Trojaner-Board - Windows Defender und Folgeerkrankungen

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Windows Defender und Folgeerkrankungen (https://www.trojaner-board.de/79044-windows-defender-folgeerkrankungen.html)

Windows Defender und Folgeerkrankungen

Hallo Forum,

ich bin vor kurzem mit dem Windows Defender infiziert worden, der mir den ganzen PC versaut hat. Ich habe bereits zahlreiche Scans durchgeführt, und zwar:
1. CC-Cleaner
2. Spybot Seek & Destroy
3. malwarebytes
4. a-squared
5. Anti-Vir.

Außerdem habe ich mit Hijack einiges verdächtige gelöscht.

Trotzdem bin ich wohl noch infiziert, denn es öffnen sich nach einiger Zeit im Netz Werbeseiten : ria thomsonreuters und ads right-ads.

Anbei mein aktuelle Hijack-Log:

Logfile of HijackThis v1.99.1
Scan saved at 10:09:03, on 02.11.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18241)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NewSoft\Presto! PVR\Monitor.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\xampplite\apache\bin\httpd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\xampplite\apache\bin\httpd.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\SoftwareDistribution\Download\Install\IE8-WindowsXP-x86-DEU.exe
C:\Programme\Hijack\HijackThis.exe
c:\8b9d96f8162b96f9db4ada76\update\iesetup.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://***.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ChangeFilterMerit] C:\Programme\NewSoft\Presto! PVR\ChangeFilterMerit.exe
O4 - HKLM\..\Run: [Presto! PVR Monitor] C:\Programme\NewSoft\Presto! PVR\Monitor.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International
O17 - HKLM\System\CCS\Services\Tcpip\..\{6C92C6ED-6A89-491C-A7E1-9521AE7DA690}: NameServer = 213.191.74.18 62.109.123.196
O17 - HKLM\System\CCS\Services\Tcpip\..\{E60D3402-F95B-4C2B-95CE-AA9F832B4FD5}: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Unknown owner - C:\xampplite\apache\bin\httpd.exe" -k runservice (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: HICBTH - Unknown owner - C:\DOKUME~1\******~1\LOKALE~1\Temp\HICBTH.exe (file missing)
O23 - Service: MySQL - Unknown owner - C:\xampplite\mysql\bin\mysqld.exe" --defaults-file="C:\xampplite\mysql\bin\my.ini" MySQL (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

Bin für eure Hilfe sehr dankbar!

Moin Moin.

Arbeite bitte das hier ab:
http://freenet-homepage.de/rene-gad/...Anleitung.html
Lade die beiden AVZ log dateien (.zip Archive) bitte bei rapidshare hoch und poste uns den downloadlink.

Erstmal danke für die schnelle Antwort!

Habe die Anleitung bis zum HiJack-Part abgearbeitet, die Downloadlinks für Rapidshare:

1. Syscheck: h**p://rapidshare.com/files/301337769/check_20091102.zip.html
2. Syscure: h**p://rapidshare.com/files/301338957/cure_20091102.zip.html

Braucht es einen neuen HiJack-Log?

Könntest Du Bescheid geben, wenn ich die Dateien auf Rapid wieder löschen kann? Ist mir doch recht viel Info auf öffentlichem Space ;-)

Vielen Dank!

Das mit dem öffentlich ist egal. Es kann ja keiner Zuordnen wer du bist. Außerdem kannst du das Archiv auch nochmal zippen und mit einem Passwort belegen das du mir dann per PN schickst.

Ich guck mir das mal an. Hast du cCleaner laufen lassen bevor du den Scan gemacht hast?

hallo undoreal,

ja CC-Cleaner hab ich laufen lassen, das Problem mit diesen aufspringenden Werbeseiten tritt nach wie vor sporadisch auf, irdendwas läuft also schief. Morgen habe ich keinen Netzzugang, das Dankeschön folgt dann spätestens tagsdrauf :-)

Führe bitte folgendes Skript mit AVZ aus (File -> Custom Skript)

Code:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 DeleteFileMasK('C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp', '*.*', true);

 DeleteDirectory('C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp');

 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');

 DelBHO('{36ECAF82-3300-8F84-092E-AFF36D6C7040}');

 DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');

BC_ImportDeletedList;

ExecuteSysClean;

BC_Activate;

ExecuteRepair(9);

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);

SetServiceStart('RDSessMgr', 4);

SetServiceStart('mnmsrvc', 4);

SetServiceStart('Schedule', 4);

SetServiceStart('SSDPSRV', 4);

SetServiceStart('TermService', 4);

RebootWindows(true);

end.

Lasse danach den cCleaner laufen (Punkte 1&2)

Erstelle bitte danach abermals beide AVZ logs und poste diese. Poste auch ein frisches HJT log und eine Beschriebung wie es deinem Rechner geht.

Das Script habe ich ausgeführt und anschließend erneut die Scans mit AVZ durchlaufen. Die Log-Dateien finden sich hier:

Cure: h**p://rapidshare.com/files/301527417/cure_20091102_abends.zip.html
Check: h**p://rapidshare.com/files/301527103/check_20091102_abends.zip.html

Der neue Log von HJT sieht wie folgt aus:

Code:

Logfile of HijackThis v1.99.1

Scan saved at 20:58:38, on 02.11.2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Intel\Wireless\Bin\EvtEng.exe

C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

C:\WINDOWS\system32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\brss01a.exe

C:\Programme\Intel\Wireless\Bin\ZcfgSvc.exe

C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\NewSoft\Presto! PVR\Monitor.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\a-squared Free\a2service.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\xampplite\apache\bin\httpd.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\Intel\Wireless\Bin\OProtSvc.exe

C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\xampplite\apache\bin\httpd.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Hijack\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [ChangeFilterMerit] C:\Programme\NewSoft\Presto! PVR\ChangeFilterMerit.exe

O4 - HKLM\..\Run: [Presto! PVR Monitor] C:\Programme\NewSoft\Presto! PVR\Monitor.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International

O17 - HKLM\System\CCS\Services\Tcpip\..\{E60D3402-F95B-4C2B-95CE-AA9F832B4FD5}: NameServer = 208.67.220.220,208.67.222.222 

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: IntelWireless - C:\Programme\Intel\Wireless\Bin\LgNotify.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apache2.2 - Unknown owner - C:\xampplite\apache\bin\httpd.exe" -k runservice (file missing)

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: HICBTH - Unknown owner - C:\DOKUME~1\******~1\LOKALE~1\Temp\HICBTH.exe (file missing)

O23 - Service: MySQL - Unknown owner - C:\xampplite\mysql\bin\mysqld.exe" --defaults-file="C:\xampplite\mysql\bin\my.ini" MySQL (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: OwnershipProtocol - Intel Corporation - C:\Programme\Intel\Wireless\Bin\OProtSvc.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

Der PC verhält sich normal, Ladevorgang von Programmen dauert nach dem Hochfahren länger, als vor der Infektion, aber kein Wunder nach den vielen Scans und Virenlöschungen.

Das eigentliche Problem waren drei Web-Seiten, die unregelmäßig in einem neuen Fenster aufgesprungen sind: ria thomsonreuters, ads right-ads, die dritte Seite weiß ich nicht mehr. Nach 15 Minuten Surfen ist bislang nichts passiert, ich hoffe also, es ist behoben?

UPDATE: Muss mich leider korrigieren, gerade sind die Seiten wieder aufgesprungen. Nach welchem Muster es passiert, ist mir unklar. Bin also weiter auf Hilfesuche.

Vielen Dank!

Führe bitte folgendes Skript aus:

Code:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 DeleteFile('C:\WINDOWS\system32\MsSip1.dll');

 DeleteFile('C:\WINDOWS\system32\MsSip2.dll');

 DeleteFile('C:\WINDOWS\system32\MsSip3.dll');

 DeleteFile('C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\tdc.ocx');

 DeleteFileMask('C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp', '*.*', true);

 DeleteDirectory('C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp');

BC_ImportAll;

ExecuteSysClean;

 BC_DeleteService('ZTMNF');

 SetServiceStart('ZTMNF', 4);

 BC_DeleteService('YYNUTW');

 SetServiceStart('YYNUTW', 4);

 BC_DeleteService('YYHHJSLGQ');

 SetServiceStart('YYHHJSLGQ', 4);

 BC_DeleteService('YNYAWN');

 SetServiceStart('YNYAWN', 4);

 BC_DeleteService('YN');

 SetServiceStart('YN', 4);

 BC_DeleteService('XYA');

 SetServiceStart('XYA', 4);

 BC_DeleteService('XVLGFHMN');

 SetServiceStart('XVLGFHMN', 4);

 BC_DeleteService('XJGHVT');

 SetServiceStart('XJGHVT', 4);

 BC_DeleteService('WTE');

 SetServiceStart('WTE', 4);

 BC_DeleteService('VNECIYNBQ');

 SetServiceStart('VNECIYNBQ', 4);

 BC_DeleteService('VMH');

 SetServiceStart('VMH', 4);

 BC_DeleteService('VD');

 SetServiceStart('VD', 4);

 BC_DeleteService('VAT');

 SetServiceStart('VAT', 4);

 BC_DeleteService('UYGGSIHJK');

 SetServiceStart('UYGGSIHJK', 4);

 BC_DeleteService('UVA');

 SetServiceStart('UVA', 4);

 BC_DeleteService('TTPAC');

 SetServiceStart('TTPAC', 4);

 BC_DeleteService('TPIISKIZHK');

 SetServiceStart('TPIISKIZHK', 4);

 BC_DeleteService('SAZZVBKWL');

 SetServiceStart('SAZZVBKWL', 4);

 BC_DeleteService('RZWZSP');

 SetServiceStart('RZWZSP', 4);

 BC_DeleteService('RLVYEZCGXYBEM');

 SetServiceStart('RLVYEZCGXYBEM', 4);

 BC_DeleteService('QU');

 SetServiceStart('QU', 4);

 BC_DeleteService('QITYUKSG');

 SetServiceStart('QITYUKSG', 4);

 BC_DeleteService('PQ');

 SetServiceStart('PQ', 4);

 BC_DeleteService('ONHXXXSTPGMYA');

 SetServiceStart('ONHXXXSTPGMYA', 4);

 BC_DeleteService('OBIXLNPA');

 SetServiceStart('OBIXLNPA', 4);

 BC_DeleteService('LWEDYQMEFQF');

 SetServiceStart('LWEDYQMEFQF', 4);

 BC_DeleteService('LVDDLZQCY');

 SetServiceStart('LVDDLZQCY', 4);

 BC_DeleteService('KVGVGFODJ');

 SetServiceStart('KVGVGFODJ', 4);

 BC_DeleteService('JYWO');

 SetServiceStart('JYWO', 4);

 BC_DeleteService('JQLBCQME');

 SetServiceStart('JQLBCQME', 4);

 BC_DeleteService('IQEGSMR');

 SetServiceStart('IQEGSMR', 4);

 BC_DeleteService('HWWOGUGIZD');

 SetServiceStart('HWWOGUGIZD', 4);

 BC_DeleteService('HWPBWQLHP');

 SetServiceStart('HWPBWQLHP', 4);

 BC_DeleteService('HVZAXCM');

 SetServiceStart('HVZAXCM', 4);

 BC_DeleteService('HUK');

 SetServiceStart('HUK', 4);

 BC_DeleteService('HICBTH');

 SetServiceStart('HICBTH', 4);

 BC_DeleteService('FZX');

 SetServiceStart('FZX', 4);

 BC_DeleteService('FQBQJMWQVENT');

 SetServiceStart('FQBQJMWQVENT', 4);

 BC_DeleteService('EY');

 SetServiceStart('EY', 4);

 BC_DeleteService('DGTXIIAMUG');

 SetServiceStart('DGTXIIAMUG', 4);

 BC_DeleteService('CDSXGTI');

 SetServiceStart('CDSXGTI', 4);

 BC_DeleteService('BLLBWP');

 SetServiceStart('BLLBWP', 4);

 BC_DeleteService('BAFKYBGW');

 SetServiceStart('BAFKYBGW', 4);

 BC_DeleteService('AEHEWW');

 SetServiceStart('AEHEWW', 4);

BC_Activate;

RebootWindows(true);

end.

Räume danach mit dem cCleaner auf (Punkte 1&2).

Schafft das Abhilfe gegen die PopUps?

Erstelle bitte ein gmer log.

GMER - Rootkit Detection

Lade Gmer von hier herunter. (Etwas weiter unten auf der Seite findet sich der Button "Download EXE". Es wird ein zufälliger Dateiname erzeugt.)
Doppelklicke die zufälligerDateiname.exe
Der Reiter Rootkit oben ist schon angewählt

http://saved.im/mzaxndu2m2ni_vs/gmerzj1oo1.jpg

Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
nach Beendigung des Scan, drücke "Copy"
nun kannst Du das Ergebnis hier posten

Master Boot Record überprüfen:

Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Poste das log!

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck

Zitat:

MBR rootkit code detected !

indiziert und du musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von gmer ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Poste auch diese log!

Bin wieder da & Vielen Dank.

Bei der Ausführung des Scripts für AVZ bekomme ich folgende Fehlermeldung:

Error: undeclared identifier 'BC_DeleteService' at position 12:18

Ich habe die Anleitung trotzdem weiter abgearbeitet und poste hier das Log von

Gmer Rootkit Detection

Code:

GMER 1.0.15.15163 - h**p://www.gmer.net

Rootkit scan 2009-11-04 12:43:57

Windows 5.1.2600 Service Pack 2

Running: t00bk18f.exe; Driver: C:\DOKUME~1\******~1\LOKALE~1\Temp\pgliqpow.sys
 
 

---- System - GMER 1.0.15 ----
 

SSDT            BAF4329C                                                                                         ZwCreateThread

SSDT            BAF43288                                                                                         ZwOpenProcess

SSDT            BAF4328D                                                                                         ZwOpenThread

SSDT            BAF43297                                                                                         ZwTerminateProcess

SSDT            BAF43292                                                                                         ZwWriteVirtualMemory
 

---- User code sections - GMER 1.0.15 ----
 

.text           C:\Programme\a-squared Free\a2service.exe[368] kernel32.dll!CreateThread + 1A                    7C810661 4 Bytes  CALL 0045495D C:\Programme\a-squared Free\a2service.exe (a-squared Service/Emsi Software GmbH)
 

---- Kernel IAT/EAT - GMER 1.0.15 ----
 

IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRequest]                                   [BACC954E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter]                              [BACC920E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter]                               [BACC9256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol]                        [BACC952C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol]                          [BACC94FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol]                         [BACC94FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRequest]                                  [BACC954E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter]                              [BACC9256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter]                             [BACC920E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol]                       [BACC952C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRequest]                                    [BACC954E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol]                         [BACC952C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol]                           [BACC94FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter]                                [BACC9256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter]                               [BACC920E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]                          [BACC94FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]                              [BACC920E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRequest]                                   [BACC954E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]                               [BACC9256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]                        [BACC952C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]                                [BACC920E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRequest]                                     [BACC954E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]                                 [BACC9256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]                            [BACC94FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]                         [BACC952C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]                           [BACC94FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]                                [BACC9256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]                               [BACC920E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRequest]                                    [BACC954E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter]                              [BACC920E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter]                               [BACC9256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRequest]                                   [BACC954E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol]                        [BACC952C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol]                          [BACC94FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\irda.sys[NDIS.SYS!NdisOpenAdapter]                                  [BACC9256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\irda.sys[NDIS.SYS!NdisRegisterProtocol]                             [BACC94FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\irda.sys[NDIS.SYS!NdisCloseAdapter]                                 [BACC920E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\irda.sys[NDIS.SYS!NdisDeregisterProtocol]                           [BACC952C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\irda.sys[NDIS.SYS!NdisRequest]                                      [BACC954E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol]                          [BACC94FE] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol]                        [BACC952C] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRequest]                                   [BACC954E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter]                              [BACC920E] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)

IAT             \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter]                               [BACC9256] PDDSLHND.sys (ProDyne DSL Handler/ProDyne)
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                          SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass1                                                          SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
 

---- Registry - GMER 1.0.15 ----
 

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001fcf40d76f                      

Reg             HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001fcf40d76f@0023b48f8020         0x5C 0x1A 0x25 0x3A ...

Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001fcf40d76f (not active ControlSet)  

Reg             HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001fcf40d76f@0023b48f8020             0x5C 0x1A 0x25 0x3A ...
 

---- EOF - GMER 1.0.15 ----

Die Master-Boot-Record-Überprüfung mit mbr.exe hat folgendes Log ergeben:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, h**p://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Scheint also sauber zu sein?

Dann wäre vielleicht das AVZ-Script die Lösung für die aufspringenden Webseiten? Wäre für ein korrigiertes Script dankbar.

Viele Grüße

Neues Skript:

Code:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 DeleteFile('C:\WINDOWS\system32\MsSip1.dll');

 DeleteFile('C:\WINDOWS\system32\MsSip2.dll');

 DeleteFile('C:\WINDOWS\system32\MsSip3.dll');

 DeleteFile('C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\tdc.ocx');

 DeleteFileMask('C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp', '*.*', true);

 DeleteDirectory('C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp');

BC_ImportAll;

ExecuteSysClean;

 BC_DeleteSvc('ZTMNF');

 BC_DeleteSvc('YYNUTW');

 BC_DeleteSvc('YYHHJSLGQ');

 BC_DeleteSvc('YNYAWN');

 BC_DeleteSvc('YN');

 BC_DeleteSvc('XYA'); 

 BC_DeleteSvc('XVLGFHMN');

 BC_DeleteSvc('XJGHVT');

 BC_DeleteSvc('WTE');

 BC_DeleteSvc('VNECIYNBQ');

 BC_DeleteSvc('VMH');

 BC_DeleteSvc('VD'); 

 BC_DeleteSvc('VAT');

 BC_DeleteSvc('UYGGSIHJK'); 

 BC_DeleteSvc('UVA');

 BC_DeleteSvc('TTPAC');

 BC_DeleteSvc('TPIISKIZHK');

 BC_DeleteSvc('SAZZVBKWL'); 

 BC_DeleteSvc('RZWZSP'); 

 BC_DeleteSvc('RLVYEZCGXYBEM'); 

 BC_DeleteSvc('QU');

 BC_DeleteSvc('QITYUKSG');

 BC_DeleteSvc('PQ'); 

 BC_DeleteSvc('ONHXXXSTPGMYA');

 BC_DeleteSvc('OBIXLNPA');

 BC_DeleteSvc('LWEDYQMEFQF');

 BC_DeleteSvc('LVDDLZQCY');

 BC_DeleteSvc('KVGVGFODJ');

 BC_DeleteSvc('JYWO');

 BC_DeleteSvc('JQLBCQME');

 BC_DeleteSvc('IQEGSMR');

 BC_DeleteSvc('HWWOGUGIZD');

 BC_DeleteSvc('HWPBWQLHP');

 BC_DeleteSvc('HVZAXCM');

 BC_DeleteSvc('HUK');

 BC_DeleteSvc('HICBTH');

 BC_DeleteSvc('FZX');

 BC_DeleteSvc('FQBQJMWQVENT');

 BC_DeleteSvc('EY');

 BC_DeleteSvc('DGTXIIAMUG');

 BC_DeleteSvc('CDSXGTI');

 BC_DeleteSvc('BLLBWP');

 BC_DeleteSvc('BAFKYBGW');

 BC_DeleteSvc('AEHEWW');

BC_Activate;

RebootWindows(true);

end.

So, das Script hat funktioniert, ich habe danach noch einmal CC-Cleaner, Gmer, Malwarebytes und a-squared laufen lassen. Bislang sind beim surfen keine Webseiten mehr aufgesprungen und alles deutet darauf hin, dass da Problem gelöst ist.

Vielen Dank für die Hilfe! Gibt's hier eigentlich keinen zumindest symbolischen Donor-Button?

Viele Grüße

Sorry, nach sechs Stunden ist das Problem wieder aufgetreten.

Ich habe die (eine immer wiederkehrende) Seite notiert: h**p://67.201.36.16/nolink.html. Googled man die Adresse, finden sich zahlreiche Forenbeiträge aus den letzten fünf Tagen, die das gleiche Problem beschreiben. Eine Lösung ist bislang nicht zu entdecken. Ich vermute, dass torrent Schuld ist (zumindest eine Ähnlichkeit unter einigen Betroffenen), habe das Programm ohnehin fast nie benutzt und werde es jetzt für ewig verbannen.

Außerdem werde ich mich gleich hinsetzen und den PC komplett neue formatieren. Hoffe nur, dass sich mögliche Viren durch das Backup der Arbeitsdateien nicht auf das neu aufgespielte System einschleusen.

Also, wohl neuer Virus im Umlauf, Hilfe ....

Ich sagte nicht, dass dich das Skript heilen würde.

Bei dir läuft ein sehr neues ziemlich fieses Rootkit.

Bitte führe nicht selbstständig irgendwelche Scans durch sondern poste einfach jedes mal nachdem du ein Skript ausgeführt hast wieder zwei frische AVZ-logs sowie eine Beschreibung der momentanen Symptome.
Um das Rootkit zu bereinigen sind mehrere Durchläufe nötig.

Danke, werde mich dran halten. Ich habe zwei frische AVG-Logs erstellt:

Check: h**p://rapidshare.com/files/302452867/check_20091104.zip.html
Cure: h**p://rapidshare.com/files/302453988/cure_20091104.zip.html

Zu den Symptomen, die mir inzwischen auffallen:

Nach der Anmeldung von Windows ist die Ladezeit ungewöhnlich lang. Beim ersten Versuch wird meist die Verzeichnisstruktur im Windows Explorer nicht angezeigt oder gefunden, beim erneuten Start vom Explorer klappt es dann.

Weiterhin gibt es wie gesagt die unregelmäßigen PopUps (bzw. normale separate Fenster, also keine Tabs) im Firefox.

Viele Grüße

Gut.

Du kannst die .zip Dateien mitlerweile übrigens auch einfach an deinen Post anhängen. Das macht die Sache für uns beide einfacher. ;)

Edit: Grummel grmf. Kannst du sie bitte anhängen. Rapidshare hat keine DownloadPlätze mehr frei :rolleyes:

PS: Warum haben die nicht den regulären Namen?