hallo

nachdem ich nun schon hilfe von 2 usern bez. system absichern und netzwerkverkehr auslesen bekommen habe steh ich jedoch nach wie vor alleine vor dem problem.

antortwen wurden nach einer gewissen zeit einfach nichtmehr gegeben und so sitz ich nun da.... -.-


also kurze einführung
seit etlichen zeiten werde ich in online games gestalkt beleidigt oder bekomme highping und gamecrashes.

die namen der user sind eig immer sehr ähnlich und ich hab ne vermutung wers sein könnte.... bla bla bla -.-*

jedenfalls hab ich mir dann win7 64bit zugelegt das nach ner anleitung hier im forum augesetzt, zusammen mit chrome und emsisoft anti maleware noch Sandboxie installiert und nach anleitung installiert. btw, festplatte wurde vorher vollständig formatiert (mit linux) sowie das bios resettet.


nachdem ich heut mittag mal wieder bf3 gezockt hab schaltete ich den pc aus und war außer haus bis gerade eben.

ich schalte also den pc an und bekomme bei dem starten von windows kein monitor signal mehr.
-restart
nach etlichem warten erscheint dann die maus aber zu meinem entsetzen werde ich sofort auf den desktop geleitet und das anmeldungsmenu wird übersprungen. normalerweise nutze ich ein pw für das eingeschränkte konto mit dem ich immer angemeldet bin.

als aller erstes wird mit von emsisoft ein scan ausgeführt und angezeigt das origin.exe im hintergrund schädliche dateien runterläd. (wtf? um es zu starten muss ich meine id+pw angeben) also inne taskleiste geschaut und siehe da das programm ist an oO
als ich dann mit der maus drauf klicke schließt es sich von selbst.

nun ist auch der scan von emsisoft fertig und hat nichts gefunden.
klassische ladezeiten des systems bei virenbefall treten auf und iwi scheint alles so vor sich hin zu schleichen....


naja was soll ich dazu noch mehr schreiben, solche sachen ereignen sich bei mir eig täglich und ich kann einfach nix gegen machen -.-* eig dachte ich das ich nun abgesichert wäre, aber nix da...
router hab ich extra nochmal überprüft und eig alle ports die ich nicht unbedingt bruache gesperrt.

dazu kommen merkwürdige verbindungen von Localhost zu as3.facebook.com oder zu iwelchem japanischen servern ...



da mir sowieso keiner dabei helfen kann wie ich leider feststellen musste, da das alles anscheinend ohne jegliche schadsoftware (zumindest welche die erkannt wird) abläuft, würde ich einfach nur mal gerne wissen :

was kann ich dagegen unternehmen?
wo sind die schwachstellen am komplett abgesicherten system + SEHR vorsichtigem surfverhalten usw usf ?!

irgend eine lücke muss ja da sein sonst würde es nicht jedesmal nach dem Neuaufsetzen des bs auftreten.
in wie fern ist es möglich nen pc zu karpern ohne iwelche schadsoftware einzuschleusen wenn man zb die nutzernamen der person kennt usw.

und um das mal vorweg zu nehmen, ich bin kein trottel der absolut kp hat was er am pc macht auch wenn ich in manchen dingen keine ahnung hab.

hab kb das nochmal durchzuarbeiten also verzeiht mir die fehler und fehlenden angeben welche ich im laufe meiner agression vergessen habe!

Zitat:

irgend eine lücke muss ja da sein sonst würde es nicht jedesmal nach dem Neuaufsetzen des bs auftreten.

Was für Software auswelchen Quellen wurde denn bisher immer instalilert auf dem frischen System?
Du hast an alle Updates für Windows gedacht?
Dein Rechner hängt hinter einem Router oder direkt im Internet?!

musste jetzt von der linux cd booten da mein browser nichtmehr das macht was er will, ich hab alle dienste und die benutzersteuerung + internetsicherheit überprüft jedoch ist dort alles normal.
jedenfalls komme ich erst nach 4-5 versuchen zu der seite die ich will. die vorhergegangenen versuche enden bei der t-online navigationshilfe da angeblich die hompage nicht gefunden werden konnte.

werde jetzt das system wohl oder über erneut aufsetzen müssen, schaue zwichendurch mal hier via linux vorbei.


normalerweise gehe ich bei der software installation wie folgt vor:

1. formatieren, windows mit empfohlenen einstellungen installieren
2. fw anpassen und updates laden
3. antivirus installieren und updaten (von cd oder von der herstellerseite(zuvor die sicherheit des browsers angepasst)
3. treiber installieren, mb treiber von der cd und grafiktreiber von der herstellerseite
4. evtl anderer browser installieren und dort die sicherheitsrichtlinien anpassen.
5. andere programme installieren


ich lade grundsätzlich alle updates für windows über das windows update runter.

mein pc hängt hinter einem router an dem noch 2 andere pcs hängen (heimnetzwerk) allerdings stufe ich das netz , welches wir intern benutzen auch als öffentlich (in der firewall) ein, um somit noch mehr abgeschirmt zu sein.

Zitat:

5. andere programme installieren

Schön und gut, aus welcher Quelle die so stammen hast du nicht erwähnt

tut mir leid hab ich übersehen.
ich sauge so ziemlich alles über chip.de was ich an programmen brauche.


das system ist jetzt aufgespielt, browsersettings eingestellt, unnötige dienste beendet, programme aus sicheren quellen installiert, updates geladen (erfolgreich) , sandboxie und emsisoft installiert.

- allerdings hab ich während des windwosbetriebes 2 popups bekommen welche nach nem fund von emsisoft aussahen.
leider verschwanden die popups sofort wieder so das ich es nicht richtig erkennen konnte. - im protokoll des programmes ist nichts gelistet und beim scan wird auch nichts gefunden. ich denke das die popups eine andere ursache hatten, vlt nichtmal eine kritische.



folgende warnungen standen im erweiterten log der firewall nach dem isntallieren des os , leider kann ich damit nicht viel anfangen. internetverbindung war zu der zeit keine vorhanden:

Zitat:

"Ereignisfilter mit Abfrage "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" konnte im Namespace "//./root/CIMV2" nicht reaktiviert werden aufgrund des Fehlers 0x80041003. Ereignisse können nicht durch diesen Filter geschickt werden, bis dieses Problem gelöst ist."


"Volumeschattenkopie-Dienst: Der Schreibzugriff unter dem Namen "BITS Writer" und der ID "{4969d978-be47-48b0-b100-f328f07ac1e0}" hat versucht, ein Abonnement während Setup zu erstellen."

-vermutlich die autoupdates?!



"Der Sicherungsmoduldienst auf Blockebene wurde beendet." id 754 quelle backup

desweiteren startet der IE nach wie vor 2 mal und desweiteren hab ich 2x taskhost.exe am laufen , hab die jetz mal rausgeworfen.

Schließ mal alles externen Datenträgern an; dann routinemäßig einen Vollscan mit Malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!



ESET Online Scanner

• Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
• Lade und starte Eset Online Scanner
• Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
• Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
• Klicke auf Starten.
• Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
• Klicke am Ende des Suchlaufs auf Fertig stellen.
• Schließe das Fenster von ESET.
• Explorer öffnen.
• C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
• Logfile hier posten.
• Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
• Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code: Alles auswählenAufklappen

ATTFilter

 hier steht das Log
         

werde mich mal gleich an die arbeit machen, wobei ich nicht unbedingt logs ins netz stellen will die für immer lesbar sein werden... naja
achja : mein system ist 2 tage alt , kann mir kaum vorstellen das mb da anschlägt.


also jedenfalls fand emsisoft hijackfree folgendes unter "sonstiges/aktiveX":

- "wpcnotificationsmonitor" "C:windows\syswow64\wpcumi.dll"
- "wpcnotificationsmigration" "C:windows\syswow64\wpcmig.dll"

mehr informationen konnte ich daraus nicht gewinnen.

nach googeln hab ich rausgefunden das es unter windows 7 eig nichtmehr vorhanden sein sollte. allerdings auch, das es sich dabei um parental control, oder wie auch immer sich das nennt, handeln könnte. ^^
das nur mal so am rande, ist mir grande angezeigt worden durch die analyse.

Zitat:

wobei ich nicht unbedingt logs ins netz stellen will die für immer lesbar sein werden... naja

Deswegen werden ja auch persönliche Infos (wie zB Vor- und Nachname falls das denn auftaucht) im Log unkenntlich gemacht

also malewarebytes hat nichts gefunden, nichtmals auf ner alten cd auf jener alles mögliche an progs war, bei der ich mir sicher war das sie infiziert ist...
somit vermute ich das auch eset nichts finden wird, ich lass es dennoch mal über nach durchlaufen und poste dann morgen den log.

- bitte lies dir den ganzen beitrag einmal durch und gehe auf die fragen ein.


hier trotzdem mal der mb log:

Zitat:

Malwarebytes Anti-Malware (Test) 1.60.0.1800
www.malwarebytes.org

Datenbank Version: v2012.01.18.06

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
PC :: Name [limitiert]

Schutz: Aktiviert

19.01.2012 02:13:34
mbam-log-2012-01-19 (02-13-34).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 212400
Laufzeit: 35 Minute(n), 22 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 0
(Keine bösartigen Objekte gefunden)

(Ende)

btw, dashier finde ich sehr interessant; muss aber vorher sagen das es für das programm gänzlich normal ist als spyware erkannt zu werden und das erlauben dieser aktivitäten hab ich auch bestätigt(und zugleich ne regel erstellt). also es ist sehr sehr unwarscheinlich das origin infiziert ist oder was auch immer.


ausschnitt aus dem protokoll von emsisoft:

Zitat:

19.01.2012 22:46:39 608 C:\Program Files (x86)\Origin Games\Battlefield 3\bf3.exe Von Regel erlaubt Behavior.DirectDiskAccess
19.01.2012 22:45:50 608 C:\Program Files (x86)\Origin Games\Battlefield 3\bf3.exe Von Regel erlaubt Behavior.NewProcess
19.01.2012 22:45:40 1596 C:\Program Files (x86)\Origin\Origin.exe Von Regel erlaubt Behavior.NewProcess
19.01.2012 22:45:39 3272 C:\Program Files (x86)\Origin Games\Battlefield 3\bf3.exe Von Regel erlaubt Behavior.NewProcess


19.01.2012 15:12:21 2668 C:\Program Files (x86)\Origin Games\Battlefield 3\bf3.exe Von Regel erlaubt Behavior.DirectDiskAccess
19.01.2012 15:11:42 2668 C:\Program Files (x86)\Origin Games\Battlefield 3\bf3.exe Von Regel erlaubt Behavior.NewProcess
19.01.2012 15:11:31 2892 C:\Program Files (x86)\Origin\Origin.exe Von Regel erlaubt Behavior.NewProcess
19.01.2012 15:11:30 2604 C:\Program Files (x86)\Origin Games\Battlefield 3\bf3.exe Von Regel erlaubt Behavior.NewProcess

wie schon gesagt finde ich nicht die aktivitäten dieses programmes eigenartig.
wenn man sich die uhrzeit genauer ansieht, fällt auf, dass die aktionen meist doppelt ablaufen bzw ca 10 sec später erfolgt nochmal das selbe.
außerdem endet der log einfach nach 0.13Uhr obwohl ich bis gerade eben online war und auch mit origin unterwegs. seit ca 0 uhr hatte ich wieder die besagten proble auf den servern.


ich möchte hier eig keine virussuchaktion starten, dafür wäre es doch bestimmt auch das falsche forum ^^
vielmehr interessiert mich die beschaffenheit von windows und wie schon im 1. post geschrieben in wie fern es möglich ist einen pc zu karpern ohne diesen zu infizieren.


was ich in betracht ziehe sind ex-member bzw leute welche zb bei 1337-crew aktiv waren. (aus meinem direkten umfeld) und laut deren aussage , hätten sie sich auch schon zugriff auf kontos von diversen firmen verschafft usw. dazu kommen dann gehackte accounts für plattformen wie Steam oder Origin usw.

also wie erwähnt, wenn es die leute sind die ich in betracht ziehe, wissen sie mit sicherheit was genau sie da tun.
die andere möglichkeit wäre mich hat das alles so "mitgenommen" das ich mittlerweile schon fast paranoid diesbezüglich bin.


also zusammengefasst:

ich denke nicht das es was bringt nach trojanern zu suchen, da anscheinend keine vorhanden sind?!
da ich glaube das dieses "gestalke" auf personen aus meinem umfeld zurückzuführen ist , und diese personen auch bei der besagten hackercommunity aktiv waren, könnte es durch aus sein das sie andere wege finden - nur welche?


ich kann es nachvollziehen wenn ihr es leid seid andauernd auf die selben fragen zu antworten , zumal ihr das hier alles frewillig macht , - aber die oben beschriebene tatsache, geht mir ziemlich an die substanz ich kann zb nicht mal mehr am pc normal arbeiten oder bekomme einfach absolut keinen klaren kopf für die prüfungen welche bald vor der tür stehen. was mich im endeffeckt noch mehr dazu veranlasst dieses problem in den griff bekommen zu wollen

also nach den infos welche ich dir jetz gegeben habe usw , meinst du ich steigere mich in die sache zu sehr rein, oder hällst du es durchaus für möglich , dass ich recht habe - die ursache jedoch sonstwo liegt?

Zitat:

ich möchte hier eig keine virussuchaktion starten, dafür wäre es doch bestimmt auch das falsche forum

Ich versuch hier aber eine Ursache zu finden. Wenn du wirklich alles richtig gemacht hast bei der Windows Neuinstallation muss es irgendwas geben, was eine Schwachstelle hat oder du führst irgendwas aus, was mit Backdoors oder anderer Malware bestückt ist.
Wie soll ich sonst Anhaltspunkte sammeln wenn du keine Suchaktion starten willst?

Das mit Origin halte ich auch für unauffällig. Origin ist zwar eine vielfach kritisierte Kopierschutztechnik, aber ich glaube nicht, dass die Schwachstelle da drin sitzt.

Zitat:

was ich in betracht ziehe sind ex-member bzw leute welche zb bei 1337-crew aktiv waren. (aus meinem direkten umfeld) und laut deren aussage , hätten sie sich auch schon zugriff auf kontos von diversen firmen verschafft usw. dazu kommen dann gehackte accounts für plattformen wie Steam oder Origin usw.

Was hat das damit zu tun? Versteh ich nicht.
Was haben diese Leute mit deinem Rechner zu tun? Hast du Kontakt zu solchen Leuten und v.a. hast du nach der Installation eines originalen Windows irgendwelche dubiosen Programme aus dunklen Ecken ausgeführt?

In ein frisch aufgesetztes originales und aktuelles Windows kannst du so nicht einbrechen, bei dir weicht irgendwas ab oder du hast dir die Schädlinge selbst installiert. Von allein kann sowas nicht wirklich passieren.

Du könntest einfach mal eine frische Windows-Installation machen und dann nur das nötige installieren. Vllt auch mal sehen ob nacktes Windows vorher schon wieder unter Kontrolle genommen wird.

Zitat:

also kurze einführung
seit etlichen zeiten werde ich in online games gestalkt beleidigt oder bekomme highping und gamecrashes.

Hm wenn ich das lese, dann könnte es sein, dass irgendwer (warum auch immer) es auf dich abgesehen hat. Hast du dich vllt mal in irgendeiner Form unbeliebt gemacht?
Ich steck in diesen Onlinespielen nicht wirklich drin und weiß nicht welche Möglichkeiten es da gibt einen bestimmten User gezielt "anzugreifen" aber wenn es sowas gibt dann liegt es wohl daran, dass du das Onlinespiel auf hast bzw. mit deinem für den Angreifer wiederkennbaren Profil/Usernamen aktiv bist...

Huhu,

Sorry Arne wenn ich dir eben dazwischenfunke.

Kann es möglich sein das du (Threadersteller) vielleicht irgendwelche Servertools (Roottools) oder auch Hacks für dieses Spiel verwendest?

Die sogenannten Roottools, womit du Gameserver steuerst, öffnen gerne mal den ein oder anderen Port sowie Sicherheitslücken im ganzen Netzwerk, da sie die Firewall (Hardware und Software) ungemerkt deaktivieren.

Kenne da so einige die damit auf den Hintern gefallen sind.

P.S.: Soll keine Anschuldigung oder ähnliches sein, nur ne Möglichkeit da ja anscheinend die BF3.exe so einige aktivitäten vornimmt, ist bei mir nicht der Fall^^

Nein Knuffelchen, danke für diese Idee.

Meine Frage

Zitat:

Zitat von cosinus

irgendwelche dubiosen Programme aus dunklen Ecken ausgeführt?

war vllt etwas zu allgemein, dein deutlicher Hinweis ist da wohl evtl. besser...

danke für euer bemühen

nein ich habe keine dubiosen programme drauf , das einzige was derzeit installiert ist (und die ganze zeit vorher auch) ist Origin , Ati CCC , Sandboxie , Msi Afterburner , Emsisoft anti maleware und Malewarebytes.

nein ich benutze keine hacks und hatte noch nie welche installiert, somit kanns daran auch nicht liegen.

zu 1337crew - ich kenne diese personen da sie zt einen ort weiter wohnen und ich früher von zeit zu zeit mit denen unterwegs war. ich vermute das es diese personen sein können, da in meinem direckten umfeld öfters private dinge genannt wurden welche ich nur übers internet bekannt gab.

und dann noch zu dem punkt ob ich mich in foren unbeliebt gemacht habe -
es gab da schon die ein oder anderen vorkommnisse welche ich auch mti meinem bekanntenkreis in verbindung bringe, allerdings würd dir das jetz wenig nützen wenn ich dir die einzelheiten aufliste hoffe das ich nichts vergessen habe, der beitrag ist vermutlich sowieso schon wieder etzend lang ^^

da fiel mir grade noch was ein. eine dieser personen bat mir an meine routersettings zu prüfen/einzustellen (einige jahre her). ich dachte mir nichts dabei und lies die person unbeaufsichtigt an meinem pc auf den router zugreifen.
auch hatte sie mir nen usb stick mit bootfähigem linux in die hand gedrückt welche sie bei meinem anwesen nutze , keine ahnung ob da iwas geladen wurde usw. jedenfalls habe ich mittlerweile wieder einen komplett neuen pc und somit eine neue hdd. leider kann ich nicht sagen ob diese person etwas am routersetting geändert hat.

hier der eset log:

Zitat:

ESETSmartInstaller@High as CAB hook log:
OnlineScanner64.ocx - registred OK
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=9.00.8112.16421 (WIN7_IE9_RTM.110308-0330)
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=f1912b31a75df2489c67aeeff9741c8b
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-01-20 04:59:29
# local_time=2012-01-20 05:59:29 (+0100, Mitteleuropäische Zeit)
# country="Germany"
# lang=1033
# osver=6.1.7601 NT Service Pack 1
# compatibility_mode=5893 16776573 100 94 23401 78659029 0 0
# compatibility_mode=8192 67108863 100 0 3775 3775 0 0
# scanned=83734
# found=0
# cleaned=0
# scan_time=6389

da du gerade gefragt hast, ob ich unsichere programme drauf habe welche port öffnen poste ich mal eben ein par kurze teile des hijacklogs vom emsisoft, mit denen ich nichts anfangen kann bzw es bedenklich finde:

sofern keine quellenangabe vorhanden ist, liegt die datei in system32 oder syswow64. allerdings konnte ich bei manchem dateien garkeine informationen herausfinden.

Dienste ohne infos:

Zitat:

-Cng.sys unter c:windows\system32\Drivers
-kseedd.sys
-ksecdd.sys
-wdf0 1000.sys (hat etwas mit dem kernel zutun, mehr angaben hab ich nicht)

dann gab es noch einen punkt für sonstiges/erweiterungen, hier mal die shell bezüglichen dateien:

Zitat:

-wieder ein Beintrag ohne name unter .../shell extensions\proved
-Code download agent unter .../shell extensions\proved
-webcheckwebcrawler unter unter .../shell extensions\proved scheint ne art suchfunktion für browser zu sein und von win also wohl eher ungefährlich

Hier noch ein par prozesse bei autorun:

Zitat:

-run32.dll im Autostart ohne copyrights usw unter C:syswow64\rundll32.exe meist hab ich den prozess 2x auf
userinit.exeohnecopyrights usw. scheint jedoch normal zu sein
-webcheck (unter andere trickreiche autoruns)
-Regsvr32.exe unter software\microsoft\Aktivesetup\Installed components
-Shedule Name: Proxy Ort: Boot

Folgende programme hören ports ab:

Zitat:

-lsass.exe Port: 49155tcp
-services.exe Port: 49156tcp
-svchost.exe Port: 135tcp (inet telefonie allerdings hab ich den port am router gesperrt)
-svchost.exe Port: 49154tcp
-wininit.exe Port: 49152tcp
-svchost.exe Port: 41953tcp

evtl hilft es dir auch wenn ich noch dazu sage das sich mein Iexplorer.exe ímmer 2-3 mal öffnet(also nicht der explorer , sondern der prozess welcher mir dann im taskmanager angezeigt wird.
dabei ist es egal ob ich ihn über die sandbox oder ohne starte. auch Sandboxie zeigt mri 2 warnungen das sich der IE außerhalb der sandbox geöffnet hat wenn ich ihn einmal außerhalb starte.


das meiste davon ist warscheinlich unbedenktlich. ich denke du siehst da mit dem ersten blick was eigenartig ist und was nicht.

Hast du den Router mal in Werkseinstellung zurückgesetzt?
Falls auch der Router nicht die Ursache sein sollte, wüsste ich außer dem wiedererkennbaren Profil im eingeloggten Game auch so keine andere mehr, alles andere was wir aufgelistet hatten kommt ja lt. deinen Bechreibungen ja nicht in Frage...

Hi!

Ich weiß nicht, ob das zu Leihenhaft ist, aber ich hab nichts davon gelesen, dass du deine PW`s mal geändert hast (oder hab ich das überlesen?)...

Zitat:

Zitat von cosinus

Du könntest einfach mal eine frische Windows-Installation machen und dann nur das nötige installieren. Vllt auch mal sehen ob nacktes Windows vorher schon wieder unter Kontrolle genommen wird.

Wenn nichts passiert, dann kannst du es ja mal ans I-Net stecken und schauen, es muss ja von irgendwoher kommen...

LG
Jaimy