bullet

Grupo R0, R1, R2, R3:
URLs de páginas de inicio/búsqueda en el navegador Internet Explorer (IE).

Si las URLs que comienzan con R0 o R1 (R2 ya no es utilizado) fueron puestas por nosotros mismos no hay problema, y la dejamos como están, pero si no las reconocemos o tienen nombres muy extensos y sospechosos por lo gral terminan con la sigla "(obfuscated)" la seleccionamos y aplicamos 'Fix Checked'

Ejemplo Valido:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/

Ejemplo de Spyware, marcar y  'Fix Checked':
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\TEMP\se.dll/sp.html

R3 es la referencia usada por Search Hook. Si introducimos manualmente una URL como pagina de inicio sin especificar un protocolo (http://, ftp://) el navegador tratara de encontrar uno automático y en caso de que no lo logre, acudirá a Url Search Hook.

Ejemplo Valido:
R3 - Default URLSearchHook is missing

Ejemplo Spyware, marcar y 'Fix Checked'
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
 
bullet

Grupo F0, F1, F2, F3
Programas cargados a partir de ficheros *.ini (win.ini, system.ini, etc..).

F0: Según la gente de Merijn.org (creadores del HijackThis) cualquier código que comience con F0 hay que marcarla y 'Fix Checked'

F1: Corresponde a programas antiguos de Win 3.1/95/98/ la cual su información viene del win.ini en "Run= o Load=". Es conveniente buscar información del programa especifico antes de  marcar y 'Fix Checked'"

F2 y F3 Son equivalente a los anteriores pero en Windows de núcleo NT (Win NT/2000/XP), que no suelen hacer uso de system.ini/win.ini del modo tradicional.
Por ejemplo:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\IniFileMapping
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit =[**]\system32\userinit.exe,[**]\morralla.exe

Esto se ve en la información del valor userinit, picando dos veces sobre él desde Regedit; estaría de la siguiente manera, separado simplemente por una coma (resaltada en ):

Userinit = [**]\system32\userinit.exe [**]\morralla.exe

Si bajo Win NT encuentran el valor por defecto: userinit,nddeagnt.exe, es normal bajo ese sistema. Pero cualquier otro ejecutable es altamente probable que se trate de spyware y/o troyano.


 

Manual de HijackThis en español
Todos los derechos reservados
 © El Piedra
InfoSpyware.com

  


Home | Publicite con Nosotros | Enlaces - Links | Notas de Prensa | Mapa del Sitio | Ayuda