Que tal a todos,
Estoy teniendo un problema bastante serio, a varias de las maquinas en una red de pronto sin razon aparente su nombre y el dominio es cambiado a THE_TWISTER_VIRUS, cuando esto pasa es implosible entrar al equipo incluso iniciandolo en modo a prueba de fallos. La unica 2 formas posibles es arrancando la maquina con un CD de Windows y restaurando el sistema operativo o sacar el disco duro y colocarlo en otra maquina como esclavo para ver que tiene dentro y escanearlo con un Antivirus y aun asi no pasa nada dentro de poco la pc se vuelve a infectar una vez restaurada. E buscado en todas partes y no existe ningun caso relacionado donde ocurra algo parecido, por favor si alguien tiene información sobre esto mucho se lo agradeceria...
Saludos.
THE_TWISTER_VIRUS
-
Danielknot
- Mensajes: 3
- Registrado: 14 Jun 2006, 20:09
- Ubicación: Caracas
- Contactar:
De momento, sin noticias al respecto.
Saludos
maura63
Saludos
maura63
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
Quien hace una pregunta,teme parecer ignorante durante cinco minutos.Quien no pregunta se mantiene ignorante toda la vida. (Ortega y Gasset)
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Por casualidad intentaron descargar este anti lo que sea...:
http://www.aptrio.com/Utilities/Antivirus/twister-138285.html
Nos preocupa su caso por las consecuencias y por el desconocimiento al respecto...
Vea si arrancando con el CD deinstakaciuobn en consola de recuperacion, puede acceder a C: y estan los datos, y en tal caso, pruebe de REPARAR:
y nos comenta el resultado, gracias
saludos
ms, 16-6-2006
Nos preocupa su caso por las consecuencias y por el desconocimiento al respecto...
Vea si arrancando con el CD deinstakaciuobn en consola de recuperacion, puede acceder a C: y estan los datos, y en tal caso, pruebe de REPARAR:
[quote]
Sugiero que proceda a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate[/quote]
y nos comenta el resultado, gracias
saludos
ms, 16-6-2006
Última edición por msc hotline sat el 16 Jun 2006, 16:20, editado 1 vez en total.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
Danielknot
- Mensajes: 3
- Registrado: 14 Jun 2006, 20:09
- Ubicación: Caracas
- Contactar:
Gracias por tu opinión, pero te cuento que esto no es muy factible. Este problema esta ocurriendo en estos momentos en una empresa de más de 1500 usuarios y hasta ahora van aproximadamente 20 maquinas infectadas y aumentando por este "posible virus" y el daño que hace es extremadamente alto y no a sido detectado por ninguna casa antivirus, la unica forma es formatear la pc ya que por lo que he observado este virus se copia también en la carpeta _Restore de windows y si la restauras la maquina se vuelve a reinfectar al cabo de 1 día, asi que......
Es muy extraño lamentablemente no les puedo enviar un log generado por el Hijack para ver en que me podrian ayudar. Hasta ahora solo se ha detectado un virus con este nombre y fue en el 92/94 y era muy inofensivo comparado con esto.
Trabajo en una compañia que es Premium Partner Enterprise de la casa de Trend Micro y jamas habia visto algo parecido a esto, mis emails son
INTERVENCION DE ZONAVIRUS:[url=http://www.satinfo.es]\zonavirus\zona.jpg[/img][/url]
ELIMINADA DIRECCION DE E-MAIL, NO PERMITIDO SOLICITAR RESPUESTAS POR MAIL !!!
Deben postearse en el foro, para aprovechamiento de todos.
______________________
Saludos.
Es muy extraño lamentablemente no les puedo enviar un log generado por el Hijack para ver en que me podrian ayudar. Hasta ahora solo se ha detectado un virus con este nombre y fue en el 92/94 y era muy inofensivo comparado con esto.
Trabajo en una compañia que es Premium Partner Enterprise de la casa de Trend Micro y jamas habia visto algo parecido a esto, mis emails son
INTERVENCION DE ZONAVIRUS:
ELIMINADA DIRECCION DE E-MAIL, NO PERMITIDO SOLICITAR RESPUESTAS POR MAIL !!!
Deben postearse en el foro, para aprovechamiento de todos.
______________________
Saludos.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues arranca en modo seguro y lanza el HJT y posteanos el log resultante:
[i]¿Como utilizar el Hijackthis ?[/i]
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
·[url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b] [/url]
y decimos que lo hagas en modo seguro porque puede que haya un rootkit que oculte el proceso, ficheros y claves que pudiera utilizar el malware, tipico en estos casos.
Dadas las caracteristicas que nos cuenta, esperamos poderlo detectar tan pronto nos postee el log.
Lo analizaremos y le informaremos
saludos
ms, 16-6-2006
[i]¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
·
y decimos que lo hagas en modo seguro porque puede que haya un rootkit que oculte el proceso, ficheros y claves que pudiera utilizar el malware, tipico en estos casos.
Dadas las caracteristicas que nos cuenta, esperamos poderlo detectar tan pronto nos postee el log.
Lo analizaremos y le informaremos
saludos
ms, 16-6-2006
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
Danielknot
- Mensajes: 3
- Registrado: 14 Jun 2006, 20:09
- Ubicación: Caracas
- Contactar:
Igual no arranca en modo seguro, cuando esta maquina es afectada por este TWISTER_VIRUS los usuarios administradores locales o de dominio no pueden hacer login en la maquina de ninguna forma posible. Por los momentos no es posible ni ejecutar o hacer pruebas en una pc con este problema, la unica forma es sacar el disco duro y colocarlo en otra pc como esclavo de esta forma se logra escanear con un antivirus pero igual no se logra detectar nada..... :?:
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Entrando como ADMINISTRADOR se debe poder arrancar en modo seguro.
Y no, colocando como slave el disco duro en otra máquina, no podemos analizar las claves de registro del slave.
Debemos arrancar en modo seguro con el disco duro en la maquina, si quieres prueba en modo seguro con simbolo de sistema, el HJT correrá igual y veremos realmente las claves criticas.
saludos
ms, 16-6-2006
nota: y si no puedes, hazlo arrancando en modo normal, por lo menos algo veremos, pero si ya lo han mirado otros, es de suponer que ya saben lo que se hacen... por eso queríamos ir mas allá, pero ... - ms.
Y no, colocando como slave el disco duro en otra máquina, no podemos analizar las claves de registro del slave.
Debemos arrancar en modo seguro con el disco duro en la maquina, si quieres prueba en modo seguro con simbolo de sistema, el HJT correrá igual y veremos realmente las claves criticas.
saludos
ms, 16-6-2006
nota: y si no puedes, hazlo arrancando en modo normal, por lo menos algo veremos, pero si ya lo han mirado otros, es de suponer que ya saben lo que se hacen... por eso queríamos ir mas allá, pero ... - ms.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Es posible que restaurando el sistema a un punto anterior a la activacion de este "virus", dado que si ponen el disco duro como slave en otro PC. tienen acceso a la informacion, pueda restablecerse la normalidad a dichos ordenadores.
Para ello puede serles de interes la utilidad que acabamos de subir a esta web, para pruebas de evaluacion, que aunque ha sido pensada para los casos del 4º dia del "fantasma.avi.zip", es util para todos los casos que se quiera restaurar las claves a un punto anterior.
https://foros.zonavirus.com/viewtopic.php?p=59919#59919
Y por nuestra experiencia de mas de 15 años en seguridad informatica, auque llevamos mas de 20 en el sector, dando soporte a mas de 160.000 usuarios, dado que este "virus" parece no haber agectado mas que a esta empresa, sugerimos consideren la posibilidad de que sea un atentado especifico contra dicha empresa, como ya hemos tenido en varios casos con asociados a los servicios de SATINFO en España, entre los que recuerdo al Ayuntamiento de La Coruña, que en un mes de Agosto, ciando el personal estaba mayoritariamente de vacaciones, cuando arrancaban los ordenadores a partir del 1/8, salía un mensaje que en un minuto empezaría el formateo y así era, y se descubrió que un ex empleado habia dejado en la particion de los ordenadores un código que se activaba a partir de dicha fecha, lo cual pasamos a controlar, claro, aunque no fuera exactamente un "virus", porque no se propagaba automaticamente, u otro caso en "Fomento" una gran empresa constructora española que perdian la informacion de los ordenadores, pero que se vió en ellos claras muestras de simple formateo, incluso que con un UNFORMAT pudimos recuperar, y alertados los servicios de seguridad de dicha empresa, se vió en las grabaciones de las cámaras, como un mismo empleado "pasaba" por estos ordenadores poco tiempo antes de que sucediera el desastre en cada uno... sin comentarios
NO tiene que ser el mismo caso, pero tenganlo en cuenta dados los sintomas, especialmente la no existencia (ni ganas:lol: ) de dicho "virus" fuera de dicha empresa, y en Venezuela, como en España, haberlos, hailos...
Sobre todo sería muy util un log del HJT de dichos ordenadores. A ver si pueden postearnoslo, gracias
y si prueban la utilidad indicada, esperamos nos comenten el resultado, gracias
saludos
ms, 17-6-2006
Para ello puede serles de interes la utilidad que acabamos de subir a esta web, para pruebas de evaluacion, que aunque ha sido pensada para los casos del 4º dia del "fantasma.avi.zip", es util para todos los casos que se quiera restaurar las claves a un punto anterior.
Y por nuestra experiencia de mas de 15 años en seguridad informatica, auque llevamos mas de 20 en el sector, dando soporte a mas de 160.000 usuarios, dado que este "virus" parece no haber agectado mas que a esta empresa, sugerimos consideren la posibilidad de que sea un atentado especifico contra dicha empresa, como ya hemos tenido en varios casos con asociados a los servicios de SATINFO en España, entre los que recuerdo al Ayuntamiento de La Coruña, que en un mes de Agosto, ciando el personal estaba mayoritariamente de vacaciones, cuando arrancaban los ordenadores a partir del 1/8, salía un mensaje que en un minuto empezaría el formateo y así era, y se descubrió que un ex empleado habia dejado en la particion de los ordenadores un código que se activaba a partir de dicha fecha, lo cual pasamos a controlar, claro, aunque no fuera exactamente un "virus", porque no se propagaba automaticamente, u otro caso en "Fomento" una gran empresa constructora española que perdian la informacion de los ordenadores, pero que se vió en ellos claras muestras de simple formateo, incluso que con un UNFORMAT pudimos recuperar, y alertados los servicios de seguridad de dicha empresa, se vió en las grabaciones de las cámaras, como un mismo empleado "pasaba" por estos ordenadores poco tiempo antes de que sucediera el desastre en cada uno... sin comentarios
NO tiene que ser el mismo caso, pero tenganlo en cuenta dados los sintomas, especialmente la no existencia (ni ganas
Sobre todo sería muy util un log del HJT de dichos ordenadores. A ver si pueden postearnoslo, gracias
y si prueban la utilidad indicada, esperamos nos comenten el resultado, gracias
saludos
ms, 17-6-2006
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online