[TheHacks]

Hallo liebe Gulliuser,
heute habe ich bemerkt das ich ein Trojaner habe den ich zusammen mit dem Installpaket von A4Proxy gedownloadet habe.
Allerdings habe ich das nicht bemerkt da ich zu dem Zeitpunkt noch den Virenscanner von COMODO installiert hatte!
Jetzt bin ich auf NOD umgestiegen und der hat mir das gleich angezeigt allerdings kann ich die Datei svchost.exe (\WINDOWS\System32\svchost.exe) nur Umbennenen oder löschen. Leider ist svchost eine Systemdatei
Trojanerart: TrojanDropper.Agent Trojaner

Code:

Logfile of HijackThis v1.99.1
Scan saved at 08:36:59, on 14.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Bluetooth\Bluetooth Software\bin\btwdins.exe
C:\Programme\Comodo\Firewall\cmdagent.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
c:\xampp\filezillaftp\filezillaserver.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Eset\nod32krn.exe
C:\Programme\RapidSolution\Scramby\ScrambyServer.exe
C:\Programme\Scramby\ScrambyServer.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Common Files\Sitecom Shared\PnP Universal Installer\CtrlSvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\scvhost.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Comodo\Firewall\CPF.exe
C:\Programme\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Common Files\Sitecom Shared\PnP Universal Installer\PnPUIReg.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Proxy Switcher Standard\ProxySwitcher.exe
C:\Programme\Common Files\Sitecom Shared\PnP Universal Installer\cpnptool.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Dennis\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: SYSTRAN Web Translator 5.0  - {A5899B52-3AF9-4F56-85FE-AD7B3BE8490F} - C:\Programme\SYSTRAN\5.0\Personal\IEPlugIn.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PnPUI Registrator] C:\Programme\Common Files\Sitecom Shared\PnP Universal Installer\PnPUIReg.exe -s
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [PSwitch] C:\Programme\Proxy Switcher Standard\ProxySwitcher.exe
O4 - Global Startup: Sitecom WC - WL-162 (ZD1211B).lnk = C:\Programme\Common Files\Sitecom Shared\PnP Universal Installer\cpnptool.exe
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Bluetooth\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: Apache2.2 - Unknown owner - c:\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\Bluetooth\Bluetooth Software\bin\btwdins.exe
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - c:\xampp\filezillaftp\filezillaserver.exe
O23 - Service: mysql - Unknown owner - c:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Programme\Eset\nod32krn.exe
O23 - Service: Scramby Server (ScrambyServer) - RapidSolution Software AG - C:\Programme\RapidSolution\Scramby\ScrambyServer.exe
O23 - Service: Scramby Service (ScrambySrv) - RapidSolution - C:\Programme\Scramby\ScrambyServer.exe
O23 - Service: WZCControlingService - Unknown owner - C:\Programme\Common Files\Sitecom Shared\PnP Universal Installer\CtrlSvc.exe

Bitte um Hilfe,


mfg TheHacks

[TheHacks]

Hat sich erledigt hier der Grund:
Der Dateiname war anderst:
Virus der sich als Systemdatei tarnt.
SCVHOST.EXE = VIRUS
SVCHOST.EXE = WINDOWSDATEI (OK)


Hoffentlich habe ich anderen damit geholfen!



mfg TheHacks

[Brummelchen]

Bei Trojanern gibt es keinerlei Optionen zu einer kompletten Neuinstallation.
Kannst du dir und anderen so ein Risiko zumuten, als Laie?

Sogar MS schreibt das:
http://www.microsoft.com/technet/com...mt/sm0504.mspx

Auf gut deutsch - man kann einem kompromitiertem System nie trauen,
weil es sich nicht zu 100% bereinigen lässt.

[Kreacher1510]

Zitat:

Zitat von Brummelchen

Bei Trojanern gibt es keinerlei Optionen zu einer kompletten Neuinstallation.
Kannst du dir und anderen so ein Risiko zumuten, als Laie?

Sogar MS schreibt das:
http://www.microsoft.com/technet/com...mt/sm0504.mspx

Auf gut deutsch - man kann einem kompromitiertem System nie trauen,
weil es sich nicht zu 100% bereinigen lässt.

Geb dir recht. Wenn du wirklich willst das er entgültig gelöscht ist, dann solltest du die HDD formatieren und dann das OS widda drauf klatschen. Wer weiss wo sich der Virus noch überall eingefressen hat.

Greetz Kreacher

[Brummelchen]

Lässt sich leicht umgehen - wenn die Partition leer ist, ist auch nix drauf.
Also geht man am besten direkt zu MS wegen der Updates, zieht sich danach
eine Testversion von NOD, Kaspersky oder Avira runter und prüft den Rest der
Daten auf anderen Platten/Partitionen.
Bis genau dahin braucht es weder sonstige Treiber noch andere Software,
auch wenn der IE nicht der Hit ist.
Ist der Rest sauber, kann man anfangen, von dort aus Software nachzuinstallieren.
Bei mir ist eine Firewall und Virenscanner mit das erste nach dem Treiber für die Graka.

Deswegen legt man ja rechtzeitig immer Images an, damit man sauber zurückgehen kann.
Lassen sich ja bei Acronis auch mounten und prüfen.

[LARSIANER]

Zitat:

Zitat von Brummelchen

Bei Trojanern gibt es keinerlei Optionen zu einer kompletten Neuinstallation.
Kannst du dir und anderen so ein Risiko zumuten, als Laie?

Sogar MS schreibt das:
http://www.microsoft.com/technet/com...mt/sm0504.mspx

Auf gut deutsch - man kann einem kompromitiertem System nie trauen,
weil es sich nicht zu 100% bereinigen lässt.

Sag das mal in einer Firma und du kannst gehen, wegen eines Trojaners formatieren!
Allerdings werden gleich wieder einige erfahrene Spezialisten ihren Senf dazugeben.

[Brummelchen]

Ja, ich zum Beispiel. Jeder, der in einer Firma einen Trojaner auf das System spielt,
geht nämlich vor dem, der formatiert. Nennt sich grobe Fahrlässigkeit.
Ein guter Admin aber lässt das erst gar nicht zu. Deswegen kannst du dir solche
Sprüche direkt schenken. Ein guter Admin würde übrigens auch formatieren.

[Blut-Engel]

Ja, aber wer hat den gute Admins. Ohne Namen zu nennen: Ich komme viel rum in versch. Firmen, und was ich da zu sehen bzw. hören bekomme, bringt mich fast dazu, vom jeweiligen Firmengebäude zu springen.
->Updates, was ist das?
->Keine gesperrten Seiten
->Keinerlei Software, die schützen eingreift(abgesehen von Noname-Firewalls/-Antivirenprogs, etc.

Ich würd gern mal eine Durchschnittsfirma, bei der IT ein eher untergeordneter Bereich ist, mit nem guten Admin sehen. Dann würde bei mir auch mal wieder die Sonne scheinen.

[Chummer]

Zitat:

Sag das mal in einer Firma und du kannst gehen, wegen eines Trojaners formatieren!

Jeder Admin der sich tatsächlich einen Trojaner ins Firmennetz einfängt (ein Angestellter hat es irgendwie geschafft) wird die befallenen Rechner komplett neu machen.
Wenn er es nicht tut, gefährdet er sämtliche Daten der Firma und kann sich darauf gefasst machen demnächst im Taxi vorne links zu fahren.

[tommi1234]

Zitat:

Ich würd gern mal eine Durchschnittsfirma, bei der IT ein eher untergeordneter Bereich ist, mit nem guten Admin sehen

Dem kann ich leider nur zustimmen. Da heißt es dann, das macht mal der Lars (Name frei erfunden), der hat auch nen PC zu Hause. Da werden dann halt nur die Kosten, und nicht die Gefahren gesehen, leider.

[Brummelchen]

Jo, Hobby-Admins. Am besten zwischen 12 und Mittags alles erledigen, kostenlos natürlich.
Ein Netzwerk einrichten kann jedes Kind - es sicher zu gestalten kostet Wochen an
Vorbereitung und dann noch Erfahrung. Es gibt zwar Tools, die das gut können, aber eben
nicht am besten. Drüber nachdenken darf man nie - entweder zieht man sich den Schuh
an - oder lässt es - mit allen Konsequenzen. Man muss es nur gut begründen können, um
heil rauszukommen - welcher Chef will das aber schon?

[LARSIANER]

Zitat:

Zitat von Brummelchen

Ja, ich zum Beispiel. Jeder, der in einer Firma einen Trojaner auf das System spielt,
geht nämlich vor dem, der formatiert. Nennt sich grobe Fahrlässigkeit.
Ein guter Admin aber lässt das erst gar nicht zu. Deswegen kannst du dir solche
Sprüche direkt schenken. Ein guter Admin würde übrigens auch formatieren.

So ein Unsinn, er würde den Trojaner restlos entfernen.

[tommi1234]

Zitat:

So ein Unsinn, er würde den Trojaner restlos entfernen.

Und verschwendet damit auch noch seine Zeit
(Oder Lars machts zwischen 12 und Mittag)

[LARSIANER]

Sind keine 30 Minuten

[Brummelchen]

Immer wieder erstaunlich, wieviel dumme Menschen es in der IT doch gibt *plonk*

[TheHacks]

So danke für eure Hilfe.




mfg TheHacks

[Chummer]

Zitat:

So ein Unsinn, er würde den Trojaner restlos entfernen.

Rofl.
Ich setze mich sicher stundenlang hin und versuche einen Trojaner zu entfernen der inzwischen gottweiß was angestellt / nachgeladen hat... im schlimmsten Fall hat er noch irgendwem Zugriff verschafft (je nach funktionalität) und der konnte sich in der Zwischenzeit entsprechende eigene Zugänge einrichten... anstatt mir das Image aus dem Stahlschrank zu nehmen und den Rechner mal schnell wiederaufzusetzen. (Und selbst ohne Image ist neuaufsetzen schneller und sicherer.)

Zitat:

Sind keine 30 Minuten

Ja klar
Da wird in deiner Fantasiewelt wohl der ultimate Admin-anti-virus gezückt und der Rechner mal innerhalb von 30min komplett durchgescannt und natürlich immer alles gefunden
Tolle Pauschalaussage. aber weißt du was? Image aufziehen, DAS sind keine 30min. Und zwar egal welche Art oder wieviele Schädlinge sich auf dem Rechner tummeln.

MannMannMann.

[aNtiCHrist]

Zitat:

Sag das mal in einer Firma und du kannst gehen, wegen eines Trojaners formatieren!

Man könnte natürlich vorher anbieten, mit ungewissem Erfolg und hohem Zeitaufwand an dem System rumzufrickeln, dann aber natürlich auch keine Verantwortung mehr für die korrekte Funktion des Systems sowie die Integrität und Geheimhaltung der Geschäftsdaten und zu übernehmen. Welcher halbwegs intelligente Arbeitgeber lässt sich darauf ein?

Ok, wenn man als Admin die Infektion durch vergessene Updates oder falsche Konfiguration selbst mitverschuldet hat, dann könnte es wirklich unangenehm werden. Das gilt dann aber unabhängig davon, wie man den Befall wieder behebt. Und bei der Behebung kann man sicherlich nicht punkten, wenn man dann mit solch unprofessioneller Frickelei weitermacht.

Zitat:

Sind keine 30 Minuten

Ich möchte sehen, wie du in 30 Minuten die Konsistenz *sämtlicher* Dateien und Einstellungen prüfst. Ich wette, du könntest es nicht mal in beliebiger Zeit. Anders kannst du aber nicht sicherstellen, dass das System wieder in dem Ursprungszustand versetzt wurde. Da ist das angesprochene Zurückspielen eines Backups doch deutlich praxisnäher, sinnvoller und schneller. Wer kein Backup hat, hat bei beruflicher Nutzung eh verloren.

[LARSIANER]

Zitat:

Zitat von aNtiCHrist

Man könnte natürlich vorher anbieten, mit ungewissem Erfolg und hohem Zeitaufwand an dem System rumzufrickeln, dann aber natürlich auch keine Verantwortung mehr für die korrekte Funktion des Systems sowie die Integrität und Geheimhaltung der Geschäftsdaten und zu übernehmen. Welcher halbwegs intelligente Arbeitgeber lässt sich darauf ein?

Ok, wenn man als Admin die Infektion durch vergessene Updates oder falsche Konfiguration selbst mitverschuldet hat, dann könnte es wirklich unangenehm werden. Das gilt dann aber unabhängig davon, wie man den Befall wieder behebt. Und bei der Behebung kann man sicherlich nicht punkten, wenn man dann mit solch unprofessionellen Frickelei weitermacht.


Ich möchte sehen, wie du in 30 Minuten die Konsistenz *sämtlicher* Dateien und Einstellungen prüfst. Ich wette, du könntest es nicht mal in beliebiger Zeit. Anders kannst du aber nicht sicherstellen, dass das System wieder in dem Ursprungszustand versetzt wurde. Da ist das angesprochene Zurückspielen eines Backups doch deutlich praxisnäher, sinnvoller und schneller. Wer kein Backup hat, hat bei beruflicher Nutzung eh verloren.

Systemwiederherstellung deaktivieren, infizierte Dateien und die Runschlüssel mit der Installationsroutine löschen.
Notfalls
cd erdnt
cd (zB) 01.05.2008
batch erdnt.con
Fer

[Chummer]

Zitat:

Systemwiederherstellung deaktivieren, infizierte Dateien und die Runschlüssel mit der Installationsroutine löschen.

Bitte geh einfach. Oben wurde es schon geschrieben:
PLONK.
Dieser Schwachsinn grenzt ja schon an Körperverletzung.
"Befallene Dateien löschen".
Klar. Da kommt wieder der ultimate-Admin-Antivirus ins Spiel gell?
Oh backe, oh backe

[LARSIANER]

Zitat:

Zitat von Chummer

Bitte geh einfach. Oben wurde es schon geschrieben:
PLONK.
Dieser Schwachsinn grenzt ja schon an Körperverletzung.
"Befallene Dateien löschen".
Klar. Da kommt wieder der ultimate-Admin-Antivirus ins Spiel gell?
Oh backe, oh backe

Erinnert mich an dein Geschwätz im Ebay Thread.
Weisst du überhaupt was die DOS Befehle bewirken?
Nein.
Wozu beschäftigen Firmen teure IT Leute wenn diese nur formatieren können?
Das könnte jeder Azubi.
Erschreckend welch unfähige 15jährige die volle Ahnung haben wollen, aber bei jeder Kleinigkeit nichts anderes als die Formatierung bieten.

[Chummer]

Zitat:

Weisst du überhaupt was die DOS Befehle bewirken?

Auf die bin ich nicht im Mindesten eingegangen.
Du hast Schädlingsbefall. Das weißt du weil diu EINEN irgendwie gefunden hast. Jetzt zeig mir wie du alle Schädlinge sicher entfernst die inzwischen vielleicht nachgeladen wurden.. bzw erstmal findest/identifizierst.
Die Idee zumindest für die Reg ein Backup zu überspielen kam dir wohl als weiter oben davon gesprochen wurde. Nur nutzt das nichts solange die Dateien nicht frei sind.

Zitat:

Erschreckend welch unfähige 15jährige die volle Ahnung haben wollen, aber bei jeder Kleinigkeit nichts anderes als die Formatierung bieten.

Erschreckend wie ahnungslose Hobbybastler dem Ingenieur erzählen wollen wie er seinen Job zu machen hat

[Brummelchen]

@Chummer - lass stecken, lohnt bei solchen Vollpfosten nicht.
Der labert seinen Sondermüll überall ab. Witzfigur!

[LARSIANER]

Den Befall sehe ich bei den Runschlüsseln, schliesslich ist dort die Installationsroutine.
btw. Erdnt sichert wesentlich mehr als nur die Registry.
In der Hoechst AG wurde in einem Zeitraum von mehr als 10 Jahren kein einziger PC wegen Virenbefall formatiert, die dortigen IT Leute waren fähig dies stets anderweitig zu lösen.

[wolfkid]

Na mit ner anständigen Backup-Lösung ist das ja auch kein Problem.

Trotzdem hast DU ganz bestimmt keine Ahnung.