elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Estamos en la red social de Mastodon


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Entradas de Registro Ocultas Solucionado		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 Ir Abajo Respuesta Imprimir
Autor Tema: Entradas de Registro Ocultas Solucionado  (Leído 16,539 veces)
Roy-Mustang


Desconectado Desconectado

Mensajes: 565


Una Vida Sin Proposito es una Muerte Prematura.


Ver Perfil WWW
Entradas de Registro Ocultas Solucionado
« en: 4 Diciembre 2010, 18:57 pm »
Bueno el otro dia examinando el pc, me di cuenta de estas entradas y me preguntaba son peligrosas?
Bueno van mas de 2 años sin infectarme de nada pero me llama la atencion esto
Citar
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}\iexplore\time
    [NOTA]      La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore\count
    [NOTA]      La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore\time
    [NOTA]      La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F6D90F16-9C73-11D3-B32E-00C04F990BB4}\iexplore\count
    [NOTA]      La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F6D90F16-9C73-11D3-B32E-00C04F990BB4}\iexplore\time
    [NOTA]      La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Yahoo\Companion\Profiles\elcorreodemihermano\lastpoll_204
    [NOTA]      La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Yahoo\Companion\Profiles\elcorreodemihermano\lastpoll_211
    [NOTA]      La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Yahoo\Companion\Profiles\elcorreodemihermano\URLHistory\yma
    [NOTA]      La entrada del registro no es visible.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelist
Es normal o estoy siendo paranoico?
SAludos
« Última modificación: 9 Diciembre 2010, 22:51 pm por Roy-Mustang » En línea
winroot


Desconectado Desconectado

Mensajes: 589

#include<winroot.h>


Ver Perfil WWW
Re: Entradas de Registro Ocultas
« Respuesta #1 en: 4 Diciembre 2010, 20:06 pm »
buenas!
Bien, me imagino que si son ocultas las visualizaste con algún anti rootkit como gmer o el de sysinternals.
Bien, ese sid es el sid de tu usuario ?
Me refiero a todo lo raro que está después de HKU\sid\software.
ese sid es el mismo de hkcu?
Si no estás seguro, usa la utilidad psgetsid de sysinternals.
La key ext Sinceramente no tengo idea de que es, parece que tiene que ver con ie, pero ni idea.
Lo demás parece de yahoo, que como no lo uso tanpoco ni idea :xD
Me preocuparía un poco por la de ext, creo que el resto no es nada...
Saludos


En línea
Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com
Arcano.


Desconectado Desconectado

Mensajes: 469



Ver Perfil
Re: Entradas de Registro Ocultas
« Respuesta #2 en: 4 Diciembre 2010, 21:19 pm »
Buenas Roy-Mustang

Citar
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{8856F961-340A-11D0-A96B-00C04FD705A2}\iexplore\time
    [NOTA]      La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore\count
    [NOTA]      La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D27CDB6E-AE6D-11CF-96B8-444553540000}\iexplore\time
    [NOTA]      La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F6D90F16-9C73-11D3-B32E-00C04F990BB4}\iexplore\count
    [NOTA]      La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F6D90F16-9C73-11D3-B32E-00C04F990BB4}\iexplore\time

La rama HKEY_USERS contiene información sobre todos los perfiles de los usuarios de Windows. Todos los SID son el mismo. Supongo que será el tuyo. ¿Cómo saberlo? Pues como ya te ha comentado winroot. O bien, entrando con tu usuario y mirando en HKEY_CURRENT_USER. Ésa es la rama perteneciente al usuario que accede al ordenador. Si los valores son los mismos, es tu SID.

No parece nada malo. En mi ordenador tengo los mismos valores. Pintaría mal si los SID fueran diferentes, ya que indicaría 'otro usuario'... ¿Alguno aliado con bicho feo, con ojos saltones, pelo verde y largas garras para arañar el espacio binario de tu disco duro? Es posible... Pero... Na, tonterías aparte. Haciendo una búsqueda rápida por google, me he topado con esto. Puede que tenga algo que ver... Será cuestión de chalar más con San Google.

Por mi parte, intentaré investigar, a ver qué significan esos valores... Pintan de las sesiones de Internet Explorer.

Citar
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Yahoo\Companion\Profiles\elcorreodemihermano\lastpoll_204
    [NOTA]      La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Yahoo\Companion\Profiles\elcorreodemihermano\lastpoll_211
    [NOTA]      La entrada del registro no es visible.
HKEY_USERS\S-1-5-21-1757981266-1177238915-725345543-500\Software\Yahoo\Companion\Profiles\elcorreodemihermano\URLHistory\yma
    [NOTA]      La entrada del registro no es visible.

A grosso modo parecen perfiles de Yahoo. De esto no tengo nada, porque no lo suelo utilizar. Tampoco parece nada.

Citar
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\NtmsSvc\Config\Standalone\drivelis

LOCAL MACHINE: Información general del orendanador. S.O, Hardware, Software, servicios de windows...

En concreto, la que comentas, es de un servicio:  Administrador de medios de almacenamiento extraíbles.

Nada de lo que comentas parece extraño, ahora... ¿Quieres quedarte tranquilo? Ejecuta GMER, tanto en modo normal como seguro.

Si ves algo pintadito de color rojo... ¡Avisa!

Saludos!
« Última modificación: 5 Diciembre 2010, 01:57 am por Arcano. » En línea
La curiosidad es la antesala al conocimiento...
Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: Entradas de Registro Ocultas
« Respuesta #3 en: 5 Diciembre 2010, 01:09 am »
No hay nada de que preocuparse creo :P

Las primeras 5: es justamente lo que ha puesto Arcano, lleva un registro  de la cantidad de veces (count) y la última ejecución (time) de los controles activex y complementos de Internet Explorer. Lo mismo sobre algunos complementos se puede ver desde Herramientas > Administrar complementos > elegimos un complemento > Más información

Las 3 siguientes: me hace pensar que tienes Yahoo Messenger instalado

La última:
Citar
DriveList
Registry path
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NtmsSvc\Config\Standalone\

Version
Windows 2000, Windows XP, Windows Server 2003

Data Type
REG_SZ

This entry lists the stand-alone drives that are connected to the computer.
http://technet.microsoft.com/ru-ru/library/cc780723%28WS.10%29.aspx

Saludos
En línea
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Arcano.


Desconectado Desconectado

Mensajes: 469



Ver Perfil
Re: Entradas de Registro Ocultas
« Respuesta #4 en: 5 Diciembre 2010, 01:37 am »
Nov!!

¿Entonces no tenemos bicho?  :xD

Pos vaya...

Bueno, en otra ocasión será...  :silbar:

Saludos!!
En línea
La curiosidad es la antesala al conocimiento...
Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: Entradas de Registro Ocultas
« Respuesta #5 en: 5 Diciembre 2010, 02:20 am »
Jaja, creería que no Arcano :xD
Lo que si me gustaría saber es que programa alerta de esas claves "ocultas" :huh:

Saludos
En línea
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Arcano.


Desconectado Desconectado

Mensajes: 469



Ver Perfil
Re: Entradas de Registro Ocultas
« Respuesta #6 en: 5 Diciembre 2010, 03:04 am »
CUIDADO!!!

No relaciones "Windows" con "claves ocultas". No sea que estén espiando al hacker.net y salgamos en el próximo tomo de Wikileaks...   :¬¬

Creo que va siendo hora de irse dormir...

Bueno, si GMER no rechistó... Me parece a mí que poco hay de lo que preocuparse.

¿Qué programa? Nov! Para que buscar/esperar una aplicación si tú mismo puedes hacerla  :P

Saludos!!
En línea
La curiosidad es la antesala al conocimiento...
Roy-Mustang


Desconectado Desconectado

Mensajes: 565


Una Vida Sin Proposito es una Muerte Prematura.


Ver Perfil WWW
Re: Entradas de Registro Ocultas
« Respuesta #7 en: 6 Diciembre 2010, 01:23 am »
Bueno pues  ;D, que bueno que no hay de que preocuparse :xD :xD, el programa que me da los avisos, es el Avira suite security premiun.

y contestando a mas preguntas, si uso yahoo mesenger, y si uso XP Profesional SP3 Actualizado.

Gracias, voy a leerme detalladamente la informacion que me han dado.

No habia contestado antes porque voy a examen el lunes y si me siento en la pc me quedo ahi todo el dia  :xD :xD :xD :xD

Pases el GMER y nada paso horas y nada en rojo, lo raro es que se reinicio, pero bueno supongo que algun fallo talvez pero el lunes por la tarde con mas tiempo hare un examen completo.

Saludos
En línea
Arcano.


Desconectado Desconectado

Mensajes: 469



Ver Perfil
Re: Entradas de Registro Ocultas
« Respuesta #8 en: 6 Diciembre 2010, 02:26 am »
Hola Roy-Mustang

AVIRA te avisa sobre esas ramas del registro?

Curioso...

Por norma, GMER no necesita de escaneo. Con sólo el primer reconocimiento, ya debe saltar...  -si algo algo-.

Si AVIRA te alerta sobre esas ramas, realiza un escaneo completo entonces. A ver 'qué se cuenta'...

Saludos.
En línea
La curiosidad es la antesala al conocimiento...
Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: Entradas de Registro Ocultas
« Respuesta #9 en: 6 Diciembre 2010, 10:33 am »
El Avira es de mis favoritos, pero mi duda es ... ¿realmente estan ocultas esas ramas? Apuesto a que no :xD, mira directamente desde el editor de registro bajo la rama HKCU

Saludos
En línea
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Páginas: [1] 2 3 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
agregar entradas al registro con un bath
Scripting 		millancitox 1 3,911 Último mensaje 2 Agosto 2008, 21:21 pm
por sirdarckcat
entradas de registro virtuales
Ejercicios 		tv2q0 1 3,288 Último mensaje 22 Febrero 2010, 03:32 am
por tv2q0
Protecion para registro ?[Solucionado] « 1 2 »
Dudas Generales 		ANTRUCK 13 7,367 Último mensaje 28 Julio 2011, 15:57 pm
por ANTRUCK
Problema con el registro de entradas en SafeCreative
Dudas Generales 		RazaDigital100 0 2,375 Último mensaje 3 Octubre 2011, 20:48 pm
por RazaDigital100
Instalador de Drivers completo, gratuito y sin registro[SOLUCIONADO]
Windows 		motocros_elche 5 69,655 Último mensaje 6 Noviembre 2011, 23:54 pm
por motocros_elche
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines