La CPU NTVDM: El Regreso (CERRADO)

[JethroTull]

Hola. Hace algo así como un mes conté mi problema y vimos que no se trataba de virus ni otra alimania. El amigo msc hotline sat no entendió bien que mi Windows no quería repararse, pero no viene al caso. Aquí está el asunto: [url]https://foros.zonavirus.com/viewtopic.php?p=115521#115521[/url]



Bueno. La cosa es que descubrí al culpable, y éste no es otro que.... ¡el ElistarA! :shock:



Bien, no del todo, pero el problema se produce al pasar el ElistarA. Como había reaparecido, decidí reformatear e ir probando en qué momento aparecía el problema. Tras 3 formateos y el uso de la restauración del sistema, entre otras cosas, finalmente SIEMPRE se producía el error después de pasar ElistarA por primera vez. En la ocasión anterior fue con una versión más vieja del ElistarA, esta vez con la última.



La cosa es así: mi motherboard-basura (nunca compren Biostar, yo la recibí en pago por un trabajo) tiene sonido on-board. El chip es Realtek, y al instalar los drivers, se instala también un programa (ALCMTR.EXE) que ElistarA (y ningún otro antivirus, hasta donde pude comprobar) lo detecta como infectado con SpyRealtek. En VirusTotal me detectó 0 de 32. En mi propia PC ni el avast ni el a-squared detectan nada en ese archivo. Me suena a un falso positivo en ElistarA. O tal vez signifique que ElistarA es mucho mejor que todos los demás, lo cual no me asombraría.



Como verán, mi intención es mejorar ElistarA y no otra, y en lo posible ayudar a otros que tengan mi mismo problema.



He aquí el InfoSat (como no conservé los anteriores, lo corrí de nuevo y todo volvió a ocurrir, por suerte hice un punto de restauración):


[quote]
Thu Nov 01 13:58:22 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (Y)

open=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (Z)

OPEN=CDLAUNCH.EXE P=AUTOMAPA

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Thu Nov 01 13:59:13 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Realtek\Audio\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 6680

Nº Total de Ficheros: 67217

Nº de Ficheros Analizados: 18999

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1
[/quote]

Las unidades Y y Z son CDs virtuales.

[lucl]

Bien, envianos ese archivo y te diremos si es un falso positivo o que, y gracias por avisarnos sobre esto, saludos





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



https://foros.zonavirus.com/detecciones-de-falsos-positivos-en-utilidades-de-evaluacion-vt19441.html

[JethroTull]

Enviado.

[lucl]

Gracias, pues en cuanto lo recibamos y lo analicen te diran algo al respecto, espero que siguieras bien las indicaciones del link y pusieras falso positivo para que lo vieran, gracias de nuevo y saludos

[JethroTull]

Esto es lo que escribí en el mail:


[quote]Adjunto el archivo que el ElistarA detecta como positivo y me rompe el NTVDM.



La password es VIRUS (en mayúsculas) y también marqué la opción de codificarlo.[/quote]

[msc hotline sat]

Y supongo que pusiste como referencia "JethroTull" como se indica, sino no se sabrá de quien es...



SI no lo has hecho, repite el envio, y el lunes, cuando volvamos a trabajar en SATINFO (hoy es puente de Todos los Santos) ya se analizará e informará



saludos



ms, 2-11-2007



Nota: Pero si te refieres al C:\WINDOWS\ALCMTR.EXE , este es ya un conocido espia que instala la instalacion de los drivers de REALTEK , y el ELISTARA lo detecta y elimina, pero él y otras muchas utilidades que lo conocen, y no es un error, es un espia innecesario, no es ningun fallo del ELISTARA !



Pero aparte de ralentizar y espiar, no es maligno, asi que si eres masoquista y quieres tenerlo, dejalo estar ...:wink: ms.

[JethroTull]

Bueno, sí puse Ref:JethroTull. Y puede que sea masoquista dejándolo, pero si lo quito es mucho más molesto el error :wink:



De todos modos es ese mismo (aunque no en C:\WINDOWS sino en C:\Archivos de Programa\Realtek\Audio\InstallShield\ALCMTR.EXE).



Y la verdad sólo me lo detecta el ElistarA, como dije antes, porque el a-squared y el avast no lo detectan como alimaña y en VirusTotal todos los scanners lo detectaron como limpio :?:



Lo que voy a probar es qué pasa si lo quito manualmente.



Gracias.

[JethroTull]

Novedades, y no muy buenas.



Quité los dos ALCMTR.EXE (el de Windows y el de Archivos de programa) y no pasó nada, todo siguió funcionando.



Entonces creé un punto de restauración y corrí el ElistarA, ni bien empezó, ya estropeó algo porque me da el error.



Es rarísimo y debe estar relacionado con el hardware de mi PC (algún driver) por eso pensaba que el problema era con el ALCMTR.EXE, pero no, simplemente coincidencia porque ese programa estaba siempre que corría el ElistarA y éste siempre lo quitaba. En realidad es otra cosa que hace el ElistarA, por suerte la restauración de Windows funciona, aunque ahora la voy a desactivar porque todo el mundo recomienda hacerlo.



Cosa extraña: mi hermano tiene una PC con una motherboard Biostar (otro modelo) y no le ocurre ésto (aunque debería confirmarlo). Y tengo en red una Pentium II con el mismo Windows que la mía y el ElistarA no le hace ese efecto.



Sospechosos: drivers del chip VIA de la motherboard. Y creo que nada más porque drivers de nVidia tiene medio mundo y nadie tiene problemas de este tipo y les recuerdo que el problema aparece con el Windows únicamente instalado (sin otros programas). Lo que no sé si probé (y ahora es un poco incómodo hacerlo) es instalar Windows y correr ElistarA sin instalar ningún driver.



Bueno, en fin, que ya me volví loco :?

[msc hotline sat]

A ver, recomendamos desactivar la restauracion de sistema cuando se va a eliminar un virus con cualquier antivirus, para poder arrancar en modo seguro y acceder a la carpeta del SYSTEM VOLUME INFORMATION _RESTORE del XP, lo cual no es posible de otro modo, pero una vez pasado el antivirus, debe volver a acativar, pue sino no haría copias de puntos de restauracion para poder volver a ellos en caso necesario.



Y revisando su anterior Tema https://foros.zonavirus.com/viewtopic.php?p=115521#115521 no es que no se le entendiera, es que hizo justamente lo contrario de lo que se le decía, pues REINSTALANDO se pierden todas las aplicaciones instaladas, mientras que REPARANDO solos e sobreescriben los ficheros de sistema, y por eso se recomienda solo REPARAR, y si no es posible no hacer nada, pero no hacer lo contrario !



Pero en fin, vemos que no confia demasiado en el ELISTARA que cada día potenciamos mas implementando nuevos controles de troyanos que van apareciendo, y que tanto ha beneficiado a los foreros de zonavirus como a otros que la tienen por estar asociados a SATINFO, y otros que la han probado sin lo uno ni lo otro ... :roll: , pero dele un voto de confianza, que son mas de 1 millón de descargas solo desde esta web !


[quote]Descargar EliStarA 14.95



Tamaño Descargados Licencia Web

311,52 Kb. 1001006 Copyright SATINFO [/quote]

..., pero si no la quiere probar, ni hacer caso, nadie le obliga ! :wink:



Y sobre el ALCMTR.EXE cuando menos es un residente que no hace ninguna falta, y cuando mas puede ser un espia de Realtek..., pero si lo deja tampoco es nada grave.

[JethroTull]

Perdón, pero nada de lo que etás diciendo coincide con mis puntos de vista. :D



En el otro thread dije claramente que NO ME APARECIA LA OPCION DE REPARAR, salvo para abrir la consola de reparación que sólo Bill Gates sabrá para qué sirve y cómo se usa :lol:



Y no hay ninguna desconfianza hacia ElistarA, de hechola he instalado en cuanta PC me pasa cerca y, como dije al principio, si cuento un problema es para mejorarla y no por otra cosa.



Hechos: cuando ejecuto ElistarA deja de funcionar la consola de 16 bits NTVD y recibo error. Y sólo si ejecuto ElistarA. He reinstalado todos los programas que uso, haciendo un punto de restauración después de cada uno y en ningún caso tuve errores, pero cada vez que corro ElistarA (y exclusivamente en ESTA PC y no en ninguna otra) se me rompe la consola de 16 bits.


[quote]Sospechosos: drivers del chip VIA de la motherboard.[/quote]
Esto dice claramente que no se trata de desconfianza sobre el ElistarA.



Además:[quote]
Thu Nov 01 13:58:22 2007

EliStartPage v14.92 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa): [/quote]
Dice claramente que no es que no la quiero probar.



Por otra parte, si no quisiera probarla, ¿qué es todo lo que escribí en este hilo? Precisamente estoy hablando de lo que ocurre CUANDO USO ELISTARA, es decir, sí lo he probado :?:

[msc hotline sat]

Bien, solo dar dos opiniones mas sobre el ALCMTR:



http://www.bleepingcomputer.com/startups/ALCMTR.EXE-240.html


[quote]Command: ALCMTR.EXE

Description: Realtek AC97 Audio - Event Monitor. "Sypware" file used surreptitiously monitor one's actions. It is not a sinister one, like remote control programs, but it is being used by Realtek to gather data about customers [/quote]



_____







http://www.kernelnet.com/component/option,com_glossary/func,display/letter,All/page,2/catid,80/Itemid,49/


[quote]ALCMTR.EXE - Alcxmntr.exe Archivo Fabricante: ALCMTR.EXE - Alcxmntr.exe

Riesgo a la seguridad: SI

Se conecta a Internet ó Red: SI

No Permitir [/quote]

_____



Y sobre su caso en particular, igual su placa base o su Bios precisa drivers o claves atipicas (no creo que sea el ALCMTR.EXE, pero vaya a saber !) que precisa para correr el NTVDM, pero sería un caso atípico del que no tenemos constancia, de todas formas solo se usa para programas antiguos de 16 bits, no para los actuales de 32.



Desde luego si le pasa cada vez que usa el ELISTARA es significativo de que eliminamos o modificamos algo que su máquina utiliza, y que en otros casos es necesario, pero vaya a saber lo que es, pues en el infosat solo aparece lo del ALCMTR.EXE... vea de restaurarlo que le vaya todo bien y si probar el ELISTARA, con el HJT eliminar solo la clave del ALCMTR, marcando la casilla de la izquierda de la clave donde se lanza (lo encontrará con edicion -> buscar->ALCMTR) y pulsar FIX CHECKED, luego reinicie y vea si ya le va mal lo del NTVDM y sabremos que es por eso ??? en funcion de ello, obraremos en consecuencia.



saludos



ms, 2-11-2007

[JethroTull]

No, en mi penúltimo post lo que digo es que removí manualmente el ALCMTR.EXE y no tuve problemas, todo siguió funcionando bien, pero cuando pasé el ElistarA volvió a ocurrir el problema, aún que me decía que no había eliminado nada :?:



La consola de compatibilidad con 16 bits la usan unos programas que empleo en mi trabajo y necesito que funcione.



Gracias.

[msc hotline sat]

Y como eliminaste manualmente el ALCMTR.EXE, lo desinstalastes desde Agregar o quitar programas, lo eliminaste del registro borrando la clave como te decia o simplemente borraste el fichero ???



A ver si con ello entendemos lo que le pasa a este ordenador... pero es extraño que sea algo relativo a esto ???



saludos



ms, 2-11-2007

[JethroTull]

No, lo quité de los directorios donde estaba (en realidad lo moví a CD por las dudas) No puedo quitarlo con desinstalador porque forma parte de los drivers de audio.



Pero la realidad es que lo del programa ese era un tema aparte. Sin él, después de pasar el ElistarA me da error igualmente, y no hay nada borrado (o al menos no lo dice) :?:

[msc hotline sat]

Eso solo es aparcar el fichero, elimina manualmente la clave y dinos si con ello surge el problema, que igual los árboles no nos dejan ver el bosque, estamos centrando el problema en este dichoso fichero y sus claves... y a lo mejor no tienen que ver con lo que te causa el problema...



Instalalo todo, y con el HJT elimina la clave y luego l fichero de marras (arrancando en modo seguro) y mira si realmente con ello, tras reiniciar, ya aparece el problema y nos lo cuentas



Si es asi, reconoceremos que tienes necesidad de ello, aunque nos extrañe, pero ante la evidencia... pero claro, hazlo a mano, sabiendo lo que haces y que haces solo esto, ya que el ELISTARA revisa todo el registro y restaura en el registro lo que encuentra alterado.



saludos



ms, 3-11-2007

[JethroTull]

Buno, en el registro no figura ninguna mención al ALCMTR.EXE, salvo la de Run- (o sea, quitado del autoinicio), que igualmente la borré.



Hecho ésto, reinicié la PC, creé un punto de restauración, corrí ElistarA y volvió a romper la CPU NTVDM :cry:



Restaurado y, bueno, qué se le va a hacer. Al menos terminó sin errores y sé que el equipo está en el punto anterior a correr ElistarA y sin alimañas :D



Gracias.

[msc hotline sat]

No se si no me he explicado bien, le pediamos que eliminara manualmente el fichero y la clave del RUN, sin pasar el ELISTARA, a ver si asi, sin el ELISTARA, le daba problemas, y nos dice:



"no figura ninguna mención al ALCMTR.EXE, salvo la de Run" justamente la clave que le pedimos elimine con el HJT ...



Si quiere hacerlo, hagalo, para saber cual es el problem, si la clave, el fichero, las dos cosas u otra cosa que no tenga nada que ver con ello, y que al restaurarla el ELISTARA le fastidia, pero si no hace lo indicado, no lo vamos a saber...



saludos



ms, 3-11-2007

[JethroTull]

[quote]...en el registro no figura ninguna mención al ALCMTR.EXE, salvo la de Run- (o sea, quitado del autoinicio), que igualmente la borré...[/quote]
No la de RUN sino la de [b]RUN-[/b], que significa dehabilitado. Que de todos modos, omo digo, la borré antes de correr ElistarA.



Y no sé qué es el HJT :?: El registro suelo editarlo manualmente.

[msc hotline sat]

Pues en este foro no se aconseja el REGEDIT, por lo delicado que es el registro, preferimos usar el HJT (HiJackThis) o las utilidades que hacemos al respecto, para restaurar el registro, sin utilizar el REGEDIT.

Y si no sabias lo que era el HJT, es que no te has paseado suficientemente por este foro...

Logico que decias que no te entendiamos, ni tu a nosotros cuando hablabamos de FIX CHECKED o de las claves RUN que en el HJT están dentro del apartado O4, y donde fueres haz lo que vieres, no nos hables en terminos de RUN- que utilizamos en los .reg, pues ya en 1993 hicimos para este foro el BUSCAREG para poder evitar el uso del REGEDIT en un resto de MSA32CHK.DLL que quedaba en el registro tras eliminar algunos troyanos, y al ser ejecutado por una RUNDLL32.EXE ... daba error si no se eliminaba dicha clave, tras eliminar el fichero.

Y a partir de entones (ya hace 4 años) nos hemos desentendido del REGEDIT, desarrollando utilidades que a traves del C++ modificamos el registro sin que el usuario corra riesgos.

Informate en dicho apartado, y mirate: viewtopic.php?f=13&t=11007


y para practicar:

HJT : (HiJackThis)

¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\
Ejecútarlo y presionar el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis

Una vez estés familiarizado con el foro y los métodos que utilizamos, si quieres, vuelve a postear, pero utilizando nuestro idioma para poder entendernos mejor.

Se cierra este Tema en consecuencia, si bien postearemos en él el resultado del analisis del fichero solicitado, si llega a nuestras manos.

saludos

ms, 4-11-2007

[msc hotline sat]

Recibido fichero ALCMTR.EXE postcierre.



Ya controlado por ELISTARA actual



ms.