Si veis que aparece un valor con "(obfuscated)" final, como puede ser el del sgte. ejemplo: R1 HKCU\Software\Microsoft\Internet Explorer\Main,Search res://C:\WINDOWS\System32\mbnmmc.dll/sp.html (obfuscated)
Bar
=
...es muy posible que se deba a algún spyware, empleando algún método de ocultación para dificultar el reconocimiento. En estos casos suele ser conveniente aplicar el "fix". R3 hace referencia a Url Search Hook, que es usado cuando en el recuadro de direcciones del navegador introducimos alguna pero sin especificar su protocolo (http://, ftp://). En estas ocasiones, el navegador trata de utilizar el protocolo adecuado por sí mismo, pero si el intento no es exitoso, acude a Url Search Hook para tratar de resolver los datos que le hemos introducido como URL. Esta información se encuentra en la sgte. clave del registro: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks Si el valor que os sale en esa clave es del tipo R3 - URLSearchHook: (no name) - {CFBFAE0017A6-11D0-99CB-00C04FD64497}_ - (no file) ...con ese guión bajo final ( _ , resaltado en color para el ejemplo), suele ser conveniente hacer uso de Regedit para reparar a mano el nombre del valor, ya que HJT no puede solucionarlo en esos casos. No quitéis el valor numérico mostrado arriba, ya que es el empleado por defecto. Como norma general para R3, en caso de aparecer en el log, deberíamos indagar sobre la información mostrada. Si es referente a un programa que nosotros hemos instalado (el multibuscador Copernic, por ejemplo) y fuera de confianza, no pasa nada; pero en caso de ser algo sospechoso, lo indicado es aplicarle el "fix". Grupo F0, F1, F2, F3: Programas cargados a partir de ficheros *.ini (system.ini, win.ini...). Hay reportados problemas graves para arrancar el sistema si tras fijar uno de estos ítems (especialmente F2) se ha llevado a cabo la restauración de un backup propio de HJT en su versión 1.98.2 (la actual) ...sed muy cautos por tanto y valorad los riesgos previamente. Aunque desde Nautopía recomendamos el uso de ERUNT para tales fines y probablemente solventase el problema, no nos hemos visto en situación de poder comprobarlo en la práctica ante esta situación concreta. Ahí queda el aviso... F0: en caso de que aparezcan, desde Merijn.org recomiendan aplicarles siempre el "fix". Su información procede de shell= en system.ini. En condiciones normales, esta ubicación indica el gestor del entorno gráfico del sistema, el responsable de cargar el escritorio al inicio del windows y permitir manejarnos con ventanas (si se me permite la licencia del símil, "las X" del mundo linux). Como habréis adivinado, nos referimos al explorer.exe ...pero (y este es el quid de la cuestión), si tras explorer.exe tenemos un morralla.exe, se cargará igalmente al iniciar nuestro win. Todo lo que encontréis aquí tras explorer.exe, se convierte en altamente sospechoso. F1: suelen deberse a programas muy antiguos y lo indicado es buscar información sobre ellos para decidir si son sospechosos o no. Su información procede del win.ini, concretamente de Run= o Load=; el primero se empleaba con antiguos programas para que se cargaran con el arranque de win (hablamos de Win 3.1/95/98), pero hoy no es habitual; el segundo se empleaba para cargar controladores de hardware. El listado Pacman's Startup List os puede servir a nivel orientativo para identificar ejecutables. F2 y F3 vienen a utilizar el equivalente de los anteriores pero en los windows de núcleo NT (Win
126