|
"RegEdit" nicht möglich! Trojaner??? Hilfe!!! Hallo Ich: WIN XP Pro SP 2 etc... Seit längerem bekomme ich die Meldung beim Versuch, die Registry mit REGEDIT zu öffnen: "Die Registrierung wurde durch den Administrator gesperrt." Das ist aber falsch. Ich bin der Administrator, habe noch das Gast-Konto eingerichtet und habe sonst nix deaktiviert. Im abgesicherten Modus (als Administrator) und nach Scan mit Ad-Aware entferne ich regelmäßig 8-10 kritische Objekte. Danach komme ich auch wieder in die Registry. Und der Wert bei HKCU\Software\WINDOWS\CurrentVersion\Policies\System\DisableRegistryTools steht auf "0". So wie es sein soll. Doch nach dem Neustart im normalen Modus steht er wieder auf "1" (siehe Ziffer 07 des Log-File) und ich komme nicht mehr in die Registry... Und es kommt auch zu Systemabstürzen!!! Ist das ein Backdoor-Trojaner??? Wie bekomme ich ihn weg??? Wie krieg ich da 'ne "1" hin...Brauche dringend Hilfe!!! Vielleicht sind ja noch mehr Fehler drin: Hier mein Log-File von HiJackThis Logfile of HijackThis v1.99.1 Scan saved at 18:17:38, on 18.02.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Norman\bin\ZANDA.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\NORMAN\nvc\BIN\NVCSCHED.EXE C:\NORMAN\Nvc\BIN\nipsvc.exe C:\Norman\bin\NJEEVES.EXE C:\Norman\Nvc\bin\nvcoas.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\Programme\tunebite\tunebite.exe C:\Norman\bin\ZLH.EXE C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\winadm.exe C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\T-Sinus 721\CAPI\Tools\CALLTRAY.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\Programme\T-Sinus 721\T-Sinus 721 PC\SEMon21.exe C:\Norman\Nvc\BIN\NIP.EXE C:\WINDOWS\System32\svchost.exe C:\Norman\Nvc\bin\cclaw.exe C:\Programme\WinZip\WZQKPICK.EXE C:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE C:\Programme\WEBDE\SmartSurfer\SmartSurfer.exe C:\WINDOWS\system32\winadmd.exe C:\Programme\T-Sinus 721\T-Sinus 721 PC\xControlCOM.exe C:\Norman\bin\niu.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Jörg\Lokale Einstellungen\Temp\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://web.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Jörg Seidel O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~1\IEBUTT~2.DLL O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~3\KTTOOL~1.DLL O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~3\KTTOOL~1.DLL O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [_winadm] C:\WINDOWS\system32\winadm.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH O4 - HKCU\..\Run: [tunebite.exe] C:\Programme\tunebite\tunebite.exe -hidden O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: klickTel OEM 2005 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE O4 - Startup: SmartSurfer_0.lnk = C:\Programme\WEBDE\SmartSurfer\SmartSurfer.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Call Tray.lnk = ? O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: T-Sinus 721 Monitor.lnk = ? O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlpage.htm O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot Sonderedition\plmg.exe (HKCU) O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot Sonderedition\plmg.exe (HKCU) O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093185142237 O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://www.popfile.de/myplaylist/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\nvc\BIN\NVCSCHED.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: xControlCOM - Siemens - C:\Programme\T-Sinus 721\T-Sinus 721 PC\xControlCOM.exe Danke für eure Hilfe.... Gruß an Alle |
Hi, mit dem O7-Eintrag hast Du recht. Fixe mit HJT den Eintrag bei deaktivierter Systemwiederherstellung im abgesicherten Modus. Boote neu und schalte die Systemwiederherstellung wieder an. Schau nach, ob der Eintrag weg ist. Kennst/willst du die folgenden: Sonderedition\plmg.exe (HKCU) O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - O16 - DPF: {D67AC55A-B750-41A4-BEE6-020E017A7996} - http://www.popfile.de/myplaylist/pc/MY-PLAYLIST-WEBINSTALLER_loader.exe Wenn nicht, ebenfalls fixen. Dann bitte neues Logfile posten. cacatoa |
Hi Cacatoa... Danke für deine Hilfe - hat aber leider nicht geklappt... Ich kam zwar nach dem Fixen der Zeile 07 in die Registry, aber nach dem Booten war Zeile 07 wieder da :headbang: Da scheint also irgendwo etwas im System zu stecken, das die Zeile in die Registry jedesmal neu einträgt... Oder sehe ich das falsch..? Hier nun der neue Log nach dem Fixen. 07 ist immer noch dabei! Vielleicht findet du oder die anderen noch etwas anderes.. Bin sehr dankbar für jede Hilfe!!! Logfile of HijackThis v1.99.1 Scan saved at 21:18:38, on 19.02.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Norman\bin\ZANDA.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\snmp.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\MsPMSPSv.exe C:\Programme\Canon\CAL\CALMAIN.exe C:\Norman\bin\NJEEVES.EXE C:\Norman\Nvc\bin\nvcoas.exe C:\NORMAN\nvc\BIN\NVCSCHED.EXE C:\NORMAN\Nvc\BIN\nipsvc.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\Explorer.EXE C:\Programme\tunebite\tunebite.exe C:\WINDOWS\system32\winadm.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Norman\bin\ZLH.EXE C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Programme\T-Sinus 721\CAPI\Tools\CALLTRAY.exe C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\T-Sinus 721\T-Sinus 721 PC\SEMon21.exe C:\Norman\Nvc\BIN\NIP.EXE C:\Programme\WinZip\WZQKPICK.EXE C:\Norman\Nvc\bin\cclaw.exe C:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE C:\Programme\WEBDE\SmartSurfer\SmartSurfer.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\winadmd.exe C:\Programme\T-Sinus 721\T-Sinus 721 PC\xControlCOM.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Jörg\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://web.de/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = **** **** R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ********* O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~1\IEBUTT~2.DLL O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~3\KTTOOL~1.DLL O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~3\KTTOOL~1.DLL O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [_winadm] C:\WINDOWS\system32\winadm.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [tunebite.exe] C:\Programme\tunebite\tunebite.exe -hidden O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [UIWatcher] C:\Programme\Ashampoo\Ashampoo UnInstaller 2002-2003\UIWatcher.exe O4 - Startup: klickTel OEM 2005 - Schnellstarter.lnk = C:\Programme\klickTel\klickTel OEM 2005\KSTART32.EXE O4 - Startup: SmartSurfer_0.lnk = C:\Programme\WEBDE\SmartSurfer\SmartSurfer.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Call Tray.lnk = ? O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: T-Sinus 721 Monitor.lnk = ? O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlpage.htm O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot Sonderedition\plmg.exe (HKCU) O9 - Extra 'Tools' menuitem: Add bid - {866875B8-9855-48f8-BAAB-8002C325BE69} - C:\Programme\Paragon\Last Minute Gebot Sonderedition\plmg.exe (HKCU) O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093185142237 O17 - HKLM\System\CCS\Services\Tcpip\..\{9FE4923C-C5F4-4EFA-9C93-0F877A7418C0}: NameServer = ******* O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\ZANDA.EXE O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\nvc\BIN\NVCSCHED.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: xControlCOM - Siemens - C:\Programme\T-Sinus 721\T-Sinus 721 PC\xControlCOM.exe |
Moin, joseba, hast du es genau so gemacht: Fixe mit HJT den Eintrag bei deaktivierter Systemwiederherstellung im abgesicherten Modus? cacatoa |
Hallo cacatoa... ...ja, alles so gemacht wie beschrieben. Nach dem Fixen der Zeile 07 komme ich aber immerhin in die Registry. Sowohl im abgesicherten, als auch im normalen Modus. Kann man da nicht irgend etwas drehen?:lmaa: Bevor ich also die Systemwiederherstellung wieder aktivieren kann, muß ich ja aus dem abgesicherten Modus raus und neu booten. Und genau nach dem Bootvorgang ist schon wieder die Zeile 07 eingefügt - noch bevor ich die Systemwiederherstellung aktivien kann... Also ein ewiger Kreislauf, und ich weiß nicht, wie ich im Bootvorgang das Einfügen dieser Zeile verhindern kann. :koch: Daneben scheint ja auch noch irgendwo der Trojaner zu stecken. Hast du eine Ahnung wo? Danke, jedenfalls schon mal für dein Hilfe... Gruß joseba |
Hi, joseba, bitte führe genau nach der Anleitung einen eScan aus und poste das Ergebnis. (Dauert ca. ne gute Stunde) Mich wundert, daß du den Eintrag nicht wegbringst; das Problem hatten wir schon öfter - und dann auf diese Art gelöst. cacatoa |
Sorry, hab mich vertan :o |
Hallo, da bin ich wieder... ... Wie du siehst habe ich heute Morgen nun nach Anleitung den eScan mit MWAV durchgefürt (fast 2,5 Stunden)!!! Hier nun das Ergebnis der MWAV.LOG-Datei. Bitte schaut doch mal: Übrigens: NORMAN ist mein Lizensierter Virenscanner... Kann ich die Datei einfach so löschen? Und die Meldung mit der System32-Datei (cmd.ftp) ist wirklich 2mal im Log eingetragen. Da scheint ja was im System zu stecken oder? Bin für jede Hilfe dankbar. Hier der Log: Wed Feb 22 11:36:43 2006 => File C:\WINDOWS\system32\cmd.ftp infected by "Trojan-Downloader.BAT.Ftp.u" Virus! Action Taken: No Action Taken. Wed Feb 22 11:36:48 2006 => Offending Key found: HKLM\Software\kazaa !!! Wed Feb 22 11:36:48 2006 => Object "kazaa Spyware/Adware" found in File System! Action Taken: No Action Taken. Wed Feb 22 12:16:38 2006 => File C:\Norman\Temp\NIP\VIRUS\debug1.txt infected by "Exploit.HTML.Iframe.FileDownload" Virus! Action Taken: No Action Taken. Wed Feb 22 13:25:31 2006 => File C:\WINDOWS\system32\cmd.ftp infected by "Trojan-Downloader.BAT.Ftp.u" Virus! Action Taken: No Action Taken. |
Hi, joseba, leere mal den Quarantäne- oder Infected-Ordner von Norman. C:\WINDOWS\system32\cmd.ftp ist der Sasser-A. Hier ein Sasser.A removal tool. Probiers und melde dich wieder. cacatoa |
Hi... Danke für die Tipps! Der Qarantäne Ordner in NORMAN war leer! Da war nix zu löschen.. Habe mir das Removal-Tool gegen Sasser.A runtergeladen. Kann es leider nicht installieren. Bekomme folgende Fehlermeldung: "Setup has detected, that the Sevice Pack Version of this system in newer, than the update you are applying." Gibts noch andere Möglichkeiten??? Z.B. Kann man diese Dateien irgendwo hochladen und online prüfen und säubern lassen??? Gruß Joseba |
Hi, sorry, du hast ja SP 2 drauf; da ist das removal nicht notwendig. Die DAtei ist also ein Relikt; deshalb bitte manuell löschen: C:\WINDOWS\system32\cmd.ftp das Norman temp-file kannst du löschen, wenn es Norman icht schon gemacht hat. cacatoa |
so ich hab zwar keine ahnung von allem:D aber falls du und ich betone falls du xp-antispy benutzt solltest du nachsehen ob du dort nicht regedit deaktiviert hast lg der noob^^ |
Zitat:
meinst Du, ich kann die Datei wirklich einfach so löschen? Immerhin steht sie im System32-Ordner... Gruß Joseba |
Zitat:
@joseba Folge der Anweisung von Cacatoa. Brauchst keine Sorgen zu haben. |
@ felix1: thx @ DonMega: Ein Blick auf das HJT-Logfile hätte Dir gezeigt, daß er es nicht nutzt... cacatoa |
Hi... So... nun hab ich alles so gemacht, wie beschrieben: escan -> Dateien gelöscht etc. Nach eScan habe ich die Datei CMD.FTP online scannen lassen. Verdacht hat sich bestätigt: war ein "Trojan-Downloder.bat.FTP.u" drin. Trotzdem: Leider erfolgt nach jedem neuen Bootvorgang das gleiche Schema: Die Zeile 07 in der Registry wird jedes mal neu eingefügt und blockiert den Zugriff. Über HJT bekomme ich aber den Zugriff zurück. Gleichzeitig meldet mir Spybot - Search & Destroy\TeaTimer, dass drei Änderungen an der Registry vorgenommen werden bzw. drei Zeilen von Programmen zugefügt werden an, die, bis auf NERO 7, nicht mehr auf meinem Rechner sind und sämtliche entsprechende Verzeichnisse gelöscht sind.:confused: O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKCU\..\Run: [UIWatcher] C:\Programme\Ashampoo\Ashampoo UnInstaller 2002-2003\UIWatcher.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min Wo also ist die Datei, die diese Einträge in die REG vornimmt und diese dann blockiert??? Gern poste ich noch mal einen HJT-Log, wenns hilft!! Danke für alle Hilfe Gruß Joseba |
Zitat:
das lässt sich unter Umständen mit Regmon von Sysinternals ermitteln. Bitte das Programm runterladen http://www.sysinternals.com/Utilities/Regmon.html und folgende Einstellungen vornehmen: Filter/Highlight (Ctrl + L) Include: CreateKey; CurrentVersion\Policies\ Exclude: Highlight: CreateKey Zusätzlich alle 5 Häckchen setzen. Unter "Options" noch "Log Boot" anwählen. Nun, wie bereits unternommen, per HJT den Eintrag fixen und neustarten. Regmon sollte anzeigen, welcher Prozess versucht hat den Eintrag neu zu schreiben. |
Hallo Migthy Marc.., Hi cacatoa danke für die Tipps. Werde sie morgen gleich umsetzen... Habe heute mal bei Jotti's Malwarescanner einige Dateien checken lassen, die im HJT-Log als ausführende Dateien angezeigt werden. U.A auch die Datei WINADM.EXE im Ordner c:/Windows/System32 Dabei kam folgendes zu Tage: Der Scanner Dr. Web sagte: Backdoor.Trojan und VBA32 gab an: E-Mail-Worm.VB.3 Ist das ernst zu nehmen und wenn ja, was mach ich mit dieser Datei? Danke an Alle, ihr seid ne große Hilfe - die einzige sozusagen :) Gruß Joseba |
Zitat:
1. Rechner starten, Windoof hochfahren 2. Regmon ausführen mit den o.g. Einstellungen (läuft sofort los und zeichnet alles auf, rot hinterlegt!) 3. Regmon in Taskleiste verkleinern 4. HJT starten und scan ausführen und Zeile 07 fixen 5. Regmon-log aus Taskleiste aufrufen und auswerten? Wonach? So o.k.? oder lieber alles im abgesicherten Modus und ohne Systemwiederherstellung deaktivieren usw... Gruß Joseba |
Hi, joseba, gut, daß du die Datei hast prüfen lassen. Sollte es wirklich der VB.3 sein, so würde ich mir keine Mühe mehr geben, das System zu reparieren. Dieser Wurm lädt (regelmäßig) eine RBot-Variante nach und kompromittiert so Dein System. Allerdings habe ich darauf in Deinem Logfile eben noch keinen Hinweis gefunden. Benutzt Du "parentsFriend", ein Kindersicherungsprogramm? Und zu Deiner Frage: Genauer als MightyMarc kann man die Vorgehensweise doch nicht mehr beschreiben, oder? ;) cacatoa |
@joseba Nochmal: 1. Regmon einstellen (dann kannst Du es offen lassen) 2. HJT starten, Eintrag fixen 3. Rechner neu starten und berichten, was regmon berichtet. |
Zitat:
Ja, dieses Programm läuft auf meinem Rechner. Was ist damit? deinstallieren? Und ... gibt es kein Tool, um den VB.3 - wenn er es denn ist - zu erkennen und zu beseitigen? Regmon Log folgt gleich.... danke Joseba |
Zitat:
..sorry für meine Verständnisfragen, aber wenn ich so ein Fachleut' wär, wie ihr, müßte ich mich kaum um Rat bemühen. Bin halt ein Laie, der Hilfe braucht. Und EDV-Laien brauchen nun mal etwas allgemein verständlichere Beschreibungen - Sorry! Hier also das, was mir Regmon nach der von dir beschriebenen Vorgehensweise berichtet: (Nützt dir auch ein Log vor dem Neustart - also vor und nach dem Fixen mit HJT?) Dies ist natürlich etwas länger, aber könnte ich dir auch posten... Danke schon jetzt für die Analyse! :o 09:18:46 explorer.exe:1932 CreateKey HKCU\SessionInformation SUCCESS Access: 0x2 09:18:46 Regmon.exe:3508 CreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Access: 0x2 09:18:46 Regmon.exe:3508 CreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Access: 0x2 09:18:46 Regmon.exe:3508 CreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Access: 0x2 09:18:46 Regmon.exe:3508 CreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Access: 0x2 09:18:46 Regmon.exe:3508 CreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Access: 0x2 09:18:46 Regmon.exe:3508 CreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Access: 0x2 09:18:46 Regmon.exe:3508 CreateKey HKLM\SOFTWARE\Microsoft\Cryptography\RNG SUCCESS Access: 0x2 09:18:46 services.exe:756 CreateKey HKLM\System\CurrentControlSet\Control\DeviceClasses SUCCESS Access: 0xF003F 09:18:46 services.exe:756 CreateKey HKLM\System\CurrentControlSet\Control\DeviceClasses SUCCESS Access: 0xF003F 09:18:46 Regmon.exe:3508 CreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c179ef93-3b92-11d8-aa9c-806d6172696f}\ SUCCESS Access: 0x2000000 09:18:46 Regmon.exe:3508 CreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c179ef93-3b92-11d8-aa9c-806d6172696f}\ SUCCESS Access: 0x2000000 09:18:46 Regmon.exe:3508 CreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c179ef92-3b92-11d8-aa9c-806d6172696f}\ SUCCESS Access: 0x2000000 09:18:46 Regmon.exe:3508 CreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c179ef94-3b92-11d8-aa9c-806d6172696f}\ SUCCESS Access: 0x2000000 09:18:46 Regmon.exe:3508 CreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c179ef94-3b92-11d8-aa9c-806d6172696f}\ SUCCESS Access: 0x2000000 09:18:46 Regmon.exe:3508 CreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c179ef91-3b92-11d8-aa9c-806d6172696f}\ SUCCESS Access: 0x2000000 09:18:46 Regmon.exe:3508 CreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c179ef90-3b92-11d8-aa9c-806d6172696f}\ SUCCESS Access: 0x2000000 09:18:46 Regmon.exe:3508 CreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c179ef8e-3b92-11d8-aa9c-806d6172696f}\ SUCCESS Access: 0x2000000 09:18:46 Regmon.exe:3508 CreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c179ef8f-3b92-11d8-aa9c-806d6172696f}\ SUCCESS Access: 0x2000000 09:18:46 Regmon.exe:3508 CreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1240d588-b637-11d8-9379-806d6172696f}\ SUCCESS Access: 0x2000000 09:18:46 Regmon.exe:3508 CreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c179ef8d-3b92-11d8-aa9c-806d6172696f}\ SUCCESS Access: 0x2000000 09:19:00 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\DeviceClasses SUCCESS Access: 0xF003F 09:19:01 System:4 CreateKey HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4} SUCCESS Access: 0xF003F 09:19:01 System:4 CreateKey HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}\Control SUCCESS Access: 0xF003F 09:19:01 System:4 CreateKey HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}\LogConf SUCCESS Access: 0xF003F 09:19:01 System:4 CreateKey HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\kmixer\Enum SUCCESS Access: 0xF003F 09:19:01 Regmon.exe:3508 CreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\SessionInfo\000000000000ebda SUCCESS Access: 0x1 09:19:01 Regmon.exe:3508 CreateKey HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\SessionInfo\000000000000ebda SUCCESS Access: 0x1 09:19:01 System:4 CreateKey HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}\Control SUCCESS Access: 0xF003F 09:19:01 System:4 CreateKey HKLM\SYSTEM\CURRENTCONTROLSET\ENUM\SW\{b7eafdc0-a680-11d0-96d8-00aa0051e51d}\{9B365890-165F-11D0-A195-0020AFD156E4}\Control SUCCESS Access: 0xF003F 09:19:01 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018 SUCCESS Access: 0xF003F 09:19:01 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018\Settings SUCCESS Access: 0xF003F 09:19:01 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018 SUCCESS Access: 0xF003F 09:19:01 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018\Settings SUCCESS Access: 0xF003F 09:19:01 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018 SUCCESS Access: 0xF003F 09:19:01 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018\Settings SUCCESS Access: 0xF003F 09:19:01 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018 SUCCESS Access: 0xF003F 09:19:01 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018\Settings SUCCESS Access: 0xF003F 09:19:01 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018 SUCCESS Access: 0xF003F 09:19:01 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018\Settings SUCCESS Access: 0xF003F 09:19:01 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018 SUCCESS Access: 0xF003F 09:19:01 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018\Settings SUCCESS Access: 0xF003F 09:19:02 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018 SUCCESS Access: 0xF003F 09:19:02 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018\Settings SUCCESS Access: 0xF003F 09:19:02 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018 SUCCESS Access: 0xF003F 09:19:02 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018\Settings SUCCESS Access: 0xF003F 09:19:02 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018 SUCCESS Access: 0xF003F 09:19:02 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018\Settings SUCCESS Access: 0xF003F 09:19:02 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018 SUCCESS Access: 0xF003F 09:19:02 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018\Settings SUCCESS Access: 0xF003F 09:19:02 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018 SUCCESS Access: 0xF003F 09:19:02 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018\Settings SUCCESS Access: 0xF003F 09:19:02 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018 SUCCESS Access: 0xF003F 09:19:02 winlogon.exe:712 CreateKey HKLM\System\CurrentControlSet\Control\Class\{4D36E96C-E325-11CE-BFC1-08002BE10318}\0018\Settings SUCCESS Access: 0xF003F |
Hi, joseba, ich habe nach parentsFriend gefragt, weil die Datei "WINADM.EXE" auch zu parentsFriend gehören kann. Wenn also (was oft der Fall ist) ein scanner nur nach Dateinamen scannt, dann kann er die Datei auch für einen Schädling halten. Da ich, wie vorher schon geschrieben, aber keinen weiteren Hinweis darauf gefunden habe, gehe ich davon aus, daß es eben die ganz normale Datei ist, die zu parentsFriend gehört, zumal sie auch von eScan nicht beanstandet wurde. Im RegMon Logfile sehe ich aber auch nicht, daß der Eintrag O7 neu geschrieben wurde. Ist er im aktuellen HJT-Logfile noch da? cacatoa |
Guten Morgen Cacatoa... das war ein Supertipp mit der Parentsfriend-Datei. Vielleicht ist das ja schon des Rätsels Lösung...? Laut Google ist die WINADM.EXE eine Spionagedatei, die Informationen an den Absender weitergibt. Ich werde das Programm mal versuchen zu deinstallieren, was nicht ganz einfach sein soll, wenn man den Berichten von Anwendern glauben schenkt. Im aktuellen Log ist der 07 nicht mehr da. Im HJT ist der O7-Eintrag erst nach dem fixen mit HJT so lange weg, wie ich das System nicht neu starte. Erst dann wird der Eintrag jedesmal neu geschrieben. Melde mich, wenn die ParentsFriend-löschaktion geklappt hat. - oder auch nicht klappt :crazy: Vielleicht tut sich ja was. Danke schon mal für den wertvollen Tipp. Gruß Joseba |
Wenn der Wert nicht beim Booten geschrieben wird, wird er wohl vor dem Runterfahren geschrieben. Wenn sich Parentsfriend nicht einfach über Systemsteuerung -> Software entfernen lässt, gibt es zwei Möglichkeiten: 1. Den Hersteller kontaktieren und ihn um eine Deinstallationsanleitung gegebenenfalls ein Removaltool bitten. Alternativ: Start -> Ausführen - > winadmkill /uninst oder http://www.parents-friend.de/faq.htm#f19 Hilft das nicht, dann 2. Das Ding von Hand entfernen. |
Hallo Mighty Marc, hallo cacatoa! Ihr seid die Größten... :bussi: Vielen 1000 Dank für eure Geduld mit mir - aber auch für die wertvollen Tipps und die vielen Hilfen... ES HAT GEKLAPPT :aplaus: Das Proggi PARENTSFRINDS ließ sich problemlos deinstallieren. Danke für die alternativen Deinstallationshilfen. Die "gefährlichen" Dateien sind gelöscht und die Testprogramme melden alle "Null Fehler", sowohl: Spybot S & D, Ad-Aware, Norman Virus Control und HJT melden keine Auffälligkeiten und auch in die Registry komme ich mit Regedit ohne Probleme. Bin erleichtert und froh. Ihr habt was bei mir gut... Vielen Dank noch mal für eurern Einsatz. Der Thread kann damit geschlossen werden -> Erfolgreich beendet! ... bis zum nächsten mal :o Aber ich hab's ja gleich gesagt... |
Na, siehst Du - et jeht doch ;) Also, bleib "sauber" und komm wieder - aber ohne Probleme, sondern einfach zum mitlesen und evtl. auch -schreiben. cacatoa |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:05 Uhr. |
Copyright ©2000-2025, Trojaner-Board