Доброй ночи!
Вылетает ошибка “недостаточно квот для обработки команды” Т.е. нет доступа к файлам с расширением avc и avz – не копирует и не удаляет. Не запускаются некоторые программы. Вирус?
Заранее спасибо!
Printable View
Доброй ночи!
Вылетает ошибка “недостаточно квот для обработки команды” Т.е. нет доступа к файлам с расширением avc и avz – не копирует и не удаляет. Не запускаются некоторые программы. Вирус?
Заранее спасибо!
Вот еще два файлика (не прикрепились сразу)
[b]virusinfo_cure.zip [/b] удалите через мой кабинет -- вложения. Это карантин, его к теме не прикрепляют.
1.Скачайте [url=http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip]IceSword[/url].
Запустите программу.
Внизу слева выберите меню File.
Появится аналог проводника. Найдите в нем файлы:
[quote]
C:\WINDOWS\system32\vmmreg32.dll
C:\WINDOWS\SYSTEM32\VIDEO.sys
C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
C:\WINDOWS\SYSTEM32\winhelp32.exe[/quote]
Нажмите по каждому правой кнопкой мыши и выберите force delete.
На запрос потверждения ответьте "да".
2.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\services.exe','');
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\services.exe');
BC_ImportAll;
BC_DeleteSvc('VIDEO');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=28841[/url]
Повторите логи.
Удалила, извините, пожалуйста.
Из того что вы прикрепили в архиве.
C:\WINDOWS\services.exe - [b]Trojan-Proxy.Win32.Small.vu[/b], C:\WINDOWS\system32\vmmreg32.dll - [b]Trojan.Win32.BHO.gcs[/b]
HJTsetup.com - это переименованный HJT?
[quote=wise-wistful;273487]Из того что вы прикрепили в архиве.
C:\WINDOWS\services.exe - [B]Trojan-Proxy.Win32.Small.vu[/B], C:\WINDOWS\system32\vmmreg32.dll - [B]Trojan.Win32.BHO.gcs[/B]
HJTsetup.com - это переименованный HJT?[/quote]
Да, он скачался с непонятным расширением, переименовала его в .com
Карантин отправила.
Логи:
Отключите Восстановление системы - там копии врагов живут.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
DeleteFile('C:\System Volume Information\_restore{1F02D231-D67C-4D33-B581-D276D8194193}\RP1\A0001098.com');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Повторите логи.
Теперь вроде все программы выполняются, но из автозагрузки пропали все, кроме одной.
Новые логи:
Да к сожалению этот вирус так себя ведёт - убивает автозагрузку. прийдётся добавить ярлыки нужных программ в атозагрузку
Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O20 - AppInit_DLLs: vmmreg32.dll[/CODE]
hijackthis.log - повторите.
Выдалось такое сообщение - это нормально?
An unexpected error has occurred at procedure: modBackup_MakeBackup(sItem=O20 - AppInit_DLLs: vmmreg32.dll)
Error #5 - Invalid procedure call or argument
Please email me at [email][email protected][/email], reporting the following:
* What you were trying to fix when the error occurred, if applicable
* How you can reproduce the error
* A complete HijackThis scan log, if possible
Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2900.2180
HijackThis version: 1.99.1
This message has been copied to your clipboard.
Click OK to continue the rest of the scan.
новый hijackthis.log
всё. нормально. прибили последние следы врага.
Спасибо огромное!!!
А avz опять не запускается (запускается только в усеченном виде) с той же самой фразой "недостаточно квот..."
Разобралась, так происходит, когда в трее висит nod32, выгружаю его, все нормально работает. Вопрос кажется снят.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]