1. Liebe Forumsgemeinde,

    aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
    Dies wird in den nächsten Tagen umgesetzt.

    Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
    Information ausblenden

n-CASE Alert

Dieses Thema im Forum "Windows XP / Server 2003/2008 / Vista" wurde erstellt von WHM, 11. Juli 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. WHM

    WHM Byte

    Hallo zusammen,

    auf dem PC meiner Frau erscheint seit ein paar Tagen nach dem Start folgende Meldung:
    -----------------------------------------------------------------------------------------------------------------
    n-CASE Alert
    WARNING
    The system has detected that a third-party application has removed n-CASE, possibly without your consent. This may cause some Programs not run exected. Please choose an option below.

    Options
    - Re-install n-CASE so that your programs will run as expected. Requires internet connectivity.
    - Leav n-CASE un-installed, and clean up any n-CASE files or settings that remain.
    - Remind me later

    Continue
    ----------------------------------------------------------------------------------------------------------------

    Was hat das zu bedeuten? Was ist das für ein Programm? Bisher wurde das Fenster immer mit X geschlossen. Soll ich eine Option wählen?

    WHM
     
  2. Cidre

    Cidre Halbes Megabyte

  3. WHM

    WHM Byte

    @Cidre

    Da ich nicht gut englisch kann, konnte ich mit http://www.pestpatrol.com/pestinfo/n/ncase.asp nicht viel anfangen. Habe mir JiJackThis runtergeladen und ausgeführt.

    Logfile of HijackThis v1.98.0
    Scan saved at 23:14:04, on 11.07.2004
    Platform: Windows XP SP1 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\brsvc01a.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\System32\brss01a.exe
    C:\WINDOWS\system32\LEXPPS.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\Programme\Teledat\WCOM\SYSTEM\RVSINST.EXE
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\MsPMSPSv.exe
    C:\Programme\Teledat\WCOM\SYSTEM\RVSCC.EXE
    C:\WINDOWS\Explorer.EXE
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
    C:\WINDOWS\Mixer.exe
    C:\WINDOWS\System32\SahAgent.exe
    C:\Programme\Telekom\Eumex 504PC USB\Capictrl.exe
    C:\Corel\Graphics8\Programs\MFIndexer.exe
    C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    C:\Programme\Internet Explorer\iexplore.exe
    C:\WINDOWS\Config\bintcp.exe
    D:\Programme\HiJackThis\hijackthis\HijackThis.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?hkcu
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?hklm
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default-homepage-network.com/start.cgi?hklm
    F0 - system.ini: Shell=
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
    O2 - BHO: biObj Class - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
    O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll (file missing)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
    O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 504PC USB\routcnf.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
    O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
    O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
    O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
    O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe
    O4 - HKLM\..\Run: [msbb] C:\WINDOWS\System32\msbb.exe
    O4 - HKLM\..\Run: [AKXFP] C:\WINDOWS\AKXFP.exe
    O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\System32\SahAgent.exe
    O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
    O4 - HKLM\..\Run: [magx5i] C:\WINDOWS\System32\magx5i.exe
    O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
    O4 - HKLM\..\Run: [bintcp] C:\WINDOWS\Config\bintcp.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
    O4 - Global Startup: CAPIControl.lnk = ?
    O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
    O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
    O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O9 - Extra button: MedionShop - {FB7C19EE-F934-44AC-9AFC-EB60504D3B9E} - http://www.medionshop.de (file missing) (HKCU)
    O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
    O16 - DPF: {DCF0768D-BA7A-101A-B57A-0000C0C3ED5F} - http://203.199.200.61/ads/shareit/da/trans/SysUpd.CAB
    O18 - Protocol: msencarta - {74D92DF3-6D9D-11D1-8B38-006097DBED7A} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\MSREF.DLL
    O18 - Protocol: msero - {B0D92A71-886B-453B-A649-1B91F93801E7} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\msero.dll
    O18 - Protocol: msref - {74D92DF3-6D9D-11D1-8B38-006097DBED7A} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\MSREF.DLL

    WHM
     
  4. Cidre

    Cidre Halbes Megabyte

    Lade dir hier die mwav.exe runter und entpacke diese in den Ordner C:\bases, danach die kavupd.exe (Online-Update) ausführen.

    Diese Prozesse im TaskManager beenden:
    C:\WINDOWS\System32\SahAgent.exe
    C:\WINDOWS\Config\bintcp.exe

    Diese Einträge fixen (Haken setzen und auf Fix Checked klicken):
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?hkcu
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://server224.smartbotpro.net/7search/?hklm
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://default-homepage-network.com/start.cgi?hklm
    O2 - BHO: biObj Class - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll
    O2 - BHO: TwaintecObj Class - {000020DD-C72E-4113-AF77-DD56626C6C42} - C:\WINDOWS\twaintec.dll (file missing)
    O4 - HKLM\..\Run: [Belt] C:\WINDOWS\Belt.exe
    O4 - HKLM\..\Run: [msbb] C:\WINDOWS\System32\msbb.exe
    O4 - HKLM\..\Run: [AKXFP] C:\WINDOWS\AKXFP.exe
    O4 - HKLM\..\Run: [SAHAgent] C:\WINDOWS\System32\SahAgent.exe
    O4 - HKLM\..\Run: [alchem] C:\WINDOWS\alchem.exe
    O4 - HKLM\..\Run: [magx5i] C:\WINDOWS\System32\magx5i.exe
    O4 - HKLM\..\Run: [SysUpd] C:\WINDOWS\sysupd.exe
    O4 - HKLM\..\Run: [bintcp] C:\WINDOWS\Config\bintcp.exe
    O16 - DPF: {DCF0768D-BA7A-101A-B57A-0000C0C3ED5F} - http://203.199.200.61/ads/shar...SysUpd.CAB

    Wichtig: Diese Datei C:\WINDOWS\sysupd.exe ist ein Dialer, deshalb als Beweismittel sichern.
    Info: http://www.dialerschutz.de/home/Aktuelles/fairnews/read_news.php?action=output&id=52

    Anmelden im abgesicherten Modus und diese Dateien löschen:
    C:\WINDOWS\bi.dll
    C:\WINDOWS\Belt.exe
    C:\WINDOWS\System32\msbb.exe
    C:\WINDOWS\AKXFP.exe
    C:\WINDOWS\System32\SahAgent.exe
    C:\WINDOWS\alchem.exe
    C:\WINDOWS\System32\magx5i.exe
    C:\WINDOWS\sysupd.exe
    C:\WINDOWS\Config\bintcp.exe

    - Temporäre Internet Files löschen
    - mit mwav.exe (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.) scannen
    - Neustart
    - dein System updaten http://v4.windowsupdate.microsoft.com/de/default.asp
    - neues Log-File posten

    Danach folgende Links besuchen und abarbeiten:

    IE sicherer konfigurieren => http://www.datenschutzzentrum.de/selbstdatenschutz/internet/absichern/browser/msie/config.htm
    oder Browserwechsel wie z.B. Mozialla oder Firefox

    NT Dienste sicher konfigurieren => http://www.ntsvcfg.de/
     
  5. WHM

    WHM Byte

    @cidre

    Danke für eine Tipps. Ob ich vor dem Urlaub dazu komme, das alles zu erledigen weiß ich noch nicht.
    Soll ich eigentlich ich dem Meldungfenster von n-CASE Alert eine der angegebenen Optionen auswählen??

    Gruß WHM
     
  6. Cidre

    Cidre Halbes Megabyte

    Nein, brauchst du nicht.
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen