El troyano win32/IRCBot.AAH, se transmite la mayoria de las veces en los archivos enviados por messenger, no hay que confiarse si le envian fotos en un archivo comprimido zip o rar, si el pc desde el que envian los archivos esta infectado probablemente se camufle dentro del zip, si el remitente es de confianza revise el archivo con un antivirus actualizado antes de abrirlo.
Este troyano genera un archivo llamado ndisio.sys que es el causante del pantallazo de error y se encuentra en C:\WINDOWS\system32\drivers
Precaución: No confundir con ndisuio.sys que es un archivo del sistema: "ndisuio.sys es un proceso que pertenece al NDIS User Mode I/O (NDISUIO) NDIS protocol driver que ofrece la ayuda para los dispositivos inalámbricos tales como Bluetooth y similares a el . Este programa es importante para el funcionamiento estable y seguro de su ordenador y no debe ser terminado". Ver
El archivo ndisio.sys genera un error cuando se prende o reinicia el equipo con el modem desconectado, a los pocos minutos 5 o 10 aproximadamente, aparece un pantallazo azul que dice algo parecido a: El archivo ndisio.sys ha generado un error. Stop 0x000000BE. Intento de escritura en memoria de solo lectura.
En caso de presentarse; lo primero seria, reiniciar el equipo, conectar el modem para evitar el pantallazo, luego de cargar windows, eliminar los archivos temporales de internet con CCleaner o ATF-Cleaner. Eliminar spyware con Ad-Aware o Malwarebytes. Tambien puedes utilizar MSNCleaner.
Escaneas el disco duro con un antivirus actualizado, por ultimo eliminas manualmente el ndisio.sys; en C:\WINDOWS\system32\drivers para que no siga generando el pantallazo azul.
Se reinicia y se prueba nuevamente con el modem desconectado o apagado. Si han pasado quince minutos y todo funciona normalmente, reiniciamos nuevamente con el modem conectado para verificar la conexion a internet y el funcionamiento de windows.
Hice todo lo que se especifica pero luego de limpiar el registro mi pc no se conecta a internet mediante el cable de red o LAN.. tuve que conectar el moden mediante un puerto USB.. Me podrian explicar a que se debe esto?? sera algun error al haber eliminado ndisio.sys
ResponderBorrarJose, para darte una mejor orientación,en este caso, te pido el favor me escribas al correo de la página se encuentra en perfil,arriba a la derecha de la sidebar. Esta cajita de comentario es muy limitada. Con gusto te ayudare, si no lo has solucionado todavia. Estaremos en contacto.
ResponderBorrarroudy, gracias por tu atencion al final logre resolver el problema desinstalando el controlador de la trejeta Realtek RTL8139/810x Family Fast Ethernet NIC e instalandolo nuevamente!! al parecer el virus daña el driver para impedir la conexion pero a reinstalarlo se soluciona el problema!! Muchas gracias nuevamente por tu ayuda!!
ResponderBorrarGracias a ti Jose por comentarlo, la información que has dado le servirá a otra persona en la misma situación.
ResponderBorrarExcelente todo... Gracias.
ResponderBorrarExcelente todo... Gracias.
ResponderBorrarHola, una pregunta ayer una persona en el msn (que obviamente no conozco), me amenzó diciendo que no volveria a abrir de nuevo esa cuenta, y efectivamente al rato me cambió la contraseña, yo entré y di mi respuesta secreta, (que en realidad era muy obvia), cambie la clave, y me volvi a conectar, y el de nuevo, me jodio, hasta que se le dio por cambiarme toda la info, sin que me diera cuenta, (andaba todo normal), y ya no tengo esa cuenta de correo porque no tuve forma de recuperarlo.
ResponderBorrarMi pregunta es: Yo tengo ese ndisio.sys, no se si alguien de mi familia acepto dichosos mensajes e esos, pero no creo. Tendrá esto que ver con lo que el tipo me hizo? o de que forma pudo obtener mis contraseñas(tan facilmente, con solo conectarme?(porque lo probe con otras dos, y casi me jode, esta vez si me percate de la informacion secreta)
Agradeceria una respuesta. Porque en realidad me preocupa que sea virus, o alguien manipule mi pc.
Kevin J.
krakev@gmail.com
Hola Kevin, no creo que el ndisio.sys tenga que ver con las capturas de tus contraseñas de hotmail. Cualquiera que tenga acceso a tu computador, puede hacerlo utilizando un keylogger (Aplicación cuyo fin es grabar todo lo escrito en el teclado)u otro sistema de tantos que hay. En el messenger desactiva las opciones: Recordar mi cuenta, Recordar mi contraseña.
ResponderBorrarElimina los archivos temporales, escanea tu sistema con un antispyware; instala un cortafuegos (firewall), para que te informe que procesos intentan conectarse a internet. Instala un Anti-keylogger. No dejes tu correo a la vista de todos pueden llenarlo con spam, virus encriptados, etc.
OK, gracias por la informacion...
ResponderBorrarKeylogger no creo, pues es el pc "familiar" jeje
y no creo que alguien mas en mi casa conozca de este tipo de cosas. Lo que me pareció fue sorprendente como el tipo (lo desafie un par de veces), solo con conectarse a mi msn sabia la contraseña de una, wtf!! como pudo haberlo hecho (y parecer tan sencillo) ?
Ahora ya no siento tan seguro mi pc, y tengo el virus ya mismo elimino manualmente el ndisio.sys
Gracias maestro!! no andaba internet y el problema era la placa de red q habia q desinstalar y ponerla otra vez y listo gracias. Virus de mierda
ResponderBorrarpara kevin J no le des mucho credito al personaje que te desafio y cambio tus contraseñas. cuando la respuesta a la pregunta secreta es tan obvia y otra persona lo sabe no vale con que cambies tus contraseñas ya que el cada ves que quiera con solo dar la respuesta a la pregunta puede cambiar tu contraseña y eso lo puede hacer en segundos lo mas obvio que debiste hacer fue cambiar tu respuesta por una mas compleja y no tan obvia recuerda que no necesariamente lo que te pregunten debes responderlo puedes preguntar por fecha de nacimiento y contestar algo diferente.creeme que no es facil haquear un mail.suerte
ResponderBorrarkevin que te de miedo el dia que te amenacen que te va a quitar el correo y te den tu clave tal cual y que la cambies enseguida y vuelvan y te la digan y que la vuelvas a cambiar enseguida y te la vuelvan a decir ahi si te recomiendo que corras.jejeje
ResponderBorrarHola Roudy, después de seguir tus pasos quise borrar el ndisio de C:\windows\system32\drivers pero no existe. ¿Cómo puedo hacer? Gracias
ResponderBorrarHola,posiblemente se encuentre oculto, sigue los pasos de la siguiente entrada: Amvo Te servirá para ver los archivos ocultos, y los buscas nuevamente en la ruta.
ResponderBorrarHola Roudy. Mi problema es: yo tengo Nod 32 ESET totalmente actualizado. Segui todos los pasos que diste y los problemas son:
ResponderBorrara)El analisis me dice que no se puede eliminar
b)cuando lo elimino manualmente nome deja o, si lo elimina, vuelve enseguida
YA NO SE QUE HACER!
MSN:lucioostero@hotmail.com
Hola. Entra en modo a prueba de fallos:al reiniciar Pulsa la tecla f8 varias veces, hasta que salga un menu con varias opciones escoges iniciar en modo seguro. De esta manera no se carga en los procesos activos de windows. Intenta eliminarlo manualmente o si lo prefieres escanea la carpeta System32, con Nod 32,mira si lo elimina. Si no logra eliminarlo prueba con el Antivir es un antivirus gratuito que me ha dado buenos resultados.
ResponderBorrarhola e buscado la dichosita carpeta ndisio como me habeis dicho y no la encuentro por ningun sitio me tiene loca hace unos dias me sale una ventana de alerta que me dice que ha sido llevado a cuarentena y que puedo cerrar la ventana le doy a cerrar y no se me cierra lo he intentado todo para desacerme del maldito nsidio y no lo consigo alguien me puede ayudar por favor soy un poco novata en esto y no se que hacer
ResponderBorrarhola yo tengo windows XP y cuando borro el archivo ndisio.sys vuelve a aparecer otra vez, el Nod 32 cuando le paso el scan no lo detecta.
ResponderBorrarotra cosa que sucede es que me desaparecio el administrador de areas y el recuperador de sistema( entre otras cosas)... Puede ser este virus el que haga todo eso??
Horace, no creo que este virus solo provoque todo lo que comentas, intenta probar con otro antivirus, el nod 32 es bueno pero, otro antivirus puede detectar lo que se le pasa al Nod. Intenta con este Antivir
ResponderBorrarLo instalas actualizas lo dejas escaneando todo el disco duro.
Horace, puedes visitar la siguiente entrada para solucionar lo del administrador de tareas:
ResponderBorrarAdministrador
¿Como anda Windows lento? ¿Tarda demasiado en cargar?
Roudy la maquina carga bien pero tarda mucho en imprimir y antes imprimia al toque( tengo conectada la maquina a un servidor que conecta con una fotocopiadora), con el administrados de tareas me pone que esta deshabilitado por otro administrador, y la cuenta tiene privilegios de administrador...Gracais por la ayuda..
ResponderBorrartengo un problema al borrar el archivo ndisio.sys ya no0 me conecta a internet me podrias ayudar
ResponderBorrarTambien cuando lo bloquee con el firewall me sucedio lo mismo mi correo es josepablo2887@gmail.com
gracias
Jose Pablo,gracias por la visita; en los primeros comentarios Jose Fermin encontro la solución, el desinstalo el controlador del adaptador de red y lo instalo nuevamente.
ResponderBorrarANTES QUE NADA:muchas gracias!!!!! me daba un error de lectura de la memoria hacia meses y mis antivirus no detectaban nada. kaspersky me detecto maldito NDISIO.SYS y al borrarlo en modo a prueba de errores me quede sin acceso a internet una semana y me volvi loca tratando de solucionarlo. encontre esta pagina, desinstale la placa y la reinstale como sugierieron aqui y ACA ESTOY: CONECTADA!!!!!
ResponderBorrarMIL GRACIAS!
Me alegro que lo solucionaras, gracias por la visita y por comentar tu experiencia. Bienvenida al blog.
ResponderBorrarhola, gracias por la información tan útil antes que nada, creo haberlo solucionado siguiendo lso pasos. Mi único problema ahora es que mi computadora se ha vuelto mucho más lenta desde que la ataco el virus. Tienes alguna idea de como poder solucionar ésto? tarda demasiado en comenzar y abrir archivos
ResponderBorrarShibo, gracias a ti por la visita, si tu windows tarda demasiado en iniciar y abrir archivos, el virus afecto archivos de sistema, registro, etc. Sinceramente cuando un windows esta en las condiciones que describes lo mejor es formatear y reinstalar windows.
ResponderBorrarquiero agradecer infinitamente, el detalle que han dado para este problema...
ResponderBorraren mi caso, fue detectado inicialmente por el [b]AVIRA[/b], pero por más que intenté eliminarlo, volvía a aparecer sgundos después... finalmente pude instalar el [b]MALWAREBYTES[/b] y detectó no solo el archivo, sino modificaciones en los registros (es lo que hace que se vuelva a instalar)...
al eliminarlos, desconfiguró los drivers de la tarjeta red (no podia conectar a Internet) pero lo pude solucionar tal como comentara José Fermin: desinstalando el hardware y volviendo a instalar...
a eso le agregué una limpieza de registros con [b]CCLEANER[/b] y el equipo quedó como una joya...
muchas gracias por el espacio, y por compartir este tipo de experiencias...
Saludos --> Archangel_M
Archangel_M, las entradas se enriquecen con los comentarios y aportes de los lectores, gracias por dejar el tuyo.
ResponderBorrarmuchas gracias por la ayuda prestada a mi mepaso lo mismo era encender el pc y pantallazo de error de ndisio.sys pare el clear y despues el malwarebytes y todo solucionado desaparecio ese y otros 3 mas
ResponderBorrarpor que de antes no podia hacer ctrl+alt+supr y ahora si me deja ademas tenia tb bloqueada la entrada de registro y ahora tb puedo entrar
Vity, gracias por tu comentario, por lo que veo el Malwarebytes, ayuda a eliminar el pantallazo azul generado por el ndisio.sys.
ResponderBorrara eliminado sin creer un archivo su nombre es.ndisio.sys y no lo se como aserlo por fafor aiudarme gracias
ResponderBorraryo tengo el ndisio y creo q se a ha desarrollado mejor me bloque los antivirus spiware doctor , nod 32 msn cleaaner estos solo se dejan abrir al inicio y el unico q lo detecta el el msn cleanar , bloqueo los foro de spiware donde prestan ayuda al igual q yahoo respuestas y las paginas de los antivirus online y lo peor es que no se como eliminarlo por favor ayudenme mi correo es jekson@live.com
ResponderBorrarJeikson entra en modo seguro reinicias tecleas f8, y sigue los pasos indicados en la entrada.
ResponderBorrarMi problema es que cuando trato de eliminar manualmente el archivo indisio.sys dice que esta protejido contra escritura y cuando trato de entrar en modo seguro se me reinicia y a mi lo que me pasa es que cuando no entro a internet esta bien la pc pero al rato de entrar en internet se me pega todo cierro la internet y sigue pegado y malwarebytes no capta ningun virus ni nada pero MSNcleaner capta el indisio.sys y sigo con el problema.
ResponderBorrarEsteban los virus dañaron el Safeboot
ResponderBorrarPara solucionarlo Descargar Reinicias y entras en modo seguro
Muchisimas gracias ahora ya entra al modo seguro.Estoy a punto de borrar el archivo ndisio.sys pero me di cuenta que dañan el controlador como soy un novato en esto de la red que es lo que tendria que volver a instalar y donde lo encuentro para que me funcione internet cuando lo borre.
ResponderBorrarMi tarjeta es
VIA VT6102 Rhine II Fast Ethernet Adapter.Ojala me pudieras ayudar porque soy novato jeje ya casi termino de hacer todo el proceso solo me faltaba eso.Tengo miedo que no pueda volver a entrar a internet en esta pc.
Esteban, Averigua si tienes el cd con los controladores de la board.
ResponderBorrarSi no lo tienes baja el controlador de internet, antes de eliminar el archivo por si acaso.
En la siguiente página,busca primero el sistema operativo que utilizas y luego el driver de tu chip de red. Drivers
Ahora lo que me pasa es que inicia muy lento eso tiene que ver con el ndisio.sys?
ResponderBorrarEsteban, no creo que la eliminacion influya en lo lento que carga Windows. ¿Ya escaneaste el disco duro con tu antivirus?. Cuando los virus infectan Windows pueden alterar, el registro, archivos de sistema.Revisa los programas que se cargan al inicio de windows.
ResponderBorrarBuenas, Le indico que se estuvo realizando el procedimiento, pero cuando inicia sesion no dura mas de 30 segundos activo... que se puede hacer en este caso?
ResponderBorrarPrueba con Inicio - Ejecutar - chkdsk /r
ResponderBorrarA la pregunta escribes S
Reinicias. Verifica que los virus esten eliminados. Si continuas con problemas me dejas otro mensaje.
la unica solucion q encontre fue kapersky ahora puedo abrir los antivirus en cccleaner , el msn cleaner y las paginas web q estaban bloqueadas el unico q problema es q todavia no elimino el ndisio pero ya bloquee todos los problemas q causaba creo q es mas facil convivir con el q eliminarlo
ResponderBorrar