Problemas con ndis.sys

[cesartovic]

Hola,

tengo el siguiente problema. Me salta de vez en cuando un pantallazo azul que me saca de Windows con los siguientes datos:

-------------------------------------------------------------

Se ha encontrado un problema y Windows ha sido apagado para evitar daños al equipo



DRIVER IRQL_NOT_LESS_OR_EQUAL

...

Información técnica

***STOP: 0X000000D1(0XF81ED070,0X00000007,0X00000000,0XF81DAEC2)



*** NDIS.sys - Address F81ED070 base at F81C2000, DateStamp 41107ec3

*** NDIS.sys - Address F81DAEC2 base at F81C2000, DateStamp 41107ec3

-------------------------------------------------------------



He pensado que podía ser de un virús o spyware o algo de eso y he analizado el sistema con NOD32 dandome los siguientes resultados:



-------------------------------------------------------------

- Error mientras se analizaba el sector activo de arranque del disco fisico 1. Error leyendo sector.

- Ha ocurrido un error un error mientras se analizaba el sector MBR del disco fisico 2. Error leyendo de sector.

- Ha ocurrido un error un error mientras se analizaba el sector MBR del disco fisico 3. Error leyendo de sector.



-C:\hiberfil.sys. Error abriendo el archivo (El archivo está bloqueado).

-C:\pcgfile.sys. Error abriendo el archivo (El archivo está bloqueado).

- C:\WINDOWS\system32\drivers\ndis.sys. Error abriendo el archivo.(El archivo está bloqueado)

-------------------------------------------------------------



¿Qué opinais de todo esto?Os suena de algo que os haya pasado?



Muchas gracias

[lucl]

Es un error del controlador ndis.sys, quita los drivers de la tarjeta de red y busca unos actualizados y reinstalalos, mira bien cuales son los tuyos para que no te den problemas al reinstalar, nos cuentas tus avances , saludos

[cesartovic]

Hola,

¿Que puede haber causado la desactualización de la tarjeta de red?Un virus o spyware?Tiene algo que ver que el Explorer tarde mogollon en acceder a la página inicial (luego cuando cambia de una página a otra va bien) y que el mozilla no se pueda ejecutar por la falta de una dll (la js3... creo que era)?



Gracias

[msc hotline sat]

Por lo que indicas podria haber sido este troyano, lee la informacion del mismo que ofrece VSAntivirus:


[quote="VSAntivirus"]
[size=167][b]SpamTool.Mailbot.BC. Envía spam, utiliza rootkit[/b][/size]

http://www.vsantivirus.com/spamtool-mailbot-bc.htm



Nombre: SpamTool.Mailbot.BC

Nombre NOD32: Win32/SpamTool.Mailbot.BC

Tipo: Caballo de Troya

Alias: SpamTool.Mailbot.BC, Backdoor.Rustock.B, Backdoor.Rustock.D, BDS/Rustock.D, Not-A-Virus.SpamTool.Win32.Mailbot.bc, SpamTool.FY, SpamTool.Win32.Mailbot.bc, W32/Mailbot.BC!tr, Win32/Rustock.4ss!DLL!Trojan, Win32/SpamTool.Mailbot.BC

Fecha: 5/ago/06

Plataforma: Windows 32-bit

Tamaño: 66,432 bytes



Caballo de Troya que utiliza el equipo infectado como servidor proxy, actuando como intermediario entre Internet y un grupo de usuarios. Esto le permite recibir peticiones de un atacante remoto, y redirigirlas a Internet desde el equipo infectado, en este caso para el envío masivo de spam.



Utiliza técnicas de rootkit para ocultar sus archivos y entradas en el registro. Un rootkit es una herramienta que permite acceder a un sistema como un usuario con todos los permisos (root), que en estos casos es utilizada para ocultar las actividades de un atacante dentro del sistema, después que éste ha logrado ingresar a él.



Además, para dificultar su detección y eliminación, utiliza las propiedades de almacenamiento de datos proporcionadas por el sistema de archivo NTFS (disponible en Windows NT, 2000 y XP). En estos sistemas, los archivos pueden contener diferentes "flujos" de datos. A esto se le llama "file stream". Puede compararse esto a tener varios archivos comprimidos dentro de un solo .ZIP. Cada stream es accesible como un archivo individual llamado ADS (Alternate Data Stream).



Al ejecutarse, el troyano puede crear los siguientes archivos (los nombres pueden variar según las variantes):

\TEMP\??????.tmp.log



Donde "??????" son caracteres al azar.



NOTA: La carpeta TEMP está ubicada en "c:\windows\temp", "c:\winnt\temp", o "c:\documents and settings\[usuario]\local settings\temp", de acuerdo al sistema operativo.



Puede crear el siguiente ADS (Alternate Data Stream) oculto:



c:\windows\System32:lzx32.sys



También crea un servicio de dispositivo oculto, con las siguientes características:



Nombre de servicio: pe386

Nombre para mostrar: Win23 lzx files loader

Ruta de acceso al ejecutable: c:\windows\System32:lzx32.sys

Tipo: Automático



NOTA: El nombre "pe386" puede variar si varía el nombre del ejecutable.



Para habilitar dicho servicio, la siguiente entrada en el registro es creada:



HKLM\SYSTEM\CurrentControlSet\Services\pe386



NOTA: Todas las entradas mencionadas, son ocultadas al usuario por la característica de rootkit mencionada antes. También intenta ocultarse de determinadas herramientas especializadas en la detección de rootkits, en concreto de aquellas que contengan algunas de las siguientes cadenas:



Anti-Rootkit

BlackLight

DarkSpy

endoscope.EXE

gmer.exe

Rkdetector

RootkitRevealer



El troyano intenta modificar el funcionamiento de los siguientes archivos del sistema, para intentar eludir cortafuegos y modificar la transferencia de paquetes vía redes:



ndis.sys

tcpip.sys

wanarp.sys



También intenta descargar e instalar otros programas como ICQ, y redireccionar el tráfico a determinadas páginas de Internet.
[/quote]

Creo que encaja bastante con lo que te ha pasado.



saludos



ms, 4 de mayo de 2007