SYN-флуд и постоянно создается synsenddrv.sys (Trojan.NtRootKit.1653)
Доброго времени суток!
Столкнулся с такой проблемой.. одна из машин в сети постоянно атакует сервера sfe2a.masterhost.ru, sfe2b.masterhost.ru, ns.km23113-04.keymachine.de и др. SYN-флудом. Антивирус (DrWeb EntEdit) молчит, но при обновлении постоянно выдает ошибку обновления данной машины (в отчете сервера). При загрузке создается драйвер synsenddrv.sys, который заражен Trojan.NtRootKit.1653, лечится, но тем не менее атака продолжается... На форуме нашел тему (http://virusinfo.info/showthread.php?t=33732) по данному вирусу, но там тишина. Так же выкладываю архив Проблема.zip с логами антивируса, в котором упоминается synsenddrv.sys, удаляемый при загрузке, список процессов, запущенных во время атаки (System Idle Process.txt), снисок используемых портов и процессов (Список TCP-UDP портов.mht), и подозреваемые файлы в архивах с паролем 123.
Очень прошу помощи! Заранее спасибо!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
При выполнении скрипта комп ребутнулся. Как я понимаю - это нормальная реакция. Как я понял по скрипту, то фал synsenddrv.sys должен поместиться в карантин. Скорее всего этого сделать не удалось, потому что он создается при загрузке компа (при загрузке с LiveCD я его не нашел), и тут же удаляется антивирусом.
Да, и при вложении логов вот такое сообщение вышло:
virusinfo_syscheck.zip:
Вы уже вложили этот файл в теме: SYN-флуд и постоянно создается synsenddrv.sys (Trojan.NtRootKit.1653)
virusinfo_syscure.zip:
Вы уже вложили этот файл в теме: SYN-флуд и постоянно создается synsenddrv.sys (Trojan.NtRootKit.1653)
Последний раз редактировалось kps; 19.11.2008 в 17:31.
Причина: Удилил карантин
Пожалуйста, логи... Но при загрузке опять нашелся synsenddrv.sys. Видимо он создается от системной учетной записи, так как создается и антивирус на него реагирует даже при загрузке в пользовательской учетке!
правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.
Данный файл не находится в указанном месте. Я ж говорю, при старте службы агента DrWeb он (антивирус) его (файл synsenddrv.sys) лечит и тем самым удаляет о чем приходит оповещение на сервер. А создается она до загрузки антивируса. НО при включении компьютера, так как после выключения, если загрузться с LiveCD файла synsenddrv.sys тоже не наблюдается!
Стоит ли остальные манипуляции производить?
Добавлено через 13 минут
И еще такой вопрос, обязательно ли производить оба скрипта
Диагностика
1. ............... "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". .......
*Обязательно перезагрузите компьютер, так как AVZ в ходе проверки системы может нарушить работу некоторого ПО (в частности, антивирусов и брандмауэров). После перезагрузки ПО продолжит корректную работу.
2. .............."Скрипт сбора информации для раздела "Помогите!" virusinfo.info". ..............
Первый уж нереально долго мусолит...
Последний раз редактировалось mc-sim; 19.11.2008 в 17:25.
Причина: Добавлено
Спасибо большое! Вроде и в системе спокойно...
Если что-то изменится - отпишусь!
Гриша, есть такой вопрос... Можно ли объяснить на словах, что мы проделали, выполняя данные скрипты и что было источником проблемы?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: