Показано с 1 по 13 из 13.

SYN-флуд и постоянно создается synsenddrv.sys (Trojan.NtRootKit.1653) (заявка № 34145)

  1. #1
    Junior Member Репутация
    Регистрация
    21.10.2008
    Сообщений
    38
    Вес репутации
    57

    Thumbs up SYN-флуд и постоянно создается synsenddrv.sys (Trojan.NtRootKit.1653)

    Доброго времени суток!
    Столкнулся с такой проблемой.. одна из машин в сети постоянно атакует сервера sfe2a.masterhost.ru, sfe2b.masterhost.ru, ns.km23113-04.keymachine.de и др. SYN-флудом. Антивирус (DrWeb EntEdit) молчит, но при обновлении постоянно выдает ошибку обновления данной машины (в отчете сервера). При загрузке создается драйвер synsenddrv.sys, который заражен Trojan.NtRootKit.1653, лечится, но тем не менее атака продолжается... На форуме нашел тему (http://virusinfo.info/showthread.php?t=33732) по данному вирусу, но там тишина. Так же выкладываю архив Проблема.zip с логами антивируса, в котором упоминается synsenddrv.sys, удаляемый при загрузке, список процессов, запущенных во время атаки (System Idle Process.txt), снисок используемых портов и процессов (Список TCP-UDP портов.mht), и подозреваемые файлы в архивах с паролем 123.
    Очень прошу помощи! Заранее спасибо!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteService('synsend');
     QuarantineFile('C:\WINDOWS\system32\drivers\synsenddrv.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\00000ADC.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\00000ADC.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('synsend');
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  4. #3
    Junior Member Репутация
    Регистрация
    21.10.2008
    Сообщений
    38
    Вес репутации
    57

    готово

    При выполнении скрипта комп ребутнулся. Как я понимаю - это нормальная реакция. Как я понял по скрипту, то фал synsenddrv.sys должен поместиться в карантин. Скорее всего этого сделать не удалось, потому что он создается при загрузке компа (при загрузке с LiveCD я его не нашел), и тут же удаляется антивирусом.
    Да, и при вложении логов вот такое сообщение вышло:
    virusinfo_syscheck.zip:
    Вы уже вложили этот файл в теме: SYN-флуд и постоянно создается synsenddrv.sys (Trojan.NtRootKit.1653)
    virusinfo_syscure.zip:
    Вы уже вложили этот файл в теме: SYN-флуд и постоянно создается synsenddrv.sys (Trojan.NtRootKit.1653)
    Последний раз редактировалось kps; 19.11.2008 в 17:31. Причина: Удилил карантин

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Правила читайте, как карантин присылать!

  6. #5
    Junior Member Репутация
    Регистрация
    21.10.2008
    Сообщений
    38
    Вес репутации
    57
    Сорри! Логи повторяю... Карантин загружен.

  7. #6
    Junior Member Репутация
    Регистрация
    21.10.2008
    Сообщений
    38
    Вес репутации
    57
    Пожалуйста, логи... Но при загрузке опять нашелся synsenddrv.sys. Видимо он создается от системной учетной записи, так как создается и антивирус на него реагирует даже при загрузке в пользовательской учетке!
    Вложения Вложения

  8. #7
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Скачать,меню,File,появится аналог проводника,найти:

    Код:
    C:\WINDOWS\system32\drivers\synsenddrv.sys
    правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('wxdmk');
     DeleteFile('C:\WINDOWS\system32\drivers\00000865.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\xrlhtb.sys');
     DeleteService('synsend');
     DeleteFile('C:\WINDOWS\system32\drivers\synsenddrv.sys');     
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('wxdmk');
    BC_Activate;
    RebootWindows(true);
    end.
    Повторите логи...

  9. #8
    Junior Member Репутация
    Регистрация
    21.10.2008
    Сообщений
    38
    Вес репутации
    57
    Цитата Сообщение от Гриша Посмотреть сообщение
    Скачать,меню,File,появится аналог проводника,найти:

    Код:
    C:\WINDOWS\system32\drivers\synsenddrv.sys
    правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.
    Данный файл не находится в указанном месте. Я ж говорю, при старте службы агента DrWeb он (антивирус) его (файл synsenddrv.sys) лечит и тем самым удаляет о чем приходит оповещение на сервер. А создается она до загрузки антивируса. НО при включении компьютера, так как после выключения, если загрузться с LiveCD файла synsenddrv.sys тоже не наблюдается!
    Стоит ли остальные манипуляции производить?

    Добавлено через 13 минут

    И еще такой вопрос, обязательно ли производить оба скрипта
    Диагностика

    1. ............... "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". .......
    *Обязательно перезагрузите компьютер, так как AVZ в ходе проверки системы может нарушить работу некоторого ПО (в частности, антивирусов и брандмауэров). После перезагрузки ПО продолжит корректную работу.

    2. .............."Скрипт сбора информации для раздела "Помогите!" virusinfo.info". ..............
    Первый уж нереально долго мусолит...
    Последний раз редактировалось mc-sim; 19.11.2008 в 17:25. Причина: Добавлено

  10. #9
    Junior Member Репутация
    Регистрация
    21.10.2008
    Сообщений
    38
    Вес репутации
    57
    Готовы отчеты.
    Вложения Вложения

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    В логах чисто...

  12. #11
    Junior Member Репутация
    Регистрация
    21.10.2008
    Сообщений
    38
    Вес репутации
    57
    Цитата Сообщение от Гриша Посмотреть сообщение
    В логах чисто...
    Спасибо большое! Вроде и в системе спокойно...
    Если что-то изменится - отпишусь!
    Гриша, есть такой вопрос... Можно ли объяснить на словах, что мы проделали, выполняя данные скрипты и что было источником проблемы?

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Источником проблемы был руткит, как его зовут сказать не могу,т.к. в карантин он не попал...

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 5
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) mc-sim, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 17.11.2010, 16:08
    2. Trojan.NtRootKit.1653 в synsenddrv.sys
      От ant0n в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 01.07.2010, 10:33
    3. synsenddrv.sys - инфицирован Trojan.NtRootKit.1653
      От Andy.L в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 18.02.2010, 20:10
    4. Trojan.NtRootKit.1653 в файле synsenddrv.sys
      От powercom625 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 11.07.2009, 11:47
    5. Trojan.NtRootKit.1653 в файле synsenddrv.sys
      От dudes в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 22.02.2009, 09:00

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01151 seconds with 20 queries