Kommando zurück.

Soeben erschien folgende Meldung:

Virus gefunden in C:\windows\System32\bassmod.dll

Malware-Name: Win32:Trojan-gen


:-(

Dann müssen wir mal tiefer Graben. Die gemeldete Datei bei Virustotal hochladen und scannen lassen.
Wenn du sie nicht findest kannst du ja

Zitat:

C:\windows\System32\bassmod.dll

direkt in die Zeile eintragen.
Der Scan kann etwas dauern. Trage das Ergebnis komplett hier ein.
Danach verwende mal Malwarebytes und berichte.
So ich mache jetzt erst mal Schluss. Bin dann morgen Früh wieder da.

Hallo blow-in,

AVAST hat die Datei BASSMOD.DLL in den Ordner C:\Programme\Alwil Software\Avast4\Data\moved verschoben.

Der Scan dieser Datei ergab: 0 bytes size received / Se ha recibido un archivo vacio

Der Windows Explorer zeigt eine Dateigröße von 15 kb an.


Die Insatallation von Malwarebytes scheiterte mit dieser Fehlermeldung:

C:\Programme\Malwarebyts' Antimalware\mbamext.dll
DLL/OCX konnte nicht registriert werden: RegServ32-Aufruf scheiterte mit Exit-Code 0x5

Hallo blow-in,

wie geht es jetzt weiter?


Liebe Grüße

TieU

Hallo TieU
Kannst du die Datei sehen? Dann versuch doch mal die Datei in ein Temp Verzeichnis zu kopieren und umbenennen, sollte aber eine DLL bleiben. Dann mal versuchen hochzuladen. Eine weitere Möglichkeit währe der Upload nach Anleitung von @Sunny.

Hallo blow-in,

ja, die Datei "BASSMOD.dll" ist im Ordner C:\Programme\Alwil Software\Avast4\DATA\moved sichtbar.

Ich habe sie gem. Anleitung auf den Server geladen.


Schon herzlichen Dank für deine Hilfe.


Liebe Grüße

TieU

Hallo blow-in,

hier die aktuelle Log-Datei von HiJackThis

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:52:22, on 02.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\SentinelSuperProServer\spnsrvnt.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\cidaemon.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://login.live.com/login.srf?id=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://login.live.com/login.srf?id=2&DI=108&XAPID=4210??PS=70635&NC=10009&CE=11&CP=1252&HL=Hotmail??PS=70635&NC=10009&CE=11&CP=1252&HL=Hotmail&vv=400&lc=1031
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.bdsm-aktuell.de
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {FFB3A759-98B1-446F-BDA9-909C6EB18CC7} (PCPitstop Exam) - http://utilities.pcpitstop.com/optimize2/pcpitstop2.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{99C55F99-9FA7-4EFE-9EA1-EC836F566EB6}: NameServer = 213.191.74.19,213.191.74.18
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SuperProServer - Unknown owner - C:\Programme\SentinelSuperProServer\spnsrvnt.exe

--
End of file - 7447 bytes
         

Hallo TieU
Wie ich erkennen kann, hast du SUPERAntiSpyware schon drauf. Hast du damit schon einen Scan gemacht?
Zeige uns das Log.
In deinem HJT-Log kann ich nichts mehr erkennen.

Hallo blow-in,

hier das Log von SUPERAntiSpyware:

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 07/03/2008 at 10:56 AM

Application Version : 4.15.1000

Core Rules Database Version : 3496
Trace Rules Database Version: 1487

Scan type       : Complete Scan
Total Scan Time : 00:55:45

Memory items scanned      : 548
Memory threats detected   : 0
Registry items scanned    : 6618
Registry threats detected : 0
File items scanned        : 24042
File threats detected     : 4

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\***\Cookies\***@euros4click[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@partners.webmasterplan[1].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@komtrack[2].txt
	C:\Dokumente und Einstellungen\***\Cookies\***@de.sitestat[1].txt
         

Was mir Sorgen macht sind die Logs von Avast:

Code: Alles auswählenAufklappen

ATTFilter

02.07.2008 13:07:52	3640	Sign of "Win32:Agent-YJY [Trj]" has been found in "C:\System Volume Information\_restore{F5957326-A90C-47A8-87FB-7C405ED8CB6C}\RP622\A0074084.exe" file.  
02.07.2008 12:58:39	3640	Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\System Volume Information\_restore{F5957326-A90C-47A8-87FB-7C405ED8CB6C}\RP613\A0073488.dll" file.  
02.07.2008 11:36:53	3640	Sign of "Win32:Agent-YJY [Trj]" has been found in "C:\Programme\Alwil Software\Avast4\DATA\moved\Patch.exe.vir" file.  
02.07.2008 11:36:36	3640	Sign of "Other:Malware-gen" has been found in "C:\Programme\Alwil Software\Avast4\DATA\moved\402a7b1e-21201f4c.vir" file.  
02.07.2008 11:34:26	3640	Sign of "Win32:Agent-YJY [Trj]" has been found in "C:\Programme\ACD Systems\ACDSee\8.0\Patch.exe" file.  
02.07.2008 11:25:06	3640	Sign of "Other:Malware-gen" has been found in "C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\30\402a7b1e-21201f4c" file.  
01.07.2008 22:09:15	1308	Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\SYSTEM VOLUME INFORMATION\_RESTORE{F5957326-A90C-47A8-87FB-7C405ED8CB6C}\RP613\A0073488.DLL" file.  
26.06.2008 14:36:49	1280	Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Programme\Alwil Software\Avast4\DATA\moved\BASSMOD.dll" file.  
26.06.2008 13:45:49	1280	Sign of "Win32:Trojan-gen {Other}" has been found in "C:\WINDOWS\system32\BASSMOD.dll" file.  
23.06.2008 12:34:06	1344	Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\SysRestore.dll" file
         

und Kaspersky

Code: Alles auswählenAufklappen

ATTFilter

-------------------------------------------------------------------------------
 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Dienstag, 1. Juli 2008 21:01:01
 Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.1
 Letztes Update der Antiviren-Datenbanken:  1/07/2008
 Anzahl der Einträge in den Antiviren-Datenbanken: 901910
-------------------------------------------------------------------------------

Scan-Einstellungen:
	Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
	Archive untersuchen: ja
	Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
	A:\
	C:\
	D:\
	E:\
	F:\

Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 78137
	Viren gefunden: 5
	Infizierte Objekte gefunden: 12
	Verdächtige Objekte gefunden: 0
	Untersuchungszeit: 01:44:25

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Windows Defender\Support\MPLog-02282007-091803.log	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Search.zip/plugin.dll	Infizierte Objekte: Trojan-Clicker.Win32.Small.ja	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Search.zip	ZIP: infiziert - 1	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Search14.zip/plugin.dll_tobedeleted	Infizierte Objekte: Trojan-Clicker.Win32.Small.ja	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Search14.zip/uninstall.exe	Infizierte Objekte: Trojan-Clicker.Win32.Small.iz	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Search14.zip	ZIP: infiziert - 2	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Search16.zip/plugin.dll_tobedeleted	Infizierte Objekte: Trojan-Clicker.Win32.Small.ja	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Search16.zip	ZIP: infiziert - 1	übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3\1cc2a5c3-3a50548c/TakePrivileges.class	Infizierte Objekte: Trojan-Downloader.Java.OpenConnection.ak	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3\1cc2a5c3-3a50548c/SuperMSClassLoader.class	Infizierte Objekte: Trojan.Java.ClassLoader.aq	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3\1cc2a5c3-3a50548c/Installer.class	Infizierte Objekte: Trojan-Downloader.Java.OpenConnection.ak	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\3\1cc2a5c3-3a50548c	ZIP: infiziert - 3	übersprungen
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\30\402a7b1e-21201f4c	Infizierte Objekte: Exploit.Java.Gimsh.a	übersprungen
C:\Dokumente und Einstellungen\***\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Defender\FileTracker\{69DD543D-0611-4DEA-A6F0-039F36132066}	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\***\NTUSER.DAT.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Programme\Alwil Software\Avast4\DATA\aswResp.dat	Das Objekt ist gesperrt	übersprungen
C:\Programme\Alwil Software\Avast4\DATA\Avast4.db	Das Objekt ist gesperrt	übersprungen
C:\Programme\Alwil Software\Avast4\DATA\integ\avast.int	Das Objekt ist gesperrt	übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\AshWebSv.ws	Das Objekt ist gesperrt	übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\aswMaiSv.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\nshield.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\selfdef.log	Das Objekt ist gesperrt	übersprungen
C:\Programme\Alwil Software\Avast4\DATA\report\Residenter Schutz.txt	Das Objekt ist gesperrt	übersprungen
C:\Programme\Microsoft SQL Server\MSSQL\Data\master.mdf	Das Objekt ist gesperrt	übersprungen
C:\Programme\Microsoft SQL Server\MSSQL\Data\mastlog.ldf	Das Objekt ist gesperrt	übersprungen
C:\Programme\Microsoft SQL Server\MSSQL\Data\model.mdf	Das Objekt ist gesperrt	übersprungen
C:\Programme\Microsoft SQL Server\MSSQL\Data\modellog.ldf	Das Objekt ist gesperrt	übersprungen
C:\Programme\Microsoft SQL Server\MSSQL\Data\tempdb.mdf	Das Objekt ist gesperrt	übersprungen
C:\Programme\Microsoft SQL Server\MSSQL\Data\templog.ldf	Das Objekt ist gesperrt	übersprungen
C:\Programme\Microsoft SQL Server\MSSQL\LOG\ERRORLOG	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\00000002.ps1	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\00000002.ps2	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\00010017.ci	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\cicat.fid	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\cicat.hsh	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\CiCL0001.000	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\CiP10000.000	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\CiP20000.000	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\CiPT0000.000	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\CiSL0001.000	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\CiSP0000.000	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\CiST0000.000	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\CiVP0000.000	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\INDEX.000	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\propstor.bk1	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\catalog.wci\propstor.bk2	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\_restore{F5957326-A90C-47A8-87FB-7C405ED8CB6C}\RP620\change.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Debug\PASSWD.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SchedLgU.Txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Sti_Trace.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\Antivirus.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\Internet.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\h323log.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_51c.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_628.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\spnserv.dat	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Temp\_avast4_\Webshlock.txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiadebug.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\wiaservc.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\WindowsUpdate.log	Das Objekt ist gesperrt	übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
D:\System Volume Information\_restore{F5957326-A90C-47A8-87FB-7C405ED8CB6C}\RP620\change.log	Das Objekt ist gesperrt	übersprungen

Die Untersuchung wurde abgeschlossen.
         

Danke für Deine weitere Hilfe


Liebe Grüße

TieU

Hallo TieU

Deaktiviere als erstes deine Systemwiederherstellung und starte den Rechner neu.
Lösche den Quarantäneordner von Avast. Papierkorb leeren.
CCleaner instalieren und nach Anleitung ausführen. Die Registry mehrmals Fehler beheben lassen, bis keine mehr gemeldet werden.
Dann mache noch ein neues HijackThis Log und poste es.

Hallo blow-in,

die Deaktivierung der Systemwiederherstellung ging problemlos, ebenso wie das Leeren des Papierkorbs.

Der Inhalt der Quarantäneordners von Avast lies sich nicht mit dem Windows-Explorer löschen, sondern funktionierte nur über die Löschfunktion von Avast.

CCleaner lief mehrfach, incl. Registrysäuberung - Fehler stellt CCleaner nicht mehr fest.

Bevor ich HijackThis laufen lies guckte ich nochmals in den Quarantäneordner von Avast und fand in der dortigen index.xml diesen Inhalt.

Code: Alles auswählenAufklappen

ATTFilter

<?xml version="1.0" encoding="UTF-8" ?> 
- <aswObject>
  <NewId>00000010</NewId> 
  <Size>1090872</Size> 
- <ChestEntry>
  <ChestId>0000000D</ChestId> 
  <FileTime>1208139733</FileTime> 
  <OrigFileName>kernel32.dll</OrigFileName> 
  <OrigFolder>C:\WINDOWS\system32</OrigFolder> 
  <Comment /> 
  <Category>System</Category> 
  <TransferTime>1215157437</TransferTime> 
  <FileSize>1063424</FileSize> 
  </ChestEntry>
- <ChestEntry>
  <ChestId>0000000E</ChestId> 
  <FileTime>1030622400</FileTime> 
  <OrigFileName>winsock.dll</OrigFileName> 
  <OrigFolder>C:\WINDOWS\system32</OrigFolder> 
  <Comment /> 
  <Category>System</Category> 
  <TransferTime>1215157437</TransferTime> 
  <FileSize>2864</FileSize> 
  </ChestEntry>
- <ChestEntry>
  <ChestId>0000000F</ChestId> 
  <FileTime>1208139752</FileTime> 
  <OrigFileName>wsock32.dll</OrigFileName> 
  <OrigFolder>C:\WINDOWS\system32</OrigFolder> 
  <Comment /> 
  <Category>System</Category> 
  <TransferTime>1215157437</TransferTime> 
  <FileSize>24576</FileSize> 
  </ChestEntry>
  </aswObject
         

Das neueste Logfile von : HijackThis

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:49:06, on 04.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\SentinelSuperProServer\spnsrvnt.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://login.live.com/login.srf?id=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://login.live.com/login.srf?id=2&DI=108&XAPID=4210??PS=70635&NC=10009&CE=11&CP=1252&HL=Hotmail??PS=70635&NC=10009&CE=11&CP=1252&HL=Hotmail&vv=400&lc=1031
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.bdsm-aktuell.de
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - h**p://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} - h**p://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} - h**p://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - h**p://ax.emsisoft.com/asquared.cab
O16 - DPF: {FFB3A759-98B1-446F-BDA9-909C6EB18CC7} (PCPitstop Exam) - h**p://utilities.pcpitstop.com/optimize2/pcpitstop2.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{64910133-4AD9-4A10-8F13-8DCB1EA89E01}: NameServer = 62.109.123.197 213.191.74.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{99C55F99-9FA7-4EFE-9EA1-EC836F566EB6}: NameServer = 213.191.74.19,213.191.74.18
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SuperProServer - Unknown owner - C:\Programme\SentinelSuperProServer\spnsrvnt.exe

--
End of file - 7666 bytes
         

Weitere Aktionen habe ich nicht durchgeführt.


Liebe Grüße

TieU

Hallo TieU

Führe mit HijackThis eine <To a Systemscan only> durch und Fixe diesen Eintrag
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) Haken vor dieser Zeile und dann auf Fix checked.
Wie verhält sich denn dein Rechner jetzt?
Du kannst ja noch mal den Scan mit Malwahrebytes verssuchen.

Hallo blow-in,

den Eintrag habe ich gefixt.
Insgesamt scheint sich der Rechner (wieder) normal zu verhalten, die vormals beobachtete CPU-Auslastung von 100% bei Untätigkeit ist zurückgegangen auf das Normalmaß, 3-5%.

Die Installation von Malwarebytes stoppte mit der Fehlermeldung:

C:\Programme\Malwarebyts' Antimalware\mbamext.dll
DLL/OCX konnte nicht registriert werden: RegServ32-Aufruf scheiterte mit Exit-Code 0x5

Konnte jedoch mit "Ignorieren" übergangen/fortgesetzt werden.
Ein Scan lieferte keine Infektionsergebnisse.


Liebe Grüße

TieU

Halihallo

du könntest noch einen Versuch mit der mbr.exe machen. Also auf den Desktop laden und ausführen. Wenn dann die Meldung kommt, das nicht gefunden wurde, kann ich dich dann als geheilt entlassen.

Hallo blow-in,

der Scan mit mbr.exe öffnete kurz ein DOS-Fenster, welches sich sofort wieder geschlossen hat.

Heilung trotz der Meldungen von Kaspersky Online und dem Inhalt der index.xml aus dem Quarantäneordner von avast?
Das wäre ja Klasse!

Also Systemwiederherstellung wieder aktiveren und alles ist wieder in Butter?


Liebe Grüße

TieU