Taustakuva ei tule näkyviin

No niin, sen siitä päättömästä surffailusta saa, onnistuin saamaan jotain pöpöjä koneelle ja poistin ne. Nyt sitten desktop vilkkuu harmaan valkoisena, enkä saa korjattua.. Yritin täältä vähän neuvoja hakea, mutten uskalla tehdä mitään ilman tarkkoja ohjeita.. Olisiko joku niin kiltti että neuvoisi mitä pitää tehdä? Ei viitseisi pistää koko paskaa uudelleen asennukseen vilkkuvan desktopin takia..

 

Laitapa nyt vaikka aluksi hjt-loki niin katsotaan mitä kivaa siellä koneella on =)

Hae HijackThis -> http://koti.mbnet.fi/pattaya1/HijackThis.exe . Tallenna hakemistoon c:\hjt, käynnistä, klikkaa do a system scan and save a logfile ja lähetä loki tänne.

 

Itseasiassa tein sen jo eilen.. en vaan tiedä mitä sillä logilla nyt pitäisi tehdä Tässä siis logi..

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\BackWeb\7681197\Program\F-Secure Automatic Update.exe
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\F-Secure\FSGUI\fsguiexe.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Drago\My Documents\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131561264064
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DF739B6-960D-4D6B-84E0-02E033C15B21}: NameServer = 85.255.115.3,85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA59D68A-E9E4-4F64-84A1-2FA250C836A0}: NameServer = 85.255.115.3,85.255.112.12
O17 - HKLM\System\CS1\Services\Tcpip\..\{2DF739B6-960D-4D6B-84E0-02E033C15B21}: NameServer = 85.255.115.3,85.255.112.12
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

 

Koneesi on näköjään kaapattu valko-venäjältä käsin.

Eli avaa hjt -> do a system scan only

Fixaa (merkkaa ja paina fix cheked):
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DF739B6-960D-4D6B-84E0-02E033C15B21}: NameServer = 85.255.115.3,85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA59D68A-E9E4-4F64-84A1-2FA250C836A0}: NameServer = 85.255.115.3,85.255.112.12
O17 - HKLM\System\CS1\Services\Tcpip\..\{2DF739B6-960D-4D6B-84E0-02E033C15B21}: NameServer = 85.255.115.3,85.255.112.12

Hae ewido ja putsaa sillä.
-> http://keskustelu.afterdawn.com/thread_view.cfm/269186

Tee sivun ohjeiden mukaisesti ja lähetä uusi hjt loki + ewido örkki raportti!

 

No just, vai että valko venäjältä kaapattu, sepä hienoa. Ewido tekee hommia parhaillaan.. Hah, meinasin saada paskahalvauksen kun tuo löysi ekan objektin, ilmoitusääni on.. no, huomiota herättävä

Laitan raportit jahka saa valmiiksi.. kestänee nyt jonnin aikaa kun tuo käy kaikki levyasemat läpi.

 

No niin, homma tehty, eli täsä hjt-logi:

Logfile of HijackThis v1.99.1
Scan saved at 19:28:19, on 21.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\Program Files\F-Secure\BackWeb\7681197\Program\F-Secure Automatic Update.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program Files\F-Secure\Anti-Virus\fssm32.exe
C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\F-Secure\Common\FNRB32.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
C:\Program Files\F-Secure\Common\FIH32.EXE
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\F-Secure\FSGUI\fsguiexe.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HJT\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131561264064
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - Unknown owner - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program Files\F-Secure\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\F-Secure\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\F-Secure\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe

Ja ewidon raportti:

+ Created on: 19:23:15, 21.12.2005
+ Report-Checksum: D4529E59

+ Scan result:

C:\C.0BS -> Downloader.Small.f : Cleaned without backup
C:\RECYCLER\S-1-5-21-1220945662-789336058-854245398-1003\Dc5.exe -> Adware.Casino : Cleaned without backup
C:\WINDOWS\system32\POPCORN72.0XE -> Downloader.Agent.sy : Cleaned without backup


::Report End

Jotain hyötyy näemmä siitä et olen spybottia ja ad-awarea käyttänyt.. kaipa ne on sentään ihan pahimpii vuotoja tilkinny..

Ai joo, kone ilmoittelee että jokin program.exe koittaa ottaa verkkoyhteyttä.. Estin ko. yhteyden muodostamisen.. onko koneella siis edelleen jotain pöpöjä? Ja desktop vilkkuu edelleen..

 

Tuo kyllä viittaisi johonkin matoseen.

Laita piilotiedostot näkyviin, ohje ->
http://keskustelu.afterdawn.com/thread_view.cfm/248944

Käytä windowsin etsi toimintoa> Etsi program.exe, ja kerropa meille mistä polusta tuo löytyi. Tuo kun ei ole ihan normaali XP:n prosessi.

 

Outoa.. ei löydy tuommoista lainkaan. Tsekkaan vielä koneen läpi virustutkalla.

Mutta, tuo desktop ongelma edelleen kiusaa. Näkyikö siinä HJT-logissa jotain mistä olisi syytä hermostua? Miten saisi tuon desktopin taas kuntoon.. ei siis edelleenkään näytä taustakuvaa.

 

Tuosta lokista en kyllä löytänyt mitään hälyttävää. Hae eScan, asenna, ja päivitä ohjeiden mukaan, ja lähetä sen örkkitulokset tänne pällisteltäväksi. Ohjeet ja lataus >>>>http://koti.mbnet.fi/pattaya1/escanmwav.htm

 

Okei, menossa on skannaus. Luulen, että menee aamuun ennen kuin laitan logia.. Vaikka yökyöpeli olenkin, niin ihan koko yötä ei viitsisi valvoakaan.

Kylläpäs tästä nyt koituikin melkoinen operaatio. Mietin tässä, että olisikohan loppujen lopuksi päässyt helpommalla, kun olisin vaan suosiolla asentanut koko helahoidon uusiksi.. No, tuleepahan opittua tässäkin jotain uutta hyvällä tuurilla.

 

Juuh. Onhan se uudelleenasennus usein helpompi vaihtoehto, mutta itse ainakin tykkään "säätää" näitten kikottimien kanssa, ja tosiaan jotainhan tuosta kaikesta myös aina jää päähän, ja oppii uutta. itse en aamulla pääse lokia katselemaan, mutta eiköhän tuon joku tarkasta. Kyllä tähän ratkaisu vielä löytyy...

 

Tuo program.exe liittyy ewidoon eli ei ongelmaa.

Jeps, eli tee näin lisäksi(sulla on voi olla WareOut-rootkit koneella, nuo nimipalvelimet viittaa Atrivoon, joka levittää mm. WareOuttia):

Hae fixwareout -> http://downloads.subratam.org/Fixwareout.exe
Tallenna johonkin hakemistoon ja käynnistä se. Seuraa ohjeita, käynnistä kone uudestaan kun fixi pyytää sitä. Fixi avaa HjT:n. Sulje se.Lähetä C:\fixwareout\report.txt-tiedoston sisältö tänne.

Ja tuohon taustakuvaan:

Hae täältä -> http://www.billsway.com/vbspage/ registry search tool ja tee haku "desktop.html":llä. Jos antivirus herjaa, anna ajaa.

Lähetä registry searchin tulokset. Jollei löydy, tee sama haku hakusanalla "warnhp.html".

 

Eli tuommosta sanoo eScan:

File C:\WINDOWS\system32\rzspy.exe tagged as not-a-virus:AdWare.Win32.Raze.a. No Action Taken.
File C:\Documents and Settings\Drago\Desktop\radmin22.zip tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.22. No Action Taken.
File C:\Program Files\Radmin\radmin.exe tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.22. No Action Taken.
File C:\WINDOWS\system32\rzspy.exe tagged as not-a-virus:AdWare.Win32.Raze.a. No Action Taken.

Kemisti: Joo, mä hokasin asian itsekin aamulla, eli se program.exe on ewidon juttuja.. Mä tuon fixwareoutin hainkin jo aikaisemmin ja kertaalleen sen ajoin läpi, voin ajaa sen nyt uusiksi. Laitan sitten tänne login jos se jotain sanoo.

 

Poista tuo:

C:\WINDOWS\system32\==>rzspy.exe<==

Jos nämä on sun itse asentamia, niin anna olla:

File C:\Documents and Settings\Drago\Desktop\radmin22.zip tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.22. No Action Taken.
File C:\Program Files\Radmin\radmin.exe tagged as not-a-virus:RemoteAdmin.Win32.RAdmin.22. No Action Taken.

Ja tee se taustakuvahomma kans samalla vaivalla

 

Fixwareout ei löytänyt tällä kertaa enää mitään. Aikaisempi logi näytti tältä:

Fixwareout ver 1.003
Last edited 12/5/2005
Post this report in the forums please

Reg Entries that were deleted
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\repiwoh
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\ypszr
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\daolnwodi
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\x0brks
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\putesprpgd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls\lavinraCputeS

PLEASE NOTE THAT ALL FILES FOUND BY THIS METHOD ARE NOT BAD FILES, There WILL be LEGIT FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

»»»»» Search by size and names...

»»»»» Misc files

»»»»» Checking for older varients covered by the Rem3 tool

Registry search log:

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "desktop.html" 22.12.2005 13:15:45

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_USERS\S-1-5-21-1220945662-789336058-854245398-1003\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="C:\\WINDOWS\\desktop.html"

[HKEY_USERS\S-1-5-21-1220945662-789336058-854245398-1003\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"SubscribedURL"="C:\\WINDOWS\\desktop.html"

Eli tuommosta.. mitäs sitten seuraavaksi?
Tuo remoteadmin, ei ole minun asentama, mutta siis olen siitä tietoinen. Yksi kaverini sitä välillä tarvitsee täällä käydessään. Onko siitä siis jotain kiusaa jos annan sen olla? rzspy.exe poistettu.

 

Ok, sulla siis oli WareOut, jonka tuo poisti

Anna olla vaan remoteadminin sitten.

Tee näin:

Ensin ota varmuuskopio rekisteristä näin:

Suorita -> regedit -> ok. Sitten Tiedosto -> Vie. Kirjoita sille joku nimi ja sitten Tallenna(ja laita muistiin, mihin tallensit sen).

Sitten tallenna tämä alla oleva tekstinpätkä nimellä fix.reg vaikka muistiossa ja vaikka työpöydälle (tallennusmuoto kaikki tiedostot)

Windows Registry Editor Version 5.00

[-HKEY_USERS\S-1-5-21-1220945662-789336058-854245398-1003\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="C:\\WINDOWS\\desktop.html"

[-HKEY_USERS\S-1-5-21-1220945662-789336058-854245398-1003\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"SubscribedURL"="C:\\WINDOWS\\desktop.html"

Tuplaklikkaa ja paina kyllä ja ok. Käynnistä kone uudelleen. Auttoiko?

 

KYLLÄ! Nyt toimii! Voi kiitos kovasti! Ihanaa, että vielä löytyy herrasmiehiä auttamaan neitoa hädässä! Olipahan urakka, mutta taisin kyllä oppiakin tästä jotain.

Nyt voinkin lähteä purkamaan (virusten viilaajia ja mainosmiehiä kohtaan parin päivän sisällä kerääntyneet) agressiot mattotelineelle..

Hyvää joulua -kemisti- ja spertti!

 

Eihän tämä nyt ollut vielä urakka eikä mikään Kiitos ja oikein hyvää joulua myös sulle

 

Hyvää joulua myös sinne =)