17 mayo 2008

ndisio.sys generado por troyano Win32/IRCBot.AAH

El troyano win32/IRCBot.AAH, se transmite la mayoria de las veces en los archivos enviados por messenger, no hay que confiarse si le envian fotos en un archivo comprimido zip o rar, si el pc desde el que envian los archivos esta infectado probablemente se camufle dentro del zip, si el remitente es de confianza revise el archivo con un antivirus actualizado antes de abrirlo.
Este troyano genera un archivo llamado ndisio.sys que es el causante del pantallazo de error y se encuentra en C:\WINDOWS\system32\drivers
Precaución: No confundir con ndisuio.sys que es un archivo del sistema: "ndisuio.sys es un proceso que pertenece al NDIS User Mode I/O (NDISUIO) NDIS protocol driver que ofrece la ayuda para los dispositivos inalámbricos tales como Bluetooth y similares a el . Este programa es importante para el funcionamiento estable y seguro de su ordenador y no debe ser terminado". Ver
El archivo ndisio.sys genera un error cuando se prende o reinicia el equipo con el modem desconectado, a los pocos minutos 5 o 10 aproximadamente, aparece un pantallazo azul que dice algo parecido a: El archivo ndisio.sys ha generado un error. Stop 0x000000BE. Intento de escritura en memoria de solo lectura.
En caso de presentarse; lo primero seria, reiniciar el equipo, conectar el modem para evitar el pantallazo, luego de cargar windows, eliminar los archivos temporales de internet con CCleaner o ATF-Cleaner. Eliminar spyware con Ad-Aware o Malwarebytes. Tambien puedes utilizar MSNCleaner.
Escaneas el disco duro con un antivirus actualizado, por ultimo eliminas manualmente el ndisio.sys; en C:\WINDOWS\system32\drivers para que no siga generando el pantallazo azul.
Se reinicia y se prueba nuevamente con el modem desconectado o apagado. Si han pasado quince minutos y todo funciona normalmente, reiniciamos nuevamente con el modem conectado para verificar la conexion a internet y el funcionamiento de windows.

43 comentarios:

  1. Hice todo lo que se especifica pero luego de limpiar el registro mi pc no se conecta a internet mediante el cable de red o LAN.. tuve que conectar el moden mediante un puerto USB.. Me podrian explicar a que se debe esto?? sera algun error al haber eliminado ndisio.sys

    ResponderBorrar
  2. Jose, para darte una mejor orientación,en este caso, te pido el favor me escribas al correo de la página se encuentra en perfil,arriba a la derecha de la sidebar. Esta cajita de comentario es muy limitada. Con gusto te ayudare, si no lo has solucionado todavia. Estaremos en contacto.

    ResponderBorrar
  3. roudy, gracias por tu atencion al final logre resolver el problema desinstalando el controlador de la trejeta Realtek RTL8139/810x Family Fast Ethernet NIC e instalandolo nuevamente!! al parecer el virus daña el driver para impedir la conexion pero a reinstalarlo se soluciona el problema!! Muchas gracias nuevamente por tu ayuda!!

    ResponderBorrar
  4. Gracias a ti Jose por comentarlo, la información que has dado le servirá a otra persona en la misma situación.

    ResponderBorrar
  5. Excelente todo... Gracias.

    ResponderBorrar
  6. Excelente todo... Gracias.

    ResponderBorrar
  7. Hola, una pregunta ayer una persona en el msn (que obviamente no conozco), me amenzó diciendo que no volveria a abrir de nuevo esa cuenta, y efectivamente al rato me cambió la contraseña, yo entré y di mi respuesta secreta, (que en realidad era muy obvia), cambie la clave, y me volvi a conectar, y el de nuevo, me jodio, hasta que se le dio por cambiarme toda la info, sin que me diera cuenta, (andaba todo normal), y ya no tengo esa cuenta de correo porque no tuve forma de recuperarlo.
    Mi pregunta es: Yo tengo ese ndisio.sys, no se si alguien de mi familia acepto dichosos mensajes e esos, pero no creo. Tendrá esto que ver con lo que el tipo me hizo? o de que forma pudo obtener mis contraseñas(tan facilmente, con solo conectarme?(porque lo probe con otras dos, y casi me jode, esta vez si me percate de la informacion secreta)

    Agradeceria una respuesta. Porque en realidad me preocupa que sea virus, o alguien manipule mi pc.

    Kevin J.
    krakev@gmail.com

    ResponderBorrar
  8. Hola Kevin, no creo que el ndisio.sys tenga que ver con las capturas de tus contraseñas de hotmail. Cualquiera que tenga acceso a tu computador, puede hacerlo utilizando un keylogger (Aplicación cuyo fin es grabar todo lo escrito en el teclado)u otro sistema de tantos que hay. En el messenger desactiva las opciones: Recordar mi cuenta, Recordar mi contraseña.
    Elimina los archivos temporales, escanea tu sistema con un antispyware; instala un cortafuegos (firewall), para que te informe que procesos intentan conectarse a internet. Instala un Anti-keylogger. No dejes tu correo a la vista de todos pueden llenarlo con spam, virus encriptados, etc.

    ResponderBorrar
  9. OK, gracias por la informacion...

    Keylogger no creo, pues es el pc "familiar" jeje
    y no creo que alguien mas en mi casa conozca de este tipo de cosas. Lo que me pareció fue sorprendente como el tipo (lo desafie un par de veces), solo con conectarse a mi msn sabia la contraseña de una, wtf!! como pudo haberlo hecho (y parecer tan sencillo) ?

    Ahora ya no siento tan seguro mi pc, y tengo el virus ya mismo elimino manualmente el ndisio.sys

    ResponderBorrar
  10. Gracias maestro!! no andaba internet y el problema era la placa de red q habia q desinstalar y ponerla otra vez y listo gracias. Virus de mierda

    ResponderBorrar
  11. para kevin J no le des mucho credito al personaje que te desafio y cambio tus contraseñas. cuando la respuesta a la pregunta secreta es tan obvia y otra persona lo sabe no vale con que cambies tus contraseñas ya que el cada ves que quiera con solo dar la respuesta a la pregunta puede cambiar tu contraseña y eso lo puede hacer en segundos lo mas obvio que debiste hacer fue cambiar tu respuesta por una mas compleja y no tan obvia recuerda que no necesariamente lo que te pregunten debes responderlo puedes preguntar por fecha de nacimiento y contestar algo diferente.creeme que no es facil haquear un mail.suerte

    ResponderBorrar
  12. kevin que te de miedo el dia que te amenacen que te va a quitar el correo y te den tu clave tal cual y que la cambies enseguida y vuelvan y te la digan y que la vuelvas a cambiar enseguida y te la vuelvan a decir ahi si te recomiendo que corras.jejeje

    ResponderBorrar
  13. Hola Roudy, después de seguir tus pasos quise borrar el ndisio de C:\windows\system32\drivers pero no existe. ¿Cómo puedo hacer? Gracias

    ResponderBorrar
  14. Hola,posiblemente se encuentre oculto, sigue los pasos de la siguiente entrada: Amvo Te servirá para ver los archivos ocultos, y los buscas nuevamente en la ruta.

    ResponderBorrar
  15. Hola Roudy. Mi problema es: yo tengo Nod 32 ESET totalmente actualizado. Segui todos los pasos que diste y los problemas son:
    a)El analisis me dice que no se puede eliminar
    b)cuando lo elimino manualmente nome deja o, si lo elimina, vuelve enseguida
    YA NO SE QUE HACER!

    MSN:lucioostero@hotmail.com

    ResponderBorrar
  16. Hola. Entra en modo a prueba de fallos:al reiniciar Pulsa la tecla f8 varias veces, hasta que salga un menu con varias opciones escoges iniciar en modo seguro. De esta manera no se carga en los procesos activos de windows. Intenta eliminarlo manualmente o si lo prefieres escanea la carpeta System32, con Nod 32,mira si lo elimina. Si no logra eliminarlo prueba con el Antivir es un antivirus gratuito que me ha dado buenos resultados.

    ResponderBorrar
  17. hola e buscado la dichosita carpeta ndisio como me habeis dicho y no la encuentro por ningun sitio me tiene loca hace unos dias me sale una ventana de alerta que me dice que ha sido llevado a cuarentena y que puedo cerrar la ventana le doy a cerrar y no se me cierra lo he intentado todo para desacerme del maldito nsidio y no lo consigo alguien me puede ayudar por favor soy un poco novata en esto y no se que hacer

    ResponderBorrar
  18. hola yo tengo windows XP y cuando borro el archivo ndisio.sys vuelve a aparecer otra vez, el Nod 32 cuando le paso el scan no lo detecta.
    otra cosa que sucede es que me desaparecio el administrador de areas y el recuperador de sistema( entre otras cosas)... Puede ser este virus el que haga todo eso??

    ResponderBorrar
  19. Horace, no creo que este virus solo provoque todo lo que comentas, intenta probar con otro antivirus, el nod 32 es bueno pero, otro antivirus puede detectar lo que se le pasa al Nod. Intenta con este Antivir
    Lo instalas actualizas lo dejas escaneando todo el disco duro.

    ResponderBorrar
  20. Horace, puedes visitar la siguiente entrada para solucionar lo del administrador de tareas:
    Administrador
    ¿Como anda Windows lento? ¿Tarda demasiado en cargar?

    ResponderBorrar
  21. Roudy la maquina carga bien pero tarda mucho en imprimir y antes imprimia al toque( tengo conectada la maquina a un servidor que conecta con una fotocopiadora), con el administrados de tareas me pone que esta deshabilitado por otro administrador, y la cuenta tiene privilegios de administrador...Gracais por la ayuda..

    ResponderBorrar
  22. tengo un problema al borrar el archivo ndisio.sys ya no0 me conecta a internet me podrias ayudar
    Tambien cuando lo bloquee con el firewall me sucedio lo mismo mi correo es josepablo2887@gmail.com
    gracias

    ResponderBorrar
  23. Jose Pablo,gracias por la visita; en los primeros comentarios Jose Fermin encontro la solución, el desinstalo el controlador del adaptador de red y lo instalo nuevamente.

    ResponderBorrar
  24. ANTES QUE NADA:muchas gracias!!!!! me daba un error de lectura de la memoria hacia meses y mis antivirus no detectaban nada. kaspersky me detecto maldito NDISIO.SYS y al borrarlo en modo a prueba de errores me quede sin acceso a internet una semana y me volvi loca tratando de solucionarlo. encontre esta pagina, desinstale la placa y la reinstale como sugierieron aqui y ACA ESTOY: CONECTADA!!!!!
    MIL GRACIAS!

    ResponderBorrar
  25. Me alegro que lo solucionaras, gracias por la visita y por comentar tu experiencia. Bienvenida al blog.

    ResponderBorrar
  26. hola, gracias por la información tan útil antes que nada, creo haberlo solucionado siguiendo lso pasos. Mi único problema ahora es que mi computadora se ha vuelto mucho más lenta desde que la ataco el virus. Tienes alguna idea de como poder solucionar ésto? tarda demasiado en comenzar y abrir archivos

    ResponderBorrar
  27. Shibo, gracias a ti por la visita, si tu windows tarda demasiado en iniciar y abrir archivos, el virus afecto archivos de sistema, registro, etc. Sinceramente cuando un windows esta en las condiciones que describes lo mejor es formatear y reinstalar windows.

    ResponderBorrar
  28. quiero agradecer infinitamente, el detalle que han dado para este problema...

    en mi caso, fue detectado inicialmente por el [b]AVIRA[/b], pero por más que intenté eliminarlo, volvía a aparecer sgundos después... finalmente pude instalar el [b]MALWAREBYTES[/b] y detectó no solo el archivo, sino modificaciones en los registros (es lo que hace que se vuelva a instalar)...

    al eliminarlos, desconfiguró los drivers de la tarjeta red (no podia conectar a Internet) pero lo pude solucionar tal como comentara José Fermin: desinstalando el hardware y volviendo a instalar...

    a eso le agregué una limpieza de registros con [b]CCLEANER[/b] y el equipo quedó como una joya...

    muchas gracias por el espacio, y por compartir este tipo de experiencias...


    Saludos --> Archangel_M

    ResponderBorrar
  29. Archangel_M, las entradas se enriquecen con los comentarios y aportes de los lectores, gracias por dejar el tuyo.

    ResponderBorrar
  30. muchas gracias por la ayuda prestada a mi mepaso lo mismo era encender el pc y pantallazo de error de ndisio.sys pare el clear y despues el malwarebytes y todo solucionado desaparecio ese y otros 3 mas
    por que de antes no podia hacer ctrl+alt+supr y ahora si me deja ademas tenia tb bloqueada la entrada de registro y ahora tb puedo entrar

    ResponderBorrar
  31. Vity, gracias por tu comentario, por lo que veo el Malwarebytes, ayuda a eliminar el pantallazo azul generado por el ndisio.sys.

    ResponderBorrar
  32. a eliminado sin creer un archivo su nombre es.ndisio.sys y no lo se como aserlo por fafor aiudarme gracias

    ResponderBorrar
  33. yo tengo el ndisio y creo q se a ha desarrollado mejor me bloque los antivirus spiware doctor , nod 32 msn cleaaner estos solo se dejan abrir al inicio y el unico q lo detecta el el msn cleanar , bloqueo los foro de spiware donde prestan ayuda al igual q yahoo respuestas y las paginas de los antivirus online y lo peor es que no se como eliminarlo por favor ayudenme mi correo es jekson@live.com

    ResponderBorrar
  34. Jeikson entra en modo seguro reinicias tecleas f8, y sigue los pasos indicados en la entrada.

    ResponderBorrar
  35. Mi problema es que cuando trato de eliminar manualmente el archivo indisio.sys dice que esta protejido contra escritura y cuando trato de entrar en modo seguro se me reinicia y a mi lo que me pasa es que cuando no entro a internet esta bien la pc pero al rato de entrar en internet se me pega todo cierro la internet y sigue pegado y malwarebytes no capta ningun virus ni nada pero MSNcleaner capta el indisio.sys y sigo con el problema.

    ResponderBorrar
  36. Esteban los virus dañaron el Safeboot
    Para solucionarlo Descargar Reinicias y entras en modo seguro

    ResponderBorrar
  37. Muchisimas gracias ahora ya entra al modo seguro.Estoy a punto de borrar el archivo ndisio.sys pero me di cuenta que dañan el controlador como soy un novato en esto de la red que es lo que tendria que volver a instalar y donde lo encuentro para que me funcione internet cuando lo borre.
    Mi tarjeta es
    VIA VT6102 Rhine II Fast Ethernet Adapter.Ojala me pudieras ayudar porque soy novato jeje ya casi termino de hacer todo el proceso solo me faltaba eso.Tengo miedo que no pueda volver a entrar a internet en esta pc.

    ResponderBorrar
  38. Esteban, Averigua si tienes el cd con los controladores de la board.
    Si no lo tienes baja el controlador de internet, antes de eliminar el archivo por si acaso.
    En la siguiente página,busca primero el sistema operativo que utilizas y luego el driver de tu chip de red. Drivers

    ResponderBorrar
  39. Ahora lo que me pasa es que inicia muy lento eso tiene que ver con el ndisio.sys?

    ResponderBorrar
  40. Esteban, no creo que la eliminacion influya en lo lento que carga Windows. ¿Ya escaneaste el disco duro con tu antivirus?. Cuando los virus infectan Windows pueden alterar, el registro, archivos de sistema.Revisa los programas que se cargan al inicio de windows.

    ResponderBorrar
  41. Buenas, Le indico que se estuvo realizando el procedimiento, pero cuando inicia sesion no dura mas de 30 segundos activo... que se puede hacer en este caso?

    ResponderBorrar
  42. Prueba con Inicio - Ejecutar - chkdsk /r
    A la pregunta escribes S
    Reinicias. Verifica que los virus esten eliminados. Si continuas con problemas me dejas otro mensaje.

    ResponderBorrar
  43. la unica solucion q encontre fue kapersky ahora puedo abrir los antivirus en cccleaner , el msn cleaner y las paginas web q estaban bloqueadas el unico q problema es q todavia no elimino el ndisio pero ya bloquee todos los problemas q causaba creo q es mas facil convivir con el q eliminarlo

    ResponderBorrar