Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Entradas - R0, R1, R2, R3

Esta sección abarca la página de inicio y búsqueda del Internet Explorer.

R0 es para las páginas de inicio y el asistente de búsqueda del IE.

R1 es para las funciones de búsqueda de IE y otras características.

R2 no es usado actualmente.

R3 es para un Buscador de URL's.

Mostrará algo parecido a esto:

Ejemplo: R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.infospyware.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.infospyware.com/

Si la pagina web que aparece tanto en la entrada R0 con en la R1, es reconocida por pertenecer a algún malware o el usuario no ha puesto esta y la desconoce y quiere cambiarla, se puede usar HijackThis para removerlas de forma segura o también la herramienta IniRem.exe

Para los objetos de R3, siempre arréglalos a menos que se mencione un programa que reconozcas, como Copernic.

Una pregunta común es que qué significa cuando la palabra Obfuscated (Ofuscado) sigue a una de esas entradas. Cuando algo está ofuscado significa que es algo difícil de percibir o entender. En términos de spyware esto sginifica que el spyware o hijacker está escondiendo una entrada hecha por él convirtiendo los valores en otra forma que él entienda fácilmente, pero las personas tengas problemas reconociendolas, como agregando entradas en el registro en hexadecimal. Ésto es solo otro método de esconder su prescencia y de hacer difícil el removerlos.

Si no reconoces la página web que señala tanto el punto R0 como el R1, y deseas cambiarla, entonces puedes usar HijackThis para removerlos de forma segura, no serán perjudiciales para el IE. Es importante aclarar que si un R0/R1 apunta a un archivo, y arregla la entrada en el registro con HijackThis, HijackThis no borrará ese archivo en particular y usted tendrá que borrarlo manualmente.

Hay cierto tipo de entradas R3 que terminan con un guión bajo, como por ejemplo:

R3 - URLSearchHook: (no name) - _ - (no file)

Note el CLSID, los números entre las llaves, tienen un guión bajo al final y ello a veces dificulta removerlos con el HijackThis. Para arreglar esto necesita borrar manualmente esa entrada en particular, siguiendo esta ruta:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks

Entonces borra la entrada CLSID que deseas quitar. Deje la CLSID, CFBFAE00-17A6-11D0-99CB-00C04FD64497, que es válido por defecto.

Si no reconoce el software que usa en el UrlSearchHook, búsquelo en Google y dependiendo de los resultados de la búsqueda, permita que HijackThis lo arregle.


Algunas llaves de registro:

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page
HKCU\Software\Microsoft\Internet Explorer\Main: Start Page
HKLM\Software\Microsoft\Internet Explorer\Main: Default_Page_URL
HKCU\Software\Microsoft\Internet Explorer\Main: Default_Page_URL
HKLM\Software\Microsoft\Internet Explorer\Main: Search Page
HKCU\Software\Microsoft\Internet Explorer\Main: Search Page
HKCU\Software\Microsoft\Internet Explorer\SearchURL: (Default)
HKCU\Software\Microsoft\Internet Explorer\Main: Window Title
HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings: ProxyOverride
HKCU\Software\Microsoft\Internet Connection Wizard: ShellNext
HKCU\Software\Microsoft\Internet Explorer\Main: Search Bar
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks
HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch
HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant


Es importante aclarar que si un R0/R1 apunta a un archivo, y arregla la entrada en el registro con HijackThis, HijackThis no borrará ese archivo en particular y hay que borrarlo manualmente o con KillBox.