Недостаточно квот для обработки команды

**Andrey_AY** · 22.07.2008, 20:02

Здравствуйте.
Сегодня слетел KAVwinworkstation6.0.
Пишет сигнатуры повреждены. При попытке обновить через инет или локальную папку пишет “ошибка файловой операции”. Пробовалудалить AVP неполучаетсяпишет: “Внутренняяошибка 2324. 1816, C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Bases\base001.avc” Нельзяразархивироватьбазыизархива (av-i386-cumul.zip) виндаговорит “недостаточноквотдляобработкикоманды” Т.е. нетдоступакфайламсрасширением avc и avz (может и другие) – некопируетинеудаляет. Пробовал загружаться в безопасном режиме - AVPпоказывает что сигнатуры обновлены от 2035 года и так же нет доступа к файлам base. AVZесли скачивать с вашего сайта в архиве avz4.zip, то потом нельзя разархивировать все файлы, в имени которых base, а без них avzзапускается бес шрифтов. Скачал AVZпо другой ссылке где он переименован как game.exe (лежит на раб. столе)– базы от 06,04,2008 обновить вкладка не доступна.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**wise-wistful** · 22.07.2008, 20:44

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\syslink.dll','');
 QuarantineFile('C:\WINDOWS\system32\irptp.sys','');
 QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
 DeleteFile('C:\WINDOWS\system32\svshost.dll');
 DeleteFile('C:\WINDOWS\system32\irptp.sys');
 DeleteFile('C:\WINDOWS\system32\syslink.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=26893

Повторите логи.

**Andrey_AY** · 22.07.2008, 21:31

скрипт выполнил (после перезагрузки AVP завелся, доступ к файлом появился!), карантин выслал, логи повторил. Что-то нужно еще сделать?

**wise-wistful** · 22.07.2008, 21:41

Лучше скачать нормальную версию АВЗ, обновить базы.

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('syslink.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O20 - Winlogon Notify: syslink - syslink.dll (file missing)

Повторите логи начиная с п.10 правил, только в нормальной версии АВЗ с обновлёнными базами.

**Andrey_AY** · 22.07.2008, 22:03

Скачал и обновил АВЗ, скрипт выполнил, пофиксил, логи сделал.
что еще?
и можно узнать что было? и как так получилось с авп базы регулярно обновлялись

**V_Bond** · 22.07.2008, 22:14

C:\rubin\vulin\Bin\vinsound.exe если єто что-то ваше , то больше ничего подозрительного ...

**Andrey_AY** · 22.07.2008, 22:23

Да это наше.
Название вуруса можно узнать и как он проник через авп?

**wise-wistful** · 22.07.2008, 22:28

В карантин попал только - syslink.dll - Trojan-Spy.Win32.Goldun.aox.

**Andrey_AY** · 22.07.2008, 22:32

Ок! Спасибо

**Andrey_AY** · 26.07.2008, 04:40

После тех событий обновили авп он попросил перезагрузить винду после чего перестали запускаться приложения (*.exe). После 2х секунд где-то после того как загрузится винда приложения перестают загружаться - выдает ошибку "Инструкция по адресу "0х0014е0b8" обратилась к памяти по адресу "0х0019у000". Память не может быть "read"". За эти 2 секунды и успеваешь запусть авз и explorer

**Rene-gad** · 26.07.2008, 13:36

Выполните скрипт

Код:

begin
executerepair(5);
executerepair(8);
executerepair(11);
executerepair(16);
executerepair(17);
RebootWindows(true);
end.

После перезагрузки повторите логи в порядке, указанном в правилах.

**Andrey_AY** · 26.07.2008, 16:51

Выполнил логи сделал. Ошибка ушла!

**V_Bond** · 26.07.2008, 16:56

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пофиксите ...

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

пришлите карантин согласно приложения 3 правил ...
повторите логи ....

**Andrey_AY** · 26.07.2008, 18:25

Скрипт выполнил, пофиксить не удалось т.к. не было этой строчки F2 - ntos.exe, логи сделал. Карантин скинул на ссылку, которая была выше. Что еще?

**Rene-gad** · 26.07.2008, 18:28

Сообщение от Andrey_AY

Что еще?

Так это к Вам вопрос: какие проблемы существуют в настоящий момент?

**Andrey_AY** · 26.07.2008, 18:35

Проблем нет. Думал может еще где-то что-то надо удалить.

**Rene-gad** · 26.07.2008, 18:45

Сообщение от Andrey_AY

Проблем нет. Думал может еще где-то что-то надо удалить.

Ну если обязательно хотите что-нибудь удалить, то мы Вам конечно найдем.

В логах следов заражения по крайней мере не видно.

**Andrey_AY** · 26.07.2008, 18:51

Спасибо!

Добавлено через 2 минуты

ntos.exe - страшный вирус! он удален?

**Rene-gad** · 26.07.2008, 18:59

Сообщение от Andrey_AY

он удален?

В логах следов заражения по крайней мере не видно.

Сообщение от Andrey_AY

ntos.exe - страшный вирус!

а чем он страшнее других?

И потом - под этим именем сегодня существуют десятка три-четыре зловредов, отличающихся функционалом. Какой именно Вы считаете самым ужасным?

**Andrey_AY** · 26.07.2008, 19:03

Тот что шифрует пользовательские файлы со всеми расширениями!
Но в любом случаи спасибо!

Недостаточно квот для обработки команды (заявка № 26893)

Опции темы