Недостаточно квот для обработки команды

**Aelite** · 25.08.2008, 02:33

Доброй ночи!

Вылетает ошибка “недостаточно квот для обработки команды” Т.е. нет доступа к файлам с расширением avc и avz – не копирует и не удаляет. Не запускаются некоторые программы. Вирус?

Заранее спасибо!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Aelite** · 25.08.2008, 02:38

Вот еще два файлика (не прикрепились сразу)

**wise-wistful** · 25.08.2008, 02:56

virusinfo_cure.zip удалите через мой кабинет -- вложения. Это карантин, его к теме не прикрепляют.

1.Скачайте IceSword.
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы:

C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\winhelp32.exe

Нажмите по каждому правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".

2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\services.exe','');
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
 QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
 DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
 DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
 DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\services.exe');
BC_ImportAll;
BC_DeleteSvc('VIDEO');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=28841

Повторите логи.

**Aelite** · 25.08.2008, 02:57

Удалила, извините, пожалуйста.

**wise-wistful** · 25.08.2008, 03:07

Из того что вы прикрепили в архиве.
C:\WINDOWS\services.exe - Trojan-Proxy.Win32.Small.vu, C:\WINDOWS\system32\vmmreg32.dll - Trojan.Win32.BHO.gcs
HJTsetup.com - это переименованный HJT?

**Aelite** · 25.08.2008, 03:13

Сообщение от wise-wistful

Из того что вы прикрепили в архиве.
C:\WINDOWS\services.exe - Trojan-Proxy.Win32.Small.vu, C:\WINDOWS\system32\vmmreg32.dll - Trojan.Win32.BHO.gcs
HJTsetup.com - это переименованный HJT?

Да, он скачался с непонятным расширением, переименовала его в .com

**Aelite** · 25.08.2008, 03:47

Карантин отправила.
Логи:

**wise-wistful** · 25.08.2008, 03:56

Отключите Восстановление системы - там копии врагов живут.

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
 DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
 DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
 DeleteFile('C:\System Volume Information\_restore{1F02D231-D67C-4D33-B581-D276D8194193}\RP1\A0001098.com');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Повторите логи.

**Aelite** · 25.08.2008, 04:17

Теперь вроде все программы выполняются, но из автозагрузки пропали все, кроме одной.

Новые логи:

**wise-wistful** · 25.08.2008, 04:30

Да к сожалению этот вирус так себя ведёт - убивает автозагрузку. прийдётся добавить ярлыки нужных программ в атозагрузку

Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O20 - AppInit_DLLs: vmmreg32.dll

hijackthis.log - повторите.

**Aelite** · 25.08.2008, 04:35

Выдалось такое сообщение - это нормально?

An unexpected error has occurred at procedure: modBackup_MakeBackup(sItem=O20 - AppInit_DLLs: vmmreg32.dll)
Error #5 - Invalid procedure call or argument

Please email me at [email protected], reporting the following:
* What you were trying to fix when the error occurred, if applicable
* How you can reproduce the error
* A complete HijackThis scan log, if possible

Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2900.2180
HijackThis version: 1.99.1

This message has been copied to your clipboard.
Click OK to continue the rest of the scan.

**Aelite** · 25.08.2008, 04:39

новый hijackthis.log

**wise-wistful** · 25.08.2008, 04:42

всё. нормально. прибили последние следы врага.

**Aelite** · 25.08.2008, 04:47

Спасибо огромное!!!

**Aelite** · 25.08.2008, 05:24

А avz опять не запускается (запускается только в усеченном виде) с той же самой фразой "недостаточно квот..."

**Aelite** · 25.08.2008, 05:37

Разобралась, так происходит, когда в трее висит nod32, выгружаю его, все нормально работает. Вопрос кажется снят.

**CyberHelper** · 22.02.2009, 07:29

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения вредоносные программы в карантинах не обнаружены

Недостаточно квот для обработки команды (заявка № 28841)

Опции темы