Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Antiviren-, Firewall- und andere Schutzprogramme (https://www.trojaner-board.de/antiviren-firewall-andere-schutzprogramme/)
-   -   warcraft 3 1.21b + kaspersky 6.0 (https://www.trojaner-board.de/50314-warcraft-3-1-21b-kaspersky-6-0-a.html)

hallo2008 08.03.2008 21:52
warcraft 3 1.21b + kaspersky 6.0
 
hi, ich habe folgende situation:

kaspersky internet security 6.0 + gerade warcraft 3 auf 1.21b geupdated.
beim start von warcraft3 passiert jedesmal das hier:

Zitat:
Ein Versuch zum Löschen eines Werts in einen Systemregistrierungsschlüssel, der zur Gruppe Kaspersky Settings gehört, wurde abgefangen.

Detailinformationen über das Ereignis:
Schlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}\Instance\{307A6C42-0000-0010-8000-00AA00389B71}
Wert:
Datentyp: Nicht definiert
Daten:
Neue Daten:
ausserdem versucht war3.exe, eine verbindung zu crl.microsoft.com aufzubauen, was eventuell damit zu tun hat, dass das spiel seit 1.21b keine CD mehr zum spielen benötigt. wie auch immer, ich wüsste gern was es mit der löschung des registry-keys auf sich hat bzw. ob ein virenbefall vorliegen könnte, da meine kaspersky lizenz seit ein paar wochen abgelaufen ist und ich daher über keine aktuellen signaturen verfüge.

cosinus 09.03.2008 21:01
Wenn sich auf Deinem Rechner Schädlinge breitgemacht haben, könnte man das vllt schon über ein hijackthis-logfile sehen; nimm diese umbenannte hijackthis.exe um evtl aktiven Schädlingen einfacher auf die Spur zu kommen.

Dein Warcraft 3 ist auch defintitiv eine Originalversion und da hantierst auch sonst nicht mit Software aus dubiosen Quellen herum? :rolleyes:

hallo2008 09.03.2008 22:51
schonmal danke für die antwort, also das warcraft3 ist 100% original und ich hatte es jetzt das erste mal seit ca. 6-9 monaten geupdated.

hier das hijackthis-log:
Code:
Logfile of HijackThis v1.99.1
Scan saved at 22:39:52, on 09.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
D:\Appz\TortoiseSVN\bin\TSVNCache.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Razer\Diamondback\razerhid.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Programme\Razer\Diamondback\razertra.exe
C:\Programme\Razer\Diamondback\razerofa.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\7-Zip\7zFM.exe
D:\Appz\HJT\checkthis.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://********.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://********.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://********.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://********.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://********.com/fwlink/?LinkId=54843
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [Diamondback] C:\Programme\Razer\Diamondback\razerhid.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus Photo R220 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE /P30 "EPSON Stylus Photo R220 Series" /O6 "USB001" /M "Stylus Photo R220"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe"
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.********.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1193584508796
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

cosinus 09.03.2008 22:57
Benutze bitte für das Logfile meine verlinkte Datei! Oder besorg dir eine aktuelle hijackthis.exe nur solltest du diese umbenennen. Bequemer isses aber gleich meine Verlinkung zu beachten. :D

hallo2008 09.03.2008 23:14
also hier ein log mit version 2.02
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:10:09, on 09.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
D:\Appz\TortoiseSVN\bin\TSVNCache.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Razer\Diamondback\razerhid.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Programme\Razer\Diamondback\razertra.exe
C:\Programme\Razer\Diamondback\razerofa.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Appz\Xfire\xfire.exe
C:\Programme\7-Zip\7zFM.exe
D:\Appz\HJT\checkthis1.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://*****.***
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://*****.***
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://*****.***
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://*****.***
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://*****.***
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [kis] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [Diamondback] C:\Programme\Razer\Diamondback\razerhid.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [EPSON Stylus Photo R220 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAIE.EXE /P30 "EPSON Stylus Photo R220 Series" /O6 "USB001" /M "Stylus Photo R220"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1193584508796
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4793 bytes

cosinus 09.03.2008 23:21
Also Dein Logfile sieht okay aus. Das merkwürdige Verhalten von Kaspersky/Warcarft3 kann ich mir aber nicht erklären - vllt hilft Dir da ja ein Warcraft oder das Kaspersky-Forum weiter. :)

hallo2008 09.03.2008 23:28
ok, werd das dann da nochmal versuchen, zumindest google-suche nach dem registry-key oder anderen stichwörtern hatte nix ergeben :confused:

danke nochmal

cosinus 10.03.2008 19:08
FYI: Auf meinem Arbeitsplatz-PC ist auch ein Kaspersky 6 (nur der Virenscanner) drauf...der proaktive Schutz ist da ein wenig sensibel, hatte ebenfalls zig von diesen Meldungen daß ein Löschen eines Registry-Wertes/Schlüssels abgefangen wurde. :balla: Zwar jetzt nicht bei Warcraft 3 (nein ich spiele nicht auf der Arbeit ;) ) aber beim täglichen Arbeiten wenn der Rechner vor sich hin rattert hüpft so eine KAV-Meldung schon mal öfters einem ins Gesicht. :mad:

Vllt solltest Du das ganze also nicht ganz so ernst sehen, zudem Du du ja dem Hersteller von Warcraft trauen kannst und ja auch alles 100%ig original ist. ;)

hallo2008 11.03.2008 17:08
jup oft is es ja mehr verwirrend als hilfreich mit solchen personal firewalls. wenn ich programme installiere oder lösche bzw. windows update, schalte ich den proaktiven schutz normalerweise auch immer aus damit ich nicht 100 registry einträge bestätigen muss; hier war es aber ein unerwartetes update beim einloggen in das battle.net, und dass ein programm plötzlich einen key von KIS löschen will kam mir schon verdächtig vor.

cosinus 11.03.2008 19:00
Tja, dann mußte entweder mit den vielen Meldungen leben oder alle entspr. Funktionen vom Kaspersky deaktivieren. Schließlich willst Du was mit deinem PC machen und hast ja die Suite nicht als Selbstzweck installiert... :lach:

Wie wärs nur mit dem Virenscanner von KAV also ohneAntihacker/Firewall oder wie sich dadrin schimpft...? Wenn Du dich "nackt" fühlst: Nimm die Windows-Firewall und/oder einen DSL-Router.


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:38 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19