WORM_PROLACO.KA
Windows 2000, XP, Server 2003
Malware-Typ:
Worm
Zerstrerisch?:
Nein
Verschlsselt?:
Nein
In the wild::
Ja
Überblick
Wird möglicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen. Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.
Schleust Kopien von sich selbst in alle Wechsellaufwerke ein. Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift. Sammelt Empfänger-E-Mail-Adressen aus dem Windows Adressbuch (WAB).
Verbirgt Dateien, Prozesse und/oder Registrierungseinträge.
Ändert die HOSTS-Datei des betroffenen Systems. Dadurch können Benutzer nicht mehr auf bestimmte Websites zugreifen.
Öffnet eine verborgene Instanz von Internet Explorer, um die entwendeten Daten an eine bestimmte Website zu senden.
Technische Details
Übertragungsdetails
Wird möglicherweise von anderer Malware/Grayware/Spyware von externen Sites heruntergeladen.
Wird möglicherweise unwissentlich von einem Benutzer beim Besuch bösartiger Websites heruntergeladen.
Installation
Schleust die folgenden Eigenkopien in das betroffene System ein und führt sie aus:
- %System%\javan.exe
- %System%\javawss.exe
- %User Temp%\javans.exe
- {path of Apache Application}\ms09-067.exe
- {path of Internet information Services}\ms09-067.exe
(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.. %User Temp% ist der Ordner 'Temp' des aktuellen Benutzers, normalerweise C:\Dokumente und Einstellungen\{Benutzername}\Lokale Einstellungen\Temp unter Windows 2000, XP und Server 2003.)
Fügt die folgenden Mutexe hinzu, damit nur jeweils eine ihrer Kopien ausgeführt wird:
- javan.exeDm28sf0V@XK$NX8hOu
Autostart-Technik
Erstellt folgende Registrierungseinträge, um die eingeschleuste Komponente bei jedem Systemstart automatisch auszuführen:
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Policies\
Explorer\Run
Cisco Systems VPN client = "%System%\javawss.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
Cisco Systems VPN client = "%System%\javawss.exe"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run
SunJavaUpdaterv14 = "%System%\javan.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Active Setup\Installed Components\ {7F2G3GXM-HP26-D7E5-F3LM-82EG3114PI2D}
StubPath = "%System%\javawss.exe"
Andere Systemänderungen
Fügt die folgenden Registrierungseinträge als Teil der Installationsroutine hinzu:
HKEY_CURRENT_USER\Software\Microsoft\
japplet3
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
japplet3
Ändert die folgenden Registrierungsschlüssel/-einträge während der eigenen Installation:
HKEY_LOCAL_MACHINE\Software\Microsoft\
WindowsNT\CurrentVersion\SystemRestore
DisableSR = "1"
(Note: The default value data of the said registry entry is "0".)
Erstellt auch die folgenden Registrierungseinträge während der eigenen Installation:
HKEY_CURRENT_USER\Software\Microsoft\
Windows NT\CurrentVersion
(Default) = "{random characters}"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
juseful5 = "{month of execution}"
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Explorer
juseful6 = "{day of execution}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Security Center
UACDisableNotify = "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\policies\
system
EnableLUA = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\
List
%System%\javan.exe = "%System%\javan.exe:*:Enabled:Explorer"
Verbreitung
Erstellt die folgenden Ordner in allen Wechsellaufwerken:
- {drive letter}:\RECYCLER
- {drive letter}:\RECYCLER\{SID}
Schleust Eigenkopien in die folgenden, von Peer-to-Peer-Netzwerken verwendeten Ordner ein:
- %Program Files%\bearshare\shared
- %Program Files%\edonkey2000\incoming
- %Program Files%\emule\incoming\
- %Program Files%\grokster\my grokster
- %Program Files%\grokster\my grokster\
- %Program Files%\icq\shared folder\
- %Program Files%\kazaa lite k++\my shared folder
- %Program Files%\kazaa lite\my shared folder
- %Program Files%\kazaa\my shared folder
- %Program Files%\limewire\shared\
- %Program Files%\morpheus\my shared folder\
- %Program Files%\tesla\files\
- %Program Files%\winmx\shared\
- %System Root%\Downloads\
- %User Profile%\My Documents\Frostwire\shared
(Hinweis: %Program Files%ist der Standardordner 'Programme', normalerweise C:\Programme.. %System Root% ist der Stammordner, normalerweise C:\. Dort befindet sich auch das Betriebssystem.. %User Profile% ist der Ordner für Benutzerprofile des aktuellen Benutzers, normalerweise C:\Windows\Profile\{Benutzername} unter Windows 98 und ME, C:\WINNT\Profile\{Benutzername} unter Windows NT und C:\Dokumente und Einstellungen\{Benutzername} unter Windows 2000, XP und Server 2003.)
Schleust folgende Kopie(n) von sich selbst in alle Wechsellaufwerke ein:
- {drive letter}:\RECYCLER\{SID}\redmond.exe
Schleust Kopien von sich selbst in alle Wechsellaufwerke ein.
Legt eine AUTORUN.INF-Datei ab, um automatisch die eingeschleusten Kopien auszuführen, wenn ein Benutzer auf die Laufwerke eines betroffenen Systems zugreift.
Die besagte .INF-Datei enthält die folgenden Zeichenfolgen:
[autorun]
open=RECYCLER\{SID}\redmond.exe
icon=%System%\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\{SID}\redmond.exe
shell\open\default=1
(Hinweis: %System% ist der Windows Systemordner. Er lautet in der Regel C:\Windows\System unter Windows 98 und ME, C:\WINNT\System32 unter Windows NT und 2000 sowie C:\Windows\System32 unter Windows XP und Server 2003.)
Sammelt Empfänger-E-Mail-Adressen aus dem Windows Adressbuch (WAB).
Rootkit-Funktionen
Verbirgt Dateien, Prozesse und/oder Registrierungseinträge.
Prozessbeendigung
Beendet Prozesse oder Dienste, die einen oder mehrere dieser Zeichenfolgen enthalten, wenn sie im Speicher des betroffenen Systems ausgeführt werden:
- AntiVirScheduler
- antivirservice
- APVXDWIN
- Arrakis3
- aswupdsv
- avast
- avast! Antivirus
- avast! Mail Scanner
- avast! Web Scanner
- AVG8_TRA
- avg8emc
- avg8wd
- AVP
- BDAgent
- bdss
- CaCCProvSP
- CAVRID
- ccproxy
- ccpwdsv
- ccsetmg
- cctray
- DrWebSch
- eduler
- egui
- Ehttpsrvekrn
- Emproxy
- ERSvc
- F-PROT Antivirus Tray application
- FPAVServ
- GWMSRV
- ISTray
- K7EmlPxy
- K7RTScan
- K7SystemTray
- K7TSMngr
- K7TSStar
- LIVESRV
- liveupdate
- LiveUpdate Notice Service
- McAfee HackerWatch Service
- McENUI
- mcmisupdmgr
- mcmscsvc
- MCNASVC
- mcODS
- mcpromgr
- mcproxy
- mcredirector
- mcshield
- mcsysmon
- MPFSERVICE
- MPS9
- msk80service
- MskAgentexe
- navapsvc
- npfmntor
- nscservice
- OfficeScanNT Monitor SpamBlocker
- PANDA SOFTWARE CONTROLLER
- PAVFNSVR
- PAVPRSRV
- PAVSVR
- PSHOST
- PSIMSVC
- PSKSVCRE
- RavTask
- RSCCenter
- RSRavMon
- Savadmin
- SAVScan
- Savservice
- sbamsvc
- SBAMTra
- sbamui
- scan
- SCANINICIO
- sdauxservice
- sdcodeservice
- Service
- service
- sndsrvc
- Sophos Autoupdate Service
- Spam Blocker for Outlook Express
- spbbcsvc
- SpIDerMail
- Symantec Core LCccEvtMgr
- TAIL
- ThreatFire
- TPSRV
- VSSERV
- WerSvc
- WinDefend
- Windows Defender
- wscsvc
- XCOMM
Einschleusungsroutine
Schleust die folgenden Dateien ein, die zur Erfassung von Tastatureingaben verwendet werden:
- %Windows%\mswinsck.dat
(Hinweis: %Windows% ist der Windows Ordner, normalerweise C:\Windows oder C:\WINNT.)
Setzt die Attribute der eingeschleusten Dateien wie folgt:
- Hidden
- Read-Only
- System
Änderung der HOSTS-Datei
Ändert die HOSTS-Datei des betroffenen Systems, damit Benutzer nicht mehr auf die folgenden Websites zugreifen können:
- aladdin.com
- authentium.com
- avast.com
- avg.com
- avp.com
- bitdefender.com
- ca.com
- customer.symantec.com
- dispatch.mcafee.com
- download.mcafee.com
- eset.com
- ewido.com
- f-secure.com
- free-av.com
- global.ahnlab.com
- grisoft.com
- hispasec.com
- ikarus-software.at
- kaspersky-labs.com
- kaspersky.com
- liveupdate.symantec.com
- liveupdate.symantecliveupdate.com
- mast.mcafee.com
- mcafee.com
- my-etrust.com
- nai.com
- networkassociates.com
- pandasecurity.com
- quickheal.com
- securityresponse.symantec.com
- sophos.com
- symantec.com
- trendmicro.com
- us.mcafee.com
- virus-buster.com
- viruslist.com
- virustotal.com
Datendiebstahl
Öffnet eine verborgene Instanz von Internet Explorer, um die entwendeten Daten an die folgende Website zu senden:
- http://{BLOCKED}kombat.{BLOCKED}ost.org
Andere Details
Ausgehend von der Analyse des Codes verfügt die Malware über die folgenden Fähigkeiten:
- May arrive via peer-to-peer network shares.
- Checks for the location of the Windows Address Book by querying the following registry key to gather email addresses:
HKEY_CURRENT_USER\Software\Microsoft\wab\wab4\
{WAB file name} - Searches for email addresses by checking the contents of files having the following extension names which may contain email addresses:
- .txt
- .htm
- .xml
- .php
- .asp
- .dbx
- .log
- .nfo
- .lst
- .wpd
- .wps
- .xls
- .doc
- .wab
- .rtf
- The IP address is used to check for other system information, including the user's current domain name.
- Checks if the system has the Mozilla Thunderbird installed in the affected system.
- Checks for the SMTP server used by this application and use it to send email messages containing a copy of itself to harvested email addresses.
- Checks the following registry entry to check for SMTP server used in the affected system:
- If no SMTP servers was found from the above mentioned routines, it tries to guess the SMTP Simple Mail Transfer Protocol (SMTP) server of the affected system, using the gathered domain name and the following prefixes:
- gate.
- mail.
- mail1.
- mx.
- mx1.
- mxs.
- ns.
- relay.
- smtp.
- It then creates threads that are used to create its own SMTP engine.
- The said engine uses the SMTP servers gathered from the machine and sends the email messages containing a copy of itself to email addresses gathered from the above mentioned routine. The said messages have the following appearance:
- This worm avoids sending email messages to addresses containing the following string(s):
- .gov
- .mil
- acd-group
- acdnet.com
- acdsystems.com
- acketst
- admin
- ahnlab
- alcatel-lucent.com
- anyone
- apache
- arin.
- avg.com
- avira
- badware
- berkeley
- bitdefender
- bluewin.ch
- borlan
- bpsoft.com
- bsd
- bugs
- buyrar.com
- ca
- certific
- cisco
- clamav
- contact
- debian
- drweb
- eset.com
- example
- f-secure
- fido
- firefox
- fsf.
- ghisler.com
- gimp
- gnu
- gold-certs
- gov.
- help
- honeynet
- honeypot
- iana
- ibm.com
- idefense
- ietf
- ikarus
- immunityinc.com
- info
- inpris
- isc.o
- isi.e
- jgsoft
- kaspersky
- kernel
- lavasoft
- linux
- listserv
- mcafee
- me
- messagelabs
- microsoft
- mit.e
- mozilla
- mydomai
- no
- nobody
- nodomai
- noone
- not
- nothing
- novirusthanks
- ntivi
- nullsoft.org
- page
- panda
- pgp
- postmaster
- prevx
- privacy
- qualys
- quebecor.com
- rating
- redhat
- rfc-ed
- root
- ruslis
- sales
- samba
- samples
- secur
- security
- sendmail
- service
- site
- slashdot
- soft
- somebody
- someone
- sopho
- sourceforge
- spam
- ssh.com
- submit
- sun.com
- support
- suse
- syman
- sysinternals
- tanford.e
- the.bat
- unix
- usenet
- utgers.ed
- virus
- virusbuster
- webmaster
- websense
- winamp
- winpcap
- wireshark
- www.ca.com
- you
- your
- It uses the following file name(s) for its dropped copies:
- Absolute Video Converter 6.2.exe
- Ad-aware 2010.exe
- Adobe Acrobat Reader keygen.exe
- Adobe Illustrator CS4 crack.exe
- Adobe Photoshop CS4 crack.exe
- Alcohol 120 v1.9.7.exe
- Anti-Porn v13.5.12.29.exe
- AnyDVD HD v.6.3.1.8 Beta incl crack.exe
- Ashampoo Snap 3.02.exe
- Avast 4.8 Professional.exe
- BitDefender AntiVirus 2010 Keygen.exe
- Blaze DVD Player Pro v6.52.exe
- CleanMyPC Registry Cleaner v6.02.exe
- Daemon Tools Pro 4.11.exe
- Divx Pro 7 + keymaker.exe
- Download Accelerator Plus v9.exe
- Download Boost 2.0.exe
- DVD Tools Nero 10.5.6.0.exe
- G-Force Platinum v3.7.5.exe
- Google SketchUp 7.1 Pro.exe
- Grand Theft Auto IV (Offline Activation).exe
- Image Size Reducer Pro v1.0.1.exe
- Internet Download Manager V5.exe
- K-Lite Mega Codec v5.5.1.exe
- K-Lite Mega Codec v5.6.1 Portable.exe
- Kaspersky AntiVirus 2010 crack.exe
- LimeWire Pro v4.18.3.exe
- Magic Video Converter 8 0 2 18.exe
- McAfee Total Protection 2010.exe
- Microsoft.Windows 7 ULTIMATE FINAL activator+keygen x86.exe
- Motorola, nokia, ericsson mobil phone tools.exe
- Mp3 Splitter and Joiner Pro v3.48.exe
- Myspace theme collection.exe
- Nero 9 9.2.6.0 keygen.exe
- Norton Anti-Virus 2010 Enterprise Crack.exe
- Norton Internet Security 2010 crack.exe
- PDF password remover (works with all acrobat reader).exe
- PDF to Word Converter 3.0.exe
- PDF Unlocker v2.0.3.exe
- PDF-XChange Pro.exe
- Power ISO v4.2 + keygen axxo.exe
- Rapidshare Auto Downloader 3.8.exe
- RapidShare Killer AIO 2010.exe
- Sophos antivirus updater bypass.exe
- Starcraft2.exe
- Super Utilities Pro 2009 11.0.exe
- Total Commander7 license+keygen.exe
- Trojan Killer v2.9.4173.exe
- Tuneup Ultilities 2010.exe
- Twitter FriendAdder 2.1.1.exe
- VmWare 7.0 keygen.exe
- VmWare keygen.exe
- Winamp.Pro.v7.33.PowerPack.Portable+installer.exe
- Windows 2008 Enterprise Server VMWare Virtual Machine.exe
- Windows 7 Ultimate keygen.exe
- WinRAR v3.x keygen RaZoR.exe
- It queries the following registry entry to get the directory of Internet Information Services and Apache Application:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InetStp\
PathWWWRootHKEY_LOCAL_MACHINE\SOFTWARE\Apache Software Foundation\Apache\{application}
ServerRoot = " " - It then drops a copy of itself in the directories as ms09-067.exe. It also drops the file index.htm in the said directories to display the following page upon accessing the servers:
- It deletes the autorun registry values related to AV software from the following key:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunThe following are the registry values it deletes:
- AVG8_TRAY
- AVP
- BDAgent
- CAVRID
- DrWebScheduler
- K7SystemTray
- K7TSStart
- OfficeScanNT Monitor
- SBAMTray
- SpIDerMail
- Spam Blocker for Outlook Express
- SpamBlocker
- avast!
- cctray
- egui
- sbamui
- It also deletes files associated with the following registry entry:
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\AVEngine
szInstallDir = "{path}\mcshield.exe"
Lösungen
Step 1
Für Windows ME und XP Benutzer: Stellen Sie vor einer Suche sicher, dass die Systemwiederherstellung deaktiviert ist, damit der gesamte Computer durchsucht werden kann.
Step 2
Im abgesicherten Modus neu starten
Step 3
Diesen Registrierungswert löschen
Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.
- In HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion
- (Default) = {random characters}
- (Default) = {random characters}
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
- juseful5 = {month of execution}
- juseful5 = {month of execution}
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
- juseful6 = {day of execution}
- juseful6 = {day of execution}
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
- Cisco Systems VPN client = %System%\javawss.exe
- Cisco Systems VPN client = %System%\javawss.exe
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- Cisco Systems VPN client = %System%\javawss.exe
- Cisco Systems VPN client = %System%\javawss.exe
- In HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- SunJavaUpdaterv14 = %System%\javan.exe
- SunJavaUpdaterv14 = %System%\javan.exe
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
- UACDisableNotify = 1
- UACDisableNotify = 1
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
- EnableLUA = 0
- EnableLUA = 0
- In HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- %System%\javan.exe = %System%\javan.exe:*:Enabled:Explorer
- %System%\javan.exe = %System%\javan.exe:*:Enabled:Explorer
Step 4
Diesen Registrierungsschlüssel löschen
Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.
- In HKEY_CURRENT_USER\Software\Microsoft
- japplet3
- japplet3
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft
- japplet3
- japplet3
- In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components
- {7F2G3GXM-HP26-D7E5-F3LM-82EG3114PI2D}
- {7F2G3GXM-HP26-D7E5-F3LM-82EG3114PI2D}
Step 5
Diesen Ordner suchen und löschen
- {drive letter}:\RECYCLER
Step 6
Diesen geänderten Registrierungswert wiederherstellen
Wichtig: Eine nicht ordnungsgemäße Bearbeitung der Windows Registrierung kann zu einer dauerhaften Fehlfunktion des Systems führen. Führen Sie diesen Schritt nur durch, wenn Sie mit der Vorgehensweise vertraut sind oder wenn Sie Ihren Systemadministrator um Unterstützung bitten können. Lesen Sie ansonsten zuerst diesen Microsoft Artikel, bevor Sie die Registrierung Ihres Computers ändern.
- In HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\SystemRestore
- From: DisableSR = 1
To: DisableSR = 0
- From: DisableSR = 1
Step 7
Diese Zeichenfolgen entfernen, die die Malware/Grayware/Spyware zur HOSTS-Datei hinzugefügt hat
- aladdin.com
- authentium.com
- avast.com
- avg.com
- avp.com
- bitdefender.com
- ca.com
- customer.symantec.com
- dispatch.mcafee.com
- download.mcafee.com
- eset.com
- ewido.com
- f-secure.com
- free-av.com
- global.ahnlab.com
- grisoft.com
- hispasec.com
- ikarus-software.at
- kaspersky-labs.com
- kaspersky.com
- liveupdate.symantec.com
- liveupdate.symantecliveupdate.com
- mast.mcafee.com
- mcafee.com
- my-etrust.com
- nai.com
- networkassociates.com
- pandasecurity.com
- quickheal.com
- securityresponse.symantec.com
- sophos.com
- symantec.com
- trendmicro.com
- us.mcafee.com
- virus-buster.com
- viruslist.com
- virustotal.com
Step 8
Diese Dateien suchen und löschen
- %Windows%\mswinsck.dat
- {path of Apache}\htdocs\index.htm
- {path of Internet Information Services}\index.htm
Step 9
AUTORUN.INF Dateien suchen und löschen, die von WORM_PROLACO.KA erstellt wurden und diese Zeichenfolgen enthalten
open=RECYCLER\{SID}\redmond.exe
icon=ϿstemϿHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\{SID}\redmond.exe
shell\open\default=1
Step 10
Führen Sie den Neustart im normalen Modus durch, und durchsuchen Sie Ihren Computer mit Ihrem Trend Micro Produkt nach Dateien, die als WORM_PROLACO.KA entdeckt werden. Falls die entdeckten Dateien bereits von Ihrem Trend Micro Produkt gesäubert, gelöscht oder in Quarantäne verschoben wurden, sind keine weiteren Schritte erforderlich. Dateien in Quarantäne können einfach gelöscht werden. Auf dieser Knowledge-Base-Seite finden Sie weitere Informationen.
Step 11
Diese Datei über eine Sicherungskopie wiederherstellen Nur Microsoft basierte Dateien werden wiederhergestellt. Falls diese Malware/Grayware/Spyware auch Dateien aus Programmen gelöscht hat, die nicht von Microsoft stammen, installieren Sie diese Programme auf Ihrem Computer bitte neu.
- {path}\mcshield.exe
Nehmen Sie an unserer Umfrage teil