[решено] 16-разрядная подсистема Windows (MS DOS)

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

- - [решено] 16-разрядная подсистема Windows (MS DOS) (http://forum.oszone.net/showthread.php?t=99975)

16-разрядная подсистема Windows (MS DOS)

Здравствуйте! У меня в последнее время при загрузке системы появляется такое сообщение:
16-разрядная подсистема Windows (MS DOS)
C:\WINDOWS\system32\cmd.exe
Процессор NTVDM обнаружил недопустимую инструкцию (далее какие-то циферки) Для завершения работы приложения нажмите кнопку Закрыть.
Подозреваю, что это вирус. Пробовал провести проверку CureIT в безопасном режиме, затем KIS 7 в обычном. Оба раза ничего не получилось, через некоторое время после начала проверок машина самопроизвольно перезагружалась. Прилагаю логи AVZ и Hijack. Заранее спасибо за помощь.

удалите O4 - HKLM\..\Run: [VIPv3_Auto_Update] C:\WINDOWS\VIPv3\CheckForUpdates.exe
http://support.microsoft.com/kb/3247...173&sid=global

Извините, Baw17, но Ваша инструкция мне не совсем понятна. C:\WINDOWS\VIPv3\CheckForUpdates.exe - это ладно, удалил. А вот что такое O4 - HKLM\..\Run: [VIPv3_Auto_Update]? это ключ реестра такой? не нашел.

Elkmann, не все логи представлены, ну да ладно.
выполните скрипт в AVZ (файл - выполнить скрипт), перед выполнением скрипта закройте все защ. прогр.

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

 QuarantineFile('C:\WINDOWS\system32\SETUPAPI.dll','');

 QuarantineFile('C:\WINDOWS\system32\stobject.dll','');

 QuarantineFile('logon.scr','');

 QuarantineFile('C:\WINDOWS\VIPv3\CheckForUpdates.exe','');

 QuarantineFile('c:\program files\punto switcher\ps.exe','');

 QuarantineFile('C:\Program Files\Punto Switcher\correct.dll.1202123081','');

BC_ImportALL;

BC_Activate;

RebootWindows(true);

end.

Компьютер перезагрузится, после перезагрузки выполните ещё один скрипт

Код:

begin

 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

файл 'quarantine.zip' выложить на файлообменник (из карантина можно убрать файлы, в которых вы уверены и очень большие файлы) и дать ссылку или самостоятельно проверить файлы в карантине на virustotal.com - подозрительные файлы в архиве с паролем virus отправить на newvirus@kaspersky.com
пофиксить в hijackthis

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O4 - HKLM\..\Run: [VIPv3_Auto_Update] C:\WINDOWS\VIPv3\CheckForUpdates.exe

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'NETWORK SERVICE')

Интернет.lnk сами в автозагрузку поставили?

Цитата:

Цитата Elkmann

А вот что такое O4 - HKLM\..\Run: [VIPv3_Auto_Update]? »

Пуск - выполнить - regedit
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
там и смотри

Легитимные системные файлы:
C:\WINDOWS\system32\DRIVERS\lirsgt.sys
C:\WINDOWS\system32\DRIVERS\atksgt.sys
Дитя Даемон тулз\Алкоголя:
spna.sys

Цитата:

Цитата Pili

QuarantineFile('C:\Program Files\Punto Switcher\correct.dll.1202123081',''); »

это как бы от Punto Switcher, зачем его убивать? он просто клавиатурный перехватчик

Цитата:

Цитата Pili

QuarantineFile('C:\WINDOWS\system32\stobject.dll',''); »

- значки регулятора громкости и разряда батарей (+ SysTray Systray shell service object Microsoft Corporation)

Цитата:

Цитата Pili

QuarantineFile('C:\WINDOWS\system32\SETUPAPI.dll',''); »

Интерпретаторы

В MS Windows присутствует по умолчанию два интерпретатора скриптов INF: SETUPAPI и ADVANCEDINF. Оба интерпретатора представляют два DLL-файла в системной директории и некоторое количество ключей в реестре. Интерпретатор SETUPAPI находится в библиотечном файле setupapi.dll, интерпретатор ADVANCEDINF - в библиотечном файле advpack.dll. В операционных системах MS Windows 95, 98 интерпретатор SETUPAPI находится в 16-разрядной библиотеке setupx.dll. Библиотека setupapi.dll есть в MS Windows 98 и включена в пакеты заплат для MS Windows 95, однако основным интерпретатором остаётся setupx.dll. То есть, следует учитывать, что setupapi.dll не всегда присутствует в системе. Исходя из того, что библиотеки интерпретаторов не являются исполняемыми файлами, требуется внешний инициатор запуска функции интерпретации скрипта. Им является системная утилита RunDLL32.exe.
Формат запуска любой библиотеки посредством RunDLL32:

Скрипт ничего и не убивает - лишь карантинит

Цитата:

Цитата Baw17

это как бы от Punto Switcher, зачем его убивать? он просто клавиатурный перехватчик »

скрипт ничего не удаляет, понятно, что Punto Switcher патченный, но с ним связано некоторое кол-во троянов - по поиску в гугл (и на virusinfo были случаи с ps .exe тут) можно найти, то же самое с stobject.dll и SETUPAPI.dll - м.б. патченные, проверить не помешает, если чистые, могут пойти в базу безопасных AVZ (а если уже в базе - в карантин не попадут)

Elkmann, Попробуйте восстановить файлы autoexec.nt и config.nt в папке Windows/System32 - возможно, они были повреждены. Взять оригиналы можно в папке Windows\Repair или распаковать из дистрибутива системы.

В этом случае однозначный совет один - не надо устанавливать старые программы, использующие DOS. Дело в том, что NTVDM - это виртуальная DOS машина, эмулирующая далеко не все функции реального DOS по причине запрета NT на обращение к портам ввода-вывода напрямую. В данном случае это как раз и получилось.

Процессор NTVDM обнаружил недопустимую инструкцию правда это относится к NT 4.0, но должно и вам помочь
так же скажите вы устанавливали, какие нибудь патчи для ОС после которых появилась проблема, если да то удалите их

Ох, блн.... Очень Большое Спасибо, всем, кто не остался равнодушен... Ток я ж не программер, но попытаюсь разобраться в Ваших советах и рекомендациях! Придется напрячь мои старые больные мозги... Еще раз спасибо за участие! Персональные Thanks обязательно раздам чуть позже.

Elkmann, Пожалуйста :)
Как выполнить скрипт и пофиксить в HJT написано в правилах, в ПМ не вижу ссылки на карантин.

Pili, спасибо, времени не было. Вот ссылка на карантин. Да, Интернет.lnk я поставил в автозагрузку сам. Baw17, спасибо, теперь понятно, ключ нашел, удалил. Восстановить autoexec.nt и config.nt тоже не составило труда, просто я не знал, что они есть еще и в \Repair, а на Микрософт сайте непонятно все написано, обычный юзер не справится. Патчи устанавливал, украшалку, Vista Icon Pack. Просто раньше с ней проблем никогда не было .

Файлик autoexec.nt приложите сюда.

Проблема вроде бы решена. Сообщение больше не появляется!

Elkmann, что именно помогло просьба сказать, и отметить тему решеной

Не знаю, но мне кажется, все же это был не вирус, а ошибочка, связанная с Vista Icon Pack.

может быть помог фикс

Код:

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide2] cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,L,,4,N (User 'NETWORK SERVICE')

файлы в карантине чистые, логи virusinfo_syscheck.zip, hijackthis.zip неплохо бы повторить