Possível modificação de malware da entrada de registro do Windows

2

Encontrei uma entrada estranha no registro do Windows em dois de meus PCs e a publiquei como uma pergunta no Stack Overflow, aqui: https://stackoverflow.com/questions/27716746/hklm-system-currentcontrolset-control-timezoneinformation-timezonekeyname- corromper

Um dos maiores gurus de lá, um cara que eu respeito muito, diz que é provavelmente o resultado de malware.

Eu sei muito pouco sobre malware e ficaria feliz se alguém desse uma olhada na minha pergunta no Stack Overflow e me dissesse o que devo fazer.

Até agora eu fiz uma varredura completa com o Microsoft Security Essentials. Em um PC ele diz que "nenhuma ameaça foi detectada", no outro PC ele ainda está rodando - 8 horas até agora e apenas 50% concluído. :-(

EDIT - começando a pensar que isso é "normal"

Depois de executar vários dos programas de detecção de malware sugeridos (um dos quais foi tão enigmático e implacável que me assustou), e pesquisando muito mais no Google, estou começando a suspeitar que minha entrada de registro "corrupta" é realmente normal. Eu encontrei duas indicações de que a entrada TimeZoneKeyName no registro deve ser 256 bytes ou 128 WCHAR REG_SZ, como é chamado aqui: https://support.microsoft.com/kb/KbView/2001086

Veja também a figura 7.13 neste extrato do livro: https://books.google.dk/books?id=V9tgQI1QQyQC&pg=PA340&lpg=PA340&dq=regedit+timezonekeyname&source=bl&ots=jisKBTTO_s&sig=1uzMOn1RSpvkaNoun_-Q85h4zBE&hl=pt-BR&sa=X&ei=ghGlVKCsEuLNygOv1YKICw&redir_esc=y#v = onepage & q = regedit% 20timezonekeyname & f = false

Apenas para confirmar, eu agradeceria se uma ou duas pessoas aqui me fizessem o favor de ativar o regedit.exe, e navegar para HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Control \ TimeZoneInformation e clicar com o botão direito em TimeZoneKeyName e selecionar " Modifique Dados Binários ... ", e me diga quantos bytes você vê. Estou vendo o hex 100, ou seja, 256, nos três computadores com Windows 7 que tenho, e começo a pensar que é assim que deve ser.

Desde já, obrigado.

RenniePet
fonte
1
O valor também é 256 bytes em minha máquina (Vista SP2 x86), portanto, você pode estar certo de que isso é normal. Descuido por parte da Microsoft, eu acho.
Harry Johnston
@HarryJohnston: Obrigado. Por favor, poste algo como uma resposta e eu vou aceitá-lo.
RenniePet 02 de

Respostas:

1

Como você sugeriu, parece que esse valor é sempre mal formado. Se você remover os dados extras e, em seguida, alterar o fuso horário, os dados extras reaparecerão. Portanto, parece ser o próprio Windows que está fazendo isso, e não um software de terceiros (mal-intencionado ou não).

Eu não acho que é provável que tenha sido intencional, é mais provável que tenha sido devido ao descuido por parte da Microsoft. (No entanto, pode estar sendo intencionalmente deixado como está devido a restrições de compatibilidade.)

Harry Johnston
fonte
1

Você deve tentar executar uma varredura com o Malwarebytes Antimalware. (Aqui - https://www.malwarebytes.org/mwb-download/ ) É muito melhor do que o Microsoft Security Essentials.

TheKB
fonte
Obrigado pela recomendação. É certamente muito, muito mais rápido que o Microsoft Security Essentials! Eu corri em um dos dois PCs e não encontrei nenhum malware. Outras recomendações, e especialmente quaisquer opiniões sobre o meu problema de registro específico, ainda são muito bem-vindas.
RenniePet
tente usar adwcleaner também: bleepingcomputer.com/download/adwcleaner encontra outros
Jeff Clayton
@ JeffClayton: Obrigado pela recomendação. O AdwCleaner encontrou duas coisas de que não gostou, o Microsoft Bing Browser Helper Object e o Microsoft Bing Bar. Ainda estou esperando por uma opinião se a minha entrada de registro modificada é um sinal de malware ou não.
RenniePet
O material do Microsoft Bing provavelmente não é malware. Eu diria que é para a barra de bing (no IE). Você poderia se livrar disso de qualquer maneira.
TheKB
Muito provável. A barra-zero é outra maneira de dizer "fim da cadeia" - em ataques SQL Injection em servidores de banco de dados da Web, por exemplo, eles emitem um comando barra-zero e depois um danificando depois. A máquina pensará que é um comando real depois que o outro terminar. Se for uma linha real de código na barra do Bing, como a @TheKB mencionou, a Microsoft deveria ter vergonha ...
Jeff Clayton