ntvdm.exe

killahills · 04. September 2005, 23:59:32 Uhr

Hallo!
Kann mir wer sagen wofür diese Datei ist und wie ich die wegbekomme? Der Prozess lastet zu 99% meine CPU aus, sobald ich es ausschalte, startet es wieder von selbst!!! Das komische ist, das ich diese Datei nicht finden kann auf meinem PC (über GoogleDesktop).
Hat mal wer dasselbe Problem gehabt und kann mir weiterhelfen?
Vielen Dank schon mal...

gandal · 05. September 2005, 00:23:24 Uhr

Bei ntvdm handelt es sich um die NT Virtual Dos Machine.Damit werden alte 16Bit-Anwendung ausgeführt.
Hast du ein älteres Programm/Treiber von oder für Win9x installiert ?

killahills · 05. September 2005, 09:02:36 Uhr

Nicht das ich wüsste, hab das auch vorher nicht gehabt...Hab mir einen Wurm eingefangen, den aber eigentlich schon entfernt und jetzt spinnts da. Noch dazu kann ich den PC weder neustarten, noch irgendwie herunterfahren, nur Stromkabel ziehen nützt was!

Wie gesagt,wollte mal die Datei verschieben und schauen was passiert, kann sie aber nicht mal finden am PC...

Thaman · 05. September 2005, 09:37:15 Uhr

Hast du einen Virenscanner installiert ??

Sieht mir schon sehr verdächtig aus

. Funktionieren eigenlich noch 16 BIT Viren auf 32 BIT Maschinen??

lg

killahills · 05. September 2005, 14:19:21 Uhr

Ja klar, hab den Sophos Anti Virus, hat mir auch den Wurm erkannt und entfernt nur leider hackts jetzt da wieder...
Was ich weiss ist das XP Professional diese Datei verwendet (zu finden in Windows\System\ntvdm.exe), aber da ich XP Home verwende denk ich brauch ich die Datei gar nicht...

gandal · 05. September 2005, 15:18:38 Uhr

Diese Datei gibt es auch bei XP Home. Abgesehen davon gehört sie aber in das Verzeichnis $windows$\system32

Weißt Du noch, welchen Wurm oder Virus der Scanner entfernt hat ?

TMK · 05. September 2005, 15:23:44 Uhr

Könntest mal ein Hijackthis-Logfile hier posten, siehe auch:

http://www.hardwareecke.de/berichte/sicherheit/viren_trojaner_hijacker_schutz_beseitigung_2.php

killahills · 05. September 2005, 22:34:37 Uhr

Sodala...Wurm war glaub ich der W32/Alcra-A zumindest ist der in der Beschreibung sehr ähnlich...ganz genau weiss ich es nimmer!
Logfile sieht wie folgt aus:

Logfile of HijackThis v1.99.1
Scan saved at 22:30:22, on 05.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Sony\MD Simple Burner\NetMDSB.exe
c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\LTSMMSG.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Creative\Sound Blaster\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\MMDiag.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\phonostar\ps_agent.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\TEMP\sotmp1.dir\ALUpdate.exe
C:\Programme\Sony\VAIO Action Setup\VAServ.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mim.exe
C:\hardcopy\hardcopy.exe
C:\WINDOWS\system32\msiexec.exe
c:\WINDOWS\system32\MsiExec.exe
c:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Dokumente und Einstellungen\b.yon.d\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.sony-europe.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
O2 - BHO: (no name) - {02DCA195-602B-4B1F-83FF-381B7E804BDB} - C:\WINDOWS\system32\HDBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\Sound Blaster\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe
O4 - HKLM\..\Run: [MimBoot] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mimboot.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - Startup: Hardcopy.LNK = C:\hardcopy\hardcopy.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: VAIO Action Setup (Server).lnk = ?
O8 - Extra context menu item: Download All Files by HiDownload - C:\PROGRA~1\HIDOWN~1\HDGetAll.htm
O8 - Extra context menu item: Download by HiDownload - C:\PROGRA~1\HIDOWN~1\HDGet.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: HiDownload - {F4FBA929-A891-492C-A0F6-5C79CC4F1742} - C:\PROGRA~1\HIDOWN~1\hidownload.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\PROGRA~1\TOBITC~1\Server\ClipInc-Server.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos plc - c:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe

killahills · 05. September 2005, 23:50:41 Uhr

Ich glaub ich werd noch wahnsinnig mit dem !"X_'* windows!
Hab jetzt mal das SP2 deinstalliert, natürlich funkt jetzt nix mehr wie vorher, aber dafür bin ich diese ntvdm.drecksexe losgeworden!

Hab jetzt wieder ein interessantes Problem und zwar funkt jetzt kein Browser mehr, surf jetzt über den Browser eines p2p tools, toll!
Kann zwar Firefox ganz normal öffnen, aber ich bekomm nix angezeigt....steht nur die Adresse in der Adressleiste und bei Tab "Unbenannt", fertig.
In den Einstellungen steht nix drin, der IE ist mir nur derb abgestürzt, funkt auch nimmer!

? WTF?

tyco · 05. September 2005, 23:58:01 Uhr

HijackThis dürfte soweit clean sein.....daran sollte es nicht liegen.

gandal · 06. September 2005, 00:12:20 Uhr

Zitat von: killahills in 05. September 2005, 23:50:41 Uhr
Hab jetzt wieder ein interessantes Problem und zwar funkt jetzt kein Browser mehr, surf jetzt über den Browser eines p2p tools, toll!
Kann zwar Firefox ganz normal öffnen, aber ich bekomm nix angezeigt....steht nur die Adresse in der Adressleiste und bei Tab "Unbenannt", fertig.
In den Einstellungen steht nix drin, der IE ist mir nur derb abgestürzt, funkt auch nimmer!
? WTF?

Vielleicht solltest Du das SP2 wieder installieren.
Ich weiß eh nicht, wie man das vernünftig deinstallieren kann ?
ServicePacks sind doch eher immer so "oneway"-Installationen.
So richtig vertrauen kann man da nur einem Image, daß man vor der Installation angefertigt hat ...
Da weiß man was man hat ... ein genaues Abbild ...