HijackThis HILFE!!!

Dieses Thema im Forum "Sicherheit" wurde erstellt von magic_halli, 28. Juni 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. magic_halli

    magic_halli Byte

    Registriert seit:
    26. Juni 2004
    Beiträge:
    24
    Hi,

    ich hatte gestern schonmal gepostet, wegen einem Hijacker-Problem. Ich habe wahrscheinlich jetzt einen anderen Hijacker auf meinem Rechner.
    Ich habe immer eine URL als Startpage im IE.
    Wenn ich mit HijackThis scanne, dann erscheinen bei R0 und R1 immer wieder dieselben Einträge, obwohl ich diese vorher gefixt bzw. entfernt habe.
    Hier mal mein LogFile dazu:

    Logfile of HijackThis v1.97.7
    Scan saved at 23:38:53, on 27.06.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Sygate\SPF\smc.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\Programme\Microsoft IntelliPoint\point32.exe
    C:\WINDOWS\System32\taskswitch.exe
    C:\PROGRA~1\MOTHER~1\MBM5.EXE
    C:\Programme\Kaspersky Anti-Virus Personal Pro\avpcc.exe
    C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
    C:\WINDOWS\System32\rundll32.exe
    C:\Programme\TuneUp Utilities\MemOptimizer.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
    C:\Programme\Kaspersky Anti-Virus Personal Pro\avpcc.exe
    C:\WINDOWS\System32\inetsrv\inetinfo.exe
    C:\Programme\Kaspersky Anti-Virus Personal Pro\avpm.exe
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
    C:\PROGRA~1\MI6841~1\MSSQL$~2\binn\sqlservr.exe
    C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\Fast.exe
    C:\PROGRA~1\MI6841~1\MSSQL$~2\binn\sqlagent.exe
    C:\Programme\T-DSL SpeedManager\tsmsvc.exe
    C:\Programme\Windows Media Player\wmplayer.exe
    C:\Programme\Windows Media Player\wmplayer.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\Programme\Internet Explorer\iexplore.exe
    D:\Download\AntiSpyProgramme\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://195.225.176.14/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://195.225.176.14/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://195.225.176.14/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://195.225.176.14/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://195.225.176.14/ie
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://195.225.176.14/ie
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://195.225.176.14/
    F0 - system.ini: Shell=Explorer.exe monitor.exe
    F2 - REG:system.ini: Shell=Explorer.exe monitor.exe
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
    O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe
    O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
    O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
    O4 - HKLM\..\Run: [MBM 5] C:\PROGRA~1\MOTHER~1\MBM5.EXE
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Programme\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
    O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
    O4 - HKCU\..\Run: [TuneUp MemOptimizer] C:\Programme\TuneUp Utilities\MemOptimizer.exe autostart
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [SpyKiller] C:\Programme\SpyKiller\spykiller.exe /startup
    O4 - HKCU\..\Run: [monitor] Explorer.exe monitor.exe
    O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
    O4 - Startup: PowerReg Scheduler.exe
    O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
    O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
    O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
    O9 - Extra button: ICQ Lite (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
    O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
    O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU)
    O13 - DefaultPrefix: http://195.225.176.14/pre.pl?
    O13 - WWW Prefix: http://195.225.176.14/pre.pl?
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
    O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...pple.com/abarth/de/win/QuickTimeInstaller.exe
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
    O16 - DPF: {94C53FB6-01B7-4BA7-848B-E43D11B84F5F} (WEB.DE IE Drop-Upload) - http://fotoservice.web.de/static/download/WDU_1251.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37922.4967824074
    O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{5243B29A-68F8-47D2-A509-5D59575D548F}: NameServer = 194.97.173.125 62.104.64.3

    Habe eigentlich immer die R0, R1 und R13 gefixt, aber trotzdem erhalte ich immer wieder die gleiche URL als Startpage.

    Mit Spybot habe ich auch gescannt und die Probleme behoben, aber auch dort erscheint immer ein Eintrag "Common Hijacker" welcher auf HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes\www!=http:// verweist. Dort steht bei www der Wert http://195.225.176.14/pre.pl?
    Außerdem verweist es mich noch auf den Eintrag HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefixes\!=http://. Dort steht bei Standard der Wert http://195.225.176.14/pre.pl?

    Mit dem Programm SPhjFix sagt es mir: "nicht infiziert"!

    Was kann ich tun - hat jemand eine Lösung für das Problem???

    Danke, Rico.
     
  2. radja

    radja Byte

    Registriert seit:
    9. Juli 2003
    Beiträge:
    44
    Hallo magic_halli,

    wie Du es ja scon einmal gemacht hattest solltest Du die R0 und R1 Einträge fixen.

    Darüber hinaus folgende: O13 und F0 und F2

    Dieses machst Du bitte im abgesicherten Modus (http://www.bsi.de/av/texte/winsave.htm#WindowsXP)

    und mit deaktivierter Systemwiederherstellung (http://www.bsi.de/av/texte/wiederher_xp.htm)!

    Diese SOUNDMAN.EXE scheint ein Wurm zu sein und zwar ein Win32 - Wurm
    (W32/Agobot-JS bzw. W32/Agobot-KH bzw. Backdoor.Agobot.KH) Backdoor.Agobot.KH beendet bzw. deaktiviert Antivirenprogramme.

    schau mal in der Registry nach folgenden Einträgen müssten in HKEY_LOCAL_MACHINE stehen:

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
    soundman = soundman.exe

    HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
    soundman = soundman.exe

    Wenn das so sein sollte, solltest Du diese beiden Einträge aus Deiner Reg löschen. (sicherheitshalber vorher Sicherung der Reg als Backup erstellen) und diese Datei in einen Quarantäne Ordner verschieben (bei beendeten Prozess)

    Zum Ende wieder HJT Log erstellen und hier posten!

    In jedem Fall solltest Du auf einen anderen Browser zurückgreifen (Mozilla oä)

    viel Erfolg

    Radja

     
  3. magic_halli

    magic_halli Byte

    Registriert seit:
    26. Juni 2004
    Beiträge:
    24
    Ok, den Soundman.exe Eintrage habe ich aus der Registry gelöscht und die Einträge aus HijackThis gefixt.
    Hier ist das neue LogFile dazu:

    Logfile of HijackThis v1.97.7
    Scan saved at 12:13:45, on 28.06.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\Explorer.exe
    C:\WINDOWS\monitor.exe
    D:\Download\AntiSpyProgramme\HijackThis.exe

    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
    O4 - HKLM\..\Run: [BackgroundSwitcher] C:\WINDOWS\System32\bgswitch.exe
    O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
    O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
    O4 - HKLM\..\Run: [MBM 5] C:\PROGRA~1\MOTHER~1\MBM5.EXE
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [OfficeGuard RegChecker] "C:\Programme\Kaspersky Anti-Virus Personal Pro\ogrc.exe"
    O4 - HKLM\..\Run: [AVPCC] "C:\Programme\Kaspersky Anti-Virus Personal Pro\avpcc.exe" /wait
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
    O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
    O4 - HKCU\..\Run: [TuneUp MemOptimizer] C:\Programme\TuneUp Utilities\MemOptimizer.exe autostart
    O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
    O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [SpyKiller] C:\Programme\SpyKiller\spykiller.exe /startup
    O4 - HKCU\..\Run: [monitor] Explorer.exe monitor.exe
    O4 - Startup: PowerReg Scheduler.exe
    O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
    O9 - Extra button: Microsoft® JavaScript® Console (HKLM)
    O9 - Extra 'Tools' menuitem: JavaScript Console (HKLM)
    O9 - Extra button: ICQ Lite (HKLM)
    O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
    O9 - Extra button: Related (HKLM)
    O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
    O9 - Extra button: Messenger (HKLM)
    O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
    O9 - Extra button: Microsoft® JavaScript® Console (HKCU)
    O9 - Extra 'Tools' menuitem: JavaScript Console (HKCU)
    O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28578.cab
    O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
    O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB
    O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...pple.com/abarth/de/win/QuickTimeInstaller.exe
    O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28578.cab
    O16 - DPF: {94C53FB6-01B7-4BA7-848B-E43D11B84F5F} (WEB.DE IE Drop-Upload) - http://fotoservice.web.de/static/download/WDU_1251.cab
    O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37922.4967824074
    O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

    Allerdings habe ich immernoch eine andere Startpage im IE.
    In der Registry steht aber noch immer unter
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes bei www der Wert http://195.225.176.14/pre.pl?
    und unter HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\URL\DefaultPrefixes unter Standard der Wert http://195.225.176.14/pre.pl?

    Was soll ich tun?
     
  4. Gast

    Gast Guest

    Hattest du den IE während des Fixens laufen ? Dann mache es nochmal mit ausgeschaltetem IE.
     
  5. magic_halli

    magic_halli Byte

    Registriert seit:
    26. Juni 2004
    Beiträge:
    24
    Nein, hatte im abgesicherten Modus nichts laufen, außer HijackThis...

    Was würde passieren, wenn ich aus der Registry einfach die Werte bei ...URL\Prefixes und ...URL\DaefaultPrefixes rauslösche, also so, das dann nur noch http:// drinsteht???
     
  6. radja

    radja Byte

    Registriert seit:
    9. Juli 2003
    Beiträge:
    44
    hmm...

    hattest du denn die url in den Internetoptionen geändert??
     
  7. magic_halli

    magic_halli Byte

    Registriert seit:
    26. Juni 2004
    Beiträge:
    24
    Ja, die hab ich geändert, aber das ist ja nun so ein scheiss Haijacker-Virus und ich bekomm die Sau einfach nicht raus. Wenn ich´s in den Internetoptionen ändere, dann ist bei einem neuen IE-Fenster immer wieder diese URL drin...
     
  8. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ magic_halli

    Die Einträge kannst du so oft fixen wie du willst, sie werden immer wieder erstellt, wenn du nicht die verantwortlich exe Datei löscht.

    Lade dir hier die mwav.exe runter und entpacke diese in den Ordner C:\bases, danach die kavupd.exe (Online-Update) ausführen.


    Diesen Prozess im TaskManager beenden:
    C:\WINDOWS\monitor.exe

    Diese Einträge fixen:
    O4 - HKCU\..\Run: [monitor] Explorer.exe monitor.exe

    Anmelden im abgesicherten Modus:

    - Systemwiederherstellung deaktivieren
    - Temporäre Internet Files löschen
    - mit mwav.exe scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.)
    - Neustart
    - neues Log-File posten

     
  9. radja

    radja Byte

    Registriert seit:
    9. Juli 2003
    Beiträge:
    44
    hi cidre,

    wo hast du denn was über die monitor.exe gefunden?? bzw. weisst du was das ist?? Ich dachte das sei ein normale prozess
     
  10. Cidre

    Cidre Halbes Megabyte

    Registriert seit:
    18. Februar 2004
    Beiträge:
    938
    @ radja

    Die Einträge stehen im Zusammenhang mit einem neuen Browser HiJacker.

    F0 - system.ini: Shell=Explorer.exe monitor.exe
    F2 - REG:system.ini: Shell=Explorer.exe monitor.exe
    O4 - HKCU\..\Run: [monitor] Explorer.exe monitor.exe
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://195.225.176.14/
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://195.225.176.14/

    Diese IP-Adressen (195.225.176.14) führen alle zu einen Ukrainischen Server, wie Wofgang77 hier schrieb.
    http://www.chip.de/forum/thread.html?bwthreadid=657511

    Weitere Infos:
    http://www.xonio.com/forum/thread.html?bwthreadid=658140
    http://www.google.de/search?hl=de&i...ell=Explorer.exe+monitor.exe&btnG=Suche&meta=
     
  11. radja

    radja Byte

    Registriert seit:
    9. Juli 2003
    Beiträge:
    44
    ohh ic thx

    wieder einen kennengelernt
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen