[Palnschi]

Moin
schon seit längerer Zeit schlage ich mich mit diesem Problem rum. Und zwar lassen sich
einige Programme nicht mehr starten. Hier mal eine kleine Liste:

Editor
Freecell
Internet-Backgammon
drwtsn32.exe
ipconfig.exe
netstat.exe
Windows Bild- und Faxanzeige
etc

ne Menge aus der System32 halt

Trotz alledem läuft mein Sys bis auf gelegentliche Probleme mit Winamp stabil. Auser bei Winamp, welches eine Fehlermeldung nach Programmstart zeigt und dann trotzdem funktioniert, kommt sonst keine Fehlermeldung. Lediglich das Dos-Fenster popt kurz auf und iss wieder wech.
CMD funzt aber.

System ist nach den neuesten Erkenntnissen der Sicherheitsfanatiker gehalten.

Kein Scan Bekannter Programme ergab irgendetwas.

Ich gehe davon aus das es irgendwas im Sys zerschossen hat nur hab ich keine Ahnung was das sein könnte.
Winfaq hatt nichts ergeben

Hier die Fehlermeldung welche wie gesagt manchmal bei Winamp auftaucht und bei dem Startversuch der drwtsn32.exe.


Thx for help

Dieser Beitrag wurde von Palnschi bearbeitet: 24. Mai 2005 - 07:20

[sladaloose]

Schonmal mit Stinger von McAfee gescannt?

Google nach "stinger", falls du das Prog suchst.

[Palnschi]

unter anderem auch

Es ist wie gesagt nix drauf.

[Witi]

*gelöscht*

EDIT: Vielleicht hilft dir das weiter:

Bei einigen wenigen Windows-2000-Konfigurationen treten bei der Ausführung von 16 Bit-Programmen Fehlermeldungen auf: "Die NTVDM-CPU hat einen ungültigen Befehl entdeckt..." (NTVDM=Virtual DOS Machine).
Hier kann ein ungültiger Eintrag in der Config.nt oder Autoexec.nt Schuld sein. Verdächtige Einträge sollten probehalber auskommentiert werden. Eine weitere Fehlerquelle kann Command.com sein. Das Änderungsdatum sollte mit den Daten der Windows Originalinstallation übereinstimmen. Man kann probehalber alle Command.com Versionen umbenennen, die ein anderes Datum haben, ausgenommen die Version in C:. Im Ordner System32 darf nur eine Version von Command.com vorhanden sein.

Dieser Beitrag wurde von Witi bearbeitet: 24. Mai 2005 - 07:50

[Palnschi]

danke witti
(wo haste denn das gefunden?)

werds heut abend mal durchchecken

kann ich als Referenz die Config.nt, Autoexec.nt, Command.com von nem (funktionierenden)W2k nehmen oder weichen die zusehr voneinander ab?

Falls nich gehen die von einem anderen Win XP Prof. SP2?

Wenn ja, kann mir einer seine schicken?

Dieser Beitrag wurde von Palnschi bearbeitet: 24. Mai 2005 - 10:13

[Witi]

Zitat (Palnschi: 24.05.2005, 11:13)

danke witti
(wo  haste denn das gefunden?)
<{POST_SNAPBACK}>

Einfach bei google nach NTVDM-CPU gesucht
http://www.netzwelt.de/forum/showthread.ph...goto=nextnewest

Zitat (Palnschi: 24.05.2005, 11:13)

kann ich als Referenz die Config.nt, Autoexec.nt, Command.com von nem (funktionierenden)W2k nehmen oder weichen die zusehr voneinander ab?
<{POST_SNAPBACK}>

Kann ich dir leider nichts zu sagen

Vielleicht kannst du damit auch was anfangen: http://www.webuser.co.uk/cgi-bin/forums/sh...sb=5&o=14&part=

[Palnschi]

Zitat (Witi: 24.05.2005, 11:18)

Einfach bei google nach NTVDM-CPU gesucht

hab ich doch aber auch , naja, egal, danke dir

Zitat

Vielleicht kannst du damit auch was anfangen: http://www.webuser.co.uk/cgi-bin/forums/sh...sb=5&o=14&part=

werd ich wohl als letztes machen, scheint mir nicht ungefährlich zu sein

bis heut abend dann, falls jemand allerdings noch was findet dann schreib nei

[DK2000]

Ob das wirklich funktioniert, bin ich da skeptisch, aber einen Versuch ist es Wert.

Was mich an der ganzen Sache seit gestern wirklich stört, ist die Tatsache, dass das System versucht, 32bit Anwendungen (Editor, Freecell, drwtsn32.exe, ipconfig.exe, netstat.exe etc.) über die 16bit Umgebung (NTVDM-CPU) auszuführen. Das ist definitiv ein Systemfehler, den ich nicht wirklich zuordnen kann, zumal es offensichtlich nur einige Programme betrifft. Wenn es alle wären, würde ich auf einen Virus schließen, der in der Registry etwas verbogen hat bzw. die Anwendungen selber von irgendetwas befallen sind, was die 16bit Umgebung startet.

Die von Dir aufgezählten Anwendungen benötigen definitiv nicht die 16bit Umgebung. Bei mir laufen sie alle einwandfrei, obwohl ich die 16bit Umgebung komplett abgeschaltet habe (bei mir lassen sich keine 16bit Programme ausführen).

Ich hatte mir da gestern Abend schonmal Gedanken drüber gemacht, aber so richtig gebracht hat das nichts. Hast Du schonmal Hijackthis laufen lassen (falls es denn startet)?

Dieser Beitrag wurde von DK2000 bearbeitet: 24. Mai 2005 - 10:53

[Palnschi]

Zitat

System ist nach den neuesten Erkenntnissen der Sicherheitsfanatiker gehalten.

Kein Scan Bekannter Programme ergab irgendetwas.

wie schon gesagt, kein scan bekannter und in diesem sowie in anderen Foren genannte Tools, Scanner, etc haben irgendetwas gefunden

[sladaloose]

Ich kann mich auch nur DK2000 anschließen...

Viren überschreiben den executable-Bereich von Dateien (also bei exe's). Wenn deine exe's nun von einem Virus befallen sind, der 16-Bit Code reingeschrieben hat, dann ist logisch, dass Windows die NTVDM starten will. Vielleicht hast du einen Speicherresisdenten Virus, der wird vom Virenscanner nicht erkannt.

Am besten von einer CD-ROM booten und von dort mal einen Virenscanner loslaufen lassen, in der Hoffnung dass dieser was findet.

[Witi]

Was ich gerade entdeckt.
Wahrscheinlich ist es wirklich ein Virus: http://www.desktopsecurity.de/modules.php?...t=144&view=next

ührt man das Programm aus, erscheint folgende Meldung:

Code:

16_bit-MS-DOS-Teilsystem

...EXE
Die NTVDM-CPU hat einen ungültigen Befehl entdeckt.
CS:06e0 IP:0100 OP:ff d8 ff e0 00
Klicken SIe auf "Schließen", um die Anwendung zu beenden.

Antivir erkennt die Malware mittlerweile als:

Droppers DR/RBot.Files.A

!!!Im Vergleich!!!, Kaspersky:

sexy.pif/archive comment - OK sexy.pif/img.jpg - OK sexy.pif/game.exe - infected by IM-Worm.Win32.Bropia.i sexy.pif/ms64.exe - infected by Backdoor.Win32.Rbot.ja sexy.pif/loud.exe - infected by Backdoor.Win32.Wootbot.ar

[Palnschi]

hm

dann muss das aber schon ewig her sein.

denn wie ich schon mehrfach erwähnt habe ist die Kiste mit allem möglichen gescannt worden. Unter anderem auch von ner CD aus, im abgesicherten, alle verfügbaren online scans, etc. etc.

falls es so sein sollte wie ihr sagt komme ich vermutlich nicht um eine neuinstallation herum, denn wenn er in den executables einen 16bit code reingeschrieben hat werd ich den a) manuell in 10 jahren nich raushaben und b) nie finden

[sladaloose]

Naja, wenn die Scanner nichts finden (oder schon gefunden haben und behoben), dann kann es freilich weiterhin sein, dass die Daten kaputt sind (klar, wer soll sie denn reparieren?).

Du kannst eigentlich mal eine saubere exe starten, also winamp deinstallieren/installieren, dann dürfte es ja behoben sein, wenn die datei korrupt ist.

Aber scan lieber mehrmals als einmal zu wenig.