SYN-флуд и постоянно создается synsenddrv.sys (Trojan.NtRootKit.1653)

Доброго времени суток!
Столкнулся с такой проблемой.. одна из машин в сети постоянно атакует сервера sfe2a.masterhost.ru, sfe2b.masterhost.ru, ns.km23113-04.keymachine.de и др. SYN-флудом. Антивирус (DrWeb EntEdit) молчит, но при обновлении постоянно выдает ошибку обновления данной машины (в отчете сервера). При загрузке создается драйвер synsenddrv.sys, который заражен Trojan.NtRootKit.1653, лечится, но тем не менее атака продолжается... На форуме нашел тему ([url]http://virusinfo.info/showthread.php?t=33732[/url]) по данному вирусу, но там тишина. Так же выкладываю архив Проблема.zip с логами антивируса, в котором упоминается synsenddrv.sys, удаляемый при загрузке, список процессов, запущенных во время атаки (System Idle Process.txt), снисок используемых портов и процессов (Список TCP-UDP портов.mht), и подозреваемые файлы в архивах с паролем 123.
Очень прошу помощи! Заранее спасибо!

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SetAVZGuardStatus(True);
DeleteService('synsend');
QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\00000ADC.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\00000ADC.sys');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('synsend');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...

При выполнении скрипта комп ребутнулся. Как я понимаю - это нормальная реакция. Как я понял по скрипту, то фал synsenddrv.sys должен поместиться в карантин. Скорее всего этого сделать не удалось, потому что он создается при загрузке компа (при загрузке с LiveCD я его не нашел), и тут же удаляется антивирусом.
Да, и при вложении логов вот такое сообщение вышло:
virusinfo_syscheck.zip:
Вы уже вложили этот файл в теме: SYN-флуд и постоянно создается synsenddrv.sys (Trojan.NtRootKit.1653)
virusinfo_syscure.zip:
Вы уже вложили этот файл в теме: SYN-флуд и постоянно создается synsenddrv.sys (Trojan.NtRootKit.1653)

Правила читайте, как карантин присылать!

Сорри! Логи повторяю...:262: Карантин загружен.

Пожалуйста, логи... Но при загрузке опять нашелся synsenddrv.sys. Видимо он создается от системной учетной записи, так как создается и антивирус на него реагирует даже при загрузке в пользовательской учетке!

[URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачать[/URL],меню,File,появится аналог проводника,найти:

[CODE]C:\WINDOWS\system32\drivers\synsenddrv.sys [/CODE]

правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('wxdmk');
DeleteFile('C:\WINDOWS\system32\drivers\00000865.sys');
DeleteFile('C:\WINDOWS\system32\drivers\xrlhtb.sys');
DeleteService('synsend');
DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('wxdmk');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Повторите логи...

[QUOTE=Гриша;311552][URL="http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip"]Скачать[/URL],меню,File,появится аналог проводника,найти:

[CODE]C:\WINDOWS\system32\drivers\synsenddrv.sys [/CODE]

правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.
[/QUOTE]

Данный файл не находится в указанном месте. Я ж говорю, при старте службы агента DrWeb он (антивирус) его (файл synsenddrv.sys) лечит и тем самым удаляет о чем приходит оповещение на сервер. А создается она до загрузки антивируса. НО при включении компьютера, так как после выключения, если загрузться с LiveCD файла synsenddrv.sys тоже не наблюдается!
Стоит ли остальные манипуляции производить?

[size="1"][color="#666686"][B][I]Добавлено через 13 минут[/I][/B][/color][/size]

И еще такой вопрос, обязательно ли производить оба скрипта
[QUOTE]Диагностика

1. ............... "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". .......
*Обязательно перезагрузите компьютер, так как AVZ в ходе проверки системы может нарушить работу некоторого ПО (в частности, антивирусов и брандмауэров). После перезагрузки ПО продолжит корректную работу.

2. .............."Скрипт сбора информации для раздела "Помогите!" virusinfo.info". ..............[/QUOTE]
Первый уж нереально долго мусолит...

Готовы отчеты.

В логах чисто...

[QUOTE=Гриша;311633]В логах чисто...[/QUOTE]
Спасибо большое! Вроде и в системе спокойно...
Если что-то изменится - отпишусь!
Гриша, есть такой вопрос... Можно ли объяснить на словах, что мы проделали, выполняя данные скрипты и что было источником проблемы?

Источником проблемы был руткит, как его зовут сказать не могу,т.к. в карантин он не попал...

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]