PDA

Visualizza versione completa : NTVDM ha rilevato un errore di sistema


silgmaris
07-11-2006, 13.54.24
Ciao a tutti!
Allora... da qualche giorno, all'avvio, completato il caricamento di Windows XP e delle applicazioni che mi partono automaticamente mi compare un pop up con scritto:

"Sottosistema MS-DOS a 16 bit"
NTVDM ha rilevato un errore di sistema
Handle non valido.
Scegliere "Chiudi" per terminare l'applicazione

e le scelte:

Chiudi e Ignora

Se clicco su CHIUDI, tutto bene... non succede altro e il PC funziona.
Se clicco su IGNORA la CPU mi va al 100% e non riesco a scoprire chi/cosa me la sta usando.

Chi mi sa suggerire dove guardare?!?!?!

Grazie e ciao!

primoair
07-11-2006, 14.09.36
http://support.microsoft.com/kb/128930/it

silgmaris
08-11-2006, 17.44.35
Ho letto... ma io ho WinXP SP2... e cosa intende con: "Workaround
Per aggirare questo problema, espandere VGA.SY e VIDEOPRT.SY dal supporto di installazione di versione 3.5 Windows NT Server o Workstation alla sottodirectory %systemroot%\SYSTEM32\DRIVERs come VGA.SYS e VIDEOPRT.SYS."

Grazie ancora!!

UG0_BOSS
08-11-2006, 22.17.32
"Workaround
Per aggirare questo problema, espandere VGA.SY e VIDEOPRT.SY dal supporto di installazione di versione 3.5 Windows NT Server o Workstation alla sottodirectory %systemroot%\SYSTEM32\DRIVERs come VGA.SYS e VIDEOPRT.SYS.

In parole spicce devi copiare i file VGA.SY e VIDEOPRT.SY dal cd di windows alla cartella X:\WINDOWS\system32\drivers (dove X: è l'unità dove hai installato windows). Una volta completata l'operazione, rinomina i files cambiando l'estensione SY in SYS.

gsmet
08-11-2006, 23.55.08
In parole spicce devi copiare i file VGA.SY e VIDEOPRT.SY dal cd di windows alla cartella X:\WINDOWS\system32\drivers (dove X: è l'unità dove hai installato windows). Una volta completata l'operazione, rinomina i files cambiando l'estensione SY in SYS.
Non proprio. Vanno espansi con il comando expand altrimenti non funzionano. Infatti è specificato "Expand" nella spiegazione.
Quindi dalla console (cmd) si deve usare:
expand <percorsorigine>.sy_ <percorsodestinazione>.sys

silgmaris
09-11-2006, 07.47.44
Grazie!
Allora stasera provo... non ho mai fatto un "expand" !

UG0_BOSS
09-11-2006, 16.40.51
Non proprio. Vanno espansi con il comando expand altrimenti non funzionano. Infatti è specificato "Expand" nella spiegazione.
Quindi dalla console (cmd) si deve usare:
expand <percorsorigine>.sy_ <percorsodestinazione>.sys

ah è vero... ho letto troppo di fretta :inn:

silgmaris
09-11-2006, 19.38.26
L'ho fatto... ma non riesco a sostituire i due file!!!
Ho provato in tutti i modi, l'ho fatto anche avviando XP in modalità provvisoria... in effetti tra i due del CD e quelli che ho in system32/drivers ci sono 2 anni di differenza e qualche Byte... li sostituisco, li cancello, li rinomino... ma alla fine... se riaggiorno la cartella o provo a riavviare il sistema... tornano i due vecchi.

Come faccio?!?! Immagino che sia un problema di cache di Windows... o di servizi... ma non so cosa devo fermare!

Grazie ancora per l'aiuto!!!

gsmet
09-11-2006, 20.08.51
Scusate... cmq il problema va risolto diversamente.

Usa msconfig e disabilita tutte le applicazioni in avvio.

Evidentemente hai un file a 16Bit che si avvia o peggio... un file documento rinominato in .exe che manda in crash il pc.

silgmaris
10-11-2006, 08.00.04
Uhm... ora che mi ci fai pensare... mi son capitate due volte che mi si è aperta per una decina di secondi una finestra CMD di un file (non ricordo con certezza il nome) dovrebbe essere IOGUY.EXE entrambe le volte, come si è aperta, si è chiusa e non ho riscontrato apparenti problemi... non mi ricordo bene il nome, la prossima volta me lo segno...

Tra l'alto ho fatto un altro controllo per vedere tra i processi cosa mi parte prima o dopo la chiusura di questo PopUp. Non appena clicco su CHIUDI (anche aspettando un po') si avvia immediatamente dopo il "Wuauclt.exe" che se non erro è legato a Win Update, vero?

silgmaris
11-11-2006, 14.49.19
Dunque... non riesco proprio a sostituire quei due file... sembra di riuscirci... ma poi scopro che son sempre quelli vecchi.

Intanto ho controllato quella finestra cmd che mi si apre di tanto in tanto ed è il IOGuyou.exe... apparentemente non mi causa nulla... però in effetti non accadeva fino a una settimana fa!

Cosa mi consigliate di fare?!

Norton Antivirus non trova virus, Microsoft Defender non trova nulla, Rimuovi Malwere 1.21 non trova niente, Spyware Terminator non trova niente, AD-Aware non trova niente... ho provato pure con WindowsCare V2 ma non cambia nulla... boh!!!

gsmet
12-11-2006, 03.57.01
Qui danno una soluzione per quel problema del ioguyou.exe

http://forums.tomcoyote.org/index.php?showtopic=71680

Però ripeto se non mi sbaglio non è quello il modo di controllare l'errore.

Fai così, scarica da qua http://download.sysinternals.com/Files/ProcessExplorer.zip
Avvialo appena ti compare la prossima volta l'errore.

Poi nell'elenco cerca ntvdm, in teoria sotto a ntvdm, usando il + che ci sta difianco dovrebbe aprirsi un altro processo.

Qual'è questo processo?

silgmaris
12-11-2006, 11.05.36
Allora... da quel che leggo il problema NTVDM è uno mentre quello del file IOGuyou.exe è un altro... che ci penserò dopo.

Riguardo il NTVDM... ho usato il software che mi hai consigliato ed ecco l'immagine che mi sono prodotto appena uscito il popup:

http://www.silgmaris.it/public/upload/ntvdm.JPG

Dopo poco i WMI scompaiono... e comunque sotto il servizio NTVDM non c'è nient'altro...

gsmet
12-11-2006, 12.39.02
Perfetto, ora il problema è semplice... :P

Ricerca sul tuo disco wmiprvse.exe

In teoria dovrebbe essercene uno solo qua E:\WINDOWS\system32\wbem e un altro in E:\WINDOWS\system32\dllcache.

Se ne trovi da altre parti sono danneggiati.

Dimmi dove li trovi.

silgmaris
12-11-2006, 14.31.53
Ne ho trovato uno solo:

http://www.silgmaris.it/public/upload/wmi1.jpg

Non ho neanche l'altra cartella "dllcache"...

(Intanto ti ringrazio dell'aiuto che mi stai dando!!!)

...ed ora cosa faccio?!?!

gsmet
12-11-2006, 14.36.45
ah allora c'è un problema :P

Cancellalo, dopo averlo chiuso da process explorer (kill)

Cmq infila dentro un cd di windows xp orginale e digita

e da dentro cmd (start esegui cmd)

digita

expand d:\i386\wmiprvse.ex_ E:\WINDOWS\system32\wbem\wmiprvse.exe

Attento agli spazi e digita anche la stessa cosa ma per dllcache

silgmaris
12-11-2006, 15.24.26
ah allora c'è un problema :P
Cancellalo, dopo averlo chiuso da process explorer (kill)
Cmq infila dentro un cd di windows xp orginale e digita
e da dentro cmd (start esegui cmd)
digita
expand d:\i386\wmiprvse.ex_ E:\WINDOWS\system32\wbem\wmiprvse.exe
Attento agli spazi e digita anche la stessa cosa ma per dllcache

Ho provato a cancellarlo e basta ma ovviamente non sono riuscito... ehm... cosa uso per chiudere il processo?!?! Che tra l'altro non trovo nel task manager... anche perché dopo che clicco su CHIUDI nel PopUp mi scompaiono dalla lista di ProcessXP i due WMI ma anche il NTVDM... quindi cosa chiudo e come?!?!?

Intanto mi sono già procurato il file da espandere...

silgmaris
12-11-2006, 15.43.23
Ho il dubbio che intendessi di chiuderlo da ProcessXP... però anche da lì non posso farlo perché sia i due WMI che il NTVDM sono scomparsi subito dopo aver cliccato su "CHIUDI" del PopUp... ho provato a cancellare il file... mi dice che l'ho fatto, ma appena faccio un refresh... ricompare... quindi il file immagino sarà nella cache di Windows... se facessi tutto avviando il PC in modalità DOS!?!? Si può fare?!

gsmet
12-11-2006, 16.58.08
AAAAAAAAAAah okey okey capito adesso... stai facendo una ricerca ma senza guardare nelle cartelle e nei file nascosti.

E' una opzione delle "Altre opzioni avanzate"

Allora esegui una ricerca di quel file in C:\Windows abilitando quell'opzione (praticamente le prime tre opzioni di altre ozioni avanzate devono essere attive).

Poi seleziona tutti i wmiprvse.exe che trova.

e premendo SHIFT tasto destro elimina... o SHIFT+CANC e li eliminerà fisicamente dal disco.

Così dovrebbe funzionare e eliminarteli definitivamente.

Non voglio farti disabilitare la protezione dei file... al massimo però lo facciamo :P

gsmet
12-11-2006, 16.58.58
Cmq sarebbe meglio se il cd di windows che usi è con sp2 integrato

silgmaris
13-11-2006, 08.36.19
Allora, ho fatto prima la ricerca normale e non ho trovato nulla. Poi ho fatto la ricerca per file e cartelle nascoste e non ho trovato nulla. Allora sono andato direttamente nei percorsi che mi hai indicato tu (nelle cartelle ho l'opzione attiva "Visualizza file e cartelle nascoste"). Ho trovato solo quello presente nella cartella WBEM ma non ho neanche trovato la cartella DLLCACHE...
Poi ho preso il CD di WindowsXP (che non ha SP2 incluso; nel caso ho la SP2 su un altro CD...), ho recuperato il file che mi hai detto e l'ho espanso in un'altra cartella. Sono andato nella cartella WBEM, ho cancellato il WMIPRVSE.EXE (normalmente col tasto destro, cancella...), poi ho fatto il refresh della cartella ma era ancora lì. Ho provato a rinominarlo in OLD... ho fatto il refresh, non c'era... allora ci ho spostato quello che avevo preso dal CD... sembrava tutto ok. Ho fatto il refresh... ma ho visto che aveva riassunto le caratteristiche (KB e data di creazione) del precedente. Infatti al riavvio stesso solito problema...

Non ho mai provato con la cancellazione fisica (non sapevo si potesse) quindi devo selezionarlo col tasto destro tenendo premuto il tasto SHIFT e scegliere CANCELLA? Non l'avevo mai fatto!

(ancora grazie... anche per la pazienza!!!)

gsmet
13-11-2006, 11.13.36
Allora da dentro una qualsiasi cartella, scegli

Strumenti->Opzioni cartella...->Visualizzazione

Poi devi abilitare
Visualizza cartelle e file nascosti
Visualizza il contenuto delle cartelle di sistema

Togliere
Nascondi i file protetti da sistema
Nascondi le estensioni per i tipi di file conosciuti

Ora prova a fare la ricerca e cancella in blocco quei file, selezionandoli tutti e due e premendo SHIFT+CANC.

Prima di ripristinarlo, controlla che siano andati via fisicamente.

silgmaris
13-11-2006, 19.33.08
Inizio a sconsolarmi...
Allora! Ho fatto come hai detto tu ed infatti alla prima ricerca ho trovato:

http://www.silgmaris.it/public/upload/ricerca.jpg

Quindi ho cancellato con SHIFT+CANC i due file in wbem e dllcache, scomparsi vi ho messo invece il nuovo file espanso... peccato che metterlo mi ha chiesto se volevo sostituire quello esistente. Rispondo di SI... (un po' rassegnato) e poco dopo nella stessa finestra della ricerca mi compare:

http://www.silgmaris.it/public/upload/ricerca2.jpg

Vuoi dire??!?!?!
Macché... rifaccio la ricerca... e:

http://www.silgmaris.it/public/upload/ricerca3.jpg

Senti... ma se io avviassi il PC con un floppy (ho un floppy di avvio di Win95 che va sempre bene...)... poi da DOS andassi in quelle cartelle e con comandi dos cancellassi i due rompiscatole e vi espandessi quello nuovo?!?
Dico un'eresia?!?!

gsmet
13-11-2006, 21.51.56
uhm... nel tuo caso la cosa + semplice da fare è infilare dentro un cd di xp e avviare la console di ripristino.

A quel punto usi il comando expand di cui abbiamo parlato prima.

Si può fare anche così... visto che cmq da te la Windows File Protection sta funzionando alla grande.... per proteggere un file corrotto!!!!

silgmaris
13-11-2006, 23.05.12
Sono un po' sconsolate... allora... ho avviato il PC da CD... sono entrato nella Console di Ripristino di WinXp... sono andato nella cartella WBEM... il file era lì... l'ho cancellato... ho controllato ed il file non c'era più... ho fatto l'expand dell'altro... e mi ha risposto "Impossibile espandere il file wmiprvse.exe"... ho provato ad espanderlo con altri nomi ma non me l'ha fatto fare. Allora ho riavviato WinXP normalmente... e sono andato a vedere la cartella WBEM... NON C'ERA IL FILE!!! Ho fatto l'expand dal CMD... espanso! Guardo la cartella ed... IN DIRETTA HO VISTO TRASFORMARSI IL FILE APPENA ESPANSO... IN QUELLO VECCHIO!!!!

Ma cosa diavolo devo inventarmi adesso?!?!?!?!?!??!

silgmaris
13-11-2006, 23.07.28
Domanda... ma se provassi a reinstallare la SP2?!?!?!?
(magari è una delle mie solite eresie...)

gsmet
13-11-2006, 23.11.25
uhm strana la cosa che ti ha detto impossibile espandere ecc ecc... sei sicuro che magari non fosse cambiata la lettera del CD?
Perchè in teoria... si potrebbe disabilitare la protezione però... non è consigliabile.

Per disabilitarla:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
"SFCDisable" = "FFFFFF9D"
"SFCScan" = "0"

E mettili così... ma ricordati di tirarti giù i valori... poi dovrai ripristinarli.
Cambia tutti i file... che trovi a parte quello dell'$NTServicePackUninstall$

I due valori sono due DWORD

gsmet
13-11-2006, 23.12.49
Domanda... ma se provassi a reinstallare la SP2?!?!?!?
(magari è una delle mie solite eresie...)

Oddio... non c'avevo pensato... il problema è... se sovrascrive dei file + nuovi come la metti con gli aggiornamenti seguenti al service pack 2?

Ah mi scordavo di dire sopra... dopo la disabilitazione della WFP devi riavviare... poi dopo la riabilitazione devi riavviare ancora.

silgmaris
14-11-2006, 07.58.37
uhm strana la cosa che ti ha detto impossibile espandere ecc ecc... sei sicuro che magari non fosse cambiata la lettera del CD?


Io ho copiato il file wmiprvse.ex_ in due copie nelle due cartelle wbem e dllcache da Windows. Fatto questo sono entrato nella console di ripristino; nelle due cartelle avevo quindi il wmiprvse.exe incriminato e il wmiprvse.ex_ da espandere. Ho cancellato il file nella WBEM, quando ho controllato non esisteva più, poi ho fatto dalla stessa cartella un "expand wmiprvse.ex_ wmiprvse.exe" identico a quando lo facevo dal CMD da Win. Dal CMD sempre tutto bene... nella consolle la risposta è stata: "Impossibile espandere il file wmiprvse.exe".

Uhm... mi studierò attentamente anche il ritocco al registro... titubo!

gsmet
17-11-2006, 18.05.35
Qualche news?

silgmaris
19-11-2006, 17.46.21
Non ho ancora preso coraggio e modificato il registro.
Prometto che lo faccio a breve!

silgmaris
20-11-2006, 08.14.03
Ieri sera dopo il tuo messaggio avevo deciso... lo faccio.
Sono andato dove mi hai detto tu ma c'è qualcosa che non mi torna perché in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Ho trovato

"SFCDisable" = "0x00000000 (0)"

E questo non c'è neanche...

"SFCScan" = "0"

...temo di aver bisogno di aiuto per cambiare/aggiungere questi due valora. Non ho mai modificato nulla nel registro!!!

gsmet
20-11-2006, 09.15.17
La cosa è semplice.
Fai un doppio click su SFCDisable e inserisci
FFFFFF9D

Poi con il tasto destro scegli Nuovo>Valore DWORD gli dai come nome SFCScan e come valore 0.

Riavvi.

Fai le modifiche ai file.

Riavvi.

Scancelli SFCScan e ripristini SFCDisable a 0.
Riavvi.

Fatto.

Esiste anche una patch per disabilitare la WFP o SFC a seconda di come si preferisce chiamarla, ma è un crack vero e proprio e "purtroppo" nn si può parlarne.

silgmaris
20-11-2006, 11.32.40
Stasera lo faccio... sperem!!

silgmaris
23-11-2006, 19.13.28
Allora... ho fatto tutto alla lettera... ho sostituito il file WMIPRVSE.exe nelle cartelle WBEM, DLLCACHE e ServicePackFiles. Windows in maniera automatica me lo ha sostituito anche nell'NTServicePackUninstall$.... ma niente!!!

Il problema persiste.

Allora, visto che tanto ero in ballo ho sostituito anche i due VGA.SYS e VIDEOPRT.SYS... idem come sopra. Cambiati in DRIVERS, cambiati in DLLCACHE, cambiati in ServicePackFiles... automaticamente si sono cambiati in NTServicePackUninstall$... ma niente!

Non è cambiato nulla!!! Quel maledetto popup doppio continua a comparirmi...

Altre idee?!? Non ho proprio voglia di mettermi a rifare il PC... alla fine sembra funzionare tutto correttamente... devo fare solo un paio di click all'avvio. Più che altro mi piacerebbe tanto capire.

Continuo anche a fare scan per virus e spyware (Norton e Zone Alarm) ma pare tutto pulito.

Ahinoi!!!

(P.S. Comunque sempre GRAZIE!!)

gsmet
23-11-2006, 19.32.03
Allora... ho fatto tutto alla lettera... ho sostituito il file WMIPRVSE.exe nelle cartelle WBEM, DLLCACHE e ServicePackFiles. Windows in maniera automatica me lo ha sostituito anche nell'NTServicePackUninstall$.... ma niente!!!

Il problema persiste.

Allora, visto che tanto ero in ballo ho sostituito anche i due VGA.SYS e VIDEOPRT.SYS... idem come sopra. Cambiati in DRIVERS, cambiati in DLLCACHE, cambiati in ServicePackFiles... automaticamente si sono cambiati in NTServicePackUninstall$... ma niente!

Non è cambiato nulla!!! Quel maledetto popup doppio continua a comparirmi...

Altre idee?!? Non ho proprio voglia di mettermi a rifare il PC... alla fine sembra funzionare tutto correttamente... devo fare solo un paio di click all'avvio. Più che altro mi piacerebbe tanto capire.

Continuo anche a fare scan per virus e spyware (Norton e Zone Alarm) ma pare tutto pulito.

Ahinoi!!!

(P.S. Comunque sempre GRAZIE!!)

Vuoi dire che finalmente sei riuscito a cambiarli ma continua ad apparire il popup?

silgmaris
23-11-2006, 20.25.57
Ti confermo!
Ho messo tutti e tre i file recuperati direttamente dal CD di WinXP. Ho verificato e riverificato; tutti e tre i file ora sono quelli espansi dal CD... eppure, nonostante questo... quel benedetto PopUp compare ancora!
Non so se può esser d'aiuto ma il PopUp in realtà è doppio; quindi la stessa segnalazione ce l'ho due volte... e tutta questa attività non mi ha risolto nulla...

P.S. Ma il file NTVDM.EXE... ?!??! Non è che è lui quello corrotto?!?!?
Non lo so... io non ho idea di cosa pensare...

silgmaris
26-11-2006, 18.54.45
Questo silenzio mi terrorizza!!!
Nessun'altra idea?!?!?!

gsmet
26-11-2006, 19.42.37
Allora no... NTVDM è la macchina virtuale che fa girare le applicazioni per i vecchi OS Microsoft (ce n'è una simile anche in x64 chiamata WOW).

Se parte quella vuol dire che è stata richiamata dal wmi che a questo punto è corrotto. Potrebbero esserci molteplici motivi, compreso quello che magari questo wmi non è quello che pensiame e viene caricato altrove...

Hai provato nel fratteo un hjackthis giusto per vedere se per caso non sta la.

Perchè dovrebbe essere un servizio non un eseguibile normale...

Fra qualche minuto leggiti i PVT.

silgmaris
27-11-2006, 10.53.05
Si, un collega mi ha infatti detto di verificare due servizi "Windows Management Instrumentation" e "Windows Management Instrumentation Drivers Extension"; il problema è che io questi due NON li ho nell'elenco dei miei servizi!! Probabilmente perché non riesco a caricarli all'avvio per questo problema.

gsmet
27-11-2006, 11.42.40
Infatti, ma è più probabile che sia accaduto proprio perchè il tuo wmi è danneggiato + che a causa della ntvdm.

La cosa + facile e sicura sarebbe sostituire i file dalla console di ripristino ma non t'è funzionata.

UHM vuoi provare a farti un BartPE o un BootCD 4 Win?

silgmaris
27-11-2006, 12.22.18
Uhm... ti direi anche di SI... ma ne conosco solo i nomi...

gsmet
27-11-2006, 12.36.25
Non è complicato fanno praticamente tutto da soli... basta che leggi un secondo le istruzioni.