Entradas de Registro Ocultas Solucionado

Iniciado por Roy-Mustang, 4 Diciembre 2010, 18:57 PM

0 Miembros y 1 Visitante están viendo este tema.

Roy-Mustang

Bueno el otro dia examinando el pc, me di cuenta de estas entradas y me preguntaba son peligrosas?
Bueno van mas de 2 años sin infectarme de nada pero me llama la atencion esto
CitarHKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}\iexplore\time
   [NOTA]      La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore\count
   [NOTA]      La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore\time
   [NOTA]      La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F6D90F16-9C73-11D3-B32E-00C04F990BB4}\iexplore\count
   [NOTA]      La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F6D90F16-9C73-11D3-B32E-00C04F990BB4}\iexplore\time
   [NOTA]      La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Yahoo\Companion\Profiles\elcorreodemihermano\lastpoll_204
   [NOTA]      La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Yahoo\Companion\Profiles\elcorreodemihermano\lastpoll_211
   [NOTA]      La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Yahoo\Companion\Profiles\elcorreodemihermano\URLHistory\yma
   [NOTA]      La entrada del registro no es visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
Es normal o estoy siendo paranoico?
SAludos

winroot

buenas!
Bien, me imagino que si son ocultas las visualizaste con algún anti rootkit como gmer o el de sysinternals.
Bien, ese sid es el sid de tu usuario ?
Me refiero a todo lo raro que está después de HKU\sid\software.
ese sid es el mismo de hkcu?
Si no estás seguro, usa la utilidad psgetsid de sysinternals.
La key ext Sinceramente no tengo idea de que es, parece que tiene que ver con ie, pero ni idea.
Lo demás parece de yahoo, que como no lo uso tanpoco ni idea :xD
Me preocuparía un poco por la de ext, creo que el resto no es nada...
Saludos
Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com

Arcano.

#2
Buenas Roy-Mustang

CitarHKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}\iexplore\time
   [NOTA]      La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore\count
   [NOTA]      La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore\time
   [NOTA]      La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F6D90F16-9C73-11D3-B32E-00C04F990BB4}\iexplore\count
   [NOTA]      La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F6D90F16-9C73-11D3-B32E-00C04F990BB4}\iexplore\time

La rama HKEY_USERS contiene información sobre todos los perfiles de los usuarios de Windows. Todos los SID son el mismo. Supongo que será el tuyo. ¿Cómo saberlo? Pues como ya te ha comentado winroot. O bien, entrando con tu usuario y mirando en HKEY_CURRENT_USER. Ésa es la rama perteneciente al usuario que accede al ordenador. Si los valores son los mismos, es tu SID.

No parece nada malo. En mi ordenador tengo los mismos valores. Pintaría mal si los SID fueran diferentes, ya que indicaría 'otro usuario'... ¿Alguno aliado con bicho feo, con ojos saltones, pelo verde y largas garras para arañar el espacio binario de tu disco duro? Es posible... Pero... Na, tonterías aparte. Haciendo una búsqueda rápida por google, me he topado con esto. Puede que tenga algo que ver... Será cuestión de chalar más con San Google.

Por mi parte, intentaré investigar, a ver qué significan esos valores... Pintan de las sesiones de Internet Explorer.

CitarHKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Yahoo\Companion\Profiles\elcorreodemihermano\lastpoll_204
   [NOTA]      La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Yahoo\Companion\Profiles\elcorreodemihermano\lastpoll_211
   [NOTA]      La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Yahoo\Companion\Profiles\elcorreodemihermano\URLHistory\yma
   [NOTA]      La entrada del registro no es visible.

A grosso modo parecen perfiles de Yahoo. De esto no tengo nada, porque no lo suelo utilizar. Tampoco parece nada.

CitarHKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelis

LOCAL MACHINE: Información general del orendanador. S.O, Hardware, Software, servicios de windows...

En concreto, la que comentas, es de un servicio:  Administrador de medios de almacenamiento extraíbles.

Nada de lo que comentas parece extraño, ahora... ¿Quieres quedarte tranquilo? Ejecuta GMER, tanto en modo normal como seguro.

Si ves algo pintadito de color rojo... ¡Avisa!

Saludos!
La curiosidad es la antesala al conocimiento...

Novlucker

No hay nada de que preocuparse creo :P

Las primeras 5: es justamente lo que ha puesto Arcano, lleva un registro  de la cantidad de veces (count) y la última ejecución (time) de los controles activex y complementos de Internet Explorer. Lo mismo sobre algunos complementos se puede ver desde Herramientas > Administrar complementos > elegimos un complemento > Más información

Las 3 siguientes: me hace pensar que tienes Yahoo Messenger instalado

La última:
CitarDriveList
Registry path

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtmsSvc\Config\Standalone\

Version
Windows 2000, Windows XP, Windows Server 2003

Data Type
REG_SZ

This entry lists the stand-alone drives that are connected to the computer.
http://technet.microsoft.com/ru-ru/library/cc780723%28WS.10%29.aspx

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Arcano.

Nov!!

¿Entonces no tenemos bicho?  :xD

Pos vaya...

Bueno, en otra ocasión será...  :silbar:

Saludos!!
La curiosidad es la antesala al conocimiento...

Novlucker

Jaja, creería que no Arcano :xD
Lo que si me gustaría saber es que programa alerta de esas claves "ocultas" :huh:

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Arcano.

CUIDADO!!!

No relaciones "Windows" con "claves ocultas". No sea que estén espiando al hacker.net y salgamos en el próximo tomo de Wikileaks...   :¬¬

Creo que va siendo hora de irse dormir...

Bueno, si GMER no rechistó... Me parece a mí que poco hay de lo que preocuparse.

¿Qué programa? Nov! Para que buscar/esperar una aplicación si tú mismo puedes hacerla  :P

Saludos!!
La curiosidad es la antesala al conocimiento...

Roy-Mustang

Bueno pues  ;D, que bueno que no hay de que preocuparse :xD :xD, el programa que me da los avisos, es el Avira suite security premiun.

y contestando a mas preguntas, si uso yahoo mesenger, y si uso XP Profesional SP3 Actualizado.

Gracias, voy a leerme detalladamente la informacion que me han dado.

No habia contestado antes porque voy a examen el lunes y si me siento en la pc me quedo ahi todo el dia  :xD :xD :xD :xD

Pases el GMER y nada paso horas y nada en rojo, lo raro es que se reinicio, pero bueno supongo que algun fallo talvez pero el lunes por la tarde con mas tiempo hare un examen completo.

Saludos

Arcano.

Hola Roy-Mustang

AVIRA te avisa sobre esas ramas del registro?

Curioso...

Por norma, GMER no necesita de escaneo. Con sólo el primer reconocimiento, ya debe saltar...  -si algo algo-.

Si AVIRA te alerta sobre esas ramas, realiza un escaneo completo entonces. A ver 'qué se cuenta'...

Saludos.
La curiosidad es la antesala al conocimiento...

Novlucker

El Avira es de mis favoritos, pero mi duda es ... ¿realmente estan ocultas esas ramas? Apuesto a que no :xD, mira directamente desde el editor de registro bajo la rama HKCU

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein