Guida - HijackThis

[asterix]

Guida all’utilizzo di Hijackthis

Importante

Attenzione HijackThis va usato solamente nel caso in cui il vostro browser o computer, anche dopo l’utilizzo con esito positivo di tools per la rimozione di Spyware/Hijacker, presentano ancora dei problemi di funzionamento.

HijackThis è un tool che richiede una conoscenza avanzata del S.O. Windows per il suo corretto utilizzo.
Si precisa che se si procede con la cancellazione delle voci presenti nel log da lui generato senza conoscere a cosa si riferiscono, si può andare incontro a problemi molto più gravi rispetto ad una infezione di tipo malware, infatti un suo scorretto utilizzo può compromettere il funzionamento del vostro browser e nel peggiore dei casi può causare problemi di stabilità e/o funzionamento del vostro S.O.

Come già detto in precedenza è consigliato l’utilizzo di Hijacthis solo dopo aver effettuato tentativi di pulizia attraverso software mirati; questo per il semplice motivo che il tool modifica o cancella gli items da lui rilevati correndo il rischio di lasciare sul pc dei file infetti da Spyware / Hijacker, una volta effettuato queste modifiche con il suddetto tool i file infetti non verranno più rilevati nelle future scansione da parte dei tools specializzati.

Introduzione

HijackThis è un tool che permette l’identificazione di spyware, malware, hijackers del browser, trojan e virus worm nel proprio PC. Il programma raccoglie le informazioni più importanti sulla configurazione delle aree del sistema operativo maggiormente attaccate da parte di componenti dannosi, come spyware, hijackers e "malware" in generale. HijackThis ha una fuzione integrata per la memorizzazione in un file log di tutti i dati relativi allo stato del sistema.

Come usare Hijackthis

Innanzitutto, va precisato che il programma non necessita di installazione, a questo punto si consiglia di creare una cartella nel vostro PC dove depositare l’eseguibile del programma. Es. C:\Programmi\Hijackthis.
Il programma può essere scaricato dal seguente link Hijackthis Download
Una volta terminato il dl si procede con la scompattazione del file .zip nella cartella precedentemente creata. Dopo l’operazione sopraccitata andanda a sfogliare la cartella da noi creata troveremo il file HijackThis.exe, ora per comodità creiamo un collegamento da mettere nel desktop attraverso il tasto dx del mouse nel sottomenù invia a Desktop (crea collegamento).

Per avviare il programma doppio click sul collegamento appena creato.
All’apertura comparirà una schermata simile alla figura qui sotto.

Hijackthis startup

Come potete notare nella figura precedente l’ultima voce da la possibilità di decidere se continuare a visualizzare questa schermata ad ogni riavvio di hijackthis oppure no. Nel caso di attivazione al riavvio del tool comparirà una schermata simile alla figura qui sotto.

Figura 1. Starting Screen di HijackThis

Per prima cosa andiamo nel menu di configurazione premendo sul tasto config e impostiamo le opzioni come rappresentato nella figura 2. Per comodità ho evidenziato nel riquadro le opzioni da verificare.

Figura 2. HijackThis Opzioni di Configurazione

Una volta terminata la configurazione premete sul tasto Back ritornando così nella schermata principale rappresentata nella figura 1.
Per avviare la scansione del vostro computer premete sul tasto Scan . A questo punto inizierà la scansione del vostro PC e vi sarà presentata una schermata con tutti gli items trovati dal tool come da figura 3

Figura 3. Risultati Scan

A questo punto, avete un elenco con tutti gli items trovati da HijackThis. Per effettuare un salvataggio del log appena generato potete premere sul pulsante Save log evidenziato nel riquadro.
Ora potete optare per analizzare il log attraverso il tool messo a disposizione attraverso questo link oppure postare il vosto log nel forum
Hijackthis offre inoltre la possibilità di avere ulteriori informazioni sulle voci riscontrate durante la scansione, per ottenere tutto questo basta selezionare la voce interessata e premere sul pulsante Info on selected item… vi comparirà una schermata simile alla figura 4:

Figure 4. Informazioni aggiuntive oggetto

Una volta appurato che una voce è da eliminare, in quanto ritenuta pericolosa o appartenete a qualche malware, si procede con la selezione tramite il flag come da figura 5

Figura 5. Selezionare item da rimuovere

Una volta che avete selezionato gli items che vorreste rimuovere, premete il tasto FIX, prima di procedere con la rimozione vi verrà richiesta un’ulteriore conferma.

Come ristabilire gli items cancellati erroneamente

HijackThis prevede anche una procedura di restore al fine di rimediare a cancellazioni errate. Se in fase di configurazione di HijackThis avete impostato le opzioni come suggerito non dovreste riscontrare alcun problema nel ripristino delle voci erroneamente cancellate. Faccio notare che questa procedura di restore non sempre funziona in quanto se si procede con il Fix da modalità provvisoria e poi si ritorna in modalità di normale tale procedura non funzionerà in quanto i file di backup verranno persi durante il cambio di modalità, al contrario se la procedura di fix avviene in modalità provvisoria e subito ci accorgiamo di aver effettuato un errore senza riavviare la macchina sarà possibile effettuare un restore, nel caso che l’operazione di fix venga effettuata in modalità di lavoro da tale modalità sarà sempre possibile effettuare un restore.
Per procedere con il restore una volta aperto Hijackthis premere sul pulsante Config e poi Backup come da schermata figura 6.
Vi sarà presentato una lista di items che avete riparato in precedenza attraverso il tasto fix ed avrete la possibilità di ripristinarli, una volta ripristinato alla successiva operazione di scan vi verrà ripresentato nel log.

Figura 6. Restore

A restore terminato potete chiudere l’applicazione.

Come generare l’elenco di startup

Hijackthis ha inoltre la possibilità di creare un file contente la lista dei programmi che partono nello startup del pc. Tale funzione può tornare utile in fase di richiesta di aiuto e per verificare se qualche processo malware parte all’avvio del PC .
Per generare tale elenco aprire il programma hijackthis premere sul pulsante Config e selezionare Misc Tools a questo punto compare una schermata simile ala figura 7

Figura 7. Generare la StartupList

Per procedere con la generazione del log di startup premere sul pulsante Generate StartupList Log Una volta lanciata l’applicazione il programma aprirà automaticamente un foglio notepad con l’elenco di tutte le applicazioni che partono in via automatica del vostro PC.

Come usare il Process Manager

HijackThis include anche una sorta di Task Manager dando la possibilità all’utente di terminare processi considerati Malware. Per accedere al Process Manager si deve entrare nel menu configurazione andare nella scheda Misc Tools e premere sul pulsante Open process manager. Ora dovreste vedere una schermata simile alla figura 8.

Figure 8. HijackThis Process Manager

Questa finestra elencherà tutti processi attivi presenti sulla vostra macchina, posizionandovi su un processo potete determinarne la chiusura utilizzando il tasto Kill Process
Se voleste terminare più processi in simultanea potete farlo tenendo premuto il tasto CTRL della tastiera e selezionando con il mouse i vari processi da terminare, una volta effettuata la scelta si preme il tasto Kill Process.
Se voleste vedere quali DLL vengono caricate da un determinato processo, lo potete fare attivando la funzione Show DLLs come da figura 8.

Come usare Hosts File Manager

Tra i vari tools di HijackThis c’è anche Hosts File Manager, attraverso questo praticissimo tool possiamo verificare la struttura del nostro file Host e a necessità modificarlo direttamente da hijackthis. Per accedere al tools premere sul pulsante Config andare nella scheda Misc Tools premere sul pulsante Open host file Manager a questo punto dovrebbe comparire una schermata simile alla figura

Figura 9: Hosts File Manager

Come potete vedere nella finestra raffigurata nella figura 9 compariranno tutte le righe del vostro file Host , ora per cancellare una riga del file procedete nel seguente modo: selezionate la riga da cancellare e premete il tasto Delete line(s), per eliminare più righe in simultanea basta selezionare le righe tenendo premuto il tasto CTRL e poi premete il tasto Delete line(s). Un’altra utile funzione presente in questo Misc tools si ottiene premendo il tasto Toggle line(s), questo pulsante aggiunge il seguente simbolo # all’inizio della linea o linee evidenziate, il simbolo # all’inizio di riga sta ad indicare che si tratta di un commento e come tale non verrà considerato dal S.O.

Come usare il Cancella file al riavvio

Alcune volte possiamo incontrare dei file la cui cancellazione attraverso i mezzi convenzionali ci viene negata in quanto utilizzati, a tale proposito Hijckthis ha un funzione che permette la cancellazione di questi file al riavvio del S.O. prima che esse venga impegnato nuovamente. Per attivare la seguente proceduta necessita seguire i seguenti passi:

1. Aprire Hijackthis
2. Entrare nel menù di configurazione attraverso il tato Config
3. selezionare la scheda Misc Tools
4. premere il pulsante Dolete a file on Reboot
5. a questo punto vi comparirà una schermata simile alla figura 10 dove sarà possibile selezionare il file da eliminare al prossimo riavvio.
6. una volta selezionato il file da cancellare vi verrà richiesto se procedere ora con il riavvio e un un secondo momento come da figura 11.

Figura 10: Scelta file per il Delete al reboot

Figura 11: Conferma riavvio S.O.

Come usare ADS Spy

...................... In fase di creazione ......................

Come usare Uninstall Manager

Questo modulo permette di controllare le entry dei programmi presenti nella lista Add/Remove del pannello di controllo. Può accadere che durante la pulizia di un malware alcune entry presenti nel Add/Remove non vengano rimosse. Molti utenti gradiscono avere una lista pulita di programmi di Add/Remove e spesso si trovano ad avere delle difficoltà nel rimuovere le entry errate, ora attraverso questo tools si possono rimuovere tranquillamente ed avere così una lista pulita.
Per attivare la seguente proceduta necessita seguire i seguenti passi:
1. Aprire Hijackthis
2. Entrare nel menù di configurazione attraverso il tato Config
3. selezionare la scheda Misc Tools
4. premere il pulsante Open Uninstall Manager
5. a questo punto vi comparirà una schermata simile alla figura 14 dove sarà possibile selezionare la voce da eliminare.
La videata che vi si presenterà sarà simile alla figura sotto riportata:

Figura 14: Uninstall Manager

Nel forum potete trovare una recensione del programma. Hijackthis

Guida creata da Asterix per www.p2pforum.it

[asterix]

Interpretazione dei risultati della scansione.

Le informazioni riportate in questa guida hanno lo scopo di aiutare l’utente nella lettura del log generato da Hijackthis. La stesura di questo documento è stata effettuata attingendo gran parte delle informazioni direttamente dal sito del produttore del software. Merijn.
di seguito viene riporta la tabella di riferimento per la corretta lettura del log creato da Hijackthis

• R0, R1, R2, R3 - Internet Explorer Start/Search pages URLs
• F0, F1 - Autoloading programs
• N1, N2, N3, N4 - Netscape/Mozilla Start/Search pages URLs
• O1 - Hosts file redirection
• O2 - Browser Helper Objects
• O3 - Internet Explorer toolbars
• O4 - Autoloading programs from Registry
• O5 - IE Options icon not visible in Control Panel
• O6 - IE Options access restricted by Administrator
• O7 - Regedit access restricted by Administrator
• O8 - Extra items in IE right-click menu
• O9 - Extra buttons on main IE button toolbar, or extra items in IE 'Tools' menu
• O10 - Winsock hijacker
• O11 - Extra group in IE 'Advanced Options' window
• O12 - IE plugins
• O13 - IE DefaultPrefix hijack
• O14 - 'Reset Web Settings' hijack
• O15 - Unwanted site in Trusted Zone
• O16 - ActiveX Objects (aka Downloaded Program Files)
• O17 - Lop.com domain hijackers
• O18 - Extra protocols and protocol hijackers
• O19 - User style sheet hijack
• O20 - AppInit_DLLs Registry value autorun
• O21 - ShellServiceObjectDelayLoad Registry key autorun
• O22 - SharedTaskScheduler Registry key autorun
• O23 - Windows NT Services

Iniziamo ora con l’analisi delle singole sezioni.

R0, R1, R2, R3

In questa sez. vengono raggruppate tutte le voci dei registri che riguardano:
• la pagina iniziale di IE
• la pagina di ricerca predefinita
in questa sez. dovete fare attenzione che gli indirizzi riportati siano corrispondenti a quelli della vostra start-up page e quelli del vostro motore di ricerca.
Se questo non vi risulta bisogna effettuare delle correzioni.

Es.
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/
R2 - (non ancora usato da Hijack)
R3 - Default URLSearchHook is missing

F0, F1, F2, sezioni F3

Qui vengono elencate tutte le applicazioni che vengono caricate dai file INI, system.ini e win.ini
Le voci precedute da F0 sono quasi sempre riferite a file dannosi quindi Fix
Le voci precedute da F1 potrebbero essere programmi obsoleti, consultate sempre un database online.
Le voci precedute da F2 e F3 sono equivalenti a F0 e F1 ma sono presenti nelle versioni di S.O. di tecnologia NT (XP – 2000 – 2003 – NT)

N1, N2, N3, N4

Per questa sez. possiamo utilizzare la definizione usata per R0,R1,R3, però in questo caso le voci sono riferite ad altri browser (Netscape e Mozilla)
Poichè la maggior parte di spyware e dei Hijack sono creati e ottimizzati per Internet Explorer quelle riportate qui normalmente sono sicure.

Sezione O1

Hosts file redirection

Es.
O1 - Hosts: 216.177.73.139 auto.search.msn.com
O1 - Hosts: 216.177.73.139 search.netscape.com
O1 - Hosts: 216.177.73.139 ieautosearch
O1 - Hosts file is located at C:WindowsHelphosts
Come molto spesso accade molti malware utilizzano questo metodo per costringere l’utente a visitare determinati siti, infatti modificando il file host si possono ottenere degli reindirizzamenti all’insaputa dello user. Se gli indirizzamenti presenti nel file Hosts non sono stati da voi inseriti procedete con il Fix delle righe (l'ultima nell'esempio è aggiunta spesso da CoolWebSearch, noto hijacker)
Di seguito vi riporto la posizione del file Hosts nei vari S.O.

Windows 3.1 – 95 – 98 – ME C:\WINDOWS\HOSTS
Windows NT – 2000 C:\WINNT\SYSTEM32\DRIVERS\ETC\HOSTS
Windows XP – 2003 C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS

Alcune volte la posizione del file Hosts dei sistemi Windows NT/2000/XP può essere cambiata modificando la seguente chiave di registro.

Chiave di registro:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters \: DatabasePath

Se riscontrate un file hosts nella cartella C:\Windows\Help\hosts, potete star certi che il vostro pc e infetto da CoolWebSearch. E’ altresì vero che se il file Hosts risulta essere collocato in posizione diversa rispetto alla tabella sopra riportata con molta probabilità siete soggetti ad un infezione virale

Sezione O2

In questa sez. vengono riportate le informazioni dei plugins installati al fine di estendere le funzionalità del browser. In questa sez. è possibile riscontrare spyware ma anche programmi legali tipo Google Toolbar e il lettore per i file PDF di Adobe.
Per verificare quale BHO sia o meno legittima si consiglia di consultare uno dei seguenti DB SYSInfo DB BHO o CSLIDs BHOList

Sezione O3

In questa sez. vengono raccolte tutte le informazioni inerenti alle toolbar installate di IE. Anche in questo caso ci si può aiutare con l’aiuto di DB on line [ SYSInfo Toolbar oppure CSLIDs Toolbar

Sezione O4

In questa sez. vengono raccolte tutte le informazioni inerenti all'elenco dei programmi che vengono autocaricati dal registro o da esecuzione automatica. In questa sez. si possono riscontrare delle voci che richiamano all’esecuzione dei spyware presenti nel nostro sistema. Anche in questo caso ci si può aiutare con l’aiuto di DB on line Sysinfo StartUpList

Sezione O5

In questa sez. vengono raccolte tutte le informazioni relative alle opzioni internet occultate nel pannello di controllo, al fine di evitarne la modifica. Questa operazione è possibile modificando il file control.ini, normalmente nei sistemi XP viene archiviato in c:\windows\control.ini., la modifica consiste nell’inserire al suo interno delle stringhe, le quali hanno il compito di oscurare le opzioni internet malevoli.

Es. O5 - control.ini: inetcpl.cpl=no

Sezione O6

In questa sez. vengono raccolte tutte le informazioni relative alle restrizioni presenti per accedere alla modifica delle opzioni di Internet Explorer. Queste opzioni dovrebbero esserci soltanto nei seguenti casi: attivazione volontariamente dal vs. admin ai fini di sicurezza oppure da programmi antispy tipo Spybot Search&Destroy. In caso contrario vanno cancellate tramite la funzione fix

Es. O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions

Sezione O7

In questa sez. vengono raccolte tutte le informazioni relative alle restrizioni effettuate sul registro, se vi è presente la riga sotto riportata significa che è stato impedito l'accesso a regedit. Se tale operazione non è stata voluta dall’amministratore di sistema potete effettuare la correzione

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Sezione O8

In questa sez. vengono raccolte tutte le informazioni relative alle funzioni extra presenti in IE , tali funzioni sono visibili premendo il tasto DX del mouse
Anche in questo caso se non siete a conoscenza di quale programma potrebbe aver installato la funzionalità presente nel menu contestuale procedete con la correzione

Sezione O9

In questa sez. vengono raccolte tutte le informazioni relative ai nuovi pulsanti creati nelle barre degli strumenti e alle nuove voci nel menu strumenti di IE. Anche in questo caso se non siete a conoscenza di quale programma potrebbe aver installato questi pulsanti o menù procedete con la correzione

Sezione O10

In questa sez. vengono raccolte tutte le informazioni relative ai Winsock Hijackers, per la rimozione di tali Hijackers si consiglia l’utilizzo di programmi appositi, come per esempio SpyBot Search&Destroy

Sezione O11

Secondo Merijn, di HijackThis, c’è soltanto un unico Spyware conosciuto ed è CommonName. Se vedete CommonName nell'elenco potete rimuoverlo con una certa sicurezza, nel caso venga riportata una voce diversa si consiglia di effettuare una accurata ricerca sul web.

Sezione O12

In questa sez. vengono raccolte tutte le informazioni relative ai plugins di IE
La maggior parte dei plugins sono legittimi, comunque risulta buona prassi, per quelli che non conoscete, effettuare delle ricerche sul web prima di procedere con la cancellazione. Un spyware conosciuto è il Onflow plugin che ha l'estensione di OFB.

Sezione O13

In questa sez. vengono raccolte tutte le informazioni relative ad un dirottamento dello IE DefaultPrefix.

Es.
O13 - DefaultPrefix: http://www.pixpox.com/cgi-bin/click.pl?url=
O13 - WWW Prefix: http://prolivation.com/cgi-bin/r.cgi?
O13 - WWW. Prefix: http://ehttp.cc/?

La presenza delle righe sopra citate non rappresenta nulla di buono procedete con l’operazione di fix

Sezione O14

In questa sez. vengono raccolte tutte le informazioni relative ai redirect della pagina iniziale di IE, se questo indirizzo non appartiene al vs provider dovete procedere con il fix della riga
Es. O14 - IERESET.INF: START_PAGE_URL=http://www.searchalot.com

Sezione O15

La sicurezza del Internet Explorer è basata su un insieme di zone. Ogni zona ha livelli di sicurezza differenti. Tra le varie zone ce n’è una denominata Trusted Zone. In questa sez. vengono raccolte tutte le informazioni relative ai siti ritenuti sicuri ed aggiunti ad una lista senza restrizione, quindi questi possono operare all’insaputa dell’utente. Alcune volte questa zona può essere sfruttata da malware, quindi effettuate una verifica degli indirizzi presenti e procedete con l’eliminazione di quelli che non conoscete.

Sezione O16

In questa sez. vengono raccolte tutte le informazioni relative agli oggetti activeX scaricati da internet ed installati. Nella sez. potremmo riscontrare molte righe relative a spyware ed è per questo che viene consigliata un’attenta analisi delle stesse. Molte volte gli item malevoli sono di facile riscontro in quanto spesso contengono parole come sex, porn, dialer, free, casino, adult, ecc.
Per proteggere il proprio pc da queste tipologie di malware si consiglia l'uso di SpywareBlaster.

Sezione O17

In questa sez. vengono raccolte tutte le informazioni relative ai DNS e ai DomainNames presenti nel registro. Se nelle voci riportate non riconoscete il vostro dominio o i DNS del vostri o del vostri Provider procedete con la cancellazione.

O17 - HKLM\Software\..\Telephony: DomainName = XXXXX.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB3F640F-F645-44D5-A8DB-A914D114890B}: NameServer = 151.1.1.1,151.99.125.3

Sezione O18

In questa sez. vengono raccolte tutte le informazioni relative ai protocolli supplementari. Non vi sono molti spyware usano questo tipo di hijack, quelli più conosciuti sono 'cn' (CommonName), 'ayb' (Lop.com) e 'relatedlinks' (Huntbar).

Es. O18 - Protocollo: relatedlinks - {5AB65DD4-01FB-44D5-9537-3767AB80F790} - C:\PROGRA~1\COMMON~1\MSIETS\msielink.dll

Nel caso di dubbi effettuare delle ricerche sul web tramite motore di ricerca Google, nel web è presente anche un Db online e lo potete trovare al seguente link

Sezione O19

Solo CoolWebSearch usa per ora questo tipo di hijack, quindi sarebbe consigliabile usare il programma Cwshredder.
I sintomi comuni per questa infezioni sono la chiusura inaspettata di Internet Explorer e la comparsa di fastidiosi pop-up.

Questa sezione corrisponde al dirottamento del foglio di stile dell'utente.
Chiave Di Registrazione: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Styles \: Utente Stylesheets

Es. O19 - User style sheet: c:\WINDOWS\Java\my.css
Normalmente se queste righe sono presenti si può procedere con la loro cancellazione

Sezione O20

O20 - AppInit_DLLs: msconfd.dll

Le voci del registro HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows NT\CurrentVersion\Windows, caricano DLL al Login dell'utente, pochi programmi le utilizzano (Norton CleanSweep usa APITRAP.DLL), molti invece nuovi trojans e hijackers. Se precedute da ‘|’ indicano delle DLL nascoste.

Sezione O21

O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll

Le voci del registro HKEY_LOCAL_MACHINE\ Software\Microsoft\ Windows\ CurrentVersion\ ShellServiceObjectDelayLoad, un metodo di autorun non documentato. Pochissimi componenti di sistema di windows lo utilizzano, HijackThis incorpora un whitelist di componenti, quindi se qualcosa compare nel log è probabile che sia nociva.

Sezione O22

O22 - SharedTaskScheduler: (no name) - {3F143C3A-1457-6CCA-03A7-7AA23B61E40F} - c:\windows\system32\mtwirl32.dll

Non documentata, solo CWS.Smartfinder è noto usarle sino ad ora. Cautela!.

Sezione O23
O23 - Service: VMware NAT Service - VMware, Inc. -

C:\WINDOWS\System32\vmnat.exe
In questa sez. vengono raggruppati tutti servizi di XP, del NT, 2003 e 2000. I servizi sono programmi di particolare entità che riguardano il S.O. e il sistema di sicurezza, tali programmi hanno la caratteristica di partire in via automatica prima del logon utente. Si consiglia di verificare attentamente i servizi elencati, in quanto di recente queste applicazioni risultano un ottimo nascondiglio per eventuali malware.

[asterix]

Aggiornamento lettura log Hijackthis

• R0, R1, R2, R3 – Url delle pagine di partenza e di ricerca di IE
• F0, F1, F2, F3 – Programmi caricati all'avvio del PC file .ini
• N1, N2, N3, N4 - Url delle pagine di partenza e di ricerca di Netscape/Mozilla
• O1 - Hosts file redirection
• O2 - Browser Helper Objects
• O3 - Internet Explorer toolbars
• O4 – Programmi di avvio automatico dal registro
• O5 – Icone delle operazioni di IE non visibili da Control Panel
• O6 – Accesso alle operazioni di IE bloccate dall'admin
• O7 - Regedit bloccato dall' Administrator
• O8 - Elementi extra in IE right-click menu
• O9 – Comandi extra nella barra principale di IE, o elementi extra nel menu strumenti
• O10 - Winsock hijacker
• O11 – Elementi Extra nella finestra opzioni avanzate di IE
• O12 - IE plugins
• O13 – hijack del prefisso di default di IE
• O14 – Reset Web Settings' hijack
• O15 – Sito non sconosciuto nell'area “siti attendibili”
• O16 - ActiveX Objects
• O17 - Lop.com domain hijackers
• O18 - Extra protocols e protocol hijackers
• O19 - Hijack foglio di stile utente
• O20 - AppInit_DLLs Registry value autorun
• O21 - ShellServiceObjectDelayLoad Registry key autorun
• O22 - SharedTaskScheduler Registry key autorun
• O23 – Servizi Windows XP/NT/2000
• O24 – Componenti di Windows Active Desktop