Bueno el otro dia examinando el pc, me di cuenta de estas entradas y me preguntaba son peligrosas?
Bueno van mas de 2 años sin infectarme de nada pero me llama la atencion esto
CitarHKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}\iexplore\time
[NOTA] La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore\count
[NOTA] La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore\time
[NOTA] La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F6D90F16-9C73-11D3-B32E-00C04F990BB4}\iexplore\count
[NOTA] La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F6D90F16-9C73-11D3-B32E-00C04F990BB4}\iexplore\time
[NOTA] La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Yahoo\Companion\Profiles\elcorreodemihermano\lastpoll_204
[NOTA] La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Yahoo\Companion\Profiles\elcorreodemihermano\lastpoll_211
[NOTA] La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Yahoo\Companion\Profiles\elcorreodemihermano\URLHistory\yma
[NOTA] La entrada del registro no es visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
Es normal o estoy siendo paranoico?
SAludos
buenas!
Bien, me imagino que si son ocultas las visualizaste con algún anti rootkit como gmer o el de sysinternals.
Bien, ese sid es el sid de tu usuario ?
Me refiero a todo lo raro que está después de HKU\sid\software.
ese sid es el mismo de hkcu?
Si no estás seguro, usa la utilidad psgetsid de sysinternals.
La key ext Sinceramente no tengo idea de que es, parece que tiene que ver con ie, pero ni idea.
Lo demás parece de yahoo, que como no lo uso tanpoco ni idea :xD
Me preocuparía un poco por la de ext, creo que el resto no es nada...
Saludos
Buenas
Roy-MustangCitarHKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}\iexplore\time
[NOTA] La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore\count
[NOTA] La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore\time
[NOTA] La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F6D90F16-9C73-11D3-B32E-00C04F990BB4}\iexplore\count
[NOTA] La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F6D90F16-9C73-11D3-B32E-00C04F990BB4}\iexplore\time
La rama
HKEY_USERS contiene información sobre todos los perfiles de los usuarios de Windows. Todos los SID son el mismo. Supongo que será el tuyo. ¿Cómo saberlo? Pues como ya te ha comentado
winroot. O bien, entrando con tu usuario y mirando en HKEY_CURRENT_USER. Ésa es la rama perteneciente al usuario que accede al ordenador. Si los valores son los mismos, es tu SID.
No parece nada malo. En mi ordenador tengo los mismos valores. Pintaría mal si los SID fueran diferentes, ya que indicaría 'otro usuario'... ¿Alguno aliado con bicho feo, con ojos saltones, pelo verde y largas garras para arañar el espacio binario de tu disco duro? Es posible... Pero... Na, tonterías aparte. Haciendo una búsqueda rápida por google, me he topado con esto (http://msdn.microsoft.com/en-us/library/dd433050(VS.85).aspx). Puede que tenga algo que ver... Será cuestión de chalar más con San Google.
Por mi parte, intentaré investigar, a ver qué significan esos valores... Pintan de las sesiones de Internet Explorer.
CitarHKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Yahoo\Companion\Profiles\elcorreodemihermano\lastpoll_204
[NOTA] La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Yahoo\Companion\Profiles\elcorreodemihermano\lastpoll_211
[NOTA] La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Yahoo\Companion\Profiles\elcorreodemihermano\URLHistory\yma
[NOTA] La entrada del registro no es visible.
A grosso modo parecen perfiles de Yahoo. De esto no tengo nada, porque no lo suelo utilizar. Tampoco parece nada.
CitarHKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelis
LOCAL MACHINE: Información general del orendanador. S.O, Hardware, Software, servicios de windows...
En concreto, la que comentas, es de un servicio: Administrador de medios de almacenamiento extraíbles.
Nada de lo que comentas parece extraño, ahora... ¿Quieres quedarte tranquilo? Ejecuta GMER (http://www.gmer.net/), tanto en modo normal como seguro.
Si ves algo pintadito de color rojo... ¡Avisa!
Saludos!
No hay nada de que preocuparse creo :P
Las primeras 5: es justamente lo que ha puesto
Arcano, lleva un registro de la cantidad de veces
(count) y la última ejecución
(time) de los controles activex y complementos de Internet Explorer. Lo mismo sobre algunos complementos se puede ver desde
Herramientas > Administrar complementos > elegimos un complemento > Más informaciónLas 3 siguientes: me hace pensar que tienes
Yahoo Messenger instalado
La última:
CitarDriveList
Registry path
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtmsSvc\Config\Standalone\
Version
Windows 2000, Windows XP, Windows Server 2003
Data Type
REG_SZ
This entry lists the stand-alone drives that are connected to the computer.
http://technet.microsoft.com/ru-ru/library/cc780723%28WS.10%29.aspx
Saludos
Nov!!
¿Entonces no tenemos bicho? :xD
Pos vaya...
Bueno, en otra ocasión será... :silbar:
Saludos!!
Jaja, creería que no Arcano :xD
Lo que si me gustaría saber es que programa alerta de esas claves "ocultas" :huh:
Saludos
CUIDADO!!!
No relaciones "Windows" con "claves ocultas". No sea que estén espiando al hacker.net y salgamos en el próximo tomo de Wikileaks... :¬¬
Creo que va siendo hora de irse dormir...
Bueno, si GMER no rechistó... Me parece a mí que poco hay de lo que preocuparse.
¿Qué programa? Nov! Para que buscar/esperar una aplicación si tú mismo puedes hacerla :P
Saludos!!
Bueno pues ;D, que bueno que no hay de que preocuparse :xD :xD, el programa que me da los avisos, es el Avira suite security premiun.
y contestando a mas preguntas, si uso yahoo mesenger, y si uso XP Profesional SP3 Actualizado.
Gracias, voy a leerme detalladamente la informacion que me han dado.
No habia contestado antes porque voy a examen el lunes y si me siento en la pc me quedo ahi todo el dia :xD :xD :xD :xD
Pases el GMER y nada paso horas y nada en rojo, lo raro es que se reinicio, pero bueno supongo que algun fallo talvez pero el lunes por la tarde con mas tiempo hare un examen completo.
Saludos
Hola Roy-Mustang
AVIRA te avisa sobre esas ramas del registro?
Curioso...
Por norma, GMER no necesita de escaneo. Con sólo el primer reconocimiento, ya debe saltar... -si algo algo-.
Si AVIRA te alerta sobre esas ramas, realiza un escaneo completo entonces. A ver 'qué se cuenta'...
Saludos.
El Avira es de mis favoritos, pero mi duda es ... ¿realmente estan ocultas esas ramas? Apuesto a que no :xD, mira directamente desde el editor de registro bajo la rama HKCU
Saludos
Buenas!
Porqué un rootkit ocultaría esas keys?
Si gmer no muestra ningún hook a las apis del registro (ZwOpenKey,ZwCreateKey,etc), realmente no hay un driver hookeando esas apis o el rootkit es muy bueno. :xD
Fijate con el regedit si realmente están ocultas como dice Novlucker.
Saludos
en un rato posteo pero vi las entradas y son visibles, al menos las de esta rama HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500
luego con mas tiempo reviso bien, le pase el unhackme y no encontro nada asi que creo que no hay rootkit, pero lo que el avira me dice es solo una advertencia, pero no da resultado de que hay virus.
Al rato posteo con mas claridad.
Saludos
Buenas!!
Citarpero lo que el avira me dice es solo una advertencia...
Mmmm... ¿Y qué advertencia da? Por simple curiosidad... ;D
Saludos!!!
Igual insisto, busca bajo el HKCU :P
Saludos
Cita de: Novlucker en 7 Diciembre 2010, 10:20 AM
Igual insisto, busca bajo el HKCU :P
Saludos
Esa no me aparece.
(http://img808.imageshack.us/img808/1269/screenqi.jpg)
Mira
Roy!
Espera, que te presto mis gafas... :P
HKEY_CURRENT_USER = HKCU....
Mira ahí... Es lo que te comenta Nov :)
Saludos!!
Pues esa rama no esta. :¬¬ :P
mira, porque si estan me hacen falta las gafas :o
(http://img838.imageshack.us/img838/5006/87737700.jpg)
Debes tenerla. La rama que comentabas anteriormente, HKEY_USERS es una copia de la HKCU...
(http://s2.subirimagenes.com/otros/previo/thump_5619377rama.jpg) (http://www.subirimagenes.com/otros-rama-5619377.html)
Saludos!!
Cita de: Arcano. en 8 Diciembre 2010, 01:33 AM
Debes tenerla. La rama que comentabas anteriormente, HKEY_USERS es una copia de la HKCU...
Eso iba a decir, pero en realidad al revés :xD, en la rama HKEY_USERS están todos los usuarios que inician sesión habitualmente, en la rama HKEY_CURRENT_USER (HKCU) esta el usuario actual, con lo cual te ahorras de estar buscando entre los SID
Saludos
Esa si la tengo,es mas antes la busque, y la advertencia que me daba el avira era sobre que estaban ocultos, pero nada mas, te pondria el informe pero los borra cada tres dias,
(http://img8.imageshack.us/img8/387/96414042.png)
Mmmm... ¿Y yo qué he dicho?
Pues eso, que no por mucho madrugar, tendrás más pájaros en mano pues el río seguirá seco y Abril soleado... Creo que era así el refrán...
CitarHKEY_USERS es una copia de la HKCU...
Sí, me he líado :o
HKCU pertenece al usuario que inicia la sesión. Que está en una de las ramas -por el SID- que podrás encontrar en HKEY_USERS... :)
Saludos!!
Buenos, a ver si encuentra los pájaros en mano.. Digo... La rama, la rama del registro...
A todo esto... Me sigue quedando la duda...
Citarla advertencia que me daba el avira era sobre que estaban ocultos
Pero... ¿Qué advertencia da? ¿Virus, rootkit, bicho raro...? ¿"Sólo" dice que está 'oculta'?¿?
Lo borra cada tres días? Y no puedes modificarlo?
Saludos!!
Cita de: Arcano. en 8 Diciembre 2010, 01:59 AM
A todo esto... Me sigue quedando la duda...
Pero... ¿Qué advertencia da? ¿Virus, rootkit, bicho raro...? ¿"Sólo" dice que está 'oculta'?¿?
Lo borra cada tres días? Y no puedes modificarlo?
Saludos!!
Advertencias unicamente que esta oculto.
Virus rootkit, u otro ninguno encontrado.
(http://img507.imageshack.us/img507/2888/46023740.jpg)
y el que el mismo borre los informes cada tres dias, pues no creo poder cambiarlo, la verdad es que este antivirus es nuevo para mi antes y durante casi toda mi vida informatica es usado Eset NOD 32
¿en resumidas cuentas puedo decir que mi pc esta sano?
Cita de: Roy-Mustang en 8 Diciembre 2010, 02:25 AM
y el que el mismo borre los informes cada tres dias, pues no creo poder cambiarlo, la verdad es que este antivirus es nuevo para mi antes y durante casi toda mi vida informatica es usado Eset NOD 32
Ahora que miro, deberían de ser 30 días.
Abre la ventana principal del Avira > Herramientas > Configuración > Activas "Modo experto" > General, en la parte de
eventos e
informes puedes cambiar la configuración.
Saludos
Gracias Novlucker, aunque vi lo que me dices mis opciones no me aparece,
y ya que las entradas de registro no son un problema doy por solucionado el tema.
Saludos Gracias a todos
ok, aunque .... apuesto a que no activaste el modo experto :silbar:
Saludos
Cita de: Novlucker en 9 Diciembre 2010, 22:53 PM
ok, aunque .... apuesto a que no activaste el modo experto :silbar:
Saludos
Mira por si no me crees :xD
(http://img257.imageshack.us/img257/9561/perdistesjeje.jpg)
Y la última opción no se llama
General? :xD
Citarmira, porque si estan me hacen falta las gafas :o
Saludos
Cita de: Novlucker en 9 Diciembre 2010, 23:03 PM
Y la última opción no se llama General? :xD
Saludos
Eso me pasa por no leer todo jajajaja, :rolleyes: :rolleyes: :xD :xD
Gracias Novlucker, ya lo cambie.
Saludos