|
Título: Entradas de Registro Ocultas Solucionado Publicado por: Roy-Mustang en 4 Diciembre 2010, 18:57 pm Bueno el otro dia examinando el pc, me di cuenta de estas entradas y me preguntaba son peligrosas?
Bueno van mas de 2 años sin infectarme de nada pero me llama la atencion esto Citar HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}\iexplore\time Es normal o estoy siendo paranoico?[NOTA] La entrada del registro no es visible. HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore\count [NOTA] La entrada del registro no es visible. HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore\time [NOTA] La entrada del registro no es visible. HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F6D90F16-9C73-11D3-B32E-00C04F990BB4}\iexplore\count [NOTA] La entrada del registro no es visible. HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F6D90F16-9C73-11D3-B32E-00C04F990BB4}\iexplore\time [NOTA] La entrada del registro no es visible. HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Yahoo\Companion\Profiles\elcorreodemihermano\lastpoll_204 [NOTA] La entrada del registro no es visible. HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Yahoo\Companion\Profiles\elcorreodemihermano\lastpoll_211 [NOTA] La entrada del registro no es visible. HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Yahoo\Companion\Profiles\elcorreodemihermano\URLHistory\yma [NOTA] La entrada del registro no es visible. HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist SAludos Título: Re: Entradas de Registro Ocultas Publicado por: winroot en 4 Diciembre 2010, 20:06 pm buenas!
Bien, me imagino que si son ocultas las visualizaste con algún anti rootkit como gmer o el de sysinternals. Bien, ese sid es el sid de tu usuario ? Me refiero a todo lo raro que está después de HKU\sid\software. ese sid es el mismo de hkcu? Si no estás seguro, usa la utilidad psgetsid de sysinternals. La key ext Sinceramente no tengo idea de que es, parece que tiene que ver con ie, pero ni idea. Lo demás parece de yahoo, que como no lo uso tanpoco ni idea :xD Me preocuparía un poco por la de ext, creo que el resto no es nada... Saludos Título: Re: Entradas de Registro Ocultas Publicado por: Arcano. en 4 Diciembre 2010, 21:19 pm Buenas Roy-Mustang
Citar HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}\iexplore\time [NOTA] La entrada del registro no es visible. HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore\count [NOTA] La entrada del registro no es visible. HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore\time [NOTA] La entrada del registro no es visible. HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F6D90F16-9C73-11D3-B32E-00C04F990BB4}\iexplore\count [NOTA] La entrada del registro no es visible. HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F6D90F16-9C73-11D3-B32E-00C04F990BB4}\iexplore\time La rama HKEY_USERS contiene información sobre todos los perfiles de los usuarios de Windows. Todos los SID son el mismo. Supongo que será el tuyo. ¿Cómo saberlo? Pues como ya te ha comentado winroot. O bien, entrando con tu usuario y mirando en HKEY_CURRENT_USER. Ésa es la rama perteneciente al usuario que accede al ordenador. Si los valores son los mismos, es tu SID. No parece nada malo. En mi ordenador tengo los mismos valores. Pintaría mal si los SID fueran diferentes, ya que indicaría 'otro usuario'... ¿Alguno aliado con bicho feo, con ojos saltones, pelo verde y largas garras para arañar el espacio binario de tu disco duro? Es posible... Pero... Na, tonterías aparte. Haciendo una búsqueda rápida por google, me he topado con esto (http://msdn.microsoft.com/en-us/library/dd433050(VS.85).aspx). Puede que tenga algo que ver... Será cuestión de chalar más con San Google. Por mi parte, intentaré investigar, a ver qué significan esos valores... Pintan de las sesiones de Internet Explorer. Citar HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Yahoo\Companion\Profiles\elcorreodemihermano\lastpoll_204 [NOTA] La entrada del registro no es visible. HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Yahoo\Companion\Profiles\elcorreodemihermano\lastpoll_211 [NOTA] La entrada del registro no es visible. HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Yahoo\Companion\Profiles\elcorreodemihermano\URLHistory\yma [NOTA] La entrada del registro no es visible. A grosso modo parecen perfiles de Yahoo. De esto no tengo nada, porque no lo suelo utilizar. Tampoco parece nada. Citar HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelis LOCAL MACHINE: Información general del orendanador. S.O, Hardware, Software, servicios de windows... En concreto, la que comentas, es de un servicio: Administrador de medios de almacenamiento extraíbles. Nada de lo que comentas parece extraño, ahora... ¿Quieres quedarte tranquilo? Ejecuta GMER (http://www.gmer.net/), tanto en modo normal como seguro. Si ves algo pintadito de color rojo... ¡Avisa! Saludos! Título: Re: Entradas de Registro Ocultas Publicado por: Novlucker en 5 Diciembre 2010, 01:09 am No hay nada de que preocuparse creo :P
Las primeras 5: es justamente lo que ha puesto Arcano, lleva un registro de la cantidad de veces (count) y la última ejecución (time) de los controles activex y complementos de Internet Explorer. Lo mismo sobre algunos complementos se puede ver desde Herramientas > Administrar complementos > elegimos un complemento > Más información Las 3 siguientes: me hace pensar que tienes Yahoo Messenger instalado La última: Citar DriveList http://technet.microsoft.com/ru-ru/library/cc780723%28WS.10%29.aspxRegistry path HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtmsSvc\Config\Standalone\ Version Windows 2000, Windows XP, Windows Server 2003 Data Type REG_SZ This entry lists the stand-alone drives that are connected to the computer. Saludos Título: Re: Entradas de Registro Ocultas Publicado por: Arcano. en 5 Diciembre 2010, 01:37 am Nov!!
¿Entonces no tenemos bicho? :xD Pos vaya... Bueno, en otra ocasión será... :silbar: Saludos!! Título: Re: Entradas de Registro Ocultas Publicado por: Novlucker en 5 Diciembre 2010, 02:20 am Jaja, creería que no Arcano :xD
Lo que si me gustaría saber es que programa alerta de esas claves "ocultas" :huh: Saludos Título: Re: Entradas de Registro Ocultas Publicado por: Arcano. en 5 Diciembre 2010, 03:04 am CUIDADO!!!
No relaciones "Windows" con "claves ocultas". No sea que estén espiando al hacker.net y salgamos en el próximo tomo de Wikileaks... :¬¬ Creo que va siendo hora de irse dormir... Bueno, si GMER no rechistó... Me parece a mí que poco hay de lo que preocuparse. ¿Qué programa? Nov! Para que buscar/esperar una aplicación si tú mismo puedes hacerla :P Saludos!! Título: Re: Entradas de Registro Ocultas Publicado por: Roy-Mustang en 6 Diciembre 2010, 01:23 am Bueno pues ;D, que bueno que no hay de que preocuparse :xD :xD, el programa que me da los avisos, es el Avira suite security premiun.
y contestando a mas preguntas, si uso yahoo mesenger, y si uso XP Profesional SP3 Actualizado. Gracias, voy a leerme detalladamente la informacion que me han dado. No habia contestado antes porque voy a examen el lunes y si me siento en la pc me quedo ahi todo el dia :xD :xD :xD :xD Pases el GMER y nada paso horas y nada en rojo, lo raro es que se reinicio, pero bueno supongo que algun fallo talvez pero el lunes por la tarde con mas tiempo hare un examen completo. Saludos Título: Re: Entradas de Registro Ocultas Publicado por: Arcano. en 6 Diciembre 2010, 02:26 am Hola Roy-Mustang
AVIRA te avisa sobre esas ramas del registro? Curioso... Por norma, GMER no necesita de escaneo. Con sólo el primer reconocimiento, ya debe saltar... -si algo algo-. Si AVIRA te alerta sobre esas ramas, realiza un escaneo completo entonces. A ver 'qué se cuenta'... Saludos. Título: Re: Entradas de Registro Ocultas Publicado por: Novlucker en 6 Diciembre 2010, 10:33 am El Avira es de mis favoritos, pero mi duda es ... ¿realmente estan ocultas esas ramas? Apuesto a que no :xD, mira directamente desde el editor de registro bajo la rama HKCU
Saludos Título: Re: Entradas de Registro Ocultas Publicado por: winroot en 6 Diciembre 2010, 14:34 pm Buenas!
Porqué un rootkit ocultaría esas keys? Si gmer no muestra ningún hook a las apis del registro (ZwOpenKey,ZwCreateKey,etc), realmente no hay un driver hookeando esas apis o el rootkit es muy bueno. :xD Fijate con el regedit si realmente están ocultas como dice Novlucker. Saludos Título: Re: Entradas de Registro Ocultas Publicado por: Roy-Mustang en 7 Diciembre 2010, 02:24 am en un rato posteo pero vi las entradas y son visibles, al menos las de esta rama HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500
luego con mas tiempo reviso bien, le pase el unhackme y no encontro nada asi que creo que no hay rootkit, pero lo que el avira me dice es solo una advertencia, pero no da resultado de que hay virus. Al rato posteo con mas claridad. Saludos Título: Re: Entradas de Registro Ocultas Publicado por: Arcano. en 7 Diciembre 2010, 02:30 am Buenas!!
Citar pero lo que el avira me dice es solo una advertencia... Mmmm... ¿Y qué advertencia da? Por simple curiosidad... ;D Saludos!!! Título: Re: Entradas de Registro Ocultas Publicado por: Novlucker en 7 Diciembre 2010, 10:20 am Igual insisto, busca bajo el HKCU :P
Saludos Título: Re: Entradas de Registro Ocultas Publicado por: Roy-Mustang en 8 Diciembre 2010, 01:11 am Igual insisto, busca bajo el HKCU :P Saludos Esa no me aparece. (http://img808.imageshack.us/img808/1269/screenqi.jpg) Mira Título: Re: Entradas de Registro Ocultas Publicado por: Arcano. en 8 Diciembre 2010, 01:16 am Roy!
Espera, que te presto mis gafas... :P HKEY_CURRENT_USER = HKCU.... Mira ahí... Es lo que te comenta Nov :) Saludos!! Título: Re: Entradas de Registro Ocultas Publicado por: Roy-Mustang en 8 Diciembre 2010, 01:26 am Pues esa rama no esta. :¬¬ :P
mira, porque si estan me hacen falta las gafas :o (http://img838.imageshack.us/img838/5006/87737700.jpg) Título: Re: Entradas de Registro Ocultas Publicado por: Arcano. en 8 Diciembre 2010, 01:33 am Debes tenerla. La rama que comentabas anteriormente, HKEY_USERS es una copia de la HKCU...
(http://s2.subirimagenes.com/otros/previo/thump_5619377rama.jpg) (http://www.subirimagenes.com/otros-rama-5619377.html) Saludos!! Título: Re: Entradas de Registro Ocultas Publicado por: Novlucker en 8 Diciembre 2010, 01:51 am Debes tenerla. La rama que comentabas anteriormente, HKEY_USERS es una copia de la HKCU... Eso iba a decir, pero en realidad al revés :xD, en la rama HKEY_USERS están todos los usuarios que inician sesión habitualmente, en la rama HKEY_CURRENT_USER (HKCU) esta el usuario actual, con lo cual te ahorras de estar buscando entre los SID Saludos Título: Re: Entradas de Registro Ocultas Publicado por: Roy-Mustang en 8 Diciembre 2010, 01:56 am Esa si la tengo,es mas antes la busque, y la advertencia que me daba el avira era sobre que estaban ocultos, pero nada mas, te pondria el informe pero los borra cada tres dias,
(http://img8.imageshack.us/img8/387/96414042.png) Título: Re: Entradas de Registro Ocultas Publicado por: Arcano. en 8 Diciembre 2010, 01:57 am Mmmm... ¿Y yo qué he dicho?
Pues eso, que no por mucho madrugar, tendrás más pájaros en mano pues el río seguirá seco y Abril soleado... Creo que era así el refrán... Citar HKEY_USERS es una copia de la HKCU... Sí, me he líado :o HKCU pertenece al usuario que inicia la sesión. Que está en una de las ramas -por el SID- que podrás encontrar en HKEY_USERS... :) Saludos!! Buenos, a ver si encuentra los pájaros en mano.. Digo... La rama, la rama del registro... Título: Re: Entradas de Registro Ocultas Publicado por: Arcano. en 8 Diciembre 2010, 01:59 am A todo esto... Me sigue quedando la duda...
Citar la advertencia que me daba el avira era sobre que estaban ocultos Pero... ¿Qué advertencia da? ¿Virus, rootkit, bicho raro...? ¿"Sólo" dice que está 'oculta'?¿? Lo borra cada tres días? Y no puedes modificarlo? Saludos!! Título: Re: Entradas de Registro Ocultas Publicado por: Roy-Mustang en 8 Diciembre 2010, 02:25 am A todo esto... Me sigue quedando la duda... Pero... ¿Qué advertencia da? ¿Virus, rootkit, bicho raro...? ¿"Sólo" dice que está 'oculta'?¿? Lo borra cada tres días? Y no puedes modificarlo? Saludos!! Advertencias unicamente que esta oculto. Virus rootkit, u otro ninguno encontrado. (http://img507.imageshack.us/img507/2888/46023740.jpg) y el que el mismo borre los informes cada tres dias, pues no creo poder cambiarlo, la verdad es que este antivirus es nuevo para mi antes y durante casi toda mi vida informatica es usado Eset NOD 32 ¿en resumidas cuentas puedo decir que mi pc esta sano? Título: Re: Entradas de Registro Ocultas Publicado por: Novlucker en 8 Diciembre 2010, 02:55 am y el que el mismo borre los informes cada tres dias, pues no creo poder cambiarlo, la verdad es que este antivirus es nuevo para mi antes y durante casi toda mi vida informatica es usado Eset NOD 32 Ahora que miro, deberían de ser 30 días. Abre la ventana principal del Avira > Herramientas > Configuración > Activas "Modo experto" > General, en la parte de eventos e informes puedes cambiar la configuración. Saludos Título: Re: Entradas de Registro Ocultas Solucionado Publicado por: Roy-Mustang en 9 Diciembre 2010, 22:50 pm Gracias Novlucker, aunque vi lo que me dices mis opciones no me aparece,
y ya que las entradas de registro no son un problema doy por solucionado el tema. Saludos Gracias a todos Título: Re: Entradas de Registro Ocultas Solucionado Publicado por: Novlucker en 9 Diciembre 2010, 22:53 pm ok, aunque .... apuesto a que no activaste el modo experto :silbar:
Saludos Título: Re: Entradas de Registro Ocultas Solucionado Publicado por: Roy-Mustang en 9 Diciembre 2010, 22:59 pm ok, aunque .... apuesto a que no activaste el modo experto :silbar: Saludos Mira por si no me crees :xD (http://img257.imageshack.us/img257/9561/perdistesjeje.jpg) Título: Re: Entradas de Registro Ocultas Solucionado Publicado por: Novlucker en 9 Diciembre 2010, 23:03 pm Y la última opción no se llama General? :xD
Citar mira, porque si estan me hacen falta las gafas :o Saludos Título: Re: Entradas de Registro Ocultas Solucionado Publicado por: Roy-Mustang en 9 Diciembre 2010, 23:08 pm Y la última opción no se llama General? :xD Saludos Eso me pasa por no leer todo jajajaja, :rolleyes: :rolleyes: :xD :xD Gracias Novlucker, ya lo cambie. Saludos |