.2006 13:28 7.006 jupdate-1.5.0_06-b05.log 09.01.2006 10:36 40.960 swsc.exe 09.01.2006 10:36 42.496 swreg.exe 2. systemtemp.txt Datentr„ger in Laufwerk C: ist VAIO Volumeseriennummer: A0F3-11B6 Verzeichnis von C:\DOKUME~1\JRGEN~1\LOKALE~1\Temp 3. system.txt (entgegen Anleitung , die sagt windows.txt) Datentr„ger in Laufwerk C: ist VAIO Volumeseriennummer: A0F3-11B6 Verzeichnis von C:\WINDOWS 24.07.2006 21:06 2.413 setupact.log 24.07.2006 19:36 0 0.log 24.07.2006 19:36 157 wiadebug.log 24.07.2006 19:36 50 wiaservc.log 24.07.2006 19:35 2.048 bootstat.dat 24.07.2006 19:34 581.920 ntbtlog.txt 24.07.2006 19:25 32.632 SchedLgU.Txt 23.07.2006 22:07 0 setuperr.log 23.07.2006 21:11 15.445 wmsetup.log 23.07.2006 21:11 533.165 setupapi.log 23.07.2006 21:11 316.640 WMSysPr9.prx 23.07.2006 21:11 299.552 WMSysPrx.prx 19.07.2006 19:32 376 mozregistry.dat 19.07.2006 19:27 7.984 Windows Update.log 17.07.2006 17:56 6.406 COOL.INI 17.07.2006 17:56 0 COOLSYS.INI 17.07.2006 17:56 10.677 coolkb2k.ini 17.07.2006 17:56 27 winzip32.ini 17.07.2006 17:56 623 win.ini 26.05.2006 14:06 4.186 ModemLog_Conexant-Ambit SoftK56 Data,Fax ICH Modem.txt 02.04.2006 13:50 11.246 mozver.dat 11.02.2006 22:56 107.134 UninstallFirefox.exe 4. sys.txt Datentr„ger in Laufwerk C: ist VAIO Volumeseriennummer: A0F3-11B6 Verzeichnis von C:\ 24.07.2006 21:46 0 sys.txt 24.07.2006 21:43 10.045 system.txt 24.07.2006 21:42 126 systemtemp.txt 24.07.2006 21:39 103.665 system32.txt 24.07.2006 21:07 1.314 rapport.txt 24.07.2006 19:35 267.436.032 hiberfil.sys 24.07.2006 19:35 536.870.912 pagefile.sys 24.07.2006 19:30 4.052 smitfiles.txt 19.07.2006 19:48 0 temp.html 11.01.2006 19:06 35 Default.PLS 08.01.2006 16:21 543.905.644 bingo und bongo 08-01-2006.mpg Danach hat sich datfindbat command-Fenster geschlossen. uffff..... __________ zauberhafte Grüße Jürgen (Yogi53) Dieser Beitrag wurde am 24.07.2006 um 21:47 Uhr von yogi53 editiert.
|
|
|
||
24.07.2006, 22:27
Ehrenmitglied
Beiträge: 29434 |
#14
**
scanne mit ewido (Online) und poste den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
24.07.2006, 22:40
Member
Themenstarter Beiträge: 16 |
#15
Logfile of The Avenger version 1, by Swandog46
Running from registry key: \Registry\Machine\System\CurrentControlSet\Services\hriuoykv ******************* Script file located at: \??\C:\WINDOWS\hcifmbte.txt Script file opened successfully. Script file read successfully Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: File C:\WINDOWS\coolkb2k.ini deleted successfully. File C:\WINDOWS\winzip32.ini deleted successfully. File C:\temp.html deleted successfully. Completed script processing. ******************* Finished! Terminate. Wenn ich ewido-onlinescan installieren will, sagt mir der Installer, daß die ewido anti-spy-ware bereits auf dem rechner läuft. __________ zauberhafte Grüße Jürgen (Yogi53) |
|
|
||
Jürgen
__________
zauberhafte Grüße
Jürgen (Yogi53)