Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: dailywinner.net

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 21.10.2004, 03:52   #1
Stoff
 
dailywinner.net - Standard

dailywinner.net



hallo,
immer wieder taucht dailywinner.net ungefragt und ungewollt auf.
einmal fand ich die entsprechenden dateien, konnte sie mittels HijackThis deaktivieren. aber nun taucht die seite denoch wieder auf.
unte ist mein log. sieht jemand was auffälliges?
oder sonstiges, was nicht dahin gehört.
vielen herzlichen dank schon im voraus.

viele grüße
stoff

-----------------------------------------------------------------
Logfile of HijackThis v1.98.2
Scan saved at 10:36:27 PM, on 20/10/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\RoamMgr.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\system32\qfqeureg.exe
C:\Programme\Apoint2K\Apntex.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\svcmm32.exe
C:\WINDOWS\System32\mmp32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\wisptis.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\Christoph\Desktop\hijackthis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\CA\eTrust Antivirus\Realmon.exe
C:\PROGRA~1\CA\SHARED~1\SCANEN~1\InoDist.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [hgmnnysahcqp] C:\WINDOWS\system32\qfqeureg.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [USB controller] "C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\svcmm32.exe" /startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093796808210
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab

Alt 21.10.2004, 05:36   #2
Shadowdance
 
dailywinner.net - Standard

dailywinner.net



Hallo Stoff,

downloade bitte die spybotsd131tx.exe und kopiere sie in das bestehende Spybot-Verzeichnis, siehe Anleitung: Spybot-Forschung. Scanne damit Deinen Rechner. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info mit Verweis auf diesen Thread und unter dem Betreff "iesearch-TBOARD" (Forschungszwecke) -> Dankeschön!

====@====

Überprüfe mit dem online-scan von Kaspersky:

C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\RoamMgr.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\system32\qfqeureg.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\svcmm32.exe
C:\WINDOWS\System32\mmp32.exe
C:\PROGRA~1\CA\SHARED~1\SCANEN~1\InoDist.exe
C:\WINDOWS\SOINTGR.EXE

Teile uns das Ergebnis der Überprüfung mit. Sende diese Dateien dann bitte an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck).

====@====

Lade dann bitte den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD
__________________


Alt 21.10.2004, 15:55   #3
Stoff
 
dailywinner.net - Standard

dailywinner.net



Hallo, hier kommt nun mein Bericht.

1. SpyBot
--------------------------------------------------------------------------
DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-953906405-1042453114-211311345-1006\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\0\1004!=W=3

OnePop: Bibliothek (Datei, nothing done)
C:\WINDOWS\system32\print32.dll

OnePop: Root class (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\InvisiblePop.Invisible

OnePop: Root class (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\InvisiblePop.Invisible.1

OnePop: Type library (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\TypeLib\{DFFE1CCF-E1E8-4470-9962-73277CC2C898}

VX2/f: Root class (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\MxTargetDll.MxTargetDllObj

VX2/f: Root class (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\MxTargetDll.MxTargetDllObj.1

VX2/f: Bibliothek (Datei, nothing done)
C:\WINDOWS\mxTarget.dll

VX2/f: Ausführbare Datei (Datei, nothing done)
C:\WINDOWS\preInsMt.exe

VX2/f: Einstellungen (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_USERS\S-1-5-21-953906405-1042453114-211311345-1006\Software\MxTarget

VX2/f: Interface (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_CLASSES_ROOT\Interface\{4534CD6B-59D6-43FD-864B-06A0D843444A}

MediaPlex: Verfolgender Cookie (Internet Explorer: Christoph) (Cookie, nothing done)


DoubleClick: Verfolgender Cookie (Internet Explorer: Christoph) (Cookie, nothing done)


Advertising.com: Verfolgender Cookie (Internet Explorer: Christoph) (Cookie, nothing done)


Advertising.com: Verfolgender Cookie (Internet Explorer: Christoph) (Cookie, nothing done)


BFast: Verfolgender Cookie (Internet Explorer: Christoph) (Cookie, nothing done)


HitsLink: Verfolgender Cookie (Internet Explorer: Christoph) (Cookie, nothing done)


ValueClick: Verfolgender Cookie (Internet Explorer: Christoph) (Cookie, nothing done)


Avenue A, Inc.: Verfolgender Cookie (Internet Explorer: Christoph) (Cookie, nothing done)



--- Spybot - Search & Destroy version: 1.3 .1TX (build: 20040801) ---

2004-05-11 blindman.exe (1.0.0.0)
2004-08-30 SpybotSD.exe (1.3.0.12)
2004-05-11 TeaTimer.exe (1.3.0.12)
2004-06-15 unins000.exe (51.15.0.0)
2004-05-11 Update.exe (1.3.0.0)
2004-05-11 advcheck.dll (1.0.1.0)
2004-05-11 borlndmm.dll (7.0.4.453)
2004-05-11 delphimm.dll (7.0.4.453)
2004-05-11 SDHelper.dll (1.3.0.12)
2004-05-11 Tools.dll (2.0.0.0)
2004-05-11 UnzDll.dll (1.73.1.1)
2004-05-11 ZipDll.dll (1.73.2.0)
2004-08-11 Includes\Cookies.sbi
2004-10-11 Includes\Dialer.sbi
2004-10-14 Includes\Hijackers.sbi
2004-10-07 Includes\Keyloggers.sbi
2004-05-11 Includes\LSP.sbi
2004-10-12 Includes\Malware.sbi
2004-10-05 Includes\Revision.sbi
2004-09-16 Includes\Security.sbi
2004-10-12 Includes\Spybots.sbi
2004-08-30 Includes\Tracks.uti
2004-10-11 Includes\Trojans.sbi

=========================================================

2. Kaspersky
--------------------------------------------------------------------------
a. nicht im abgesicherten Modus
--------------------------------------------------------------------------
Zu überprüfende Datei: fdsfds.zip

fdsfds.zip Archive: ZIP
fdsfds.zip/RegSrvc.exe Ok
fdsfds.zip/RoamMgr.exe Ok
fdsfds.zip/ZCfgSvc.exe Ok
fdsfds.zip/1XConfig.exe Ok
fdsfds.zip/svcmm32.exe Ok
fdsfds.zip/mmp32.exe Ok
fdsfds.zip/sointgr.exe Ok
fdsfds.zip/Inodist.exe Ok
fdsfds.zip Ok


Statistiken:
Bekannte Viren: 101882 Updated: 21-10-2004
Größe der Datei (Kb): 478 Viren-Korpus: 0
Datei: 10 Warnungen: 0
Archive: 1 Verdächtigt: 0

=========================================================
=========================================================

Eine Datei, qfqeureg.exe, konnte ich nicht überprüfen, da sie unter den laufenden Prozessen aufgeführt ist.
Daher ließ ich den Test nocheinmal im abgesicherten Modus laufen.

--------------------------------------------------------------------------
b. im abgesicherten Modus
--------------------------------------------------------------------------
Zu überprüfende Datei: fdsfds.zip
fdsfds.zip Archive: ZIP
fdsfds.zip/RegSrvc.exe Ok
fdsfds.zip/RoamMgr.exe Ok
fdsfds.zip/ZCfgSvc.exe Ok
fdsfds.zip/1XConfig.exe Ok
fdsfds.zip/svcmm32.exe Ok
fdsfds.zip/mmp32.exe Ok
fdsfds.zip/sointgr.exe Ok
fdsfds.zip/Inodist.exe Ok
fdsfds.zip/qfqeureg.exe Infiziert: TrojanDownloader.Win32.Agent.ae


Statistiken:
Bekannte Viren: 101883 Updated: 21-10-2004
Größe der Datei (Kb): 517 Viren-Korpus: 1
Datei: 10 Warnungen: 0
Archive: 1 Verdächtigt: 0

==================================================================================================================

eScan-Bericht folgt in der nächsten Mitteiung.

Das war's. Hoffentlich habe ich nichts vergessen oder falsch gemacht.
__________________

Alt 21.10.2004, 15:56   #4
Stoff
 
dailywinner.net - Standard

dailywinner.net



3. eScan
Thu Oct 21 02:36:07 2004 => File C:\WINDOWS\system32\qfqeureg.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:36:19 2004 => File C:\WINDOWS\phg16189.exe infected by "TrojanDownloader.Win32.Agent.ab" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:36:19 2004 => File C:\WINDOWS\polmx.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:36:19 2004 => File C:\WINDOWS\polmx3.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:36:21 2004 => File C:\WINDOWS\webhdll.dll_tobedeleted infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:37:02 2004 => File C:\WINDOWS\system32\mmview_101.dll infected by "TrojanDownloader.Win32.Agent.cu" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:37:20 2004 => File C:\WINDOWS\system32\qfqeureg.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:46:06 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\180ax.exe infected by "not-a-virus:AdvWare.180Solutions" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:46:06 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\180axhook.dll infected by "not-a-virus:AdvWare.180Solutions" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:46:07 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\64.exe\64.exe infected by "not-a-virus:AdvWare.FlashTrack.b" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:46:07 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\73.exe\73.exe infected by "not-a-virus:AdvWare.Broadcap.a" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:46:07 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\alchem.cab infected by "TrojanDownloader.Win32.Alchemic" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:46:07 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\alchem.exe infected by "TrojanDownloader.Win32.Alchemic" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:46:09 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\bpc_inst_1006.exe infected by "not-a-virus:AdvWare.Broadcap.a" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:46:09 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\Del25.tmp infected by "not-a-virus:AdvWare.180Solutions" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:46:14 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\nsk38.tmp\new_net.exe infected by "not-a-virus:AdvWare.NewDotNet" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:46:15 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\nsk38.tmp\webhancer.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:46:15 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\perfectnavUninstall.exe infected by "TrojanDownloader.Win32.Keenval.f" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:46:16 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\phg16189.exe infected by "TrojanDownloader.Win32.Agent.ab" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:46:16 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\polmx.cab infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:46:16 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\polmx.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.

ted by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:46:19 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\THI5250.tmp\preInsTT.exe infected by "not-a-virus:AdvWare.BiSpy.f" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:46:19 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\THI5250.tmp\twaintec.cab infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:46:19 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\THI5250.tmp\twaintec.dll infected by "not-a-virus:AdvWare.BiSpy.o" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:46:19 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\thin.cab infected by "TrojanDownloader.Win32.Agent.ab" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:46:20 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\WToolsB.dll infected by "not-a-virus:AdvWare.Wintol.o" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:46:21 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\~4E.exe infected by "Trojan.Win32.StartPage.ow" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:46:21 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\~51.exe infected by "Trojan.Win32.StartPage.ow" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:53:14 2004 => File C:\Program Files\XML\t.bak infected by "not-a-virus:AdvWare.FlashTrack.b" Virus. Action Taken: No Action Taken.

Thu Oct 21 02:54:49 2004 => File C:\Programme\Common Files\SearchUpgrader\SearchUpgrader.exe infected by "TrojanDownloader.Win32.Keenval.g" Virus. Action Taken: No Action Taken.

Thu Oct 21 03:05:08 2004 => File C:\RECYCLER\S-1-5-21-953906405-1042453114-211311345-1006\Dc3\bcre.exe infected by "not-a-virus:AdvWare.Broadcap.a" Virus. Action Taken: No Action Taken.

Thu Oct 21 03:05:09 2004 => File C:\RECYCLER\S-1-5-21-953906405-1042453114-211311345-1006\Dc3\breg.exe infected by "Trojan.Win32.Small.an" Virus. Action Taken: No Action Taken.

Thu Oct 21 03:05:09 2004 => File C:\RECYCLER\S-1-5-21-953906405-1042453114-211311345-1006\Dc3\Xcpy1.cfg infected by "not-a-virus:AdvWare.FlashTrack.b" Virus. Action Taken: No Action Taken.

Thu Oct 21 03:05:09 2004 => File C:\RECYCLER\S-1-5-21-953906405-1042453114-211311345-1006\Dc5\Webhdll.dll infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Oct 21 03:05:09 2004 => File C:\RECYCLER\S-1-5-21-953906405-1042453114-211311345-1006\Dc5\WhAgent.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Oct 21 03:05:09 2004 => File C:\RECYCLER\S-1-5-21-953906405-1042453114-211311345-1006\Dc5\WhAgent.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Oct 21 03:05:09 2004 => File C:\RECYCLER\S-1-5-21-953906405-1042453114-211311345-1006\Dc5\whiehlpr.dll infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Oct 21 03:05:09 2004 => File C:\RECYCLER\S-1-5-21-953906405-1042453114-211311345-1006\Dc5\whInstaller.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Oct 21 03:05:09 2004 => File C:\RECYCLER\S-1-5-21-953906405-1042453114-211311345-1006\Dc5\WhSurvey.exe infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: No Action Taken.

Thu Oct 21 03:29:52 2004 => File C:\WINDOWS\LastGood\phg16189.exe infected by "TrojanDownloader.Win32.Agent.ab" Virus. Action Taken: No Action Taken.

Thu Oct 21 03:29:52 2004 => File C:\WINDOWS\LastGood\polmx3.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.

Thu Oct 21 03:30:38 2004 => File C:\WINDOWS\phg16189.exe infected by "TrojanDownloader.Win32.Agent.ab" Virus. Action Taken: No Action Taken.

Thu Oct 21 03:30:38 2004 => File C:\WINDOWS\polmx.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.

Thu Oct 21 03:30:38 2004 => File C:\WINDOWS\polmx3.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.

Thu Oct 21 03:37:22 2004 => File C:\WINDOWS\system32\mmview_101.dll infected by "TrojanDownloader.Win32.Agent.cu" Virus. Action Taken: No Action Taken.

Thu Oct 21 03:37:51 2004 => File C:\WINDOWS\system32\qfqeureg.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.

Thu Oct 21 03:38:37 2004 => File C:\WINDOWS\Temp\bpc_inst.exe infected by "not-a-virus:AdvWare.Broadcap.a" Virus. Action Taken: No Action Taken.

Thu Oct 21 03:38:40 2004 => File C:\WINDOWS\webhdll.dll_tobedeleted infected by "not-a-virus:AdvWare.WebHancer" Virus. Action Taken: No Action Taken.
=========================================================

Das war's. Hoffentlich habe ich nichts vergessen oder falsch gemacht.

Viele Grüße
Stoff

Alt 22.10.2004, 06:08   #5
Shadowdance
 
dailywinner.net - Standard

dailywinner.net



Hallo Stoff,

und hier kommen nun die Anweisungen ;-)

Scanne Deinen Rechner nochmal mit "Spybot 1.3.1TX" und lass einige der Probleme damit beheben. Lade Dir dann bitte Ad-Aware 6 Personal runter und scanne damit ebenfalls Deinen Rechner, um Probleme beheben zu lassen. Lade das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

Diese Malware musst Du von Hand löschen:

Zitat:
Thu Oct 21 02:36:07 2004 => File C:\WINDOWS\system32\qfqeureg.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.
Thu Oct 21 02:36:19 2004 => File C:\WINDOWS\phg16189.exe infected by "TrojanDownloader.Win32.Agent.ab" Virus. Action Taken: No Action Taken.
Thu Oct 21 02:36:19 2004 => File C:\WINDOWS\polmx.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.
Thu Oct 21 02:36:19 2004 => File C:\WINDOWS\polmx3.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.
Thu Oct 21 02:37:02 2004 => File C:\WINDOWS\system32\mmview_101.dll infected by "TrojanDownloader.Win32.Agent.cu" Virus. Action Taken: No Action Taken.
Thu Oct 21 02:37:20 2004 => File C:\WINDOWS\system32\qfqeureg.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.
Thu Oct 21 02:46:19 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\thin.cab infected by "TrojanDownloader.Win32.Agent.ab" Virus. Action Taken: No Action Taken.
Thu Oct 21 02:46:21 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\~4E.exe infected by "Trojan.Win32.StartPage.ow" Virus. Action Taken: No Action Taken.
Thu Oct 21 02:46:21 2004 => File C:\Dokumente und Einstellungen\Christoph\Lokale Einstellungen\Temp\~51.exe infected by "Trojan.Win32.StartPage.ow" Virus. Action Taken: No Action Taken.
Thu Oct 21 02:53:14 2004 => File C:\Program Files\XML\t.bak infected by "not-a-virus:AdvWare.FlashTrack.b" Virus. Action Taken: No Action Taken.
Thu Oct 21 02:54:49 2004 => File C:\Programme\Common Files\SearchUpgrader\SearchUpgrader.exe infected by "TrojanDownloader.Win32.Keenval.g" Virus. Action Taken: No Action Taken.
Thu Oct 21 03:05:09 2004 => File C:\RECYCLER\S-1-5-21-953906405-1042453114-211311345-1006\Dc3\breg.exe infected by "Trojan.Win32.Small.an" Virus. Action Taken: No Action Taken.
Thu Oct 21 03:29:52 2004 => File C:\WINDOWS\LastGood\phg16189.exe infected by "TrojanDownloader.Win32.Agent.ab" Virus. Action Taken: No Action Taken.
Thu Oct 21 03:29:52 2004 => File C:\WINDOWS\LastGood\polmx3.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.
Thu Oct 21 03:30:38 2004 => File C:\WINDOWS\phg16189.exe infected by "TrojanDownloader.Win32.Agent.ab" Virus. Action Taken: No Action Taken.
Thu Oct 21 03:30:38 2004 => File C:\WINDOWS\polmx.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.
Thu Oct 21 03:30:38 2004 => File C:\WINDOWS\polmx3.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.
Thu Oct 21 03:37:22 2004 => File C:\WINDOWS\system32\mmview_101.dll infected by "TrojanDownloader.Win32.Agent.cu" Virus. Action Taken: No Action Taken.
Thu Oct 21 03:37:51 2004 => File C:\WINDOWS\system32\qfqeureg.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre]

Boote in den normalen Modus. Aktiviere die Systemwiederherstellung.

Erstelle ein neues Hijack This Logfile und poste es.

SD


Alt 22.10.2004, 16:31   #6
Stoff
 
dailywinner.net - Standard

dailywinner.net



hallo,

ich habe die anweisungen befolgt.
hier mein hijack this logfile:

Logfile of HijackThis v1.98.2
Scan saved at 11:18:28 AM, on 22/10/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Opera7\Opera.exe
C:\Dokumente und Einstellungen\Christoph\Desktop\virenkram\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [USB controller] "C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\svcmm32.exe" /startup
O4 - HKLM\..\Run: [Twain image] "C:\WINDOWS\System32\mmp32.exe" /startup
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093796808210
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab

=========================================================

Wenn ich den abgesicherten Modus verlassen will, erscheint jedes Mal ein Dialog eines Programmes "Sample", der mich darauf hinweist, daß ein sofortiges Beenden zu Datenverlust führen kann. Als Option habe ich aber nur Sofort beenden der nichts tun. Was ist denn dieses Programm "Sample"?

Auch nach den Reinigungsarbeiten tauchte das PopUp "dailywinner.net" auf.
Wo versteckst sich das?

Viele Grüße
Stoff

Alt 22.10.2004, 23:34   #7
Stoff
 
dailywinner.net - Standard

dailywinner.net



Hallo,

noch ein Zusatz:
Immer wieder ändert sich die Startseite des IE zu

http://www.microsoft.com/isapi/redir...er=6.0&ar=home

Jedes Mal ändere ich das ab auf Leere Seite. Dennoch wird immer wieder oben genannte Seite als Startseite geladen.

Warum geschieht das? Wie kann ich das ändern?

Viele Grüße
Stoff

Alt 23.10.2004, 04:10   #8
Shadowdance
 
dailywinner.net - Standard

dailywinner.net



Hallo Stoff,

überprüfe mit dem online-scan von Kaspersky:

C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\SOINTGR.EXE
C:\WINDOWS\System32\mmp32.exe

Teile uns das Ergebnis der Überprüfung mit. Sende diese Datei an partytime-germany.ice@web.de, mit Verweis auf diesen Thread. (Forschungszweck)

===@===

Wiederholung: arbeite zuerst (!) das Tutorial der Spybot-Forschung Punkt für Punkt durch, überprüfe Deinen Computer nochmal mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info, mit dem Betreff "dailywinner.net-TBOARD" und Hinweis auf diesen Thread. (Nicht im Forum posten, da zwecklos!)

===@===

Downloade das Programm SpywareBlaster 3.2 und führe es auf Deinem Rechner aus. Am besten läßt Du alle Häk'chen angefinkt und erstellst damit den Schutz für Deine(n) Browser. Tägliches Updaten online nicht vergessen! Wenn Du Fragen dazu hast, stell sie bitte.

===@===

Lade das Clear Prog runter, leere damit die Ordner TEMP, Temorary Internet Files, Cookies und den Verlauf.

===@===

Teile uns mit, ob der Einsatz der nun verwendeten Programme zu einem Erfolg geführt hat. Lass uns das Ergebnis der Online-Scan-Überprüfung wissen. (Vergiss nicht die Daten/Spybot-Report abzusenden.) Erstelle ein neues Logfile mit Hijack This und poste es.

SD

Alt 27.10.2004, 23:21   #9
Stoff
 
dailywinner.net - Standard

dailywinner.net



Hallo,

hier der virenbericht:
---------------------------
Zu überprüfende Datei: check.zip

check.zip Archive: ZIP
check.zip/ZCfgSvc.exe Ok
check.zip/sointgr.exe Ok
check.zip/mmp32.exe Ok
check.zip Ok


Statistiken:
Bekannte Viren: 102430 Updated: 28-10-2004
Größe der Datei (Kb): 168 Viren-Korpus: 0
Datei: 5 Warnungen: 0
Archive: 1 Verdächtigt: 0

----------------------------------------
SpyBot lieferte nur verfolgende cookies.

Hijack This ergibt nun folgendes:
-----------------------------
Logfile of HijackThis v1.98.2
Scan saved at 6:14:55 PM, on 27/10/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\RoamMgr.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
C:\WINDOWS\SOINTGR.EXE
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\svcmm32.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\System32\wisptis.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Programme\Office52\program\soffice.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Dokumente und Einstellungen\Christoph\Desktop\virenkram\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: Merriam-Webster Collegiate Toolbar - {E9903977-FFCE-4827-A9D7-A325A0F87F18} - C:\WINDOWS\_MWCTB.DLL (file missing)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [mouseElf] C:\PROGRA~1\GENIUS~1\GNETMOUS.EXE
O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [USB controller] "C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\svcmm32.exe" /startup
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ 4 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093796808210
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab

---------------------------------------------------------

Das wär's.

Viele Grüße
Stoff

Alt 27.10.2004, 23:32   #10
Stoff
 
dailywinner.net - Standard

dailywinner.net



Ob alles ein Erfolg war, kann ich jetzt noch nicht sagen.
In einer guten Stunde weiß ich mehr, sofern mich der dailywinner nicht im Stich lässt.

Stoff

Alt 28.10.2004, 21:12   #11
Stoff
 
dailywinner.net - Standard

dailywinner.net



Hallo,

scheinbar waren die Aktionen von Erfolg gekrönt.
Popups erschienen bisher nicht mehr.
Ich danke dir vielmals Shadowdance.

Viele Grüße
Stoff

Antwort

Themen zu dailywinner.net
adobe, antivirus, bho, boot, button, dateien, desktop, einstellungen, etrust antivirus, explorer, herzlichen dank, hijack, hijackthis, internet, internet explorer, messenger, microsoft, programme, seite, software, sun java, system, system32, temp, usb, windows, windows messenger, windows xp




Zum Thema dailywinner.net - hallo, immer wieder taucht dailywinner.net ungefragt und ungewollt auf. einmal fand ich die entsprechenden dateien, konnte sie mittels HijackThis deaktivieren. aber nun taucht die seite denoch wieder auf. unte ist - dailywinner.net...
Archiv
Du betrachtest: dailywinner.net auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.