Da ich mich mit diesem netten Virus seit gestern beschäftige möchte kann ich euch nur diese Seite empfehlen um ihn wieder los zu bekommen:
http://securityresponse1.symantec.com/sarc/sarc-intl.nsf/html/de-w32.novarg.a@mm.htmlBitte alle Schritte so machen wie es da steht dann dürfte das Problem von diesem Virus behoben sein.
©1995-2004 Symantec Corporation.
All rights reserved.
Legal Notices
Datenschutz
W32.Novarg.A@mm
Entdeckt am: 26.01.2004
Zuletzt aktualisiert am: 29.01.2004
W32.Novarg.A@mm ist ein Massen-Mail-Wurm, der als Anhang einer E-Mail mit der Dateierweiterung .bat, .cmd, .exe, .pif, .scr oder .zip kommt.
Wenn ein Computer infiziert wird, richtet der Wurm eine Hintertür ("Backdoor") im System ein, indem er die TCP-Ports 3127 bis 3198 öffnet. Dadurch könnte ein Angreifer eine Verbindung zum Computer herstellen und ihn als Proxy verwenden, um Zugriff auf dessen Netzwerkressourcen zu erhalten.
Außerdem können über die Hintertür beliebige Dateien heruntergeladen und ausgeführt werden.
Der Wurm wird ab dem 1. Februar 2004 einen Denial-of-Service (Dos)-Angriff durchführen. Der Wurm ist so programmiert, dass er am 12. Februar 2004 aufhört, sich zu verbreiten. Diese beiden Ereignisse treten nur dann ein, wenn der Wurm zwischen diesen beiden Daten oder danach ausgeführt wird. Der Wurm wird sich ab dem 12. Februar 2004 zwar nicht mehr weiter verbreiten, jedoch bleibt die Hintertür auch noch nach diesem Datum bestehen.
--------------------------------------------------------------------------------
Hinweise:
Privatanwenderprodukte von Symantec, die Wurmblockierungsfunktionen unterstützen, entdecken diese Bedrohung automatisch beim Versuch, den Computer zu infizieren.
Symantec Security Response hat ein Entfernungsprogramm entwickelt, mit dem Infektionen von W32.Novarg.A@mm entfernt werden können.
--------------------------------------------------------------------------------
Auch bekannt als: W32/Mydoom@MM [McAfee], WORM_MIMAIL.R [Trend], Win32.Mydoom.A [Computer Associates], W32/Mydoom-A [Sophos], I-Worm.Novarg [Kaspersky]
Typ: Wurm
Infektionslänge: 22.528 Byte. Die Größe der Wurmdatei variiert, wenn es sich um eine .zip-Datei handelt.
Betroffene Systeme: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP
Nicht betroffene Systeme: DOS, Linux, Macintosh, OS/2, UNIX, Windows 3.x
Virusdefinitionen (Intelligent Updater) *
26.01.2004
Virusdefinitionen (LiveUpdate™) **
26.01.2004
*
Die Virusdefinitionen über den Intelligent Updater werden täglich veröffentlicht.
Sie müssen aber manuell heruntergeladen und installiert werden. Klicken Sie hier um den Ladevorgang zu starten.
**
Virusdefinitionen über LiveUpdate werden in der Regel jeden Freitag veröffentlicht.
Klicken Sie hier für weitere Hinweise zum Gebrauch von LiveUpdate.
Im Umlauf:
Anzahl der Infektionen: Mehr als 1000
Anzahl der Sites: Mehr als 10
Geografische Verbreitung: Mittel
Bekämpfungschance: Einfach
Entfernung: Mittel
Bedrohungsdaten
Im Umlauf:
Hoch
Schaden:
Mittel
Verteilung:
Hoch
Schaden
Auslöser des destruktiven Auftrages: N/A
Funktion: N/A
E-Mail-Versand in großem Maßstab: Sendet sich an E-mail-Adressen, die er in bestimmten Dateien findet.
Löschen von Dateien: N/A
Ändern von Dateien: N/A
Herabsetzen der Systemleistung: Führt einen DoS-Angriff auf
www.sco.com durch.
Verursachen von Systeminstabilität: N/A
Verbreitung vertraulicher Informationen: N/A
Veränderung von Sicherheitseinstellungen: Ermöglicht nicht autorisierten Remote-Zugriff.
Verteilung
Titel der E-Mail (Betreff-Zeile): Variiert
Name des Anhangs: Variiert, mit der Erweiterung .pif, .scr, .exe, .cmd, .bat oder .zip.
Größe des Anhangs: 22.258 Byte
Datum des Anhangs: N/A
Anschlüsse: TCP 3127-3198
Gemeinsame Laufwerke: N/A
Ziel der Infektion: N/A
Bei Ausführung geht W32.Novarg.A@mm folgendermaßen vor:
Er erstellt die folgenden Dateien:
%System%\Shimgapi.dll. Die Datei Shimgapi.dll funktioniert wie ein Proxy-Server und öffnet die TCP-Ports im Bereich von 3127 bis 3198. Außerdem können über die Hintertür beliebige Dateien heruntergeladen und ausgeführt werden.
%Temp%\Message. Diese Datei ist gefüllt mit willkürlichen Buchstaben und wird in Notepad angezeigt.
%System%\Taskmon.exe.
--------------------------------------------------------------------------------
Hinweise:
Taskmon.exe ist eine legitime Datei in den Betriebssystemen Windows 95/98/Me, die dort jedoch im Ordner %Windir% und nicht im Ordner %System% gespeichert ist. (Standardmäßig ist dies das Verzeichnis C:\Windows oder C:\Winnt.) Sie sollten die legitime Datei im Ordner %Windir% nicht versehentlich löschen.
%System% ist eine Variable. Der Wurm findet den Ordner "System" und kopiert sich dorthin. Standardmäßig ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) oder C:\Windows\System32 (Windows XP).
%Temp% ist eine Variable. Der Wurm findet den temporären Ordner und kopiert sich dorthin. Standardmäßig ist dies C:\Windows\TEMP (Windows 95/98/Me), C:\Winnt\Temp (Windows NT/2000) oder C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp (Windows XP).
--------------------------------------------------------------------------------
Er fügt den Wert
"(Default)" = "%System%\shimgapi.dll"
dem folgenden Registrierungsschlüssel hinzu:
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
Dadurch wird die Datei shimgapi.dll durch Explorer.exe geladen.
Der Wurm fügt den Wert
"TaskMon" = "%System%\taskmon.exe"
den folgenden Registrierungsschlüsseln hinzu:
HKEY_CURRENT_USER\Software\Microsft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
Dadurch wird TaskMon beim Systemstart von Windows geladen.
Der Wurm überprüft das Systemdatum, und wenn das Datum zwischen dem 1. Februar 2004 und dem 12. Februar 2004 liegt, versucht er, einen Denial-of-Service-Angriff auf
www.sco.com durchzuführen. Dieser Angriff wird durchgeführt, indem er 64 Threads erstellt werden, die GET-Anfragen senden und eine direkte Verbindung zu Port 80 nutzen.
--------------------------------------------------------------------------------
Hinweise:
Aufgrund der zum Verifizieren des Systemdatums verwendeten Logik wird der DoS-Angriff nur auf 25 % der infizierten Computer ausgeführt.
Der DoS-Angriff tritt nur dann auf, wenn das Systemdatum während der ersten Infizierung überprüft wird oder wenn der Computer neu gestartet wird.
--------------------------------------------------------------------------------
Er erstellt die folgenden Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
Er durchsucht Dateien mit den folgenden Dateierweiterungen nach E-Mail-Adressen.
.htm
.sht
.php
.asp
.dbx
.tbb
.adb
.pl
.wab
.txt
Er versucht, E-Mails mit einer eigenen SMTP-Engine zu versenden. Der Wurm versucht, den Mail-Server des Empfängers zu ermitteln, bevor er die E-Mail versendet. Wenn dies nicht erfolgreich ist, verwendet er den lokalen Mail-Server.
Die E-Mail besitzt folgende Merkmale:
Von: Die Absenderadresse ist möglicherweise gefälscht.
Betreff:
(Die Betreffzeile kann eine der folgenden sein)
test
hi
hello
Mail Delivery System
Mail Transaction Failed
Server Report
Status
Error
Nachricht:
(Die Nachricht kann eine der folgenden sein)
Mail transaction failed. Partial message is available.
The message contains Unicode characters and has been sent as a binary attachment.
The message cannot be represented in 7-bit ASCII encoding and has been sent as a binary attachment.
test
Anhang:
(Der Anhang kann einer der folgenden sein)
document
readme
doc
text
file
data
test
message
body
--------------------------------------------------------------------------------
Hinweise:
Die angehängte Datei kann zwei Erweiterungen haben. Ist dies der Fall, so ist die erste Dateierweiterung eine der folgenden:
.htm
.txt
.doc
Die letzte Dateierweiterung ist in jedem Fall eine der folgenden:
.pif
.scr
.exe
.cmd
.bat
.zip (Dies ist eine tatsächliche .zip-Datei, die eine Kopie des Wurms mit demselben Dateinamen wie die .zip-Datei enthält. Die Datei readme.zip enthält z. B. eine Datei namens readme.pif.)
Wenn der Wurm die Erweiterung .exe oder .scr enthält, so sieht das Symbol jedoch folgendermaßen aus. Andernfalls wird das entsprechende Symbol für den Dateityp verwendet.
--------------------------------------------------------------------------------
Der Wurm kopiert sich als eine der folgenden Dateien in das KaZaA-Download-Verzeichnis:
winamp5
icq2004-final
activation_crack
strip-girl-2.0bdcom_patches
rootkitXP
office_crack
nuke2004
Dabei wird eine der folgenden Dateierweiterungen verwendet:
pif
scr
bat
exe
Intruder Alert
Symantec hat eine Intruder Alert 3.6 W32_Novarg_Worm Policy herausgebracht.
Symantec HIDS 4.1.1
Symantec hat am 27. Januar 2004 ein LiveUpdate-Paket für Benutzer von Symantec HIDS 4.1.1 herausgebracht. Bitte beachten Sie das Symantec Host IDS 4.1.1 Security Update 1 für weitere Informationen.
Symantec ManHunt
Security Update 17 wurde herausgebracht, um spezifische Signaturen für die mit dem Wurm W32.Novarg.A@mm verbundene Hintertüraktivität zur Verfügung zu stellen.
Zusätzlich können Anwender von Symantec ManHunt 2.2/3.0/3.01 die folgende Signatur anwenden, um einen versuchten Denial-of-Service-Angriff auf
www.sco.com zu entdecken. Dieser Denial-of-Service-Angriff beginnt am 1. Februar 2004. Der Wurm ist so programmiert, dass er am 12. Februar 2004 aufhört, sich zu verbreiten. Mithilfe dieser Signatur können Sie feststellen, von welchen Computern die Anfragen gesendet wurden.
*******************start file********************
alert tcp any any -> any 80 (msg:"W32_Novarg_SCO_DOS"; content:"GET / HTTP/1.1|0d0a|Host:
www.sco.com|0d0a0d0a|"; offset:0; dsize:37;)
*************EOF*********************
Weitere Informationen zum Erstellen von benutzerdefinierten Signaturen finden Sie im "Symantec ManHunt Administrative Guide" im Abschnitt "Appendix A Custom Signatures for HYBRID Mode".
Symantec Security Response empfiehlt allen Anwendern und Administratoren, die folgenden grundlegenden Sicherheitsregeln einzuhalten:
Beenden und entfernen Sie all nicht benötigten Dienste. Viele Betriebssysteme installieren automatisch Hilfsprogramme, die nicht kritisch sind, wie FTP-Clients, Telnet und einen Internetbrowser. Diese Dienste öffnen Angriffen Tür und Tor. Wenn Sie entfernt werden, bestehen weniger Angriffsflächen und Sie haben weniger Programme zu pflegen.
Wenn eine komplexe Bedrohung über mehr als ein Netzwerkdienst verteilt wird, werden diese deaktiviert oder blockiert, bis ein Patch ausgeführt wurde.
Halten Sie Ihre Patches immer auf dem neuesten Stand, besonders auf den Computern, auf denen öffentliche Dienste angeboten werden und auf die durch eine Firewall über z. B. http, FTP, E-Mail und DNS-Dienste zugegriffen werden kann.
Richten Sie einen Passwortschutz ein. Komplexe Kennwörter erschweren den Einbruch in Kennwortdateien auf beschädigten Computern. Dies hilft Ihnen, die Folgen eines Computereinbruchs zu mindern.
Stellen Sie Ihren E-Mail-Server so ein, dass E-Mails, die Dateianhänge enthalten, über die häufig Viren verbreitet werden, wie Dateien mit der Endung .vbs, .bat, .exe, .pif und .scr, blockiert oder entfernt werden.
Isolieren Sie infizierte Computer schnell, um weiteren Schaden zu vermeiden. Führen Sie eine forensische Analyse durch und reparieren Sie den Computer mit Hilfe vertraulicher Medien.
Schulen Sie Ihre Angestellten daraufhin, keine Anhänge zu öffnen, wenn diese unaufgefordert eingesendet werden. Führen Sie ebenfalls keine Software aus, die aus dem Internet geladen wurde, wenn die Dateien zuvor nicht auf Viren geprüft wurden. Schon der einfache Besuch einer beschädigten Internetseite kann eine Infektion hervorrufen, wenn bestimmte Browserschäden nicht repariert werden.
Entfernung mit dem Entfernungsprogramm
Symantec Security Response hat ein Programm zur Entfernung von W32.Novarg.A@mm-Infektionen entwickelt. Dies ist in den meisten Fällen die beste Methode.
Manuelle Entfernung
Wenn Sie das Entfernungsprogramm nicht beziehen können, führen Sie eine manuelle Entfernung durch.
Die folgenden Anweisungen gelten für alle aktuellen und kürzlich erschienenen Virenschutzprodukte von Symantec, einschließlich der Produktlinien Symantec AntiVirus und Norton AntiVirus.
Deaktivieren Sie die Systemwiederherstellung (Windows Me/XP).
Aktualisieren Sie Ihre Virusdefinitionen.
Starten Sie den Computer im abgesicherten Modus oder im VGA-Modus neu.
Führen Sie eine vollständige Systemprüfung durch und löschen Sie alle Dateien, die als mit W32.Novarg.A@mm infiziert erkannt werden.
Löschen und bearbeiten Sie den in die Registrierung geschriebenen Wert.
Detaillierte Informationen zu diesen Verfahren finden Sie in den folgenden Anweisungen.
1. Deaktivieren der Systemwiederherstellung (Windows Me/XP)
Wenn Sie mit Windows Me oder XP arbeiten, empfehlen wir Ihnen, die Option "Systemwiederherstellung" vorübergehend zu deaktivieren. Diese standardmäßig aktivierte Funktion wird in Windows Me und XP verwendet, um auf Ihrem Computer beschädigte Dateien wiederherzustellen. Wenn ein Virus, Wurm oder Trojaner einen Computer infiziert, werden diese durch die Systemwiederherstellung möglicherweise mitgesichert.
Windows verhindert standardmäßig, dass die Systemwiederherstellung durch fremde Programme (einschließlich Virenschutzprogramme) verändert wird. Daher können Bedrohungen im Systemwiederherstellungsordner nicht durch Virenschutzprogramme entfernt werden. Als Ergebnis kann die Systemwiederherstellung eine infizierte Datei auf Ihrem Computer wiederherstellen, nachdem Sie die infizierten Dateien aus allen anderen Bereichen entfernt haben.
Außerdem kann bei einer Virenprüfung eine Bedrohung im Systemwiederherstellungsordner entdeckt werden, selbst wenn Sie die Bedrohung entfernt haben.
Bitte beachten Sie die folgenden Artikel oder Ihre Windows-Dokumentation, um die Systemwiederherstellung zu deaktivieren:
Wie wird die Systemwiederherstellung in Windows Me aktiviert oder deaktiviert?
Wie wird die Systemwiederherstellung in Windows XP aktiviert oder deaktiviert?
--------------------------------------------------------------------------------
Hinweis: Wenn Sie das Entfernungsverfahren abgeschlossen haben und die Bedrohung erfolgreich entfernt wurde, sollten Sie die Systemwiederherstellung anhand der Anweisungen im zuvor genannten Dokument wieder aktivieren.
--------------------------------------------------------------------------------
Weitere Informationen und eine Alternative zur Deaktivierung der Systemwiederherstellung in Windows Me finden Sie im Microsoft Knowledge Base-Artikel Antivirenprogramme können infizierte Dateien im Ordner "_Restore" nicht bereinigen (Artikelnummer 263455).
2. Aktualisieren Sie die Virusdefinitionen
Alle Virusdefinitionen werden von Symantec Security Response umfassenden Qualitätsprüfungen unterzogen, bevor sie auf unseren Servern zur Verfügung gestellt werden. Sie können die aktuellsten Virusdefinitionen auf zwei Arten erhalten:
Das Ausführen von LiveUpdate ist die einfachste Methode, um Virusdefinitionen zu beziehen: Diese Virusdefinitionen werden einmal wöchentlich auf den LiveUpdate-Servern abgelegt (üblicherweise mittwochs), soweit kein größerer Virusausbruch vorliegt. Um festzustellen, ob über LiveUpdate Definitionen für diese Bedrohung verfügbar sind, klicken Sie auf den Link Virusdefinitionen (LiveUpdate).
Laden Sie die Virusdefinitionen mit dem Intelligent Updater herunter. Virusdefinitionen des Intelligent Updaters werden an Geschäftstagen (montags bis freitags) veröffentlicht. Sie sollten von der Symantec Security Response-Website heruntergeladen und manuell installiert werden. Um festzustellen, ob über den Intelligent Updater Definitionen für diese Bedrohung verfügbar sind, klicken Sie auf den Link Virusdefinitionen (Intelligent Updater).
Es sind Intelligent Updater-Virusdefinitionen verfügbar: Detaillierte Anweisungen erhalten Sie im Dokument Wie werden die Virusdefinitionsdateien mit dem Intelligent Updater aktualisiert.
3. Neustarten des Computers im abgesicherten Modus oder im VGA-Modus
Fahren Sie den Computer herunter und schalten Sie ihn aus. Warten Sie mindestens 30 Sekunden und starten Sie den Computer dann im abgesicherten Modus oder VGA-Modus neu.
Wenn Sie mit Windows 95, 98, Me, 2000 oder XP arbeiten, starten Sie den Computer im abgesicherten Modus neu. Anweisungen hierzu finden Sie im Dokument Wie wird der Computer im abgesicherten Modus gestartet.
Wenn Sie mit Windows NT 4 arbeiten, starten Sie den Computer im VGA-Modus neu.
4. Prüfen Sie den Computer und löschen Sie infizierte Dateien
Starten Sie Ihr Symantec Antivirus-Programm und stellen Sie sicher, dass es zur Überprüfung aller Dateien konfiguriert ist.
Für Norton AntiVirus-Privatanwenderprodukte: Lesen Sie das Dokument Norton AntiVirus zum Prüfen aller Dateien einstellen.
Für Symantec AntiVirus Enterprise-Produkte: Lesen Sie das Dokument Wie überprüfen Sie, ob ein Symantec AntiVirus Corporate Edition-Produkt zum Prüfen aller Dateien eingestellt ist?
Führen Sie eine vollständige Systemprüfung durch.
Wenn Dateien als mit W32.Novarg.A@mm infiziert gemeldet werden, klicken Sie auf "Löschen".
5. Entfernen und Bearbeiten Sie die in die Registrierung geschriebenen Werte
--------------------------------------------------------------------------------
WARNUNG: Wir empfehlen Ihnen nachdrücklich, eine Sicherungskopie der Registrierung anzulegen, bevor Sie Änderungen daran vornehmen. Fehler bei der Änderung von Registrierungseinträgen können zu permanentem Datenverlust oder beschädigten Dateien führen. Bearbeiten Sie nur die angegebenen Schlüssel. Bitte beachten Sie das Dokument Eine Sicherheitskopie der Windows-Registrierung erstellen, bevor Sie fortfahren.
--------------------------------------------------------------------------------
Klicken Sie auf "Start" > "Ausführen". Das Dialogfeld "Ausführen" wird geöffnet.
Geben Sie regedit ein.
Klicken Sie auf "OK". Der Registrierungseditor wird geöffnet.
Suchen Sie die Schlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Löschen Sie diesen Wert im rechten Teilfenster:
"Taskmon"="%System%\taskmon.exe"
--------------------------------------------------------------------------------
Hinweis: %System% ist eine Variable und bezieht sich auf den Bereich des Systemordners. Standardmäßig ist dies C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000) oder C:\Windows\System32 (Windows XP).
--------------------------------------------------------------------------------
Suchen Sie den Schlüssel
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
und löschen Sie ihn.
Suchen Sie den Schlüssel
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\ComDlg32\Version
und löschen Sie ihn.
Suchen Sie den Schlüssel
HKEY_CLASSES_ROOT\CLSID\{E6FB5E20-DE35-11CF-9C87-00AA005127ED}\InProcServer32
--------------------------------------------------------------------------------
Hinweis: Es gibt eine Vielzahl von CLSID-Schlüsseln. Der einfachste Weg, diese Schlüssel zu finden, ist die Verwendung der Suchfunktion im Registrierungseditor. Blättern Sie zum Anfang des linken Fensters und begeben Sie sich zum Schlüssel HKEY_CLASSES_ROOT. Klicken Sie im Menü "Bearbeiten" auf "Suchen". Geben Sie in das Feld "Suchen nach" den Text E6FB5E20 ein, z. B. durch "Kopieren" und "Einfügen". Wenn der Schlüssel gefunden wurde, doppelklicken Sie darauf und klicken Sie dann auf InProcServer32.
--------------------------------------------------------------------------------
Führen Sie je nach Betriebssystem einen der folgenden Schritte aus:
Windows NT/2000/XP
Doppelklicken Sie im rechten Fenster auf (Default).
Ändern Sie den Text im Feld "Wert" in folgenden Text:
%SystemRoot%\System32\webcheck.dll
Klicken Sie auf "OK".
Windows 95/98/Me
Doppelklicken Sie im rechten Fenster auf (Default).
Ändern Sie den Text im Feld "Wert" in folgenden Text:
Windows\System\webcheck.dll
Klicken Sie auf "OK".
Schließen Sie den Registrierungseditor.
Zusätzliche Informationen:
Wenn W32.Novarg.A@mm E-Mail versendet, so sendet er keine E-Mails an Domänen, die die folgenden Zeichenfolgen enthalten:
avp
syma
icrosof
msn.
hotmail
panda
sopho
borlan
inpris
example
mydomai
nodomai
ruslis
.gov
gov.
.mil
foo.
berkeley
unix
math
bsd
mit.e
gnu
fsf.
ibm.com
google
kernel
linux
fido
usenet
iana
ietf
rfc-ed
sendmail
arin.
ripe.
isi.e
isc.o
secur
acketst
pgp
tanford.e
utgers.ed
mozilla
Es werden keine E-Mails an Konten gesendet, die mit den folgenden Zeichenfolgen übereinstimmten:
root
info
samples
postmaster
webmaster
noone
nobody
nothing
anyone
someone
your
you
me
bugs
rating
site
contact
soft
no
somebody
privacy
service
help
not
submit
feste
ca
gold-certs
the.bat
page
Es werden keine E-Mails an Konten gesendet, die die folgenden Zeichenfolgen enthalten:
admin
icrosoft
support
ntivi
unix
bsd
linux
listserv
certific
google
accoun
Außerdem setzt er einen der folgenden Namen vor die gefundenen Domänennamen:
adam
alex
alice
andrew
anna
bill
bob
brenda
brent
brian
claudia
dan
dave
david
debby
fred
george
helen
jack
james
jane
jerry
jim
jimmy
joe
john
jose
julie
kevin
leo
linda
maria
mary
matt
michael
mike
peter
ray
robert
sam
sandra
serg
smith
stan
steve
ted
tom
Bisherige Aktualisierungen:
27. Januar 2004:
Link zum W32.Novarg.A@mm-Entfernungsprogramm hinzugefügt.