virus troyano (SOLUCIONADO)

[andresgijon]

Hola



El antivirus me salta cada cinco minutos y me pone



D:\WINDOWS\System32\drivers\ndisio.sys

Win32:Trojan-gen {Other}

Virus/Gusano

081031-0, 31/10/2008



Y le doy e eliminar y me sigue saliendo



Podeis ayudarme?'



Un saludo

[lucl]

Renombralo a .VIR, con el boton derecho del raton le cambias la extension final y pasate este programa que te indico y peganos el log que te dejara en C infosat.txt saludos







http://www.zonavirus.com/descargas/elistara.asp

[andresgijon]

No me deja renombrarlo ni descargar el elistara ya que me salta el antivirus y me lo bloquea



Es antivirus avast



Que hago??



Un saludo

[lucl]

Pues desconecta momentaneamente el antivirus y descargalo, algunos antivirus detectan el elistara como trojano pero es un falso positivo no tengas miedo y bajatelo y lo pasas, saludos

[andresgijon]

Hola de nuevo y desde otro ordenador



Os cuento que pasó:

Desconecté el antivirus como me dijiste para que no me reconociera al elistara como troyano, luego me lo bajé y lo pasé

No encontró ningún virus!!!



Pero lo peor es que tras acabar su snálisis internet dejó de funcionar. Áhora veo que no reconoce ninguna IP y no se conecta por tanto a internet. LLamé a telecable y hicieron unas comprobaciones y vieron que non era problema suyo sino de mi tarjeta de red o sus drivers, cosa que yo no tengo ni idea de solucionar ahora ( soy muy novatillo en esto)



Que pudo pasar??

Que puedo hacer ahora??



Un saludo

[msc hotline sat]

Bueno, pues este dichoso ndisio.sys, (que no ndisuio.sys que es un fichero de sistema ...) ha hecho de las suyas




[quote]
Archivo ndisio.sys generado por troyano Win32/IRCBot.AAH



El troyano win32/IRCBot.AAH, se transmite la mayoria de las veces en los archivos enviados por messenger, no hay que confiarse si le envian fotos en un archivo comprimido zip o rar, si el pc desde el que envian los archivos esta infectado probablemente se camufle dentro del zip, si el remitente es de confianza revise el archivo con un antivirus actualizado antes de abrirlo.

Este troyano genera un archivo llamado ndisio.sys que es el causante del pantallazo de error y se encuentra en C:\WINDOWS\system32\drivers

Precaución: No confundir con ndisuio.sys que es un archivo del sistema: "ndisuio.sys es un proceso que pertenece al NDIS User Mode I/O (NDISUIO) NDIS protocol driver que ofrece la ayuda para los dispositivos inalámbricos tales como Bluetooth y similares a el . Este programa es importante para el funcionamiento estable y seguro de su ordenador y no debe ser terminado". Ver

El archivo ndisio.sys genera un error cuando se prende o reinicia el equipo con el modem desconectado, a los pocos minutos 5 o 10 aproximadamente, aparece un pantallazo azul que dice algo parecido a: El archivo ndisio.sys ha generado un error. Stop 0x000000BE. Intento de escritura en memoria de solo lectura.
[/quote]
Fuente holacape.blogspot.com



Como backdoor IRC que es, lo controlamos con el ELITRIIP:


[quote="para DESCARGAR el ELITRIIP, msc"] http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

Pruebalo, mejor arrancando en modo seguro, y mira si, tras reiniciar, ya has recuperado la navegacion, pues es posible que ahora aun te incordie por estar en memoria.



saludos



ms, 1-11-2008





NOTA: Si no lo controlaramos, envianos muestra para analizar, pues se podría tratar de una variante no conocida.

[andresgijon]

Hola de nuevo



Perdonar si soy pesado pero como ya dije soy muy novatillo en el tema. Lo del messenger y fotos es muy posible( mi mujer ya se ha llevadola bronca..)



Entonces que pasos sigo yaque en casa me él virus me reventó internet y no puedo pasar el elibagla ni responderos ni nada.



Un abrazo y te agradecería si pudieras explicarmelo como si fuera un niño de dos años (que es lo que soy a nivel informatico))

[msc hotline sat]

En este ordenador que posteas en el foro, descarga el ELITRIIP, lo copias en un pendrive, disquete o lo que uses, y lo llevas al ordenador afectado, y lo copias en su escritorio.



Luego arrancas en modo seguro y lo pruebas, y tras ello nos posteas el informe resultante, con un copiar y pegar del contenido de c:\infosat.txt



saludos



ms, 1-11-2008

[andresgijon]

Gracias por la ayuda



asi haré



Un saludo

[andresgijon]

Bueno ya pase el elitrip y no encuentra nada

Os pongo los informes que me aparedfieron:

Sat Nov 01 12:15:45 2008

EliTriIP v5.19 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 31 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4

Nº Total de Ficheros: 13

Nº de Ficheros Analizados: 2

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Nov 01 12:15:50 2008

EliTriIP v5.19 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 31 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 2003

Nº Total de Ficheros: 24628

Nº de Ficheros Analizados: 10519

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





Y el ordenador sigue sin conectarse a internet

Y si borro todo y empiezo el ordenador de nuevo?? se conectará así a internet??

Un saludo

[msc hotline sat]

Me parece que no lo has hecho nunca... sino , no lo dirías !



Si puedes, envianos este ndisio.sys, copiandolo al ordenador que posteas y enviandolo como muestras para analizar, y asi lo analizaremos y lo controlaremos en la proxima version del ELITRIIP (piensa que cada día salen mas de 100 nuevas variantes que se tienen que ir controlando)



Ojo, no te confundas con el ndisuio.sys, que es el sistema !!!



saludos



ms, 1-11-2008

[andresgijon]

Ok



Os lo mando por email?? como archivo adjunto y listo no??



Un saludo

[andresgijon]

Bueno



Tras buscar ese archivo en su ubicación: system32/drivers.. el ndisio ese no está, si veo uno que es ndis y otro ndisuio pero el otro no y lo he buscado a conciencia



Internet sigue sin funcionar. Voy a conexiones de red, red local y soporte como me dijo el tecnico de telecable y no pone ningun IP ni nada de nada



Que ha pasado??



La informática cada vez la entiendo menos jejej

[andresgijon]

Hola de nuevo



He estado leyendo foros por ahi y me encontré esto que puede ser lo que me pasa a mi no?? tambien con el dichoso ndisio





Hice todo lo que se especifica pero luego de limpiar el registro mi pc no se conecta a internet mediante el cable de red o LAN.. tuve que conectar el moden mediante un puerto USB.. Me podrian explicar a que se debe esto?? sera algun error al haber eliminado ndisio.sys



jose fermin dijo...

roudy, gracias por tu atencion al final logre resolver el problema desinstalando el controlador de la trejeta Realtek RTL8139/810x Family Fast Ethernet NIC e instalandolo nuevamente!! al parecer el virus daña el driver para impedir la conexion pero a reinstalarlo se soluciona el problema!! Muchas gracias nuevamente por tu ayuda!!



Y otra respuesta:

Isa dijo...

Gracias maestro!! no andaba internet y el problema era la placa de red q habia q desinstalar y ponerla otra vez y listo gracias. Virus de m***da







Como hago para hacer lo que ellos?? si crees que es la solución claro..



Un saludo

[lucl]

Bueno, no nos liemos de momentos con las soluciones de otros foros, mira de hacer esto porque igual esta oculto y por eso no lo encuentras, los otros que has visto no los toques que estan bien. Haz esto





Dentro de Mipc/Herramientas/Opciones de carpeta/Ver/Archivos y carpetas



ocultos "selecciona Mostrar archivos y carpetas ocultos/aplicar/aceptar.





si lo encuentras le cambias la extension final a .VIR y nos lo envias como te pidio Msc saludos





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[andresgijon]

Hola de nuevo



Y hice lo de archivos ocultos y no aparece. Lo que si es extraño es que vuelvo a tener conexion a internet..



Apagué el ordenador y el modem varias veces y en una de ellas reconoció IP y ya ves puedo conectarme.



De todas formas a mi me da que hay algo raro.. Como puedo saber si mi ordenador ya está totalmente limpio??

Un saludo y espero tu respuesta

[msc hotline sat]

Esta es la pregunta del millón de dólares, pero la debes contestar tú :lol: :lol: :lol:



Si no tienes ya problemas y nada te detecta virus ni malwares, sigue así, y si algo vuelve a incordiarte, en base a todo lo que hemos dicho y de lo que encuentres con el buscador de este foro, mira si ya lo resuelves y sino postea nuevo Tema y lo atenderemos.



Dando el Tema por solucionado, procedemos a cerrarlo



saludos



ms, 3-11-2008