ntvdm-cpu

Nach durchsicht der diversen foren deutet die meldung auf gäste hin.Am besten erstmal per knoppix daten sichern,dann log von hijackthis hier einstellen.

Hallo
Du solltest dir mal grundsätzlich Gedanken darüber machen, welches (Grafik)-Programm die 16-Bit erzwingen wollte.
Wenn dir nichts entsprechendes einfällt, dann könntest du ein Viren-Problem haben.

Ich denke es wird ein Virus sein, da ich gestern beim surfen auf eine zwielichtige Seite gelotst wurde und Avira Alarm geschlagen hat. Ich hab mir zuerst nichts dabei gedacht, weil alles normal weiterlief.
Erst als ich den Computer heute wieder an gemacht habe trat das Problem auf.

Wie kann ich denn in DOS einen Virenscan machen  bzw. wie bekomm ich 1. Hijack-This auf den Rechner (hab ja kein Internet, geschweige denn Explorer oder sonst was) und 2. wie würde ich ein Protokoll davon wieder auf den PC bekommen, an dem ich gerade sitze ums hier posten zu können ?

Du brauchst einen weiteren rechner.zumindest zeitweise.
Dort brennst Du Dir eine knoppix Cd.Damit startest Du Deinen rechner,dann sicherst Du deine daten,danach beschaffst Du Dir hijack this,legst es auf einbem usb stick ab und startest es unter windose.Das log speicherst Du als textdatei ab auf dem stick und startest system wieder mit knoppix.Dann kannst Du das log hier einstellen.Mit dem stick zu einem anderen rechner zu gehen,wäre recht gefährlich.

Also Internet hast du, wie man sieht
Lade dir folgendes:

http://www.freedrweb.com/livecd/

Diese brennst du als ISO (bootfähig) und startest damit den befallenen Rechner (CD ist drin beim booten) und lässt ihn säubern.
Anleitung dazu bitte auch beachten!
Danach Rückmeldung hier bitte.

Ok, danke für die Hilfe.

Wird wohl heute nichts mehr, aber ich meld mich dann morgen wieder hier.

MfG
Marvin

OK, viel Erfolg 

So, Dr.Web ist durchgelaufen und hat auch etwas gefunden:

unter C:\Dokumente und Einstellungen\...\temp\installb[1].exe

Datei wurde entfernt, da "incurable". Allerdings hat sich der Computer aufgehangen als ich ihn runterfahren wollte.Beim anschliessenden Windowsboot zeigten sich die bekannten Symptome: "NTVDM-CPU hat einen ungültigen Befehl entdeckt ..."

Da ich gestern Abend keinen Internetzugang hatte um eventell andere Lösungswege zu verfolgen habe ich Dr.Web nochmal gestartet und über Nacht scannen lassen. Grade eben wurde der 2. Scan ohne Funde beendet.

Es sieht also oberflächlich so aus als ob das System sauber wär und man nur noch den Müll zusammen fegen müsste.

Gibt es noch Dinge die ich tun sollte bevor ich Dr.Web runterfahre? Oder Lösungswege das "16-Bit-DOS-Teilssystem" zu reparieren ?

MfG
Marvin

 EDIT: Lade grade Knoppix runter um den anderen Vorschlag durchzuführen. Allerdings habe ich beispielsweise hier gelesen, dass man unter Umständen "nur" die Autoexec.nt und config.nt aus dem Windows-repair Ordner kopieren und bei system32 einfügen müsste.Was haltet ihr davon ?

Ich bin zwar fortgeschrittener Anwender, aber alles was mit Systemordnern und dergleichen zu tun hat ist mir ein Rätsel.

Hallo
Wenn du meinst, es sei alles sauber, dann schau dir mal das an:
http://support.microsoft.com/?kbid=314106

Ich würde aber mal folgendes überprüfen:

Abgesichert starten. Danach Start->Ausführen-> regedit <eingeben und ok. Nun zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run navigieren und die unbekannten Schlüssel zu unbekannten Programmen löschen.
Danach zu HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run und ebenfalls schauen und die unbekannten Schlüssel zu unbekannten Einträgen ebenfalls löschen.
Editor schließen.
Dann Start->Ausführen-> msconfig < eingeben und ok. Im Reiter Systemstart nach unbekannten Einträgen suchen. Haken rausmachen. Neustarten.
Und den Inhalt des Ordners ....lokale Einstellungen\Temp löschen!
 

Ich komm im abgesicherten Modus gar nicht in Windows rein. ??? Er sagt noch was von "Drücken sie Cancel um spfds.sys (oder ähnlich) abzubrechen" dann wirds schwarz und nur oben der Eingabestrich blinkt vor sich hin.

Wahrscheinlich ist's noch nicht wirklich sauber, nur Dr.Web findet nichts mehr.

Ich versuch mich vorerst mal an der Knopix-Variante und meld mich dann mit einem Hijack-log.

Danke nochmals für Hilfe und Geduld.  

Normaler Start geht? Dann eben im Normal-Modus versuchen!

Beim normalen Start gehts bis zur Benutzeranmeldung gut. Das Hintergrundbild und der Mauscursor lädt, dann treten die bekannten "NTVDM_CPU"- Meldungen auf. Taskmanager kann man öffnen aber Startleiste und Desktopsymbole gibts nicht. Es laufen auch nur 40 Prozesse, normal sind es 70.

Wenn du den Taskmanager öffnen kannst, dann ->Datei->Neuer Task->eintippen > regedit < dann Navigiere zu ->

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\userinit.exe
Es gibt von Windows hier an dieser Stelle keinen Eintrag mit ->userinit.exe !!

Sollte dort der Wert im rechten Feld wie oben >> userinit.exe << stehen, so lösche diesen!
Auch im linken Feld (Explorer) ist dieser Unter-Schlüssel zu löschen, falls vorhanden!

Nun wandere zu
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
und kontrolliere da rechts den Wert von Shell: Vorgabe: Explorer.exe

Natürlich auch den Wert von Userinit kontrollieren:
Vorgabe: C:\WINDOWS\system32\userinit.exe

Es darf weder nach ->userinit.exe als auch nach  ->Explorer.exe noch etwas zusätzlich stehen!!
Nun zur Sicherheit zu ->
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run navigieren und die unbekannten Schlüssel zu unbekannten Programmen löschen.
Danach zu HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run und ebenfalls schauen und die unbekannten Schlüssel zu unbekannten Einträgen ebenfalls löschen.
Editor schließen.
Dann Start->Ausführen-> msconfig < eingeben und ok. Im Reiter Systemstart nach unbekannten Einträgen suchen. Haken rausmachen. Neustarten.

Juhuuuu....   besten Dank !!  Hat funktioniert 

Soweit ich es abschätzen kann läuft alles fehlerfrei.

Ich glaub ich werd euch mal nen 10er für die prompte Hilfe spenden 

AGRSMMSG.exe, KHALMNPR.exe, TFncKy.exe sind OK, schau selbst:
http://www.file.net/prozess/agrsmmsg.exe.html

http://www.file.net/prozess/khalmnpr.exe.html

http://www.file.net/prozess/tfncky.exe.html

Der Virus ist die Windows\System32\ld10.exe , diese ist zu löschen!

Edit: Wo ist jetzt deine Frage geblieben??

Oha, dann lösch ich den noch.

Meine Frage hatte ich als überflüssig angesehen, da alles gelöst schien.

Danke nochmal.

Edit: Besser noch nen Hijack hinterher ? 

AGRSMMSG.exe, KHALMNPR.exe, TFncKy.exe hast du hoffentlich nicht gelöscht? Nur die C:\Windows\ld10.exe ist zu löschen!!

ld10.exe wurde gelöscht. Der Rest ist noch da.

So, ich muss dann mal arbeiten gehen. Wenn es noch etwas zu tun gibt muss ich das auf heute Abend verschieben.

Kann gar nicht oft genug danken, da ich schon Angst um meine Daten hatte, aber jetzt sieht wieder alles so aus wie es sein soll.

Den Eintrag "ld10.exe" im Explorer unter C:\Windows suchen und dort ebenfalls löschen, falls vorhanden!!
Anschließend die System-Wiederherstellung ausschalten:
Systemsteuerung->System, Reiter Systemwiederherstellung, dort Haken rein bei ->Systemwiederherstellung deaktivieren. Neustart.

Ok. Weiter gehts heute Abend